Пентест ELK
ELK — один из самых популярных стеков технологий. В очень многих компаниях используется связка Elasticsearch-Kibana-Logstash, в которой порой хранится очень интересная и важная информация (чаще всего это логи с различных систем). И очень часто при RedTeam эти логи могут помочь — доменные имена, ip-адреса, имена пользователей, какая-то информация, которая может косвенно помочь — все это мы встречали в своей практике в ELK разных компаний.
https://misteam.medium.com/%D0%BF%D0%B5%D0%BD%D1%82%D0%B5%D1%81%D1%82-elk-250eb4806fab
ELK — один из самых популярных стеков технологий. В очень многих компаниях используется связка Elasticsearch-Kibana-Logstash, в которой порой хранится очень интересная и важная информация (чаще всего это логи с различных систем). И очень часто при RedTeam эти логи могут помочь — доменные имена, ip-адреса, имена пользователей, какая-то информация, которая может косвенно помочь — все это мы встречали в своей практике в ELK разных компаний.
https://misteam.medium.com/%D0%BF%D0%B5%D0%BD%D1%82%D0%B5%D1%81%D1%82-elk-250eb4806fab
Канал для серьезных тестировщиков и QA. Свежие новости в сфере тестирования ПО, обучающие видеоматериалы, интересные статьи. Присоединяйся @serious_tester 👍
Хранимые, отображаемые и DOM-based XSS
XSS (Cross Site Scripting) — один из самых популярных видов веб-уязвимостей, позволяющий производить внедрение вредоносного кода в отдаваемую веб-приложением страницу. Атаки с использованием XSS-вектора позволяют внедрять на страницу произвольное содержимое, перехватывать cookie и сессии других пользователей, получать доступ в закрытые разделы сайта и даже привилегии администратора веб-ресурса.
https://defcon.ru/web-security/17442/
XSS (Cross Site Scripting) — один из самых популярных видов веб-уязвимостей, позволяющий производить внедрение вредоносного кода в отдаваемую веб-приложением страницу. Атаки с использованием XSS-вектора позволяют внедрять на страницу произвольное содержимое, перехватывать cookie и сессии других пользователей, получать доступ в закрытые разделы сайта и даже привилегии администратора веб-ресурса.
https://defcon.ru/web-security/17442/
У EVO появился свой канал по тестированию. Подписывайтесь и следите за обновлениями докладов на интересные темы
https://www.youtube.com/channel/UCc2Kkr2-OMFTYRBsdTR3ISA
https://www.youtube.com/channel/UCc2Kkr2-OMFTYRBsdTR3ISA
Burp Suite. Как построить CSRF - атаку
Продолжим рассматривать CSRF уязвимости как в теории, так и на практических примерах.
https://protey.net/threads/14-1-burp-suite-kak-postroit-csrf-ataku.492/
Продолжим рассматривать CSRF уязвимости как в теории, так и на практических примерах.
https://protey.net/threads/14-1-burp-suite-kak-postroit-csrf-ataku.492/
Что нужно знать о JavaScript тестировщику? Если вам интересно эффективно тестировать веб-приложения, 12 февраля приглашаем поучаствовать в демо-занятии курса «JavaScript QA Engineer».
Преподаватель Юрий Дворжецкий, эксперт JS-разработки и тренер в Luxoft Training Center, разберет особенности JS, которые всё время нужно держать в голове при написании тестов.
Занятие предназначено для тестировщиков с опытом — пройдите вступительный тест, чтобы зарегистрироваться https://otus.ru/lessons/qajs
Преподаватель Юрий Дворжецкий, эксперт JS-разработки и тренер в Luxoft Training Center, разберет особенности JS, которые всё время нужно держать в голове при написании тестов.
Занятие предназначено для тестировщиков с опытом — пройдите вступительный тест, чтобы зарегистрироваться https://otus.ru/lessons/qajs
Подборка ресурсов для проверки уровня личной приватности и безопасности в сети
Проверки приватности и безопасности в сети нужно делать регулярно. Для вашего удобства мы сделали подборку с самыми полезными ресурсами из этой сферы.
