Крупнейшая коллекция паролей: в сеть выложили файл с 8,4 млрд элементов
На днях в сети появился файл объемом в 100 ГБ с 8,4 млрд паролей внутри (8 459 060 239 уникальных записей). Эксперты предполагают, что эти пароли — компиляция предыдущих утечек. Логинов в файле нет, только пароли размером от 6 до 20 символов. Огромное их количество — сложные пароли со спецсимволами. Все они содержатся в одном файле с названием RockYou2021.txt.
https://habr.com/ru/company/selectel/blog/561824/
На днях в сети появился файл объемом в 100 ГБ с 8,4 млрд паролей внутри (8 459 060 239 уникальных записей). Эксперты предполагают, что эти пароли — компиляция предыдущих утечек. Логинов в файле нет, только пароли размером от 6 до 20 символов. Огромное их количество — сложные пароли со спецсимволами. Все они содержатся в одном файле с названием RockYou2021.txt.
https://habr.com/ru/company/selectel/blog/561824/
Нужно что-то найти по адресам электронной почты, доменам, URL-адресам, IP-адресам, CIDR, адресам биткойнов, хешам IPFS и т. д?
Заходи на - https://intelx.io
Заходи на - https://intelx.io
Немного о Bug Bounty, SSRF, CRLF и XSS
https://codeby.net/threads/nemnogo-o-bug-bounty-ssrf-crlf-i-xss.77812/
https://codeby.net/threads/nemnogo-o-bug-bounty-ssrf-crlf-i-xss.77812/
Форум информационной безопасности - Codeby.net
Заметка - Немного о Bug Bounty, SSRF, CRLF и XSS
Привет, Codeby!
Немного о том, как были найдены пара простых уязвимостей в ходе Bug Bounty.
Я решил не соваться на You must be registered for see element., а зарегистрировался на платформе...
Немного о том, как были найдены пара простых уязвимостей в ходе Bug Bounty.
Я решил не соваться на You must be registered for see element., а зарегистрировался на платформе...
Лучшие сайты для поиска уязвимостей
На данный момент существует только несколько сайтов для поиска уязвимостей. С помощью данной статьи мне нужно будет проверить их работу на наличие недостатков, а также найти уязвимости под номером CVE. А по результатам этого мы примем решение о том какие лучшие сайты для поиска уязвимостей сайты для поиска уязвимостей следует использовать в первую очередь.
https://cryptoworld.su/luchshie-sajty-dlya-poiska-uyazvimostej/#Vulners
На данный момент существует только несколько сайтов для поиска уязвимостей. С помощью данной статьи мне нужно будет проверить их работу на наличие недостатков, а также найти уязвимости под номером CVE. А по результатам этого мы примем решение о том какие лучшие сайты для поиска уязвимостей сайты для поиска уязвимостей следует использовать в первую очередь.
https://cryptoworld.su/luchshie-sajty-dlya-poiska-uyazvimostej/#Vulners
Атака на веб-приложения при помощи Burp Suite и SQL инъекции
Пока не наступит день, когда безопасность станет высшим приоритетом, мы будем продолжать обнаруживать SQL инъекции в веб-приложениях, и не останемся без работы.
Подробнее: https://www.securitylab.ru/analytics/521491.php
https://www.securitylab.ru/analytics/521491.php
Пока не наступит день, когда безопасность станет высшим приоритетом, мы будем продолжать обнаруживать SQL инъекции в веб-приложениях, и не останемся без работы.
Подробнее: https://www.securitylab.ru/analytics/521491.php
https://www.securitylab.ru/analytics/521491.php
Mobile-Security-Framework-MobSF
Mobile Security Framework (MobSF) - это автоматизированное универсальное мобильное приложение (Android / iOS / Windows) для тестирования на проникновение, анализа вредоносных программ и оценки безопасности, способное выполнять статический и динамический анализ. MobSF поддерживает двоичные файлы мобильных приложений (APK, XAPK, IPA и APPX) вместе с заархивированным исходным кодом и предоставляет REST API для бесшовной интеграции с вашим CI / CD или конвейером DevSecOps. Dynamic Analyzer помогает выполнять оценку безопасности во время выполнения и интерактивное инструментальное тестирование.
https://github.com/MobSF/Mobile-Security-Framework-MobSF
Mobile Security Framework (MobSF) - это автоматизированное универсальное мобильное приложение (Android / iOS / Windows) для тестирования на проникновение, анализа вредоносных программ и оценки безопасности, способное выполнять статический и динамический анализ. MobSF поддерживает двоичные файлы мобильных приложений (APK, XAPK, IPA и APPX) вместе с заархивированным исходным кодом и предоставляет REST API для бесшовной интеграции с вашим CI / CD или конвейером DevSecOps. Dynamic Analyzer помогает выполнять оценку безопасности во время выполнения и интерактивное инструментальное тестирование.
https://github.com/MobSF/Mobile-Security-Framework-MobSF
GitHub
GitHub - MobSF/Mobile-Security-Framework-MobSF: Mobile Security Framework (MobSF) is an automated, all-in-one mobile application…
Mobile Security Framework (MobSF) is an automated, all-in-one mobile application (Android/iOS/Windows) pen-testing, malware analysis and security assessment framework capable of performing static a...
