Статья Пишем Bruteforce для панели PHPmyadmin с нуля: работаем, используя Python3
Доброго времени суток, коллеги, сегодня мы с вами будем писать небольшую программу для брутфорс атаки на панель авторизации, на замечательном языке Python3.
https://codeby.net/threads/pishem-bruteforce-dlja-paneli-phpmyadmin-s-nulja-rabotaem-ispolzuja-python3.74434/
Доброго времени суток, коллеги, сегодня мы с вами будем писать небольшую программу для брутфорс атаки на панель авторизации, на замечательном языке Python3.
https://codeby.net/threads/pishem-bruteforce-dlja-paneli-phpmyadmin-s-nulja-rabotaem-ispolzuja-python3.74434/
Многообразие Linux-дистрибутивов
Цель этой статьи показать и объяснить многообразие дистрибутивов Linux. Перечислить основные сходства (они же все почему-то называются "Линуксы" или даже правильнее GNU/Linux) и основные различия (если бы не было различий, их бы столько не существовало).
https://habr.com/ru/company/lanit/blog/562484/
Цель этой статьи показать и объяснить многообразие дистрибутивов Linux. Перечислить основные сходства (они же все почему-то называются "Линуксы" или даже правильнее GNU/Linux) и основные различия (если бы не было различий, их бы столько не существовало).
https://habr.com/ru/company/lanit/blog/562484/
Хабр
Многообразие Linux-дистрибутивов
Цель этой статьи показать и объяснить многообразие дистрибутивов Linux. Перечислить основные сходства (они же все почему-то называются "Линуксы" или даже правильнее GNU/Linux ) и основные различия...
Господа!!! Добрейшее утро и конечно же С Днём тестировщика🤘🥳
Поздравляю всех вас мастеров своего дела! Ваши «апрув» и «бэк ту дев» с успехом спасают продукты от провала, да что там уж продукты, можно сказать спасаете мир разработки от разрухи.
Пусть тестовая среда всегда работает стабильно!
Пусть инфы в логах хватает для определения в чем бага!
Пусть автотести падают только от найденых багов!
Чтоб не было дыр, через которые могу влезть к вам в проект!
Желаю вам, чтоб ваша работа всегда была для вас интересной, а также чтобы вы достигали желаемого профессионального роста и были всегда лучшими специалистами в своем важном и нелегком деле.
Еще раз с праздником, господа!
Поздравляю всех вас мастеров своего дела! Ваши «апрув» и «бэк ту дев» с успехом спасают продукты от провала, да что там уж продукты, можно сказать спасаете мир разработки от разрухи.
Пусть тестовая среда всегда работает стабильно!
Пусть инфы в логах хватает для определения в чем бага!
Пусть автотести падают только от найденых багов!
Чтоб не было дыр, через которые могу влезть к вам в проект!
Желаю вам, чтоб ваша работа всегда была для вас интересной, а также чтобы вы достигали желаемого профессионального роста и были всегда лучшими специалистами в своем важном и нелегком деле.
Еще раз с праздником, господа!
Подборка площадок, где можно поднять бабла за найденные уязвимости: 🤑
https://www.hackerone.com/
https://www.bugcrowd.com/
https://www.vulnerability-lab.com/
https://www.yeswehack.com/
https://www.intigriti.com/
https://www.synack.com/
https://bughunter.withgoogle.com/
https://google-gruyere.appspot.com/
https://www.facebook.com/whitehat
https://www.microsoft.com/en-us/msrc/bounty
https://internetbugbounty.org/
https://firebounty.com/
😉 Также у многих компаний есть программы вознаграждения за ошибки, но они жлобятся платить этим площадкам по 20к $ за то чтоб просто разместить себя на этой площадке. Как можно выяснить, поддерживается ли для сайта или приложения программа Bug Bounty? Ответ:
- это легко за пару запросов.
1) security.txt
Перейдя на какой-то из сайтов, добавте к нему через слеш security.txt. Пример example.com/security.txt
2) через поисковик
Можно использовать запросы с синтаксисом поиска в Google, например, inurl: / security /, intext: bug bounty и intext: reward или их объединение. Можно также настроить оповещение Google, используя эти и другие поисковые термины, чтобы получить простой, автоматизированный способ поиска новых программ для участия в пентестинге.
https://www.hackerone.com/
https://www.bugcrowd.com/
https://www.vulnerability-lab.com/
https://www.yeswehack.com/
https://www.intigriti.com/
https://www.synack.com/
https://bughunter.withgoogle.com/
https://google-gruyere.appspot.com/
https://www.facebook.com/whitehat
https://www.microsoft.com/en-us/msrc/bounty
https://internetbugbounty.org/
https://firebounty.com/
😉 Также у многих компаний есть программы вознаграждения за ошибки, но они жлобятся платить этим площадкам по 20к $ за то чтоб просто разместить себя на этой площадке. Как можно выяснить, поддерживается ли для сайта или приложения программа Bug Bounty? Ответ:
- это легко за пару запросов.
