Подборка сайтов для практики хакинга. Часть 2.
1. https://w3challs.com/ — обучающая платформа с множеством задач в различных категориях, включая хакинг, варгеймы, форензику, криптографию, стеганографию и программирование.
2. http://www.slavehack.com/ — это многопользовательский симулятор хакера. В этой игре вы можете играть либо за оборону, либо за нападение.
3. https://ctf365.com/ — здесь устанавливают и защищают свои собственные серверы одновременно с атаками на серверы других пользователей.
4. http://reversing.kr/index.php — здесь вы можете найти 26 задач для проверки ваших навыков взлома и реверс-инжиниринга.
5. https://hellboundhackers.org/ — этот ресурс предлагает широкий спектр проблем с целью научить идентифицировать и устранять эксплойты.
1. https://w3challs.com/ — обучающая платформа с множеством задач в различных категориях, включая хакинг, варгеймы, форензику, криптографию, стеганографию и программирование.
2. http://www.slavehack.com/ — это многопользовательский симулятор хакера. В этой игре вы можете играть либо за оборону, либо за нападение.
3. https://ctf365.com/ — здесь устанавливают и защищают свои собственные серверы одновременно с атаками на серверы других пользователей.
4. http://reversing.kr/index.php — здесь вы можете найти 26 задач для проверки ваших навыков взлома и реверс-инжиниринга.
5. https://hellboundhackers.org/ — этот ресурс предлагает широкий спектр проблем с целью научить идентифицировать и устранять эксплойты.
Vehen_Bezopasnyy-DevOps.563704.pdf
22.1 MB
Безопасный DevOps
Джульен Вехен
Приложение, запущенное в облаке, обладает множеством преимуществ, но в то же время подвержено особенным угрозам. Задача DevOps-команд — оценивать эти риски и усиливать защиту системы от них. Данная книга основана на уникальном опыте автора и предлагает важнейшие стратегические решения для защиты веб-приложений от атак и предотвращения попыток вторжения.
Вы увидите, как обеспечить надежность при автоматизированном тестировании, непрерывной поставке и ключевых DevOps-процессах. Научитесь выявлять, оценивать и устранять уязвимости, существующие в вашем приложении. Автор поможет ориентироваться в облачных конфигурациях, а также применять популярные средства автоматизации.
Джульен Вехен
Приложение, запущенное в облаке, обладает множеством преимуществ, но в то же время подвержено особенным угрозам. Задача DevOps-команд — оценивать эти риски и усиливать защиту системы от них. Данная книга основана на уникальном опыте автора и предлагает важнейшие стратегические решения для защиты веб-приложений от атак и предотвращения попыток вторжения.
Вы увидите, как обеспечить надежность при автоматизированном тестировании, непрерывной поставке и ключевых DevOps-процессах. Научитесь выявлять, оценивать и устранять уязвимости, существующие в вашем приложении. Автор поможет ориентироваться в облачных конфигурациях, а также применять популярные средства автоматизации.
Генерация словарей по любым параметрам с pydictor
Эта инструкция посвящена программе pydictor. Утилита pydictor — это мощнейший генератор словарей, который, пожалуй, умеет всё, что можно сделать с помощью других известных инструментов для генерации словарей, и имеет свои собственные уникальные функции.
https://hackware.ru/?p=15537
Эта инструкция посвящена программе pydictor. Утилита pydictor — это мощнейший генератор словарей, который, пожалуй, умеет всё, что можно сделать с помощью других известных инструментов для генерации словарей, и имеет свои собственные уникальные функции.
https://hackware.ru/?p=15537
Если ты нашел уязвимость но не знаешь на сколько она критическая, то не печалься))) Есть ресурс который может посчитать на сколько она критична за тебя. Вбей несколько фильтров на что влияет та уязвимость и лови ответку
https://www.first.org/cvss/calculator/3.1
https://www.first.org/cvss/calculator/3.1
Нашел вчера время дополнить свой блог, в разделе Session Management Testing, появился пункт:
3.1) Testing for Session Management Schema
3.2) Testing for Cookies Attributes
В них рассказывается, про то на что обращать внимания при тестировании кук ваших пользователей, как не должно быть и как должно.
