​​У EVO появился свой канал по тестированию. Подписывайтесь и следите за обновлениями докладов на интересные темы
https://www.youtube.com/channel/UCc2Kkr2-OMFTYRBsdTR3ISA

​​Burp Suite. Как построить CSRF - атаку

Продолжим рассматривать CSRF уязвимости как в теории, так и на практических примерах.

https://protey.net/threads/14-1-burp-suite-kak-postroit-csrf-ataku.492/

​​Что нужно знать о JavaScript тестировщику? Если вам интересно эффективно тестировать веб-приложения, 12 февраля приглашаем поучаствовать в демо-занятии курса «JavaScript QA Engineer».

Преподаватель Юрий Дворжецкий, эксперт JS-разработки и тренер в Luxoft Training Center, разберет особенности JS, которые всё время нужно держать в голове при написании тестов.

Занятие предназначено для тестировщиков с опытом — пройдите вступительный тест, чтобы зарегистрироваться https://otus.ru/lessons/qajs

​​Подборка ресурсов для проверки уровня личной приватности и безопасности в сети

Проверки приватности и безопасности в сети нужно делать регулярно. Для вашего удобства мы сделали подборку с самыми полезными ресурсами из этой сферы.

▫️ Дешифроторы коротких URL-ссылок для проверки на фишинговый сайт:

http://checkshorturl.com
https://unshorten.me/
http://www.untinyurl.com

▫️ Проверка анонимности web-серфинга:

https://proxy6.net/privacy
http://proiptest.com/test/

▫️Проверка твоего Web browser на безопасность (security bugs, malware addons, etc):

https://browsercheck.qualys.com/
https://www.comss.ru/page.php?id=1408

▫️ Экспресс-онлайн проверка безопасности вашего десктопа от фишинга, уязвимостей ПО, утечки sensitive data и т.д.

http://www.cpcheckme.com/checkme/

▫️ Проверка хостовой IDS\IPS и end-point Firewall:

http://www.hackerwatch.org/probe/
http://www.t1shopper.com/tools/port-scan/

▫️ Онлайн-антивирусы:

https://www.virustotal.com/ru/
https://online.drweb.com/

▫️ Онлайн-песочницы:

https://threatpoint.checkpoint.com/ThreatPortal/emulation
https://www.vicheck.ca

На нашем канале EVO появился новый докладик, по мобильному тестированию
https://www.youtube.com/watch?v=Ku0QKi6DmEI

​​JavaScript для начинающих

#1 Введение в JavaScript
#2 Методы вставки JavaScript в HTML
#3 Вывод информации
#4 Синтаксис JavaScript
#5 Инструкции и комментарии
#6 Переменные и операторы
#7 Типы данных
#8 Функции в JavaScript
#9 Объекты в JavaScript

Сохрани себе и поделись с другом!

​​Знакомьтесь PIDRILA — Быстрый анализатор ссылок

PIDRILA: Python Interactive Deepweb-oriented Rapid Intelligent Link Analyzer - это действительно быстрый прототип асинхронного веб-сканера, разработанный командой Bright Search для всех этичных нетсталкеров. Написан на python. Сканер имеет большую скорость работы, имеет поддержку proxy. Сканирует структуру сайта, ищет файлы, каталоги, которые могут содержать критическую информацию.

https://codeby.net/threads/znakomtes-pidrila-bystryj-analizator-ssylok.76600/

​​Площадки по пентесту в 2021 году. Самый полный guide

Данный список - это самый полный список площадок по самоподготовке к пентесту на сегодняшний день. Здесь собраны проекты как новые так и уже, пожалуй, раритетные. Итак, поехали:

https://habr.com/ru/post/538766/

​​Инструменты для пентеста в термукс : REDHAWK

https://telegra.ph/Instrumenty-dlya-pentesta-v-termuks--REDHAWK-01-07

​​10 лучших приложений для хакинга на Android

Если вы являетесь сетевым администратором, тестеровщиком на проникновение или мечтаете стать этичным хакером, вам следует изучить основы и всестороннее сканирование/тестирование на устройствах Android для сбора информации и поиска уязвимостей.

https://itsecforu.ru/2021/02/18/%f0%9f%a4%96-10-%d0%bb%d1%83%d1%87%d1%88%d0%b8%d1%85-%d0%bf%d1%80%d0%b8%d0%bb%d0%be%d0%b6%d0%b5%d0%bd%d0%b8%d0%b9-%d0%b4%d0%bb%d1%8f-%d1%85%d0%b0%d0%ba%d0%b8%d0%bd%d0%b3%d0%b0-%d0%bd%d0%b0-android/