1) security.txt
Перейдя на какой-то из сайтов, добавте к нему через слеш security.txt. Пример example.com/security.txt
2) через поисковик
Можно использовать запросы с синтаксисом поиска в Google, например, inurl: / security /, intext: bug bounty и intext: reward или их объединение. Можно также настроить оповещение Google, используя эти и другие поисковые термины, чтобы получить простой, автоматизированный способ поиска новых программ для участия в пентестинге.
+1 площадка к выше указанному посту
https://hackenproof.com - сделанный украинским стартапом
Спасибо @dasha_korotkykh за наводку
https://hackenproof.com - сделанный украинским стартапом
Спасибо @dasha_korotkykh за наводку
HackenProof
HackenProof | Web3 Bug Bounty platform for Crypto Projects
HackenProof is a leading bug bounty platform in the web3 space. HackenProof’s primary aim is to offer crowdsourced services such as bug bounty programs, smart contract contests
Сказание о том, как Игорь начинал выполнять челленджи Hack the box
Приветствую тебя, читатель. Статья для начинающих про челленджи "Hack the box" с добавлением незначительного сюжета для повышения интереса и уровня восприятия людьми, которые в этой сфере мало что понимаю. Конкретно будем вести беседу о уровне "Easy" , Для мастеров форензики здесь будет не очень интересно.
https://codeby.net/threads/skazanie-o-tom-kak-igor-nachinal-vypolnjat-chellendzhi-htb.74543/
Приветствую тебя, читатель. Статья для начинающих про челленджи "Hack the box" с добавлением незначительного сюжета для повышения интереса и уровня восприятия людьми, которые в этой сфере мало что понимаю. Конкретно будем вести беседу о уровне "Easy" , Для мастеров форензики здесь будет не очень интересно.
https://codeby.net/threads/skazanie-o-tom-kak-igor-nachinal-vypolnjat-chellendzhi-htb.74543/
Meterpreter: Принцип работы. Stageless Payloads
Meterpreter - это гибкая, динамически расширяемая полезная нагрузка, которая использует стадии внедрения DLL в памяти и распространяется по сети во время выполнения. Он обменивается данными через промежуточный сокет и предоставляет комплексный клиентский Ruby API. В нем есть история команд, завершение вкладок, каналы и многое другое.
https://protey.net/threads/meterpreter-princip-raboty-stageless-payloads.677/
Meterpreter - это гибкая, динамически расширяемая полезная нагрузка, которая использует стадии внедрения DLL в памяти и распространяется по сети во время выполнения. Он обменивается данными через промежуточный сокет и предоставляет комплексный клиентский Ruby API. В нем есть история команд, завершение вкладок, каналы и многое другое.
https://protey.net/threads/meterpreter-princip-raboty-stageless-payloads.677/
Ищем профиль по имени пользователя (OSINT)
NExfil – это open source инструмент OSINT, написанный на языке python, для поиска профилей по имени пользователя. Указанные имена пользователей для поиска проверяются на более чем 350 сайтах в течение нескольких секунд. Целью создания этого инструмента было быстрое получение результатов при низком количестве ложных срабатываний.
https://itsecforu.ru/2021/08/27/%f0%9f%95%b5%ef%b8%8f-%d0%b8%d1%89%d1%91%d0%bc-%d0%bf%d1%80%d0%be%d1%84%d0%b8%d0%bb%d1%8c-%d0%bf%d0%be-%d0%b8%d0%bc%d0%b5%d0%bd%d0%b8-%d0%bf%d0%be%d0%bb%d1%8c%d0%b7%d0%be%d0%b2%d0%b0%d1%82%d0%b5%d0%bb/
NExfil – это open source инструмент OSINT, написанный на языке python, для поиска профилей по имени пользователя. Указанные имена пользователей для поиска проверяются на более чем 350 сайтах в течение нескольких секунд. Целью создания этого инструмента было быстрое получение результатов при низком количестве ложных срабатываний.
