​​Йо, ребзы, рубрика жди меня.
Один из моих дружбанов ищет в свою контору Pentestera

Этот парень широко известный пацан в узких кругах.
По ЗП, он сказал, что если будет хорош кандидат то дадут и 5к $ 🤑
Можно писать ему на прямую в телегу @xotabu4

Подробности про позицию тут:
https://drive.google.com/file/d/1BF2iY-UZze-Fsxa7huzFU8NS8f64qfPA/view

Базы данных. Основы SQL. Введение в SQL-инъекции


https://hacker-basement.ru/2020/05/18/bazi-dannix-osnovy-sql/

​​Как работать с анализатором TShark

Эта статья посвящена популярному анализатору сетевых протоколов TShark. Это позволяет пользователю захватывать пакеты данных из сети. Инструмент также предлагает возможность чтения или анализа ранее записанных пакетов данных из сохраненных файлов.

https://cryptoworld.su/kak-rabotat-s-analizatorom-tshark-chast-1/

​​Крупнейшая коллекция паролей: в сеть выложили файл с 8,4 млрд элементов

На днях в сети появился файл объемом в 100 ГБ с 8,4 млрд паролей внутри (8 459 060 239 уникальных записей). Эксперты предполагают, что эти пароли — компиляция предыдущих утечек. Логинов в файле нет, только пароли размером от 6 до 20 символов. Огромное их количество — сложные пароли со спецсимволами. Все они содержатся в одном файле с названием RockYou2021.txt.

https://habr.com/ru/company/selectel/blog/561824/

​​Нужно что-то найти по адресам электронной почты, доменам, URL-адресам, IP-адресам, CIDR, адресам биткойнов, хешам IPFS и т. д?

Заходи на - https://intelx.io

Немного о Bug Bounty, SSRF, CRLF и XSS

https://codeby.net/threads/nemnogo-o-bug-bounty-ssrf-crlf-i-xss.77812/

​​Лучшие сайты для поиска уязвимостей

На данный момент существует только несколько сайтов для поиска уязвимостей. С помощью данной статьи мне нужно будет проверить их работу на наличие недостатков, а также найти уязвимости под номером CVE. А по результатам этого мы примем решение о том какие лучшие сайты для поиска уязвимостей сайты для поиска уязвимостей следует использовать в первую очередь.

https://cryptoworld.su/luchshie-sajty-dlya-poiska-uyazvimostej/#Vulners

​​Атака на веб-приложения при помощи Burp Suite и SQL инъекции

Пока не наступит день, когда безопасность станет высшим приоритетом, мы будем продолжать обнаруживать SQL инъекции в веб-приложениях, и не останемся без работы.
Подробнее: https://www.securitylab.ru/analytics/521491.php

https://www.securitylab.ru/analytics/521491.php

Mobile-Security-Framework-MobSF

Mobile Security Framework (MobSF) - это автоматизированное универсальное мобильное приложение (Android / iOS / Windows) для тестирования на проникновение, анализа вредоносных программ и оценки безопасности, способное выполнять статический и динамический анализ. MobSF поддерживает двоичные файлы мобильных приложений (APK, XAPK, IPA и APPX) вместе с заархивированным исходным кодом и предоставляет REST API для бесшовной интеграции с вашим CI / CD или конвейером DevSecOps. Dynamic Analyzer помогает выполнять оценку безопасности во время выполнения и интерактивное инструментальное тестирование.

https://github.com/MobSF/Mobile-Security-Framework-MobSF

В этом видео вы узнаете как ускорить избыточное и регрессионное тестирование в 10 раз, а то и больше, и не надо знать для этого язык программирования, чтоб писать автоnесты. С помощью бесплаnной версии Burp Suite

https://www.youtube.com/watch?v=P3_xU_BNLoc

Как найти уязвимость в функции сброса пароля

https://medium.com/@innocenthacker/how-i-found-the-most-critical-bug-in-live-bug-bounty-event-7a88b3aa97b3

​​Security Testing OWASP TOP 10 2021

Все чаще бизнес и его владельцы обращают внимание на кибербезопасность своих продуктов и соответственно, растет спрос на специалистов, которые знают методы защиты от атак злоумышленников и уязвимости на которые стоит обратить особое внимание.

Длительность курса: 7 занятий по 3 часа.
Занятия: ПН и ЧТ.
Группа: до 15 человек.
Место проведения: Общение через Google meet
Запись видео курса будет выслана на почту
Стоимость курса: 5900 грн
Старт курса: 13 сентября 2021 года

Подробности тут:
https://svyat.tech/OWASP-TOP-10-Training/

​​бесплатный сервис для проверки видео на подлинность.

В эпоху deep fake грех не иметь под рукой такой сканер видосов, который проверяет их на наличие изменений, в том числе с применением ИИ.

https://deepware.ai/

Глушилка Wi-Fi (деаутентификатор) в виде наручных часов https://s.click.aliexpress.com/e/_A9xPic

​​КАК ПОЛЬЗОВАТЬСЯ TCPDUMP

Утилита tcpdump - это очень мощный и популярный инструмент для перехвата и анализа сетевых пакетов. Она позволяет просматривать все входящие и исходящие из определенного интерфейса пакеты и работает в командной строке. Конечно, вы могли бы пользоваться Wirshark для анализа сетевых пакетов, это графическая утилита, но иногда бывают ситуации когда нужно работать только в терминале.

https://losst.ru/kak-polzovatsya-tcpdump

​​Как взломать пароль Windows 10 с помощью FakeLogonScreen в Kali Linux

Arris Huijgen разработал этот полезный инструмент, он использует преимущества обычного поведения среды Windows, отображает экран входа в систему, когда он выходит из спящего режима, и запрашивает ввод учетных данных. В то время этот инструмент искал фишинговые учетные данные Windows от цели, и сила этого инструмента появилась, когда он принимает только действительные учетные данные.

https://cyberguru.tech/%d1%85%d0%b0%d0%ba%d0%b8%d0%bd%d0%b3/%d0%ba%d0%b0%d0%ba-%d0%b2%d0%b7%d0%bb%d0%be%d0%bc%d0%b0%d1%82%d1%8c-%d0%bf%d0%b0%d1%80%d0%be%d0%bb%d1%8c-windows-10

XSS- и CSRF-атаки — разбираем уязвимости

В контексте веб-безопасности есть два основных вектора атаки, которые необходимо учитывать: XSS и CSRF. Прежде чем рассказать о них, необходимо понимать дефолтную политику браузера насчёт взаимодействия между вкладками — точнее, взаимодействия между скриптами с разным origin’ами. Эта политика называется Same Origin Policy (SOP). Её центральное понятие — Origin (~ источник) скрипта/документа. Он определяется комбинацией трёх понятий: протокола (http/https, etc.), хоста (my-website.com) и порта (например, 443 для https и 80 для http).

https://tproger.ru/articles/xss-i-csrf-ataki-razbiraem-ujazvimosti/