Посиделочки с обсуждением про безопасность web проектов и OWASP TOP 10
https://www.youtube.com/watch?v=_oITh3ynsM8
https://www.youtube.com/watch?v=_oITh3ynsM8
YouTube
Посиденьки про Security Testing
В посиденьках балакали про тестування безпеки, інструменти якими Свят користується
Також було розібрано на прикладах різні кейси вразливостей на тестових ресурсах
Інструменти для тестування:
Linux kali (тут все стоїть попередньо встановлене для роботи)…
Також було розібрано на прикладах різні кейси вразливостей на тестових ресурсах
Інструменти для тестування:
Linux kali (тут все стоїть попередньо встановлене для роботи)…
Forwarded from OWASP Kyiv Chapter
Вже в цю суботу на нас очікує така програма зустрічі:
🧐 AppSec vs Pentest vs Audit vs Assessment: В чому різниця і чому це важливо? (Vlad Styran)
🔒 Web-security technologies (SOP, CORS, CSP) (Oleksii Kyseliov)
📱 Android application dynamic analysis (Michael Burlin)
🛠 Ansible 101: For fun and profit (Kyrylo Hobreniak)
І традиційний вже 💣 OWASP Kyiv QUIZ від Serhii Korolenko
Повна програма за посиланням: https://cfp.owaspukraine.org/oks2m20/schedule/
Реєстрація за посиланням: https://www.eventbrite.com/e/owasp-kyiv-spring-2020-quarantine-edition-tickets-103065804596
https://www.eventbrite.com/e/owasp-kyiv-spring-2020-quarantine-edition-tickets-103065804596
🧐 AppSec vs Pentest vs Audit vs Assessment: В чому різниця і чому це важливо? (Vlad Styran)
🔒 Web-security technologies (SOP, CORS, CSP) (Oleksii Kyseliov)
📱 Android application dynamic analysis (Michael Burlin)
🛠 Ansible 101: For fun and profit (Kyrylo Hobreniak)
І традиційний вже 💣 OWASP Kyiv QUIZ від Serhii Korolenko
Повна програма за посиланням: https://cfp.owaspukraine.org/oks2m20/schedule/
Реєстрація за посиланням: https://www.eventbrite.com/e/owasp-kyiv-spring-2020-quarantine-edition-tickets-103065804596
https://www.eventbrite.com/e/owasp-kyiv-spring-2020-quarantine-edition-tickets-103065804596
cfp.owaspukraine.org
OWASP Kyiv Spring 2020 ONLINE Meetup
Schedule, talks and talk submissions for OWASP Kyiv Spring 2020 ONLINE Meetup
Продвинутый поиск в Гугл. Часть 1 🔥
Поисковые системы сканируют информацию и составляют поисковую выдачу на основе своих алгоритмов и даже искусственного интеллекта. Это означает, что поисковая машина могла просканировать сеть, сайт или отдельные страницы не по причине, что ей кто-то это разрешил, а просто из-за того, что она смогла туда добраться. 🤓
https://telegra.ph/Prodvinutyj-poisk-v-Gugl-CHast-1-04-21
Поисковые системы сканируют информацию и составляют поисковую выдачу на основе своих алгоритмов и даже искусственного интеллекта. Это означает, что поисковая машина могла просканировать сеть, сайт или отдельные страницы не по причине, что ей кто-то это разрешил, а просто из-за того, что она смогла туда добраться. 🤓
https://telegra.ph/Prodvinutyj-poisk-v-Gugl-CHast-1-04-21
Telegraph
Продвинутый поиск в Гугл. Часть 1
#Обучение Поисковые системы сканируют информацию и составляют поисковую выдачу на основе своих алгоритмов и даже искусственного интеллекта. Это означает, что поисковая машина могла просканировать сеть, сайт или отдельные страницы не по причине, что ей кто…
Продвинутый поиск в Гугл. Часть 2 🔥
Продолжение
👉 https://telegra.ph/Prodvinutyj-poisk-v-Gugl-CHast-2-04-22
Продолжение
👉 https://telegra.ph/Prodvinutyj-poisk-v-Gugl-CHast-2-04-22
Telegraph
Продвинутый поиск в Гугл. Часть 2
#Обучение Поиск по заголовку и тексту innoscript:"top 10 facts" "nikola tesla" Одновременно можно искать и по заголовку, и по тексту статьи. В результатах поиска будут показаны страницы, которые удовлетворяют обоим этим требованиям. Можно использовать как…
Hack The Box. Прохождение Control. SQL инъекция и LPE через права на службу
👉 https://habr.com/ru/post/499060/
👉 https://habr.com/ru/post/499060/
Хабр
Hack The Box. Прохождение Control. SQL инъекция и LPE через права на службу
Продолжаю публикацию решений отправленных на дорешивание машин с площадки HackTheBox . В данной статье проникаем в систему через SQL инъекцию, копаемся в истории командной строки и повышаем свои...