https://itsecforu.ru/2021/08/27/%f0%9f%95%b5%ef%b8%8f-%d0%b8%d1%89%d1%91%d0%bc-%d0%bf%d1%80%d0%be%d1%84%d0%b8%d0%bb%d1%8c-%d0%bf%d0%be-%d0%b8%d0%bc%d0%b5%d0%bd%d0%b8-%d0%bf%d0%be%d0%bb%d1%8c%d0%b7%d0%be%d0%b2%d0%b0%d1%82%d0%b5%d0%bb/
Тестирование на проникновение MSSQL с помощью Metasploit
Metasploit – это отличный фреймворк, разработанный H.D. Moore. Он представляет собой бесплатный инструмент для тестирования на проникновение. Программа является кроссплатформенной и имеет открытый исходный код, а также обладает целым рядом полезных функций. Она стала очень популярной, потому что профессионалы считают ее мощным инструментом для проведения аудита безопасности. Так оно и есть: у Metasploit множество функций, которые помогут пользователям защитить себя. Стоит отметить, что инструмент может инкапсулировать эксплойт, который обязательно понадобится пентестеру.
https://cisoclub.ru/testirovanie-na-proniknovenie-mssql-s-pomoshhyu-metasploit/
Metasploit – это отличный фреймворк, разработанный H.D. Moore. Он представляет собой бесплатный инструмент для тестирования на проникновение. Программа является кроссплатформенной и имеет открытый исходный код, а также обладает целым рядом полезных функций. Она стала очень популярной, потому что профессионалы считают ее мощным инструментом для проведения аудита безопасности. Так оно и есть: у Metasploit множество функций, которые помогут пользователям защитить себя. Стоит отметить, что инструмент может инкапсулировать эксплойт, который обязательно понадобится пентестеру.
https://cisoclub.ru/testirovanie-na-proniknovenie-mssql-s-pomoshhyu-metasploit/
CISOCLUB
Тестирование на проникновение MSSQL с помощью Metasploit | CISOCLUB
В этой статье пойдет речь о пентестинге MSSQL с помощью программы Metasploit. Читатели ближе познакомятся с характерными чертами и возможностями инструмента. Введение Metasploit – это отличный фреймворк, разработанный H.D. Moore. Он представляет собой бесплатный…
Security Testing OWASP TOP 10 Mobile
В качестве растущей тенденции в ИТ-индустрии на кибербезопасность разрабатываемых продуктов и экспоненциально увеличивает спрос на специалистов, которые разбираются в том какие методы защиты на атаки со стороны мошенников можно применить, дабы защитить себя от злоумышленников. В рамках тренинга, который состоит в общем из 8 часов, вы узнаете узкие места в мобильных приложениях на android (немного затроним и IOS), за основу взят рейтинг OWASP TOP 10 mobile. Вы не только узнаете о критических уязвимостях в теории, но и будете использовать каждый из них на практике, употребляя при этом различные инструменты. Это будет весело, встретимся там!
Старт курса: 1 Ноября 2021 года
Длительность курса: 4 занятий по 2 часа.
Занятия: ПН и ЧТ. в 18:00
Группа: до 10 человек. (осталось 5 мест)
Место проведения: Общение через Google meet
Запись видео курса будет выслана на почту
Стоимость курса: 3500 грн
Подробности тут:
https://svyat.tech/Pentest-Android-Application-Training/
В качестве растущей тенденции в ИТ-индустрии на кибербезопасность разрабатываемых продуктов и экспоненциально увеличивает спрос на специалистов, которые разбираются в том какие методы защиты на атаки со стороны мошенников можно применить, дабы защитить себя от злоумышленников. В рамках тренинга, который состоит в общем из 8 часов, вы узнаете узкие места в мобильных приложениях на android (немного затроним и IOS), за основу взят рейтинг OWASP TOP 10 mobile. Вы не только узнаете о критических уязвимостях в теории, но и будете использовать каждый из них на практике, употребляя при этом различные инструменты. Это будет весело, встретимся там!
Старт курса: 1 Ноября 2021 года
Длительность курса: 4 занятий по 2 часа.
Занятия: ПН и ЧТ. в 18:00
Группа: до 10 человек. (осталось 5 мест)
Место проведения: Общение через Google meet
Запись видео курса будет выслана на почту
Стоимость курса: 3500 грн
Подробности тут:
https://svyat.tech/Pentest-Android-Application-Training/
Комплексные инструменты OSINT. Сбор информации в сети.