▫️ Дешифроторы коротких URL-ссылок для проверки на фишинговый сайт:
http://checkshorturl.com
https://unshorten.me/
http://www.untinyurl.com
▫️ Проверка анонимности web-серфинга:
https://proxy6.net/privacy
http://proiptest.com/test/
▫️Проверка твоего Web browser на безопасность (security bugs, malware addons, etc):
https://browsercheck.qualys.com/
https://www.comss.ru/page.php?id=1408
▫️ Экспресс-онлайн проверка безопасности вашего десктопа от фишинга, уязвимостей ПО, утечки sensitive data и т.д.
http://www.cpcheckme.com/checkme/
▫️ Проверка хостовой IDS\IPS и end-point Firewall:
http://www.hackerwatch.org/probe/
http://www.t1shopper.com/tools/port-scan/
▫️ Онлайн-антивирусы:
https://www.virustotal.com/ru/
https://online.drweb.com/
▫️ Онлайн-песочницы:
https://threatpoint.checkpoint.com/ThreatPortal/emulation
https://www.vicheck.ca
Проверки приватности и безопасности в сети нужно делать регулярно. Для вашего удобства мы сделали подборку с самыми полезными ресурсами из этой сферы.
▫️ Дешифроторы коротких URL-ссылок для проверки на фишинговый сайт:
http://checkshorturl.com
https://unshorten.me/
http://www.untinyurl.com
▫️ Проверка анонимности web-серфинга:
https://proxy6.net/privacy
http://proiptest.com/test/
▫️Проверка твоего Web browser на безопасность (security bugs, malware addons, etc):
https://browsercheck.qualys.com/
https://www.comss.ru/page.php?id=1408
▫️ Экспресс-онлайн проверка безопасности вашего десктопа от фишинга, уязвимостей ПО, утечки sensitive data и т.д.
http://www.cpcheckme.com/checkme/
▫️ Проверка хостовой IDS\IPS и end-point Firewall:
http://www.hackerwatch.org/probe/
http://www.t1shopper.com/tools/port-scan/
▫️ Онлайн-антивирусы:
https://www.virustotal.com/ru/
https://online.drweb.com/
▫️ Онлайн-песочницы:
https://threatpoint.checkpoint.com/ThreatPortal/emulation
https://www.vicheck.ca
На нашем канале EVO появился новый докладик, по мобильному тестированию
https://www.youtube.com/watch?v=Ku0QKi6DmEI
https://www.youtube.com/watch?v=Ku0QKi6DmEI
YouTube
Мобильное тестирования приложений Prom
Описание доклада:
Виды мобильных приложений
Статистика юзеров по платформам
На чем тестируем приложения?
Какие версии поддерживает приложение Пром?
Как собираем версии?
Какие инструменты юзаем?
И шо такого в той мобилке, чего нет на вебе?
Все это вы узнаете…
Виды мобильных приложений
Статистика юзеров по платформам
На чем тестируем приложения?
Какие версии поддерживает приложение Пром?
Как собираем версии?
Какие инструменты юзаем?
И шо такого в той мобилке, чего нет на вебе?
Все это вы узнаете…
JavaScript для начинающих
#1 Введение в JavaScript
#2 Методы вставки JavaScript в HTML
#3 Вывод информации
#4 Синтаксис JavaScript
#5 Инструкции и комментарии
#6 Переменные и операторы
#7 Типы данных
#8 Функции в JavaScript
#9 Объекты в JavaScript
Сохрани себе и поделись с другом!
#1 Введение в JavaScript
#2 Методы вставки JavaScript в HTML
#3 Вывод информации
#4 Синтаксис JavaScript
#5 Инструкции и комментарии
#6 Переменные и операторы
#7 Типы данных
#8 Функции в JavaScript
#9 Объекты в JavaScript
Сохрани себе и поделись с другом!
Знакомьтесь PIDRILA — Быстрый анализатор ссылок
PIDRILA: Python Interactive Deepweb-oriented Rapid Intelligent Link Analyzer - это действительно быстрый прототип асинхронного веб-сканера, разработанный командой Bright Search для всех этичных нетсталкеров. Написан на python. Сканер имеет большую скорость работы, имеет поддержку proxy. Сканирует структуру сайта, ищет файлы, каталоги, которые могут содержать критическую информацию.
https://codeby.net/threads/znakomtes-pidrila-bystryj-analizator-ssylok.76600/
PIDRILA: Python Interactive Deepweb-oriented Rapid Intelligent Link Analyzer - это действительно быстрый прототип асинхронного веб-сканера, разработанный командой Bright Search для всех этичных нетсталкеров. Написан на python. Сканер имеет большую скорость работы, имеет поддержку proxy. Сканирует структуру сайта, ищет файлы, каталоги, которые могут содержать критическую информацию.
