Пентест для Android. Используем Drozer для исследования безопасности приложений
Drozer — мастхев в арсенале любого пентестера. Это армейский швейцарский нож для выполнения типичных задач тестирования на проникновение. Drozer позволяет получить информацию о приложении, запустить его активности, подключиться к ContentProvider’у, отправить сообщения сервису, в общем — все, чтобы вытащить из приложения информацию или заставить его сделать то, что нам нужно, через стандартные API и каналы коммуникации.
https://telegra.ph/Pentest-dlya-Android-Ispolzuem-Drozer-dlya-issledovaniya-bezopasnosti-prilozhenij-01-17
Drozer — мастхев в арсенале любого пентестера. Это армейский швейцарский нож для выполнения типичных задач тестирования на проникновение. Drozer позволяет получить информацию о приложении, запустить его активности, подключиться к ContentProvider’у, отправить сообщения сервису, в общем — все, чтобы вытащить из приложения информацию или заставить его сделать то, что нам нужно, через стандартные API и каналы коммуникации.
https://telegra.ph/Pentest-dlya-Android-Ispolzuem-Drozer-dlya-issledovaniya-bezopasnosti-prilozhenij-01-17
Telegraph
Пентест для Android. Используем Drozer для исследования безопасности приложений
#Обучение Drozer — мастхев в арсенале любого пентестера. Это армейский швейцарский нож для выполнения типичных задач тестирования на проникновение. Drozer позволяет получить информацию о приложении, запустить его активности, подключиться…
Forwarded from Влад Стиран | Хакер, що біжить | Кібербезпека, приватність, біг, медитація
This media is not supported in your browser
VIEW IN TELEGRAM
Регулярне нагадування.
1. Використовуйте скрізь різні паролі https://cutt.ly/8jLuVpW
2. Робіть їх довгими, бажано рандомними https://xkcd.com
3. Ні в кого немає причин знати ваш пароль, навіть у вас https://cutt.ly/AjLifqM
4. Зберігайте їх у надійному парольному менеджері https://cutt.ly/vjLiW5F
5. Ввімкніть скрізь другий фактор автентифікації https://twofactorauth.org
Відео просто геніальне, хто знає авторку?
Updated: Знайдено! https://twitter.com/racheltobac/status/1352409636792492035?s=21
1. Використовуйте скрізь різні паролі https://cutt.ly/8jLuVpW
2. Робіть їх довгими, бажано рандомними https://xkcd.com
3. Ні в кого немає причин знати ваш пароль, навіть у вас https://cutt.ly/AjLifqM
4. Зберігайте їх у надійному парольному менеджері https://cutt.ly/vjLiW5F
5. Ввімкніть скрізь другий фактор автентифікації https://twofactorauth.org
Відео просто геніальне, хто знає авторку?
Updated: Знайдено! https://twitter.com/racheltobac/status/1352409636792492035?s=21
Пентест ELK
ELK — один из самых популярных стеков технологий. В очень многих компаниях используется связка Elasticsearch-Kibana-Logstash, в которой порой хранится очень интересная и важная информация (чаще всего это логи с различных систем). И очень часто при RedTeam эти логи могут помочь — доменные имена, ip-адреса, имена пользователей, какая-то информация, которая может косвенно помочь — все это мы встречали в своей практике в ELK разных компаний.
https://misteam.medium.com/%D0%BF%D0%B5%D0%BD%D1%82%D0%B5%D1%81%D1%82-elk-250eb4806fab
ELK — один из самых популярных стеков технологий. В очень многих компаниях используется связка Elasticsearch-Kibana-Logstash, в которой порой хранится очень интересная и важная информация (чаще всего это логи с различных систем). И очень часто при RedTeam эти логи могут помочь — доменные имена, ip-адреса, имена пользователей, какая-то информация, которая может косвенно помочь — все это мы встречали в своей практике в ELK разных компаний.
