На нашем канале EVO появился новый докладик, по мобильному тестированию
https://www.youtube.com/watch?v=Ku0QKi6DmEI

​​JavaScript для начинающих

#1 Введение в JavaScript
#2 Методы вставки JavaScript в HTML
#3 Вывод информации
#4 Синтаксис JavaScript
#5 Инструкции и комментарии
#6 Переменные и операторы
#7 Типы данных
#8 Функции в JavaScript
#9 Объекты в JavaScript

Сохрани себе и поделись с другом!

​​Знакомьтесь PIDRILA — Быстрый анализатор ссылок

PIDRILA: Python Interactive Deepweb-oriented Rapid Intelligent Link Analyzer - это действительно быстрый прототип асинхронного веб-сканера, разработанный командой Bright Search для всех этичных нетсталкеров. Написан на python. Сканер имеет большую скорость работы, имеет поддержку proxy. Сканирует структуру сайта, ищет файлы, каталоги, которые могут содержать критическую информацию.

https://codeby.net/threads/znakomtes-pidrila-bystryj-analizator-ssylok.76600/

​​Площадки по пентесту в 2021 году. Самый полный guide

Данный список - это самый полный список площадок по самоподготовке к пентесту на сегодняшний день. Здесь собраны проекты как новые так и уже, пожалуй, раритетные. Итак, поехали:

https://habr.com/ru/post/538766/

​​Инструменты для пентеста в термукс : REDHAWK

https://telegra.ph/Instrumenty-dlya-pentesta-v-termuks--REDHAWK-01-07

​​10 лучших приложений для хакинга на Android

Если вы являетесь сетевым администратором, тестеровщиком на проникновение или мечтаете стать этичным хакером, вам следует изучить основы и всестороннее сканирование/тестирование на устройствах Android для сбора информации и поиска уязвимостей.

https://itsecforu.ru/2021/02/18/%f0%9f%a4%96-10-%d0%bb%d1%83%d1%87%d1%88%d0%b8%d1%85-%d0%bf%d1%80%d0%b8%d0%bb%d0%be%d0%b6%d0%b5%d0%bd%d0%b8%d0%b9-%d0%b4%d0%bb%d1%8f-%d1%85%d0%b0%d0%ba%d0%b8%d0%bd%d0%b3%d0%b0-%d0%bd%d0%b0-android/

​​Тут выложили видосики с fwdays 😊😌
https://www.youtube.com/playlist?list=PLPcgQFk9n9y8ZMKmFI8d0-MPoGROInDiR

​​Black Hat USA 2020

https://www.youtube.com/playlist?list=PLH15HpR5qRsXE_4kOSy_SXwFkFQre4AV_

​​Обход WAF при помощи некорректных настроек прокси-сервера
Подробнее: https://www.securitylab.ru/analytics/516873.php

Как вы думаете, что общего между участием в конкурсе по отлову багов и устройствами сетевой безопасности? Обычно ничего. С другой стороны, устройства безопасности позволяют реализовать виртуальный патчинг и используются регулярно с целью снижения вознаграждения исследователям за найденные ошибки… однако дальше будет полностью противоположная история: мы получили премию, благодаря неправильно настроенному средству безопасности. Мы не будем раскрывать ни имя компании (кроме того, что организация входит в список Fortune 500), ни один из уязвимых компонентов. Мы лишь рассмотрим используемую технику вследствие чрезвычайной и обезоруживающей простоты.

https://www.securitylab.ru/analytics/516873.php

​​Привет, тут накарлякал новую статейку на DOU. В ней рассказано про новый рейтинг уязвимостей по версии OWASP TOP 10 2021. А также как бонус, расписано как искать первые три из этой десятки.😎😺🥳
https://dou.ua/forums/topic/32925/

​​OWASP выложил долгожданные видосы с зимнего митапа, если ты ты хотел, но не попал, то бегом смотри. https://www.youtube.com/playlist?list=PLDLqQj8RuUFsCP3X3xE2WKj_s7gBzB97-

Подборка сайтов для практики хакинга

1. https://www.hackthissite.org/ — это место для тех, кто хочет попрактиковаться в этичном хакинге.

2. https://defendtheweb.net/?hackthis — разработан для того, чтобы научить вас взламывать, дампать, дифейсить и защищать свой сайт от хакеров.

