10 лучших приложений для хакинга на Android
Если вы являетесь сетевым администратором, тестеровщиком на проникновение или мечтаете стать этичным хакером, вам следует изучить основы и всестороннее сканирование/тестирование на устройствах Android для сбора информации и поиска уязвимостей.
https://itsecforu.ru/2021/02/18/%f0%9f%a4%96-10-%d0%bb%d1%83%d1%87%d1%88%d0%b8%d1%85-%d0%bf%d1%80%d0%b8%d0%bb%d0%be%d0%b6%d0%b5%d0%bd%d0%b8%d0%b9-%d0%b4%d0%bb%d1%8f-%d1%85%d0%b0%d0%ba%d0%b8%d0%bd%d0%b3%d0%b0-%d0%bd%d0%b0-android/
Если вы являетесь сетевым администратором, тестеровщиком на проникновение или мечтаете стать этичным хакером, вам следует изучить основы и всестороннее сканирование/тестирование на устройствах Android для сбора информации и поиска уязвимостей.
https://itsecforu.ru/2021/02/18/%f0%9f%a4%96-10-%d0%bb%d1%83%d1%87%d1%88%d0%b8%d1%85-%d0%bf%d1%80%d0%b8%d0%bb%d0%be%d0%b6%d0%b5%d0%bd%d0%b8%d0%b9-%d0%b4%d0%bb%d1%8f-%d1%85%d0%b0%d0%ba%d0%b8%d0%bd%d0%b3%d0%b0-%d0%bd%d0%b0-android/
Тут выложили видосики с fwdays 😊😌
https://www.youtube.com/playlist?list=PLPcgQFk9n9y8ZMKmFI8d0-MPoGROInDiR
https://www.youtube.com/playlist?list=PLPcgQFk9n9y8ZMKmFI8d0-MPoGROInDiR
Обход WAF при помощи некорректных настроек прокси-сервера
Подробнее: https://www.securitylab.ru/analytics/516873.php
Как вы думаете, что общего между участием в конкурсе по отлову багов и устройствами сетевой безопасности? Обычно ничего. С другой стороны, устройства безопасности позволяют реализовать виртуальный патчинг и используются регулярно с целью снижения вознаграждения исследователям за найденные ошибки… однако дальше будет полностью противоположная история: мы получили премию, благодаря неправильно настроенному средству безопасности. Мы не будем раскрывать ни имя компании (кроме того, что организация входит в список Fortune 500), ни один из уязвимых компонентов. Мы лишь рассмотрим используемую технику вследствие чрезвычайной и обезоруживающей простоты.
https://www.securitylab.ru/analytics/516873.php
Подробнее: https://www.securitylab.ru/analytics/516873.php
Как вы думаете, что общего между участием в конкурсе по отлову багов и устройствами сетевой безопасности? Обычно ничего. С другой стороны, устройства безопасности позволяют реализовать виртуальный патчинг и используются регулярно с целью снижения вознаграждения исследователям за найденные ошибки… однако дальше будет полностью противоположная история: мы получили премию, благодаря неправильно настроенному средству безопасности. Мы не будем раскрывать ни имя компании (кроме того, что организация входит в список Fortune 500), ни один из уязвимых компонентов. Мы лишь рассмотрим используемую технику вследствие чрезвычайной и обезоруживающей простоты.
https://www.securitylab.ru/analytics/516873.php
Привет, тут накарлякал новую статейку на DOU. В ней рассказано про новый рейтинг уязвимостей по версии OWASP TOP 10 2021. А также как бонус, расписано как искать первые три из этой десятки.😎😺🥳
https://dou.ua/forums/topic/32925/
https://dou.ua/forums/topic/32925/
OWASP выложил долгожданные видосы с зимнего митапа, если ты ты хотел, но не попал, то бегом смотри. https://www.youtube.com/playlist?list=PLDLqQj8RuUFsCP3X3xE2WKj_s7gBzB97-
Подборка сайтов для практики хакинга
1. https://www.hackthissite.org/ — это место для тех, кто хочет попрактиковаться в этичном хакинге.
2. https://defendtheweb.net/?hackthis — разработан для того, чтобы научить вас взламывать, дампать, дифейсить и защищать свой сайт от хакеров.
3. https://www.root-me.org/ — отличный способ проверить себя, улучшить навыки этичного хакинга и знания в области веб-безопасности с помощью более 200 различных заданий.
4. https://hackxor.net/ — игра, созданная для практики взлома веб-приложений.