https://misteam.medium.com/%D0%BF%D0%B5%D0%BD%D1%82%D0%B5%D1%81%D1%82-elk-250eb4806fab
Канал для серьезных тестировщиков и QA. Свежие новости в сфере тестирования ПО, обучающие видеоматериалы, интересные статьи. Присоединяйся @serious_tester 👍
Хранимые, отображаемые и DOM-based XSS
XSS (Cross Site Scripting) — один из самых популярных видов веб-уязвимостей, позволяющий производить внедрение вредоносного кода в отдаваемую веб-приложением страницу. Атаки с использованием XSS-вектора позволяют внедрять на страницу произвольное содержимое, перехватывать cookie и сессии других пользователей, получать доступ в закрытые разделы сайта и даже привилегии администратора веб-ресурса.
https://defcon.ru/web-security/17442/
XSS (Cross Site Scripting) — один из самых популярных видов веб-уязвимостей, позволяющий производить внедрение вредоносного кода в отдаваемую веб-приложением страницу. Атаки с использованием XSS-вектора позволяют внедрять на страницу произвольное содержимое, перехватывать cookie и сессии других пользователей, получать доступ в закрытые разделы сайта и даже привилегии администратора веб-ресурса.
https://defcon.ru/web-security/17442/
У EVO появился свой канал по тестированию. Подписывайтесь и следите за обновлениями докладов на интересные темы
https://www.youtube.com/channel/UCc2Kkr2-OMFTYRBsdTR3ISA
https://www.youtube.com/channel/UCc2Kkr2-OMFTYRBsdTR3ISA
Burp Suite. Как построить CSRF - атаку
Продолжим рассматривать CSRF уязвимости как в теории, так и на практических примерах.
https://protey.net/threads/14-1-burp-suite-kak-postroit-csrf-ataku.492/
Продолжим рассматривать CSRF уязвимости как в теории, так и на практических примерах.
https://protey.net/threads/14-1-burp-suite-kak-postroit-csrf-ataku.492/
Что нужно знать о JavaScript тестировщику? Если вам интересно эффективно тестировать веб-приложения, 12 февраля приглашаем поучаствовать в демо-занятии курса «JavaScript QA Engineer».
Преподаватель Юрий Дворжецкий, эксперт JS-разработки и тренер в Luxoft Training Center, разберет особенности JS, которые всё время нужно держать в голове при написании тестов.
Занятие предназначено для тестировщиков с опытом — пройдите вступительный тест, чтобы зарегистрироваться https://otus.ru/lessons/qajs
Преподаватель Юрий Дворжецкий, эксперт JS-разработки и тренер в Luxoft Training Center, разберет особенности JS, которые всё время нужно держать в голове при написании тестов.
Занятие предназначено для тестировщиков с опытом — пройдите вступительный тест, чтобы зарегистрироваться https://otus.ru/lessons/qajs
Подборка ресурсов для проверки уровня личной приватности и безопасности в сети
Проверки приватности и безопасности в сети нужно делать регулярно. Для вашего удобства мы сделали подборку с самыми полезными ресурсами из этой сферы.
▫️ Дешифроторы коротких URL-ссылок для проверки на фишинговый сайт:
http://checkshorturl.com
https://unshorten.me/
http://www.untinyurl.com
▫️ Проверка анонимности web-серфинга:
https://proxy6.net/privacy
http://proiptest.com/test/
▫️Проверка твоего Web browser на безопасность (security bugs, malware addons, etc):
https://browsercheck.qualys.com/
https://www.comss.ru/page.php?id=1408
▫️ Экспресс-онлайн проверка безопасности вашего десктопа от фишинга, уязвимостей ПО, утечки sensitive data и т.д.
http://www.cpcheckme.com/checkme/
▫️ Проверка хостовой IDS\IPS и end-point Firewall:
http://www.hackerwatch.org/probe/
http://www.t1shopper.com/tools/port-scan/
▫️ Онлайн-антивирусы:
https://www.virustotal.com/ru/
https://online.drweb.com/
▫️ Онлайн-песочницы:
https://threatpoint.checkpoint.com/ThreatPortal/emulation
https://www.vicheck.ca
Проверки приватности и безопасности в сети нужно делать регулярно. Для вашего удобства мы сделали подборку с самыми полезными ресурсами из этой сферы.
