Новый год уже начинает стучится к нам в двери, а это значит, что пора пинком под зад отправить все проблемы, которые принес этот 2020 год. 🙈
Пора набрать бухлишка сполна и с широкою, довольною улыбкой набираться позитива вместе с ним. 😜
Пусть в новом году будет счастья немерено. Пусть не будет ни одной минуты зря потеряно, так как нам в этом году путешествовать надо за 2 года. Пусть любовь доводит до сладкого головокружения, пусть не будет чувства усталости и изнеможения. Поздравляю с Новым годом, дорогие мои! Пусть он избавит от всех «оленей» на пути и подарит вечное состояние радости. 🍾
Пора набрать бухлишка сполна и с широкою, довольною улыбкой набираться позитива вместе с ним. 😜
Пусть в новом году будет счастья немерено. Пусть не будет ни одной минуты зря потеряно, так как нам в этом году путешествовать надо за 2 года. Пусть любовь доводит до сладкого головокружения, пусть не будет чувства усталости и изнеможения. Поздравляю с Новым годом, дорогие мои! Пусть он избавит от всех «оленей» на пути и подарит вечное состояние радости. 🍾
Forwarded from OWASP Kyiv Chapter
Проєкт OWASP Web Security Testing Guide тішив нас новинами увесь рік. Спочатку у квітні вийшло оновлення 4.1, а наприкінці року – 4.2. А версія 5.0 зараз в активній стадії розробки.
Скористатися WSTG можна за посиланнями:
- Стабільна версія: https://owasp.org/www-project-web-security-testing-guide/stable/
- WSTG 4.2 (PDF): https://github.com/OWASP/wstg/releases/download/v4.2/wstg-v4.2.pdf
- Чекліст: https://github.com/OWASP/wstg/tree/master/checklist
- Github проєкт: https://github.com/OWASP/wstg/
- Новини у Twitter: https://twitter.com/owasp_wstg
Скористатися WSTG можна за посиланнями:
- Стабільна версія: https://owasp.org/www-project-web-security-testing-guide/stable/
- WSTG 4.2 (PDF): https://github.com/OWASP/wstg/releases/download/v4.2/wstg-v4.2.pdf
- Чекліст: https://github.com/OWASP/wstg/tree/master/checklist
- Github проєкт: https://github.com/OWASP/wstg/
- Новини у Twitter: https://twitter.com/owasp_wstg
Про SecOps
Гости:
- Денис Якимов - специалист по безопасности
Темы:
- 00:01:50 - Начало
- 00:01:54 - Как попал в айти?
- 00:04:57 - Зачем нужен SecOps
- 00:07:43 - Моделирование угроз
- 00:10:50 - Как сделать что бы секьюрити не замедляла ваше приложение
- 00:16:26 - С чего начать внедрение
- 00:26:03 - Кто этим может заниматься
- 00:29:28 - Где можно научиться
- 00:38:36 - В какое место пайплайна встраивать SecOps
- 00:43:38 - Чем сканировать Docker
- 00:47:49 - Как продать DevSecOps
- 00:51:40 - Про деньги
https://soundcloud.com/qaguild/s03e14
Гости:
- Денис Якимов - специалист по безопасности
Темы:
- 00:01:50 - Начало
- 00:01:54 - Как попал в айти?
- 00:04:57 - Зачем нужен SecOps
- 00:07:43 - Моделирование угроз
- 00:10:50 - Как сделать что бы секьюрити не замедляла ваше приложение
- 00:16:26 - С чего начать внедрение
- 00:26:03 - Кто этим может заниматься
- 00:29:28 - Где можно научиться
- 00:38:36 - В какое место пайплайна встраивать SecOps
- 00:43:38 - Чем сканировать Docker
- 00:47:49 - Как продать DevSecOps
- 00:51:40 - Про деньги
https://soundcloud.com/qaguild/s03e14
TOP 10 Burp Suite Plugins
Функционала Burp Suite Professional, по умолчанию, может показаться достаточно, но если есть вариант что-то улучшить, то нужно этим пользоваться.
https://protey.net/threads/top-10-burp-suite-plugins.278/
Функционала Burp Suite Professional, по умолчанию, может показаться достаточно, но если есть вариант что-то улучшить, то нужно этим пользоваться.
https://protey.net/threads/top-10-burp-suite-plugins.278/
Топ 10 видеокурсов для изучения Linux. Для тех кто все таки надумал изучить как с ним работать
1. Linux для начинающих
2. Серия уроков "Научись Линукс"
3. Курс лекций по администрированию Линукс
4. Программирование на Bash
5. Администрирование Линукс
6. Основы Линукс
7. Основы работы с командной строкой
8. Видеокурс по GNU/Linux Владимира Моженкова
9. Серия уроков "Ваш путь в мир Линукс!"