Продвинутый поиск в Гугл. Часть 3 🔥
Продолжения сиквела
👉 https://telegra.ph/Prodvinutyj-poisk-v-Gugl-CHast-3-04-23
Продолжения сиквела
👉 https://telegra.ph/Prodvinutyj-poisk-v-Gugl-CHast-3-04-23
Telegraph
Продвинутый поиск в Гугл. Часть 3
#Обучение Гугл позволяет анализировать целевой сайт, даже не делая на него запросы. Через Гугл можно найти уязвимые сайты, а также чувствительную информацию. Рассмотрим несколько примеров хакинга с Google. Поиск папок сайта с открытым для просмотра содержимым …
lulzbuster. Поиск скрытых файлов и директорий на сайтах 🔥
Почти у каждого сайта есть файлы и папки, на которые не ведут никакие ссылки. Среди них могут попадаться весьма интересные, например, забытые резервные копии базы данных или сайта, phpMyAdmin, входы в административные панели и другие страницы, не предназначенные для всеобщего доступа.
👉 https://telegra.ph/lulzbuster-Poisk-skrytyh-fajlov-i-direktorij-na-sajtah-04-20
Почти у каждого сайта есть файлы и папки, на которые не ведут никакие ссылки. Среди них могут попадаться весьма интересные, например, забытые резервные копии базы данных или сайта, phpMyAdmin, входы в административные панели и другие страницы, не предназначенные для всеобщего доступа.
👉 https://telegra.ph/lulzbuster-Poisk-skrytyh-fajlov-i-direktorij-na-sajtah-04-20
Telegraph
lulzbuster. Поиск скрытых файлов и директорий на сайтах
#Обучение Почти у каждого сайта есть файлы и папки, на которые не ведут никакие ссылки. Среди них могут попадаться весьма интересные, например, забытые резервные копии базы данных или сайта, phpMyAdmin, входы в административные панели и другие страницы,…
Network tools, или с чего начать пентестеру? Часть 1 🔥
Toolkit начинающего пентестера: представляем краткий дайджест главных инструментов, которые пригодятся при пентесте внутренней сети. Эти инструменты уже активно используются широким кругом специалистов, поэтому знать об их возможностях и владеть в совершенстве будет полезно каждому.
👉 https://telegra.ph/Network-tools-ili-s-chego-nachat-pentesteru-CHast-1-04-24
Toolkit начинающего пентестера: представляем краткий дайджест главных инструментов, которые пригодятся при пентесте внутренней сети. Эти инструменты уже активно используются широким кругом специалистов, поэтому знать об их возможностях и владеть в совершенстве будет полезно каждому.
👉 https://telegra.ph/Network-tools-ili-s-chego-nachat-pentesteru-CHast-1-04-24
Telegraph
Network tools, или с чего начать пентестеру? Часть 1
#Обучение Toolkit начинающего пентестера: представляем краткий дайджест главных инструментов, которые пригодятся при пентесте внутренней сети. Эти инструменты уже активно используются широким кругом специалистов, поэтому знать об их возможностях и владеть…
Network tools, или с чего начать пентестеру? Часть 2 🔥🧨
Продолжаем рассказывать о полезных инструментах для пентестера. В новой статье мы рассмотрим инструменты для анализа защищенности веб-приложений.
👉 https://telegra.ph/Network-tools-ili-s-chego-nachat-pentesteru-CHast-2-04-25
Продолжаем рассказывать о полезных инструментах для пентестера. В новой статье мы рассмотрим инструменты для анализа защищенности веб-приложений.