https://codeby.net/threads/znakomtes-pidrila-bystryj-analizator-ssylok.76600/
Площадки по пентесту в 2021 году. Самый полный guide
Данный список - это самый полный список площадок по самоподготовке к пентесту на сегодняшний день. Здесь собраны проекты как новые так и уже, пожалуй, раритетные. Итак, поехали:
https://habr.com/ru/post/538766/
Данный список - это самый полный список площадок по самоподготовке к пентесту на сегодняшний день. Здесь собраны проекты как новые так и уже, пожалуй, раритетные. Итак, поехали:
https://habr.com/ru/post/538766/
Инструменты для пентеста в термукс : REDHAWK
https://telegra.ph/Instrumenty-dlya-pentesta-v-termuks--REDHAWK-01-07
https://telegra.ph/Instrumenty-dlya-pentesta-v-termuks--REDHAWK-01-07
10 лучших приложений для хакинга на Android
Если вы являетесь сетевым администратором, тестеровщиком на проникновение или мечтаете стать этичным хакером, вам следует изучить основы и всестороннее сканирование/тестирование на устройствах Android для сбора информации и поиска уязвимостей.
https://itsecforu.ru/2021/02/18/%f0%9f%a4%96-10-%d0%bb%d1%83%d1%87%d1%88%d0%b8%d1%85-%d0%bf%d1%80%d0%b8%d0%bb%d0%be%d0%b6%d0%b5%d0%bd%d0%b8%d0%b9-%d0%b4%d0%bb%d1%8f-%d1%85%d0%b0%d0%ba%d0%b8%d0%bd%d0%b3%d0%b0-%d0%bd%d0%b0-android/
Если вы являетесь сетевым администратором, тестеровщиком на проникновение или мечтаете стать этичным хакером, вам следует изучить основы и всестороннее сканирование/тестирование на устройствах Android для сбора информации и поиска уязвимостей.
https://itsecforu.ru/2021/02/18/%f0%9f%a4%96-10-%d0%bb%d1%83%d1%87%d1%88%d0%b8%d1%85-%d0%bf%d1%80%d0%b8%d0%bb%d0%be%d0%b6%d0%b5%d0%bd%d0%b8%d0%b9-%d0%b4%d0%bb%d1%8f-%d1%85%d0%b0%d0%ba%d0%b8%d0%bd%d0%b3%d0%b0-%d0%bd%d0%b0-android/
Тут выложили видосики с fwdays 😊😌
https://www.youtube.com/playlist?list=PLPcgQFk9n9y8ZMKmFI8d0-MPoGROInDiR
https://www.youtube.com/playlist?list=PLPcgQFk9n9y8ZMKmFI8d0-MPoGROInDiR
Обход WAF при помощи некорректных настроек прокси-сервера
Подробнее: https://www.securitylab.ru/analytics/516873.php
Как вы думаете, что общего между участием в конкурсе по отлову багов и устройствами сетевой безопасности? Обычно ничего. С другой стороны, устройства безопасности позволяют реализовать виртуальный патчинг и используются регулярно с целью снижения вознаграждения исследователям за найденные ошибки… однако дальше будет полностью противоположная история: мы получили премию, благодаря неправильно настроенному средству безопасности. Мы не будем раскрывать ни имя компании (кроме того, что организация входит в список Fortune 500), ни один из уязвимых компонентов. Мы лишь рассмотрим используемую технику вследствие чрезвычайной и обезоруживающей простоты.
https://www.securitylab.ru/analytics/516873.php
Подробнее: https://www.securitylab.ru/analytics/516873.php
Как вы думаете, что общего между участием в конкурсе по отлову багов и устройствами сетевой безопасности? Обычно ничего. С другой стороны, устройства безопасности позволяют реализовать виртуальный патчинг и используются регулярно с целью снижения вознаграждения исследователям за найденные ошибки… однако дальше будет полностью противоположная история: мы получили премию, благодаря неправильно настроенному средству безопасности. Мы не будем раскрывать ни имя компании (кроме того, что организация входит в список Fortune 500), ни один из уязвимых компонентов. Мы лишь рассмотрим используемую технику вследствие чрезвычайной и обезоруживающей простоты.
https://www.securitylab.ru/analytics/516873.php
Привет, тут накарлякал новую статейку на DOU. В ней рассказано про новый рейтинг уязвимостей по версии OWASP TOP 10 2021. А также как бонус, расписано как искать первые три из этой десятки.😎😺🥳
https://dou.ua/forums/topic/32925/
https://dou.ua/forums/topic/32925/
OWASP выложил долгожданные видосы с зимнего митапа, если ты ты хотел, но не попал, то бегом смотри. https://www.youtube.com/playlist?list=PLDLqQj8RuUFsCP3X3xE2WKj_s7gBzB97-
Подборка сайтов для практики хакинга
1. https://www.hackthissite.org/ — это место для тех, кто хочет попрактиковаться в этичном хакинге.