https://svyat.tech/3-1-Testing-for-Session-Management-Schema/
https://svyat.tech/3-2-Testing-for-Cookies-Attributes/
3.1) Testing for Session Management Schema
3.2) Testing for Cookies Attributes
В них рассказывается, про то на что обращать внимания при тестировании кук ваших пользователей, как не должно быть и как должно.
https://svyat.tech/3-1-Testing-for-Session-Management-Schema/
https://svyat.tech/3-2-Testing-for-Cookies-Attributes/
Как заразить веб-приложение используя динамический рендеринг
Динамический рендеринг становится очень популярным,потому как это отличный способ совместить JS и SEO.Поэтому в этой статье мы рассмотрим как с помощью двух утилит можна добавлять уязвимости в веб-приложение, если эти утилиты настроены неправильно и попробуем обьяснить как можно захватить сервер компании при этом используя уязвимость веб-приложения.
https://cryptoworld.su/kak-zarazit-veb-prilozhenie-ispolzuya-dinamicheskij-rendering/
Динамический рендеринг становится очень популярным,потому как это отличный способ совместить JS и SEO.Поэтому в этой статье мы рассмотрим как с помощью двух утилит можна добавлять уязвимости в веб-приложение, если эти утилиты настроены неправильно и попробуем обьяснить как можно захватить сервер компании при этом используя уязвимость веб-приложения.
https://cryptoworld.su/kak-zarazit-veb-prilozhenie-ispolzuya-dinamicheskij-rendering/
Пути атаки на ActiveDicrectory при помощи Bloodhound
Существует прекрасный наглядный инструмент, показывающий связи между различными объектами в ActiveDirectory, при помощи которого можно быстро оценить возможность компрометации лакомых кусочков – администраторов домена или схемы, а также выявить уже имеющиеся проколы в безопасности. Инструмент работает практически “из коробки”, что не может не радовать. В данном обзоре мы установим, соберём данные с домена и проверим на практике как работает Bloodhound.
https://litl-admin.ru/xaking/puti-ataki-na-activedicrectory-pri-pomoshhi-bloodhound.html
Существует прекрасный наглядный инструмент, показывающий связи между различными объектами в ActiveDirectory, при помощи которого можно быстро оценить возможность компрометации лакомых кусочков – администраторов домена или схемы, а также выявить уже имеющиеся проколы в безопасности. Инструмент работает практически “из коробки”, что не может не радовать. В данном обзоре мы установим, соберём данные с домена и проверим на практике как работает Bloodhound.
https://litl-admin.ru/xaking/puti-ataki-na-activedicrectory-pri-pomoshhi-bloodhound.html
Крутейший авторский сайт с рабочими мануалами по взлому и анонимности. Рекомендую к ознакомлению.
https://ondrik8.github.io/
https://ondrik8.github.io/
Как взломать сайт?
По структуре сайты делятся на три больших класса:
- Самописные (сделанные вручную на HTML, произведенные статическим генератором типа Jekyll или собранные в программе-конструкторе типа Adobe Dreamweaver);
- Сделанные в онлайновых конструкторах (в основном это сайты-визитки без каких-либо баз данных и передаваемых полей);
- Работающие на готовых CMS (Content Management System, системах управления контентом).
https://tgraph.io/Kak-vzlomat-sajt-04-13
По структуре сайты делятся на три больших класса:
- Самописные (сделанные вручную на HTML, произведенные статическим генератором типа Jekyll или собранные в программе-конструкторе типа Adobe Dreamweaver);
- Сделанные в онлайновых конструкторах (в основном это сайты-визитки без каких-либо баз данных и передаваемых полей);
- Работающие на готовых CMS (Content Management System, системах управления контентом).
https://tgraph.io/Kak-vzlomat-sajt-04-13
Пешком по Firebase. Находим открытые базы данных, которые прячет Google
Облачная база данных — штука удобная: считай, вся работа по деплою и настройке сервера за тебя уже сделана, осталось только пользоваться! Админов это расслабляет настолько, что такие базы часто остаются незащищенными и ищутся с помощью поисковиков. Один нюанс — этим поисковиком не может быть Google!