В этом видео вы узнаете как ускорить избыточное и регрессионное тестирование в 10 раз, а то и больше, и не надо знать для этого язык программирования, чтоб писать автоnесты. С помощью бесплаnной версии Burp Suite
https://www.youtube.com/watch?v=P3_xU_BNLoc
https://www.youtube.com/watch?v=P3_xU_BNLoc
YouTube
Как проводить регрессионное тестирование с бесплатным Burp Suite
Enjoy the videos and music you love, upload original content, and share it all with friends, family, and the world on YouTube.
Security Testing OWASP TOP 10 2021
Все чаще бизнес и его владельцы обращают внимание на кибербезопасность своих продуктов и соответственно, растет спрос на специалистов, которые знают методы защиты от атак злоумышленников и уязвимости на которые стоит обратить особое внимание.
Длительность курса: 7 занятий по 3 часа.
Занятия: ПН и ЧТ.
Группа: до 15 человек.
Место проведения: Общение через Google meet
Запись видео курса будет выслана на почту
Стоимость курса: 5900 грн
Старт курса: 13 сентября 2021 года
Подробности тут:
https://svyat.tech/OWASP-TOP-10-Training/
Все чаще бизнес и его владельцы обращают внимание на кибербезопасность своих продуктов и соответственно, растет спрос на специалистов, которые знают методы защиты от атак злоумышленников и уязвимости на которые стоит обратить особое внимание.
Длительность курса: 7 занятий по 3 часа.
Занятия: ПН и ЧТ.
Группа: до 15 человек.
Место проведения: Общение через Google meet
Запись видео курса будет выслана на почту
Стоимость курса: 5900 грн
Старт курса: 13 сентября 2021 года
Подробности тут:
https://svyat.tech/OWASP-TOP-10-Training/
бесплатный сервис для проверки видео на подлинность.
В эпоху deep fake грех не иметь под рукой такой сканер видосов, который проверяет их на наличие изменений, в том числе с применением ИИ.
https://deepware.ai/
В эпоху deep fake грех не иметь под рукой такой сканер видосов, который проверяет их на наличие изменений, в том числе с применением ИИ.
https://deepware.ai/
Глушилка Wi-Fi (деаутентификатор) в виде наручных часов https://s.click.aliexpress.com/e/_A9xPic
КАК ПОЛЬЗОВАТЬСЯ TCPDUMP
Утилита tcpdump - это очень мощный и популярный инструмент для перехвата и анализа сетевых пакетов. Она позволяет просматривать все входящие и исходящие из определенного интерфейса пакеты и работает в командной строке. Конечно, вы могли бы пользоваться Wirshark для анализа сетевых пакетов, это графическая утилита, но иногда бывают ситуации когда нужно работать только в терминале.
https://losst.ru/kak-polzovatsya-tcpdump
Утилита tcpdump - это очень мощный и популярный инструмент для перехвата и анализа сетевых пакетов. Она позволяет просматривать все входящие и исходящие из определенного интерфейса пакеты и работает в командной строке. Конечно, вы могли бы пользоваться Wirshark для анализа сетевых пакетов, это графическая утилита, но иногда бывают ситуации когда нужно работать только в терминале.
https://losst.ru/kak-polzovatsya-tcpdump
Как взломать пароль Windows 10 с помощью FakeLogonScreen в Kali Linux
Arris Huijgen разработал этот полезный инструмент, он использует преимущества обычного поведения среды Windows, отображает экран входа в систему, когда он выходит из спящего режима, и запрашивает ввод учетных данных. В то время этот инструмент искал фишинговые учетные данные Windows от цели, и сила этого инструмента появилась, когда он принимает только действительные учетные данные.
https://cyberguru.tech/%d1%85%d0%b0%d0%ba%d0%b8%d0%bd%d0%b3/%d0%ba%d0%b0%d0%ba-%d0%b2%d0%b7%d0%bb%d0%be%d0%bc%d0%b0%d1%82%d1%8c-%d0%bf%d0%b0%d1%80%d0%be%d0%bb%d1%8c-windows-10
Arris Huijgen разработал этот полезный инструмент, он использует преимущества обычного поведения среды Windows, отображает экран входа в систему, когда он выходит из спящего режима, и запрашивает ввод учетных данных. В то время этот инструмент искал фишинговые учетные данные Windows от цели, и сила этого инструмента появилась, когда он принимает только действительные учетные данные.