10. Администрирование Linux
1. Linux для начинающих
2. Серия уроков "Научись Линукс"
3. Курс лекций по администрированию Линукс
4. Программирование на Bash
5. Администрирование Линукс
6. Основы Линукс
7. Основы работы с командной строкой
8. Видеокурс по GNU/Linux Владимира Моженкова
9. Серия уроков "Ваш путь в мир Линукс!"
10. Администрирование Linux
Пентест для Android. Используем Drozer для исследования безопасности приложений
Drozer — мастхев в арсенале любого пентестера. Это армейский швейцарский нож для выполнения типичных задач тестирования на проникновение. Drozer позволяет получить информацию о приложении, запустить его активности, подключиться к ContentProvider’у, отправить сообщения сервису, в общем — все, чтобы вытащить из приложения информацию или заставить его сделать то, что нам нужно, через стандартные API и каналы коммуникации.
https://telegra.ph/Pentest-dlya-Android-Ispolzuem-Drozer-dlya-issledovaniya-bezopasnosti-prilozhenij-01-17
Drozer — мастхев в арсенале любого пентестера. Это армейский швейцарский нож для выполнения типичных задач тестирования на проникновение. Drozer позволяет получить информацию о приложении, запустить его активности, подключиться к ContentProvider’у, отправить сообщения сервису, в общем — все, чтобы вытащить из приложения информацию или заставить его сделать то, что нам нужно, через стандартные API и каналы коммуникации.
https://telegra.ph/Pentest-dlya-Android-Ispolzuem-Drozer-dlya-issledovaniya-bezopasnosti-prilozhenij-01-17
Telegraph
Пентест для Android. Используем Drozer для исследования безопасности приложений
#Обучение Drozer — мастхев в арсенале любого пентестера. Это армейский швейцарский нож для выполнения типичных задач тестирования на проникновение. Drozer позволяет получить информацию о приложении, запустить его активности, подключиться…
Forwarded from Влад Стиран | Хакер, що біжить | Кібербезпека, приватність, біг, медитація
This media is not supported in your browser
VIEW IN TELEGRAM
Регулярне нагадування.
1. Використовуйте скрізь різні паролі https://cutt.ly/8jLuVpW
2. Робіть їх довгими, бажано рандомними https://xkcd.com
3. Ні в кого немає причин знати ваш пароль, навіть у вас https://cutt.ly/AjLifqM
4. Зберігайте їх у надійному парольному менеджері https://cutt.ly/vjLiW5F
5. Ввімкніть скрізь другий фактор автентифікації https://twofactorauth.org
Відео просто геніальне, хто знає авторку?
Updated: Знайдено! https://twitter.com/racheltobac/status/1352409636792492035?s=21
1. Використовуйте скрізь різні паролі https://cutt.ly/8jLuVpW
2. Робіть їх довгими, бажано рандомними https://xkcd.com
3. Ні в кого немає причин знати ваш пароль, навіть у вас https://cutt.ly/AjLifqM
4. Зберігайте їх у надійному парольному менеджері https://cutt.ly/vjLiW5F
5. Ввімкніть скрізь другий фактор автентифікації https://twofactorauth.org
Відео просто геніальне, хто знає авторку?
Updated: Знайдено! https://twitter.com/racheltobac/status/1352409636792492035?s=21
Пентест ELK
ELK — один из самых популярных стеков технологий. В очень многих компаниях используется связка Elasticsearch-Kibana-Logstash, в которой порой хранится очень интересная и важная информация (чаще всего это логи с различных систем). И очень часто при RedTeam эти логи могут помочь — доменные имена, ip-адреса, имена пользователей, какая-то информация, которая может косвенно помочь — все это мы встречали в своей практике в ELK разных компаний.
https://misteam.medium.com/%D0%BF%D0%B5%D0%BD%D1%82%D0%B5%D1%81%D1%82-elk-250eb4806fab
ELK — один из самых популярных стеков технологий. В очень многих компаниях используется связка Elasticsearch-Kibana-Logstash, в которой порой хранится очень интересная и важная информация (чаще всего это логи с различных систем). И очень часто при RedTeam эти логи могут помочь — доменные имена, ip-адреса, имена пользователей, какая-то информация, которая может косвенно помочь — все это мы встречали в своей практике в ELK разных компаний.