2. https://defendtheweb.net/?hackthis — разработан для того, чтобы научить вас взламывать, дампать, дифейсить и защищать свой сайт от хакеров.
3. https://www.root-me.org/ — отличный способ проверить себя, улучшить навыки этичного хакинга и знания в области веб-безопасности с помощью более 200 различных заданий.
4. https://hackxor.net/ — игра, созданная для практики взлома веб-приложений.
5. http://google-gruyere.appspot.com/ — этот сайт полон дыр и предназначен для тех, кто только начинает изучать безопасность приложений.
1. https://www.hackthissite.org/ — это место для тех, кто хочет попрактиковаться в этичном хакинге.
2. https://defendtheweb.net/?hackthis — разработан для того, чтобы научить вас взламывать, дампать, дифейсить и защищать свой сайт от хакеров.
3. https://www.root-me.org/ — отличный способ проверить себя, улучшить навыки этичного хакинга и знания в области веб-безопасности с помощью более 200 различных заданий.
4. https://hackxor.net/ — игра, созданная для практики взлома веб-приложений.
5. http://google-gruyere.appspot.com/ — этот сайт полон дыр и предназначен для тех, кто только начинает изучать безопасность приложений.
hackthissite.org
HackThisSite.org is a free, safe and legal training ground for hackers to test and expand their ethical hacking skills with challenges, CTFs, and more.
Подборка сайтов для практики хакинга. Часть 2.
1. https://w3challs.com/ — обучающая платформа с множеством задач в различных категориях, включая хакинг, варгеймы, форензику, криптографию, стеганографию и программирование.
2. http://www.slavehack.com/ — это многопользовательский симулятор хакера. В этой игре вы можете играть либо за оборону, либо за нападение.
3. https://ctf365.com/ — здесь устанавливают и защищают свои собственные серверы одновременно с атаками на серверы других пользователей.
4. http://reversing.kr/index.php — здесь вы можете найти 26 задач для проверки ваших навыков взлома и реверс-инжиниринга.
5. https://hellboundhackers.org/ — этот ресурс предлагает широкий спектр проблем с целью научить идентифицировать и устранять эксплойты.
1. https://w3challs.com/ — обучающая платформа с множеством задач в различных категориях, включая хакинг, варгеймы, форензику, криптографию, стеганографию и программирование.
2. http://www.slavehack.com/ — это многопользовательский симулятор хакера. В этой игре вы можете играть либо за оборону, либо за нападение.
3. https://ctf365.com/ — здесь устанавливают и защищают свои собственные серверы одновременно с атаками на серверы других пользователей.
4. http://reversing.kr/index.php — здесь вы можете найти 26 задач для проверки ваших навыков взлома и реверс-инжиниринга.
5. https://hellboundhackers.org/ — этот ресурс предлагает широкий спектр проблем с целью научить идентифицировать и устранять эксплойты.
Vehen_Bezopasnyy-DevOps.563704.pdf
22.1 MB
Безопасный DevOps
Джульен Вехен
Приложение, запущенное в облаке, обладает множеством преимуществ, но в то же время подвержено особенным угрозам. Задача DevOps-команд — оценивать эти риски и усиливать защиту системы от них. Данная книга основана на уникальном опыте автора и предлагает важнейшие стратегические решения для защиты веб-приложений от атак и предотвращения попыток вторжения.
Вы увидите, как обеспечить надежность при автоматизированном тестировании, непрерывной поставке и ключевых DevOps-процессах. Научитесь выявлять, оценивать и устранять уязвимости, существующие в вашем приложении. Автор поможет ориентироваться в облачных конфигурациях, а также применять популярные средства автоматизации.
Джульен Вехен
Приложение, запущенное в облаке, обладает множеством преимуществ, но в то же время подвержено особенным угрозам. Задача DevOps-команд — оценивать эти риски и усиливать защиту системы от них. Данная книга основана на уникальном опыте автора и предлагает важнейшие стратегические решения для защиты веб-приложений от атак и предотвращения попыток вторжения.
Вы увидите, как обеспечить надежность при автоматизированном тестировании, непрерывной поставке и ключевых DevOps-процессах. Научитесь выявлять, оценивать и устранять уязвимости, существующие в вашем приложении. Автор поможет ориентироваться в облачных конфигурациях, а также применять популярные средства автоматизации.