5. http://google-gruyere.appspot.com/ — этот сайт полон дыр и предназначен для тех, кто только начинает изучать безопасность приложений.
1. https://www.hackthissite.org/ — это место для тех, кто хочет попрактиковаться в этичном хакинге.
2. https://defendtheweb.net/?hackthis — разработан для того, чтобы научить вас взламывать, дампать, дифейсить и защищать свой сайт от хакеров.
3. https://www.root-me.org/ — отличный способ проверить себя, улучшить навыки этичного хакинга и знания в области веб-безопасности с помощью более 200 различных заданий.
4. https://hackxor.net/ — игра, созданная для практики взлома веб-приложений.
5. http://google-gruyere.appspot.com/ — этот сайт полон дыр и предназначен для тех, кто только начинает изучать безопасность приложений.
hackthissite.org
HackThisSite.org is a free, safe and legal training ground for hackers to test and expand their ethical hacking skills with challenges, CTFs, and more.
Подборка сайтов для практики хакинга. Часть 2.
1. https://w3challs.com/ — обучающая платформа с множеством задач в различных категориях, включая хакинг, варгеймы, форензику, криптографию, стеганографию и программирование.
2. http://www.slavehack.com/ — это многопользовательский симулятор хакера. В этой игре вы можете играть либо за оборону, либо за нападение.
3. https://ctf365.com/ — здесь устанавливают и защищают свои собственные серверы одновременно с атаками на серверы других пользователей.
4. http://reversing.kr/index.php — здесь вы можете найти 26 задач для проверки ваших навыков взлома и реверс-инжиниринга.
5. https://hellboundhackers.org/ — этот ресурс предлагает широкий спектр проблем с целью научить идентифицировать и устранять эксплойты.
1. https://w3challs.com/ — обучающая платформа с множеством задач в различных категориях, включая хакинг, варгеймы, форензику, криптографию, стеганографию и программирование.
2. http://www.slavehack.com/ — это многопользовательский симулятор хакера. В этой игре вы можете играть либо за оборону, либо за нападение.
3. https://ctf365.com/ — здесь устанавливают и защищают свои собственные серверы одновременно с атаками на серверы других пользователей.
4. http://reversing.kr/index.php — здесь вы можете найти 26 задач для проверки ваших навыков взлома и реверс-инжиниринга.
5. https://hellboundhackers.org/ — этот ресурс предлагает широкий спектр проблем с целью научить идентифицировать и устранять эксплойты.
Vehen_Bezopasnyy-DevOps.563704.pdf
22.1 MB
Безопасный DevOps
Джульен Вехен
Приложение, запущенное в облаке, обладает множеством преимуществ, но в то же время подвержено особенным угрозам. Задача DevOps-команд — оценивать эти риски и усиливать защиту системы от них. Данная книга основана на уникальном опыте автора и предлагает важнейшие стратегические решения для защиты веб-приложений от атак и предотвращения попыток вторжения.
Вы увидите, как обеспечить надежность при автоматизированном тестировании, непрерывной поставке и ключевых DevOps-процессах. Научитесь выявлять, оценивать и устранять уязвимости, существующие в вашем приложении. Автор поможет ориентироваться в облачных конфигурациях, а также применять популярные средства автоматизации.
Джульен Вехен
Приложение, запущенное в облаке, обладает множеством преимуществ, но в то же время подвержено особенным угрозам. Задача DevOps-команд — оценивать эти риски и усиливать защиту системы от них. Данная книга основана на уникальном опыте автора и предлагает важнейшие стратегические решения для защиты веб-приложений от атак и предотвращения попыток вторжения.
Вы увидите, как обеспечить надежность при автоматизированном тестировании, непрерывной поставке и ключевых DevOps-процессах. Научитесь выявлять, оценивать и устранять уязвимости, существующие в вашем приложении. Автор поможет ориентироваться в облачных конфигурациях, а также применять популярные средства автоматизации.