3. https://www.root-me.org/ — отличный способ проверить себя, улучшить навыки этичного хакинга и знания в области веб-безопасности с помощью более 200 различных заданий.

4. https://hackxor.net/ — игра, созданная для практики взлома веб-приложений.

5. http://google-gruyere.appspot.com/ — этот сайт полон дыр и предназначен для тех, кто только начинает изучать безопасность приложений.

​​Подборка сайтов для практики хакинга. Часть 2.

1. https://w3challs.com/ — обучающая платформа с множеством задач в различных категориях, включая хакинг, варгеймы, форензику, криптографию, стеганографию и программирование.

2. http://www.slavehack.com/ — это многопользовательский симулятор хакера. В этой игре вы можете играть либо за оборону, либо за нападение.

3. https://ctf365.com/ — здесь устанавливают и защищают свои собственные серверы одновременно с атаками на серверы других пользователей.

4. http://reversing.kr/index.php — здесь вы можете найти 26 задач для проверки ваших навыков взлома и реверс-инжиниринга.

5. https://hellboundhackers.org/ — этот ресурс предлагает широкий спектр проблем с целью научить идентифицировать и устранять эксплойты.

Безопасный DevOps
Джульен Вехен

Приложение, запущенное в облаке, обладает множеством преимуществ, но в то же время подвержено особенным угрозам. Задача DevOps-команд — оценивать эти риски и усиливать защиту системы от них. Данная книга основана на уникальном опыте автора и предлагает важнейшие стратегические решения для защиты веб-приложений от атак и предотвращения попыток вторжения.

Вы увидите, как обеспечить надежность при автоматизированном тестировании, непрерывной поставке и ключевых DevOps-процессах. Научитесь выявлять, оценивать и устранять уязвимости, существующие в вашем приложении. Автор поможет ориентироваться в облачных конфигурациях, а также применять популярные средства автоматизации.

​​Генерация словарей по любым параметрам с pydictor

Эта инструкция посвящена программе pydictor. Утилита pydictor — это мощнейший генератор словарей, который, пожалуй, умеет всё, что можно сделать с помощью других известных инструментов для генерации словарей, и имеет свои собственные уникальные функции.

https://hackware.ru/?p=15537

​​Если ты нашел уязвимость но не знаешь на сколько она критическая, то не печалься))) Есть ресурс который может посчитать на сколько она критична за тебя. Вбей несколько фильтров на что влияет та уязвимость и лови ответку

https://www.first.org/cvss/calculator/3.1

​​Безопасность iOS-приложений: гайд для новичков


https://habr.com/ru/company/wrike/blog/544754/

​​Нашел вчера время дополнить свой блог, в разделе Session Management Testing, появился пункт:
3.1) Testing for Session Management Schema
3.2) Testing for Cookies Attributes

В них рассказывается, про то на что обращать внимания при тестировании кук ваших пользователей, как не должно быть и как должно.

https://svyat.tech/3-1-Testing-for-Session-Management-Schema/
https://svyat.tech/3-2-Testing-for-Cookies-Attributes/

​​Как заразить веб-приложение используя динамический рендеринг

Динамический рендеринг становится очень популярным,потому как это отличный способ совместить JS и SEO.Поэтому в этой статье мы рассмотрим как с помощью двух утилит можна добавлять уязвимости в веб-приложение, если эти утилиты настроены неправильно и попробуем обьяснить как можно захватить сервер компании при этом используя уязвимость веб-приложения.

https://cryptoworld.su/kak-zarazit-veb-prilozhenie-ispolzuya-dinamicheskij-rendering/

​​Пути атаки на ActiveDicrectory при помощи Bloodhound

Существует прекрасный наглядный инструмент, показывающий связи между различными объектами в ActiveDirectory, при помощи которого можно быстро оценить возможность компрометации лакомых кусочков – администраторов домена или схемы, а также выявить уже имеющиеся проколы в безопасности. Инструмент работает практически “из коробки”, что не может не радовать. В данном обзоре мы установим, соберём данные с домена и проверим на практике как работает Bloodhound.

https://litl-admin.ru/xaking/puti-ataki-na-activedicrectory-pri-pomoshhi-bloodhound.html