👉 https://telegra.ph/Network-tools-ili-s-chego-nachat-pentesteru-CHast-2-04-25
Telegraph
Network tools, или с чего начать пентестеру? Часть 2
#Обучение Продолжаем рассказывать о полезных инструментах для пентестера. В новой статье мы рассмотрим инструменты для анализа защищенности веб-приложений. Amass. Amass — инструмент на Go для поиска и перебора поддоменов DNS и составления карты внешней сети.…
Перехват и анализ трафика со смартфона при помощи Wireshark🔥
Этот вид мониторинга может показаться агрессивным, однако имейте ввиду, что ваш провайдер также хранит эти данные в логах и имеет право продавать информацию на сторону.
👉 https://telegra.ph/Perehvat-i-analiz-trafika-so-smartfona-pri-pomoshchi-Wireshark-04-24-2
Этот вид мониторинга может показаться агрессивным, однако имейте ввиду, что ваш провайдер также хранит эти данные в логах и имеет право продавать информацию на сторону.
👉 https://telegra.ph/Perehvat-i-analiz-trafika-so-smartfona-pri-pomoshchi-Wireshark-04-24-2
Telegraph
Перехват и анализ трафика со смартфона при помощи Wireshark
#Обучение Этот вид мониторинга может показаться агрессивным, однако имейте ввиду, что ваш провайдер также хранит эти данные в логах и имеет право продавать информацию на сторону. Допустим, нужно узнать, какие приложения используются на телефоне. Если вы…
HackTheBox. 🔥 Прохождение OpenAdmin. RCE в OpenNetAdmin и GTFOBins в nano
👉 https://habr.com/ru/post/500186/
👉 https://habr.com/ru/post/500186/
Хабр
HackTheBox. Прохождение OpenAdmin. RCE в OpenNetAdmin и GTFOBins в nano
Продолжаю публикацию решений отправленных на дорешивание машин с площадки HackTheBox . В данной статье мы проэксплкатируем RCE в OpenNetAdmin, покопаемся в конфигах веб сервера, прокинем порт с...
Не багато часу залишається до курсу «OWASP Top 10 for Android» і цього разу проводимо його в режимі онлайн 🙂
«OWASP Top 10 for Android» - це авторський курс спікера 🗣- Святослава Логіна - QA lead and Security QA at Evo Company .
Святослав має більше 5-и років в тестуванні безпеки та вже цілих 8 років у QA, тому цей курс побудований на особистому досвіді 💯, а ще У вузьких колах Святослава називають Євангелістом Сек'юріті Тестування 🤩
Більше деталей про курс знайдете тут 👉: https://svyat.tech/Pentest-Android-Application-Training/
А квитчоки за цим посиланням 👉 https://2event.com/events/1856882
«OWASP Top 10 for Android» - це авторський курс спікера 🗣- Святослава Логіна - QA lead and Security QA at Evo Company .
Святослав має більше 5-и років в тестуванні безпеки та вже цілих 8 років у QA, тому цей курс побудований на особистому досвіді 💯, а ще У вузьких колах Святослава називають Євангелістом Сек'юріті Тестування 🤩
Більше деталей про курс знайдете тут 👉: https://svyat.tech/Pentest-Android-Application-Training/
А квитчоки за цим посиланням 👉 https://2event.com/events/1856882
Атаки на JavaScript. Часть 1
JavaScript один из популярнейших языков, используемых в работе сайтов. Благодаря такой популярности, можно найти самые разные примеры применения JavaScript. Из них самыми бессмысленными являются:
👉 контроль доступа с помощью JavaScript
👉 защита части или всего контента с помощью JavaScript
👉 верификация данных методами JavaScript без перепроверки на стороне сервера
https://telegra.ph/Ataki-na-JavaScript-CHast-1-05-06
JavaScript один из популярнейших языков, используемых в работе сайтов. Благодаря такой популярности, можно найти самые разные примеры применения JavaScript. Из них самыми бессмысленными являются:
👉 контроль доступа с помощью JavaScript
👉 защита части или всего контента с помощью JavaScript
👉 верификация данных методами JavaScript без перепроверки на стороне сервера
https://telegra.ph/Ataki-na-JavaScript-CHast-1-05-06
Telegraph
Атаки на JavaScript. Часть 1
#Обучение JavaScript один из популярнейших языков, используемых в работе сайтов. Благодаря такой популярности, можно найти самые разные примеры применения JavaScript. Из них самыми бессмысленными являются: контроль доступа с помощью JavaScript защита части…
Forwarded from OWASP Kyiv Chapter
OWASP Kyiv webinar: Is there a penetration testing within PCI DSS certification?