Генерация словарей по любым параметрам с pydictor
Эта инструкция посвящена программе pydictor. Утилита pydictor — это мощнейший генератор словарей, который, пожалуй, умеет всё, что можно сделать с помощью других известных инструментов для генерации словарей, и имеет свои собственные уникальные функции.
https://hackware.ru/?p=15537
Эта инструкция посвящена программе pydictor. Утилита pydictor — это мощнейший генератор словарей, который, пожалуй, умеет всё, что можно сделать с помощью других известных инструментов для генерации словарей, и имеет свои собственные уникальные функции.
https://hackware.ru/?p=15537
Если ты нашел уязвимость но не знаешь на сколько она критическая, то не печалься))) Есть ресурс который может посчитать на сколько она критична за тебя. Вбей несколько фильтров на что влияет та уязвимость и лови ответку
https://www.first.org/cvss/calculator/3.1
https://www.first.org/cvss/calculator/3.1
Нашел вчера время дополнить свой блог, в разделе Session Management Testing, появился пункт:
3.1) Testing for Session Management Schema
3.2) Testing for Cookies Attributes
В них рассказывается, про то на что обращать внимания при тестировании кук ваших пользователей, как не должно быть и как должно.
https://svyat.tech/3-1-Testing-for-Session-Management-Schema/
https://svyat.tech/3-2-Testing-for-Cookies-Attributes/
3.1) Testing for Session Management Schema
3.2) Testing for Cookies Attributes
В них рассказывается, про то на что обращать внимания при тестировании кук ваших пользователей, как не должно быть и как должно.
https://svyat.tech/3-1-Testing-for-Session-Management-Schema/
https://svyat.tech/3-2-Testing-for-Cookies-Attributes/
Как заразить веб-приложение используя динамический рендеринг
Динамический рендеринг становится очень популярным,потому как это отличный способ совместить JS и SEO.Поэтому в этой статье мы рассмотрим как с помощью двух утилит можна добавлять уязвимости в веб-приложение, если эти утилиты настроены неправильно и попробуем обьяснить как можно захватить сервер компании при этом используя уязвимость веб-приложения.
https://cryptoworld.su/kak-zarazit-veb-prilozhenie-ispolzuya-dinamicheskij-rendering/
Динамический рендеринг становится очень популярным,потому как это отличный способ совместить JS и SEO.Поэтому в этой статье мы рассмотрим как с помощью двух утилит можна добавлять уязвимости в веб-приложение, если эти утилиты настроены неправильно и попробуем обьяснить как можно захватить сервер компании при этом используя уязвимость веб-приложения.
https://cryptoworld.su/kak-zarazit-veb-prilozhenie-ispolzuya-dinamicheskij-rendering/
Пути атаки на ActiveDicrectory при помощи Bloodhound
Существует прекрасный наглядный инструмент, показывающий связи между различными объектами в ActiveDirectory, при помощи которого можно быстро оценить возможность компрометации лакомых кусочков – администраторов домена или схемы, а также выявить уже имеющиеся проколы в безопасности. Инструмент работает практически “из коробки”, что не может не радовать. В данном обзоре мы установим, соберём данные с домена и проверим на практике как работает Bloodhound.
https://litl-admin.ru/xaking/puti-ataki-na-activedicrectory-pri-pomoshhi-bloodhound.html
Существует прекрасный наглядный инструмент, показывающий связи между различными объектами в ActiveDirectory, при помощи которого можно быстро оценить возможность компрометации лакомых кусочков – администраторов домена или схемы, а также выявить уже имеющиеся проколы в безопасности. Инструмент работает практически “из коробки”, что не может не радовать. В данном обзоре мы установим, соберём данные с домена и проверим на практике как работает Bloodhound.
https://litl-admin.ru/xaking/puti-ataki-na-activedicrectory-pri-pomoshhi-bloodhound.html
Крутейший авторский сайт с рабочими мануалами по взлому и анонимности. Рекомендую к ознакомлению.
https://ondrik8.github.io/
https://ondrik8.github.io/
Как взломать сайт?
По структуре сайты делятся на три больших класса:
- Самописные (сделанные вручную на HTML, произведенные статическим генератором типа Jekyll или собранные в программе-конструкторе типа Adobe Dreamweaver);
- Сделанные в онлайновых конструкторах (в основном это сайты-визитки без каких-либо баз данных и передаваемых полей);
- Работающие на готовых CMS (Content Management System, системах управления контентом).
https://tgraph.io/Kak-vzlomat-sajt-04-13
По структуре сайты делятся на три больших класса:
- Самописные (сделанные вручную на HTML, произведенные статическим генератором типа Jekyll или собранные в программе-конструкторе типа Adobe Dreamweaver);
- Сделанные в онлайновых конструкторах (в основном это сайты-визитки без каких-либо баз данных и передаваемых полей);
- Работающие на готовых CMS (Content Management System, системах управления контентом).
https://tgraph.io/Kak-vzlomat-sajt-04-13