​​Тут выложили видосики с fwdays 😊😌
https://www.youtube.com/playlist?list=PLPcgQFk9n9y8ZMKmFI8d0-MPoGROInDiR

​​Black Hat USA 2020

https://www.youtube.com/playlist?list=PLH15HpR5qRsXE_4kOSy_SXwFkFQre4AV_

​​Обход WAF при помощи некорректных настроек прокси-сервера
Подробнее: https://www.securitylab.ru/analytics/516873.php

Как вы думаете, что общего между участием в конкурсе по отлову багов и устройствами сетевой безопасности? Обычно ничего. С другой стороны, устройства безопасности позволяют реализовать виртуальный патчинг и используются регулярно с целью снижения вознаграждения исследователям за найденные ошибки… однако дальше будет полностью противоположная история: мы получили премию, благодаря неправильно настроенному средству безопасности. Мы не будем раскрывать ни имя компании (кроме того, что организация входит в список Fortune 500), ни один из уязвимых компонентов. Мы лишь рассмотрим используемую технику вследствие чрезвычайной и обезоруживающей простоты.

https://www.securitylab.ru/analytics/516873.php

​​Привет, тут накарлякал новую статейку на DOU. В ней рассказано про новый рейтинг уязвимостей по версии OWASP TOP 10 2021. А также как бонус, расписано как искать первые три из этой десятки.😎😺🥳
https://dou.ua/forums/topic/32925/

​​OWASP выложил долгожданные видосы с зимнего митапа, если ты ты хотел, но не попал, то бегом смотри. https://www.youtube.com/playlist?list=PLDLqQj8RuUFsCP3X3xE2WKj_s7gBzB97-

Подборка сайтов для практики хакинга

1. https://www.hackthissite.org/ — это место для тех, кто хочет попрактиковаться в этичном хакинге.

2. https://defendtheweb.net/?hackthis — разработан для того, чтобы научить вас взламывать, дампать, дифейсить и защищать свой сайт от хакеров.

3. https://www.root-me.org/ — отличный способ проверить себя, улучшить навыки этичного хакинга и знания в области веб-безопасности с помощью более 200 различных заданий.

4. https://hackxor.net/ — игра, созданная для практики взлома веб-приложений.

5. http://google-gruyere.appspot.com/ — этот сайт полон дыр и предназначен для тех, кто только начинает изучать безопасность приложений.

​​Подборка сайтов для практики хакинга. Часть 2.

1. https://w3challs.com/ — обучающая платформа с множеством задач в различных категориях, включая хакинг, варгеймы, форензику, криптографию, стеганографию и программирование.

2. http://www.slavehack.com/ — это многопользовательский симулятор хакера. В этой игре вы можете играть либо за оборону, либо за нападение.

3. https://ctf365.com/ — здесь устанавливают и защищают свои собственные серверы одновременно с атаками на серверы других пользователей.

4. http://reversing.kr/index.php — здесь вы можете найти 26 задач для проверки ваших навыков взлома и реверс-инжиниринга.

5. https://hellboundhackers.org/ — этот ресурс предлагает широкий спектр проблем с целью научить идентифицировать и устранять эксплойты.

Безопасный DevOps
Джульен Вехен

Приложение, запущенное в облаке, обладает множеством преимуществ, но в то же время подвержено особенным угрозам. Задача DevOps-команд — оценивать эти риски и усиливать защиту системы от них. Данная книга основана на уникальном опыте автора и предлагает важнейшие стратегические решения для защиты веб-приложений от атак и предотвращения попыток вторжения.

Вы увидите, как обеспечить надежность при автоматизированном тестировании, непрерывной поставке и ключевых DevOps-процессах. Научитесь выявлять, оценивать и устранять уязвимости, существующие в вашем приложении. Автор поможет ориентироваться в облачных конфигурациях, а также применять популярные средства автоматизации.

​​Генерация словарей по любым параметрам с pydictor

Эта инструкция посвящена программе pydictor. Утилита pydictor — это мощнейший генератор словарей, который, пожалуй, умеет всё, что можно сделать с помощью других известных инструментов для генерации словарей, и имеет свои собственные уникальные функции.

https://hackware.ru/?p=15537

​​Если ты нашел уязвимость но не знаешь на сколько она критическая, то не печалься))) Есть ресурс который может посчитать на сколько она критична за тебя. Вбей несколько фильтров на что влияет та уязвимость и лови ответку

https://www.first.org/cvss/calculator/3.1

​​Безопасность iOS-приложений: гайд для новичков


https://habr.com/ru/company/wrike/blog/544754/