https://misteam.medium.com/%D0%BF%D0%B5%D0%BD%D1%82%D0%B5%D1%81%D1%82-elk-250eb4806fab
Канал для серьезных тестировщиков и QA. Свежие новости в сфере тестирования ПО, обучающие видеоматериалы, интересные статьи. Присоединяйся @serious_tester 👍
Хранимые, отображаемые и DOM-based XSS
XSS (Cross Site Scripting) — один из самых популярных видов веб-уязвимостей, позволяющий производить внедрение вредоносного кода в отдаваемую веб-приложением страницу. Атаки с использованием XSS-вектора позволяют внедрять на страницу произвольное содержимое, перехватывать cookie и сессии других пользователей, получать доступ в закрытые разделы сайта и даже привилегии администратора веб-ресурса.
https://defcon.ru/web-security/17442/
XSS (Cross Site Scripting) — один из самых популярных видов веб-уязвимостей, позволяющий производить внедрение вредоносного кода в отдаваемую веб-приложением страницу. Атаки с использованием XSS-вектора позволяют внедрять на страницу произвольное содержимое, перехватывать cookie и сессии других пользователей, получать доступ в закрытые разделы сайта и даже привилегии администратора веб-ресурса.
https://defcon.ru/web-security/17442/
У EVO появился свой канал по тестированию. Подписывайтесь и следите за обновлениями докладов на интересные темы
https://www.youtube.com/channel/UCc2Kkr2-OMFTYRBsdTR3ISA
https://www.youtube.com/channel/UCc2Kkr2-OMFTYRBsdTR3ISA
Burp Suite. Как построить CSRF - атаку
Продолжим рассматривать CSRF уязвимости как в теории, так и на практических примерах.
https://protey.net/threads/14-1-burp-suite-kak-postroit-csrf-ataku.492/
Продолжим рассматривать CSRF уязвимости как в теории, так и на практических примерах.
https://protey.net/threads/14-1-burp-suite-kak-postroit-csrf-ataku.492/
Что нужно знать о JavaScript тестировщику? Если вам интересно эффективно тестировать веб-приложения, 12 февраля приглашаем поучаствовать в демо-занятии курса «JavaScript QA Engineer».
Преподаватель Юрий Дворжецкий, эксперт JS-разработки и тренер в Luxoft Training Center, разберет особенности JS, которые всё время нужно держать в голове при написании тестов.
Занятие предназначено для тестировщиков с опытом — пройдите вступительный тест, чтобы зарегистрироваться https://otus.ru/lessons/qajs
Преподаватель Юрий Дворжецкий, эксперт JS-разработки и тренер в Luxoft Training Center, разберет особенности JS, которые всё время нужно держать в голове при написании тестов.
Занятие предназначено для тестировщиков с опытом — пройдите вступительный тест, чтобы зарегистрироваться https://otus.ru/lessons/qajs
Подборка ресурсов для проверки уровня личной приватности и безопасности в сети
Проверки приватности и безопасности в сети нужно делать регулярно. Для вашего удобства мы сделали подборку с самыми полезными ресурсами из этой сферы.
▫️ Дешифроторы коротких URL-ссылок для проверки на фишинговый сайт:
http://checkshorturl.com
https://unshorten.me/
http://www.untinyurl.com
▫️ Проверка анонимности web-серфинга:
https://proxy6.net/privacy
http://proiptest.com/test/
▫️Проверка твоего Web browser на безопасность (security bugs, malware addons, etc):
https://browsercheck.qualys.com/
https://www.comss.ru/page.php?id=1408
▫️ Экспресс-онлайн проверка безопасности вашего десктопа от фишинга, уязвимостей ПО, утечки sensitive data и т.д.
http://www.cpcheckme.com/checkme/
▫️ Проверка хостовой IDS\IPS и end-point Firewall:
http://www.hackerwatch.org/probe/
http://www.t1shopper.com/tools/port-scan/
▫️ Онлайн-антивирусы:
https://www.virustotal.com/ru/
https://online.drweb.com/
▫️ Онлайн-песочницы:
https://threatpoint.checkpoint.com/ThreatPortal/emulation
https://www.vicheck.ca
Проверки приватности и безопасности в сети нужно делать регулярно. Для вашего удобства мы сделали подборку с самыми полезными ресурсами из этой сферы.