▫️ Дешифроторы коротких URL-ссылок для проверки на фишинговый сайт:
http://checkshorturl.com
https://unshorten.me/
http://www.untinyurl.com
▫️ Проверка анонимности web-серфинга:
https://proxy6.net/privacy
http://proiptest.com/test/
▫️Проверка твоего Web browser на безопасность (security bugs, malware addons, etc):
https://browsercheck.qualys.com/
https://www.comss.ru/page.php?id=1408
▫️ Экспресс-онлайн проверка безопасности вашего десктопа от фишинга, уязвимостей ПО, утечки sensitive data и т.д.
http://www.cpcheckme.com/checkme/
▫️ Проверка хостовой IDS\IPS и end-point Firewall:
http://www.hackerwatch.org/probe/
http://www.t1shopper.com/tools/port-scan/
▫️ Онлайн-антивирусы:
https://www.virustotal.com/ru/
https://online.drweb.com/
▫️ Онлайн-песочницы:
https://threatpoint.checkpoint.com/ThreatPortal/emulation
https://www.vicheck.ca
На нашем канале EVO появился новый докладик, по мобильному тестированию
https://www.youtube.com/watch?v=Ku0QKi6DmEI
https://www.youtube.com/watch?v=Ku0QKi6DmEI
YouTube
Мобильное тестирования приложений Prom
Описание доклада:
Виды мобильных приложений
Статистика юзеров по платформам
На чем тестируем приложения?
Какие версии поддерживает приложение Пром?
Как собираем версии?
Какие инструменты юзаем?
И шо такого в той мобилке, чего нет на вебе?
Все это вы узнаете…
Виды мобильных приложений
Статистика юзеров по платформам
На чем тестируем приложения?
Какие версии поддерживает приложение Пром?
Как собираем версии?
Какие инструменты юзаем?
И шо такого в той мобилке, чего нет на вебе?
Все это вы узнаете…
JavaScript для начинающих
#1 Введение в JavaScript
#2 Методы вставки JavaScript в HTML
#3 Вывод информации
#4 Синтаксис JavaScript
#5 Инструкции и комментарии
#6 Переменные и операторы
#7 Типы данных
#8 Функции в JavaScript
#9 Объекты в JavaScript
Сохрани себе и поделись с другом!
#1 Введение в JavaScript
#2 Методы вставки JavaScript в HTML
#3 Вывод информации
#4 Синтаксис JavaScript
#5 Инструкции и комментарии
#6 Переменные и операторы
#7 Типы данных
#8 Функции в JavaScript
#9 Объекты в JavaScript
Сохрани себе и поделись с другом!
Знакомьтесь PIDRILA — Быстрый анализатор ссылок
PIDRILA: Python Interactive Deepweb-oriented Rapid Intelligent Link Analyzer - это действительно быстрый прототип асинхронного веб-сканера, разработанный командой Bright Search для всех этичных нетсталкеров. Написан на python. Сканер имеет большую скорость работы, имеет поддержку proxy. Сканирует структуру сайта, ищет файлы, каталоги, которые могут содержать критическую информацию.
https://codeby.net/threads/znakomtes-pidrila-bystryj-analizator-ssylok.76600/
PIDRILA: Python Interactive Deepweb-oriented Rapid Intelligent Link Analyzer - это действительно быстрый прототип асинхронного веб-сканера, разработанный командой Bright Search для всех этичных нетсталкеров. Написан на python. Сканер имеет большую скорость работы, имеет поддержку proxy. Сканирует структуру сайта, ищет файлы, каталоги, которые могут содержать критическую информацию.