Ми продовжуємо серію спільних вебінарів OWASP Kyiv та українських постачальників послуг в галузі кібербезпеки та захисту програмного забезпечення.
Наступний вебінар присвячено тестам на проникнення та вимогам PCI DSS. Ми розглянемо найпоширеніші міфи навколо цієї теми, важливі параметри пентестів в рамках PCI DSS, а також ключові вимоги до цього процесу.
Ведучій вебінару: Dmytro Diordiichuk, Techincal Security Lead в Advantio та лідер OWASP Kyiv.
https://www.eventbrite.com/e/is-there-a-penetration-testing-within-pci-dss-certification-tickets-105004675812
https://www.eventbrite.com/e/is-there-a-penetration-testing-within-pci-dss-certification-tickets-105004675812
Ми продовжуємо серію спільних вебінарів OWASP Kyiv та українських постачальників послуг в галузі кібербезпеки та захисту програмного забезпечення.
Наступний вебінар присвячено тестам на проникнення та вимогам PCI DSS. Ми розглянемо найпоширеніші міфи навколо цієї теми, важливі параметри пентестів в рамках PCI DSS, а також ключові вимоги до цього процесу.
Ведучій вебінару: Dmytro Diordiichuk, Techincal Security Lead в Advantio та лідер OWASP Kyiv.
https://www.eventbrite.com/e/is-there-a-penetration-testing-within-pci-dss-certification-tickets-105004675812
https://www.eventbrite.com/e/is-there-a-penetration-testing-within-pci-dss-certification-tickets-105004675812
Eventbrite
Is there a penetration testing within PCI DSS certification?
Is there a penetration testing within PCI DSS certification? Main misconceptions, traits, and requirements.
HackTheBox. Прохождение Obscurity. OS Command Injection и Race Condition 🔥
👉 https://habr.com/ru/post/501156/
👉 https://habr.com/ru/post/501156/
Хабр
HackTheBox. Прохождение Obscurity. OS Command Injection и Race Condition
Продолжаю публикацию решений отправленных на дорешивание машин с площадки HackTheBox . В данной статье эксплуатируем уязвимость в программном коде python, а также выполняем атаку Race Condition....
Атаки на JavaScript. Часть 2 🔥
В DVWA поднимите уровень безопасности до medium.
👉 https://hackware.ru/?p=12207
В DVWA поднимите уровень безопасности до medium.
👉 https://hackware.ru/?p=12207
Определения типов хэшей при помощи скрипта hash-Identifier для расшифровки паролей 🔥
Когда вы имеете дело с неизвестным хэшем, первый шаг – корректная идентификация типа.
🚶♂️👉 https://www.securitylab.ru/analytics/506412.php
Когда вы имеете дело с неизвестным хэшем, первый шаг – корректная идентификация типа.
🚶♂️👉 https://www.securitylab.ru/analytics/506412.php
Деобфускация JavaScript кода
Обфускация — это изменение исходного кода таким образом, чтобы он становился трудно понимаемым, но чтобы при этом не изменялась его функциональность. Обфускация применяется для исходного кода на интерпретируемых (а не компилируемых) языках программирования. То есть это JavaScript, PHP, обфускация может применяться для HTML (хотя это язык разметки, а не программирования), CSS и других, программы на которых не компилируют, а запускают в виде простых текстов.
👉 https://hackware.ru/?p=12193
Обфускация — это изменение исходного кода таким образом, чтобы он становился трудно понимаемым, но чтобы при этом не изменялась его функциональность. Обфускация применяется для исходного кода на интерпретируемых (а не компилируемых) языках программирования. То есть это JavaScript, PHP, обфускация может применяться для HTML (хотя это язык разметки, а не программирования), CSS и других, программы на которых не компилируют, а запускают в виде простых текстов.
👉 https://hackware.ru/?p=12193