▫️ Дешифроторы коротких URL-ссылок для проверки на фишинговый сайт:
http://checkshorturl.com
https://unshorten.me/
http://www.untinyurl.com
▫️ Проверка анонимности web-серфинга:
https://proxy6.net/privacy
http://proiptest.com/test/
▫️Проверка твоего Web browser на безопасность (security bugs, malware addons, etc):
https://browsercheck.qualys.com/
https://www.comss.ru/page.php?id=1408
▫️ Экспресс-онлайн проверка безопасности вашего десктопа от фишинга, уязвимостей ПО, утечки sensitive data и т.д.
http://www.cpcheckme.com/checkme/
▫️ Проверка хостовой IDS\IPS и end-point Firewall:
http://www.hackerwatch.org/probe/
http://www.t1shopper.com/tools/port-scan/
▫️ Онлайн-антивирусы:
https://www.virustotal.com/ru/
https://online.drweb.com/
▫️ Онлайн-песочницы:
https://threatpoint.checkpoint.com/ThreatPortal/emulation
https://www.vicheck.ca
На нашем канале EVO появился новый докладик, по мобильному тестированию
https://www.youtube.com/watch?v=Ku0QKi6DmEI
https://www.youtube.com/watch?v=Ku0QKi6DmEI
YouTube
Мобильное тестирования приложений Prom
Описание доклада:
Виды мобильных приложений
Статистика юзеров по платформам
На чем тестируем приложения?
Какие версии поддерживает приложение Пром?
Как собираем версии?
Какие инструменты юзаем?
И шо такого в той мобилке, чего нет на вебе?
Все это вы узнаете…
Виды мобильных приложений
Статистика юзеров по платформам
На чем тестируем приложения?
Какие версии поддерживает приложение Пром?
Как собираем версии?
Какие инструменты юзаем?
И шо такого в той мобилке, чего нет на вебе?
Все это вы узнаете…
JavaScript для начинающих
#1 Введение в JavaScript
#2 Методы вставки JavaScript в HTML
#3 Вывод информации
#4 Синтаксис JavaScript
#5 Инструкции и комментарии
#6 Переменные и операторы
#7 Типы данных
#8 Функции в JavaScript
#9 Объекты в JavaScript
Сохрани себе и поделись с другом!
#1 Введение в JavaScript
#2 Методы вставки JavaScript в HTML
#3 Вывод информации
#4 Синтаксис JavaScript
#5 Инструкции и комментарии
#6 Переменные и операторы
#7 Типы данных
#8 Функции в JavaScript
#9 Объекты в JavaScript
Сохрани себе и поделись с другом!
Знакомьтесь PIDRILA — Быстрый анализатор ссылок
PIDRILA: Python Interactive Deepweb-oriented Rapid Intelligent Link Analyzer - это действительно быстрый прототип асинхронного веб-сканера, разработанный командой Bright Search для всех этичных нетсталкеров. Написан на python. Сканер имеет большую скорость работы, имеет поддержку proxy. Сканирует структуру сайта, ищет файлы, каталоги, которые могут содержать критическую информацию.
https://codeby.net/threads/znakomtes-pidrila-bystryj-analizator-ssylok.76600/
PIDRILA: Python Interactive Deepweb-oriented Rapid Intelligent Link Analyzer - это действительно быстрый прототип асинхронного веб-сканера, разработанный командой Bright Search для всех этичных нетсталкеров. Написан на python. Сканер имеет большую скорость работы, имеет поддержку proxy. Сканирует структуру сайта, ищет файлы, каталоги, которые могут содержать критическую информацию.
https://codeby.net/threads/znakomtes-pidrila-bystryj-analizator-ssylok.76600/
Площадки по пентесту в 2021 году. Самый полный guide
Данный список - это самый полный список площадок по самоподготовке к пентесту на сегодняшний день. Здесь собраны проекты как новые так и уже, пожалуй, раритетные. Итак, поехали:
https://habr.com/ru/post/538766/
Данный список - это самый полный список площадок по самоподготовке к пентесту на сегодняшний день. Здесь собраны проекты как новые так и уже, пожалуй, раритетные. Итак, поехали:
https://habr.com/ru/post/538766/
Инструменты для пентеста в термукс : REDHAWK
https://telegra.ph/Instrumenty-dlya-pentesta-v-termuks--REDHAWK-01-07
https://telegra.ph/Instrumenty-dlya-pentesta-v-termuks--REDHAWK-01-07