https://codeby.net/threads/znakomtes-pidrila-bystryj-analizator-ssylok.76600/
Площадки по пентесту в 2021 году. Самый полный guide
Данный список - это самый полный список площадок по самоподготовке к пентесту на сегодняшний день. Здесь собраны проекты как новые так и уже, пожалуй, раритетные. Итак, поехали:
https://habr.com/ru/post/538766/
Данный список - это самый полный список площадок по самоподготовке к пентесту на сегодняшний день. Здесь собраны проекты как новые так и уже, пожалуй, раритетные. Итак, поехали:
https://habr.com/ru/post/538766/
Инструменты для пентеста в термукс : REDHAWK
https://telegra.ph/Instrumenty-dlya-pentesta-v-termuks--REDHAWK-01-07
https://telegra.ph/Instrumenty-dlya-pentesta-v-termuks--REDHAWK-01-07
10 лучших приложений для хакинга на Android
Если вы являетесь сетевым администратором, тестеровщиком на проникновение или мечтаете стать этичным хакером, вам следует изучить основы и всестороннее сканирование/тестирование на устройствах Android для сбора информации и поиска уязвимостей.
https://itsecforu.ru/2021/02/18/%f0%9f%a4%96-10-%d0%bb%d1%83%d1%87%d1%88%d0%b8%d1%85-%d0%bf%d1%80%d0%b8%d0%bb%d0%be%d0%b6%d0%b5%d0%bd%d0%b8%d0%b9-%d0%b4%d0%bb%d1%8f-%d1%85%d0%b0%d0%ba%d0%b8%d0%bd%d0%b3%d0%b0-%d0%bd%d0%b0-android/
Если вы являетесь сетевым администратором, тестеровщиком на проникновение или мечтаете стать этичным хакером, вам следует изучить основы и всестороннее сканирование/тестирование на устройствах Android для сбора информации и поиска уязвимостей.
https://itsecforu.ru/2021/02/18/%f0%9f%a4%96-10-%d0%bb%d1%83%d1%87%d1%88%d0%b8%d1%85-%d0%bf%d1%80%d0%b8%d0%bb%d0%be%d0%b6%d0%b5%d0%bd%d0%b8%d0%b9-%d0%b4%d0%bb%d1%8f-%d1%85%d0%b0%d0%ba%d0%b8%d0%bd%d0%b3%d0%b0-%d0%bd%d0%b0-android/
Тут выложили видосики с fwdays 😊😌
https://www.youtube.com/playlist?list=PLPcgQFk9n9y8ZMKmFI8d0-MPoGROInDiR
https://www.youtube.com/playlist?list=PLPcgQFk9n9y8ZMKmFI8d0-MPoGROInDiR
Обход WAF при помощи некорректных настроек прокси-сервера
Подробнее: https://www.securitylab.ru/analytics/516873.php
Как вы думаете, что общего между участием в конкурсе по отлову багов и устройствами сетевой безопасности? Обычно ничего. С другой стороны, устройства безопасности позволяют реализовать виртуальный патчинг и используются регулярно с целью снижения вознаграждения исследователям за найденные ошибки… однако дальше будет полностью противоположная история: мы получили премию, благодаря неправильно настроенному средству безопасности. Мы не будем раскрывать ни имя компании (кроме того, что организация входит в список Fortune 500), ни один из уязвимых компонентов. Мы лишь рассмотрим используемую технику вследствие чрезвычайной и обезоруживающей простоты.
https://www.securitylab.ru/analytics/516873.php
Подробнее: https://www.securitylab.ru/analytics/516873.php
Как вы думаете, что общего между участием в конкурсе по отлову багов и устройствами сетевой безопасности? Обычно ничего. С другой стороны, устройства безопасности позволяют реализовать виртуальный патчинг и используются регулярно с целью снижения вознаграждения исследователям за найденные ошибки… однако дальше будет полностью противоположная история: мы получили премию, благодаря неправильно настроенному средству безопасности. Мы не будем раскрывать ни имя компании (кроме того, что организация входит в список Fortune 500), ни один из уязвимых компонентов. Мы лишь рассмотрим используемую технику вследствие чрезвычайной и обезоруживающей простоты.
https://www.securitylab.ru/analytics/516873.php
Привет, тут накарлякал новую статейку на DOU. В ней рассказано про новый рейтинг уязвимостей по версии OWASP TOP 10 2021. А также как бонус, расписано как искать первые три из этой десятки.😎😺🥳
https://dou.ua/forums/topic/32925/
https://dou.ua/forums/topic/32925/