Forwarded from Alyona Dzubenko
🗄Досьє:
спікер конференції QA fwdays'20 — Святослав Логін, QA Lead & Security QA в
EVO.company.
🙌 Відзначився:
дослідженням веб-уразливості більше 5 років, мемасами про QA в FB.
🔐 Тема на QA fwdays'20:
Як протестувати аутентифікацію і авторизацію на безпеку?
Доступ до облікового запису чи доступ до адмінського запису під небезпекою? Святослав покаже як за допомогою інструменту Burp Suite і beef можна це перевірити.
Електронні квитки на онлайн конференцію можна оплатити не виходячи з дому 🧐 https://bit.ly/2SZKzd3
спікер конференції QA fwdays'20 — Святослав Логін, QA Lead & Security QA в
EVO.company.
🙌 Відзначився:
дослідженням веб-уразливості більше 5 років, мемасами про QA в FB.
🔐 Тема на QA fwdays'20:
Як протестувати аутентифікацію і авторизацію на безпеку?
Доступ до облікового запису чи доступ до адмінського запису під небезпекою? Святослав покаже як за допомогою інструменту Burp Suite і beef можна це перевірити.
Електронні квитки на онлайн конференцію можна оплатити не виходячи з дому 🧐 https://bit.ly/2SZKzd3
Вебинар "Как протестировать Аутентификацию и авторизацию на безопасность"
https://www.youtube.com/watch?v=qj55sa9GX2U
https://www.youtube.com/watch?v=qj55sa9GX2U
YouTube
Вебинар: Как проводить тестирование безопасности на аутентификацию
😎 Узнать больше и попрактиковать тестирование безопасности ты сможешь на Мини-курсе "Security Testing by static and dynamic analysis methods".
Программа обучения обновлена и дополнена.
🗣️ Преподаватель: Александр Трещов.
◾ Узнай о тестировании безопасности…
Программа обучения обновлена и дополнена.
🗣️ Преподаватель: Александр Трещов.
◾ Узнай о тестировании безопасности…
Список виртуальных уязвимых проектов для поднятия практических навыков
https://docs.google.com/spreadsheets/d/1dwSMIAPIam0PuRBkCiDI88pU3yzrqqHkDtBngUHNCw8/edit#gid=0
https://docs.google.com/spreadsheets/d/1dwSMIAPIam0PuRBkCiDI88pU3yzrqqHkDtBngUHNCw8/edit#gid=0
Инструменты Oneforall,Dirmap и Fuzzscan
Сегодня немного поговорим о популярных инструментах в Поднебесной.
Их объединяет способность нахождения директорий,субдоменов,скриптов,файлов xml,txt и т.д.
https://codeby.net/threads/instrumenty-oneforall-dirmap-i-fuzzscan.69060/
Сегодня немного поговорим о популярных инструментах в Поднебесной.
Их объединяет способность нахождения директорий,субдоменов,скриптов,файлов xml,txt и т.д.
https://codeby.net/threads/instrumenty-oneforall-dirmap-i-fuzzscan.69060/
Практические примеры использования Hashcat
Те, кто регулярно пользуются Hashcat, конечно, смогут на вскидку составить нужную маску и даже вспомнить номер часто используемого типа хеша. Но вспомнить название скрипта для извлечения хеша, или номер реже используемого типа хеша, или нечастую опцию — уже не так просто. Конечно же можно углубиться в обширную документацию. Но, во-первых, хорошо иметь под рукой шпаргалку вроде той, которую вы читаете. А во-вторых, официальная справка не содержит информацию о программах по извлечению хешей.
https://hackware.ru/?p=14217
Те, кто регулярно пользуются Hashcat, конечно, смогут на вскидку составить нужную маску и даже вспомнить номер часто используемого типа хеша. Но вспомнить название скрипта для извлечения хеша, или номер реже используемого типа хеша, или нечастую опцию — уже не так просто. Конечно же можно углубиться в обширную документацию. Но, во-первых, хорошо иметь под рукой шпаргалку вроде той, которую вы читаете. А во-вторых, официальная справка не содержит информацию о программах по извлечению хешей.
https://hackware.ru/?p=14217
Как банки используют системы обнаружения мошенничества. (Anti Frod Systems)
Представьте: вы видите отличное предложение в Интернете и пытаетесь срочно им воспользоваться, оплатив покупку картой, но вдруг обнаруживаете, что ваша карта без предупреждения заблокирована банком.
https://protey.net/threads/kak-banki-ispolzujut-sistemy-obnaruzhenija-moshennichestva-anti-frod-systems.461/
Представьте: вы видите отличное предложение в Интернете и пытаетесь срочно им воспользоваться, оплатив покупку картой, но вдруг обнаруживаете, что ваша карта без предупреждения заблокирована банком.
https://protey.net/threads/kak-banki-ispolzujut-sistemy-obnaruzhenija-moshennichestva-anti-frod-systems.461/
Protey Information Security
Article - Как банки используют системы обнаружения мошенничества...
Представьте: вы видите отличное предложение в Интернете и пытаетесь срочно им воспользоваться, оплатив покупку картой, но вдруг обнаруживаете, что ваша карта без предупреждения заблокирована...