Продолжим изучать инструменты полезные в деле поиска информации в сети. И сегодня поговорим не о каких-то инструментах которые позволяют решать какую-то конкретную задачу, в том смысле что ищут что-то одно, а о утилитах которые позволяют комплексно изучать объект и помогают анализировать разнообразную информацию, в зависимости от имеющихся исходных данных. Учитывая что OSINT штука творческая, иногда подобные инструменты бывают крайне полезны.
https://hacker-basement.ru/2021/08/24/instrumenty-osint-sbor-informacii-maryam/
Продолжим изучать инструменты полезные в деле поиска информации в сети. И сегодня поговорим не о каких-то инструментах которые позволяют решать какую-то конкретную задачу, в том смысле что ищут что-то одно, а о утилитах которые позволяют комплексно изучать объект и помогают анализировать разнообразную информацию, в зависимости от имеющихся исходных данных. Учитывая что OSINT штука творческая, иногда подобные инструменты бывают крайне полезны.
https://hacker-basement.ru/2021/08/24/instrumenty-osint-sbor-informacii-maryam/
🕵️ Что такое динамическое тестирование безопасности приложений (DAST)?
Анализа кода уже недостаточно для поиска уязвимостей при нынешнем разнообразии киберугроз – необходимо проверить приложение в близких к боевым условиях. Чтобы это сделать, можно воспользоваться методом черного ящика.
https://proglib.io/p/chto-takoe-dinamicheskoe-testirovanie-bezopasnosti-prilozheniy-dast-2021-09-02
Анализа кода уже недостаточно для поиска уязвимостей при нынешнем разнообразии киберугроз – необходимо проверить приложение в близких к боевым условиях. Чтобы это сделать, можно воспользоваться методом черного ящика.
https://proglib.io/p/chto-takoe-dinamicheskoe-testirovanie-bezopasnosti-prilozheniy-dast-2021-09-02
Черновая версия OWASP TOP 10 2021 и видео доклад от ребят
Ознакомиться на сайте с топиком тут - https://owasp.org/Top10/
Посмотреть видос можно тут - https://www.youtube.com/watch?v=7vihq1OVd1M
Ознакомиться на сайте с топиком тут - https://owasp.org/Top10/
Посмотреть видос можно тут - https://www.youtube.com/watch?v=7vihq1OVd1M
Прохождения Hack the box в видосе
Hack the box - наиболее приближенная среда для тренировок перед сдачей экзамена OSCP
https://www.youtube.com/watch?v=s80CpIfvPbs
Hack the box - наиболее приближенная среда для тренировок перед сдачей экзамена OSCP
https://www.youtube.com/watch?v=s80CpIfvPbs
Руководство по Fuzz Faster U Fool (ffuf)
В этой статье пойдет речь о том, как использовать Fuzz Faster U Fool (ffuf). Это полезный инструмент для фаззинга с открытым исходным кодом.
https://cisoclub.ru/rukovodstvo-po-fuzz-faster-u-fool-ffuf/
В этой статье пойдет речь о том, как использовать Fuzz Faster U Fool (ffuf). Это полезный инструмент для фаззинга с открытым исходным кодом.
https://cisoclub.ru/rukovodstvo-po-fuzz-faster-u-fool-ffuf/
Влад Стыран / Кибербезопасность / Персональная защита - Часть 1
https://www.youtube.com/watch?v=M3-pXr3sCnE
https://www.youtube.com/watch?v=M3-pXr3sCnE
YouTube
Влад Стыран / Кибербезопасность / Персональная защита - Часть 1
Часть 2: https://youtu.be/FclonPvI6ck
Если театр начинается с вешалки, то кибербезопасность с личной информационной гигиены
В первой части интервью с Владом Стыраном мы обсудили персональную кибербезопасность: основные угрозы, методы защиты и “Что делать?”…
Если театр начинается с вешалки, то кибербезопасность с личной информационной гигиены
В первой части интервью с Владом Стыраном мы обсудили персональную кибербезопасность: основные угрозы, методы защиты и “Что делать?”…
Анонимность в Kali Linux с помощью Tor и Proxychains
В сегодняшней статье мы вернемся к вопросу анонимности в сети при использовании Kali Linux. Первое, что приходит на ум при фразе «Анонимность в Kali Linux» — это Tor или VPN. И одно и другое не может гарантировать 100% анонимности. Далее я покажу, как добиться идеальной анонимности работая в Kali Linux.
https://spy-soft.net/kali-linux-anonymity-tor-proxychains/
В сегодняшней статье мы вернемся к вопросу анонимности в сети при использовании Kali Linux. Первое, что приходит на ум при фразе «Анонимность в Kali Linux» — это Tor или VPN. И одно и другое не может гарантировать 100% анонимности. Далее я покажу, как добиться идеальной анонимности работая в Kali Linux.
https://spy-soft.net/kali-linux-anonymity-tor-proxychains/