https://cyberguru.tech/%d1%85%d0%b0%d0%ba%d0%b8%d0%bd%d0%b3/%d0%ba%d0%b0%d0%ba-%d0%b2%d0%b7%d0%bb%d0%be%d0%bc%d0%b0%d1%82%d1%8c-%d0%bf%d0%b0%d1%80%d0%be%d0%bb%d1%8c-windows-10
XSS- и CSRF-атаки — разбираем уязвимости
В контексте веб-безопасности есть два основных вектора атаки, которые необходимо учитывать: XSS и CSRF. Прежде чем рассказать о них, необходимо понимать дефолтную политику браузера насчёт взаимодействия между вкладками — точнее, взаимодействия между скриптами с разным origin’ами. Эта политика называется Same Origin Policy (SOP). Её центральное понятие — Origin (~ источник) скрипта/документа. Он определяется комбинацией трёх понятий: протокола (http/https, etc.), хоста (my-website.com) и порта (например, 443 для https и 80 для http).
https://tproger.ru/articles/xss-i-csrf-ataki-razbiraem-ujazvimosti/
В контексте веб-безопасности есть два основных вектора атаки, которые необходимо учитывать: XSS и CSRF. Прежде чем рассказать о них, необходимо понимать дефолтную политику браузера насчёт взаимодействия между вкладками — точнее, взаимодействия между скриптами с разным origin’ами. Эта политика называется Same Origin Policy (SOP). Её центральное понятие — Origin (~ источник) скрипта/документа. Он определяется комбинацией трёх понятий: протокола (http/https, etc.), хоста (my-website.com) и порта (например, 443 для https и 80 для http).
https://tproger.ru/articles/xss-i-csrf-ataki-razbiraem-ujazvimosti/
Tproger
XSS- и CSRF-атаки — разбираем уязвимости вместе с экспертом
Рассказываем об уязвимостях #frontend-приложений XSS и CSRF, разбираем дефолтную политику браузера и пути её обхода или настройки
Проверка плагинов браузера на безопасность
Какими бы полезными ни были установленные плагины, стоит убедиться, что они полностью безопасны.
Различные дополнения к браузеру могут быть очень полезны. Для того чтобы сделать работу в Интернете более комфортной они добавляют новые функции, которые позволяют увеличить функционал и сделать работу в Интернете более удобной. Однако плагины представляют серьезную угрозу безопасности пользователей, поскольку им разрешено просматривать каждую страничку, которую они открывают в Интернете. В некоторых расширениях можно изменять ключевые настройки браузера и посылать данные об активности пользователей разработчикам ( или рекламодателям) в фоновом порядке без ведома владельца.
https://cryptoworld.su/proverka-plaginov-brauzera-na-bezopasnost/
Какими бы полезными ни были установленные плагины, стоит убедиться, что они полностью безопасны.
Различные дополнения к браузеру могут быть очень полезны. Для того чтобы сделать работу в Интернете более комфортной они добавляют новые функции, которые позволяют увеличить функционал и сделать работу в Интернете более удобной. Однако плагины представляют серьезную угрозу безопасности пользователей, поскольку им разрешено просматривать каждую страничку, которую они открывают в Интернете. В некоторых расширениях можно изменять ключевые настройки браузера и посылать данные об активности пользователей разработчикам ( или рекламодателям) в фоновом порядке без ведома владельца.
https://cryptoworld.su/proverka-plaginov-brauzera-na-bezopasnost/
Поиск уязвимостей в интернет-магазине товаров от Xiaomi
На сайте все еще не прикрыли уязвимости, так что вы сможете увидеть и потрогать их "вживую" - Фирменный интернет магазин Xiaomi в Севастополе и Крыму Mi-XX. Рассказываю я о них потому, что владелец не захотел нормально общаться, сначала заигнорив на почте, а потом и вовсе добавив меня в ЧС во ВКонтакте, ссылаясь на то, что пентестестом займется их программист (ну что ж, думаю, у него все получится).
https://codeby.net/threads/poisk-ujazvimostej-v-internet-magazine-tovarov-ot-xiaomi.72131/
На сайте все еще не прикрыли уязвимости, так что вы сможете увидеть и потрогать их "вживую" - Фирменный интернет магазин Xiaomi в Севастополе и Крыму Mi-XX. Рассказываю я о них потому, что владелец не захотел нормально общаться, сначала заигнорив на почте, а потом и вовсе добавив меня в ЧС во ВКонтакте, ссылаясь на то, что пентестестом займется их программист (ну что ж, думаю, у него все получится).
https://codeby.net/threads/poisk-ujazvimostej-v-internet-magazine-tovarov-ot-xiaomi.72131/
Modlishka - Reverse Proxy - Обходим 2FA
В этой статье я предлагаю рассмотреть метод кражи учетных данных пользователя, используя технологию reverse - proxy, которая позволит нам обойти двухфакторную аутентификацию.
Для этого мы будем использовать и настраивать инструмент, довольно известный в определенных кругах, под названием Modlishka.
https://protey.net/threads/phishing-modlishka-reverse-proxy-obxodim-2fa.559/
В этой статье я предлагаю рассмотреть метод кражи учетных данных пользователя, используя технологию reverse - proxy, которая позволит нам обойти двухфакторную аутентификацию.
Для этого мы будем использовать и настраивать инструмент, довольно известный в определенных кругах, под названием Modlishka.
https://protey.net/threads/phishing-modlishka-reverse-proxy-obxodim-2fa.559/