Видосик с платного вебинара про топовые уязвимости на веб проетах. Практика проходила на общедоступном сайте https://juice-shop.herokuapp.com/#/ .
Рассмотрены такие уязвимости:
- SQL injection
- Broken access control
- XSS
Для того чтоб повторять, вам нужен всего лишь Burp Suite бесплатной версии.
https://drive.google.com/file/d/1iC7zp7Wx2loJLuNjs4T90ZwC3sQkt2V0/view?usp=sharing
Рассмотрены такие уязвимости:
- SQL injection
- Broken access control
- XSS
Для того чтоб повторять, вам нужен всего лишь Burp Suite бесплатной версии.
https://drive.google.com/file/d/1iC7zp7Wx2loJLuNjs4T90ZwC3sQkt2V0/view?usp=sharing
Burp и его друзья
В этой статье мы расскажем о полезных плагинах для Burp Suite Professional — инструмента для анализа веб-приложений. Плагинов много, и, чтобы помочь аудиторам сделать правильный выбор, мы составили список тех, которые сами чаще всего используем в работе.
https://habr.com/ru/company/dsec/blog/529088/
В этой статье мы расскажем о полезных плагинах для Burp Suite Professional — инструмента для анализа веб-приложений. Плагинов много, и, чтобы помочь аудиторам сделать правильный выбор, мы составили список тех, которые сами чаще всего используем в работе.
https://habr.com/ru/company/dsec/blog/529088/
Собираем список сервисов для OSINT.
Разведка на основе открытых источников (англ.Open source intelligence, OSINT) — разведывательная дисциплина, включающая в себя поиск, выбор и сбор разведывательной информации из общедоступных источников, а также её анализ.
https://tgraph.io/Sobiraem-spisok-servisov-dlya-OSINT-Deanon-03-04-3
Разведка на основе открытых источников (англ.Open source intelligence, OSINT) — разведывательная дисциплина, включающая в себя поиск, выбор и сбор разведывательной информации из общедоступных источников, а также её анализ.
https://tgraph.io/Sobiraem-spisok-servisov-dlya-OSINT-Deanon-03-04-3
Сайты для отправки бесплатных смс.
1. https://www.afreesms.com/
2. https://freebulksmsonline.com/
3. https://mfreesms.com/
4. https://www.sendatext.co/
5. https://globfone.com/send-text/
1. https://www.afreesms.com/
2. https://freebulksmsonline.com/
3. https://mfreesms.com/
4. https://www.sendatext.co/
5. https://globfone.com/send-text/
Пентест вебсайта с помощью Owasp Zap
Сегодня защита веб-приложения имеет решающее значение, поэтому осваивать пентест инструменты приходится и самим разработчикам. О мощном фреймворке WPScan для пентеста WordPress мы уже писали, но сайты бывают и на других движках. Именно поэтому сегодня разберем более универсальный пентест-инструмент OWASP ZAP (Zed Attack Proxy).
https://habr.com/ru/company/alexhost/blog/530110/
Сегодня защита веб-приложения имеет решающее значение, поэтому осваивать пентест инструменты приходится и самим разработчикам. О мощном фреймворке WPScan для пентеста WordPress мы уже писали, но сайты бывают и на других движках. Именно поэтому сегодня разберем более универсальный пентест-инструмент OWASP ZAP (Zed Attack Proxy).
https://habr.com/ru/company/alexhost/blog/530110/
Хабр
Пентест вебсайта с помощью Owasp Zap
Сегодня защита веб-приложения имеет решающее значение, поэтому осваивать пентест инструменты приходится и самим разработчикам. О мощном фреймворке WPScan для пентеста WordPress мы уже писали, но сайты...
Подборка сервисов для проверки ссылок на безопасность.
1. https://scanurl.net/
2. https://vms.drweb.ru/online/
3. https://www.virustotal.com/gui/home/url
4. https://transparencyreport.google.com/safe-browsing/search
5. https://2ip.ru/site-virus-scaner/
6. https://www.urlvoid.com/
1. https://scanurl.net/
2. https://vms.drweb.ru/online/
3. https://www.virustotal.com/gui/home/url
4. https://transparencyreport.google.com/safe-browsing/search
5. https://2ip.ru/site-virus-scaner/
6. https://www.urlvoid.com/
Йо ребзи, кто пропустил реалтаймовый митап от OWASP Ukraine 2020, то у вас есть замечательная возможность просмотреть в свободное время 😉
https://www.youtube.com/watch?v=SdnSHb2zFW0&list=PLBvwykOxvhNa3J67VHtmJsxT_c2LPyUNz&index=1
https://www.youtube.com/watch?v=SdnSHb2zFW0&list=PLBvwykOxvhNa3J67VHtmJsxT_c2LPyUNz&index=1
YouTube
Julia Potapenko - React Native Security: Addressing Typical Mistakes
OWASP Ukraine 2020 Online Meetup // December 5, 2020
Исторический момент господа, гугл сервисы лягли https://downdetector.ru/ne-rabotaet/google/ , кроме поисковика
downdetector.com
Status overview
Realtime overview of issues and outages with all kinds of services. Having issues? We help you find out what is wrong.