https://telegra.ph/Peshkom-po-Firebase-Nahodim-otkrytye-bazy-dannyh-kotorye-pryachet-Google-04-18
Облачная база данных — штука удобная: считай, вся работа по деплою и настройке сервера за тебя уже сделана, осталось только пользоваться! Админов это расслабляет настолько, что такие базы часто остаются незащищенными и ищутся с помощью поисковиков. Один нюанс — этим поисковиком не может быть Google!
https://telegra.ph/Peshkom-po-Firebase-Nahodim-otkrytye-bazy-dannyh-kotorye-pryachet-Google-04-18
Видосы с веcеннего OWASP 2021
https://www.youtube.com/watch?v=Vkc3P7byr4k&list=PLDLqQj8RuUFvlLDiPjIG-M-7GCZIB16wd
https://www.youtube.com/watch?v=Vkc3P7byr4k&list=PLDLqQj8RuUFvlLDiPjIG-M-7GCZIB16wd
YouTube
A9:Using Components with Known Vulnerabilities (Svyat Login)
Known Security Vulnerabilities are those gaps in security that have been identified, either by the developer/vendor of the products used, by the user/developer or by the hacker/intruder. To exploit known security vulnerabilities, hackers identify a weak component…
Современные web-уязвимости (3.Username Enumeration – SSN)
Перевод ресерчей по книге 2021 года от Brandon Wieser The Hackers Codex: Modern Web Application Attacks Demystified.
На этот раз эксплуатируются ошибки в форме восстановления забытого пароля.
https://codeby.net/threads/sovremennye-web-ujazvimosti-3-username-enumeration-ssn.77394/
Перевод ресерчей по книге 2021 года от Brandon Wieser The Hackers Codex: Modern Web Application Attacks Demystified.
На этот раз эксплуатируются ошибки в форме восстановления забытого пароля.
https://codeby.net/threads/sovremennye-web-ujazvimosti-3-username-enumeration-ssn.77394/
Форум информационной безопасности - Codeby.net
Статья - Современные web-уязвимости (3.Username Enumeration – SSN)
Эксклюзивно для codeby.net продолжаю публиковать перевод ресерчей по книге 2021 года от Brandon Wieser The Hackers Codex: Modern Web Application Attacks Demystified.
На этот раз эксплуатируются...
На этот раз эксплуатируются...
Security Testing OWASP TOP 10 2021
Все чаще бизнес и его владельцы обращают внимание на кибербезопасность своих продуктов и соответственно, растет спрос на специалистов, которые знают методы защиты от атак злоумышленников и уязвимости на которые стоит обратить особое внимание.
Этот курс из 7 занятий, по тестированию безопасности (Security Testing), на котором мы разберем каждый из 10 векторов уязвимостей, описанные в OWASP TOP 10 уже в обновленной версии 2021, оценим их степени опасности на реальные бизнесы в наших условиях и методы защиты от них.
Подробности тут:
https://start-it.ua/security-testing
Все чаще бизнес и его владельцы обращают внимание на кибербезопасность своих продуктов и соответственно, растет спрос на специалистов, которые знают методы защиты от атак злоумышленников и уязвимости на которые стоит обратить особое внимание.
Этот курс из 7 занятий, по тестированию безопасности (Security Testing), на котором мы разберем каждый из 10 векторов уязвимостей, описанные в OWASP TOP 10 уже в обновленной версии 2021, оценим их степени опасности на реальные бизнесы в наших условиях и методы защиты от них.
Подробности тут:
https://start-it.ua/security-testing
Отправляем бесплатное смс из терминала
https://telegra.ph/Otpravlyaem-besplatnye-sms-iz-terminala-04-25
оброго времени суток, в этой статье пойдёт речь о том, как послать бесплатное смс анонимно без регистрации и смс(шутка).
https://telegra.ph/Otpravlyaem-besplatnye-sms-iz-terminala-04-25
оброго времени суток, в этой статье пойдёт речь о том, как послать бесплатное смс анонимно без регистрации и смс(шутка).