Тестирование на проникновение MSSQL с помощью Metasploit
Metasploit – это отличный фреймворк, разработанный H.D. Moore. Он представляет собой бесплатный инструмент для тестирования на проникновение. Программа является кроссплатформенной и имеет открытый исходный код, а также обладает целым рядом полезных функций. Она стала очень популярной, потому что профессионалы считают ее мощным инструментом для проведения аудита безопасности. Так оно и есть: у Metasploit множество функций, которые помогут пользователям защитить себя. Стоит отметить, что инструмент может инкапсулировать эксплойт, который обязательно понадобится пентестеру.
https://cisoclub.ru/testirovanie-na-proniknovenie-mssql-s-pomoshhyu-metasploit/
Metasploit – это отличный фреймворк, разработанный H.D. Moore. Он представляет собой бесплатный инструмент для тестирования на проникновение. Программа является кроссплатформенной и имеет открытый исходный код, а также обладает целым рядом полезных функций. Она стала очень популярной, потому что профессионалы считают ее мощным инструментом для проведения аудита безопасности. Так оно и есть: у Metasploit множество функций, которые помогут пользователям защитить себя. Стоит отметить, что инструмент может инкапсулировать эксплойт, который обязательно понадобится пентестеру.
https://cisoclub.ru/testirovanie-na-proniknovenie-mssql-s-pomoshhyu-metasploit/
CISOCLUB
Тестирование на проникновение MSSQL с помощью Metasploit | CISOCLUB
В этой статье пойдет речь о пентестинге MSSQL с помощью программы Metasploit. Читатели ближе познакомятся с характерными чертами и возможностями инструмента. Введение Metasploit – это отличный фреймворк, разработанный H.D. Moore. Он представляет собой бесплатный…
Security Testing OWASP TOP 10 Mobile
В качестве растущей тенденции в ИТ-индустрии на кибербезопасность разрабатываемых продуктов и экспоненциально увеличивает спрос на специалистов, которые разбираются в том какие методы защиты на атаки со стороны мошенников можно применить, дабы защитить себя от злоумышленников. В рамках тренинга, который состоит в общем из 8 часов, вы узнаете узкие места в мобильных приложениях на android (немного затроним и IOS), за основу взят рейтинг OWASP TOP 10 mobile. Вы не только узнаете о критических уязвимостях в теории, но и будете использовать каждый из них на практике, употребляя при этом различные инструменты. Это будет весело, встретимся там!
Старт курса: 1 Ноября 2021 года
Длительность курса: 4 занятий по 2 часа.
Занятия: ПН и ЧТ. в 18:00
Группа: до 10 человек. (осталось 5 мест)
Место проведения: Общение через Google meet
Запись видео курса будет выслана на почту
Стоимость курса: 3500 грн
Подробности тут:
https://svyat.tech/Pentest-Android-Application-Training/
В качестве растущей тенденции в ИТ-индустрии на кибербезопасность разрабатываемых продуктов и экспоненциально увеличивает спрос на специалистов, которые разбираются в том какие методы защиты на атаки со стороны мошенников можно применить, дабы защитить себя от злоумышленников. В рамках тренинга, который состоит в общем из 8 часов, вы узнаете узкие места в мобильных приложениях на android (немного затроним и IOS), за основу взят рейтинг OWASP TOP 10 mobile. Вы не только узнаете о критических уязвимостях в теории, но и будете использовать каждый из них на практике, употребляя при этом различные инструменты. Это будет весело, встретимся там!
Старт курса: 1 Ноября 2021 года
Длительность курса: 4 занятий по 2 часа.
Занятия: ПН и ЧТ. в 18:00
Группа: до 10 человек. (осталось 5 мест)
Место проведения: Общение через Google meet
Запись видео курса будет выслана на почту
Стоимость курса: 3500 грн
Подробности тут:
https://svyat.tech/Pentest-Android-Application-Training/
Комплексные инструменты OSINT. Сбор информации в сети.
Продолжим изучать инструменты полезные в деле поиска информации в сети. И сегодня поговорим не о каких-то инструментах которые позволяют решать какую-то конкретную задачу, в том смысле что ищут что-то одно, а о утилитах которые позволяют комплексно изучать объект и помогают анализировать разнообразную информацию, в зависимости от имеющихся исходных данных. Учитывая что OSINT штука творческая, иногда подобные инструменты бывают крайне полезны.
https://hacker-basement.ru/2021/08/24/instrumenty-osint-sbor-informacii-maryam/
Продолжим изучать инструменты полезные в деле поиска информации в сети. И сегодня поговорим не о каких-то инструментах которые позволяют решать какую-то конкретную задачу, в том смысле что ищут что-то одно, а о утилитах которые позволяют комплексно изучать объект и помогают анализировать разнообразную информацию, в зависимости от имеющихся исходных данных. Учитывая что OSINT штука творческая, иногда подобные инструменты бывают крайне полезны.
https://hacker-basement.ru/2021/08/24/instrumenty-osint-sbor-informacii-maryam/
🕵️ Что такое динамическое тестирование безопасности приложений (DAST)?
Анализа кода уже недостаточно для поиска уязвимостей при нынешнем разнообразии киберугроз – необходимо проверить приложение в близких к боевым условиях. Чтобы это сделать, можно воспользоваться методом черного ящика.
https://proglib.io/p/chto-takoe-dinamicheskoe-testirovanie-bezopasnosti-prilozheniy-dast-2021-09-02
Анализа кода уже недостаточно для поиска уязвимостей при нынешнем разнообразии киберугроз – необходимо проверить приложение в близких к боевым условиях. Чтобы это сделать, можно воспользоваться методом черного ящика.
https://proglib.io/p/chto-takoe-dinamicheskoe-testirovanie-bezopasnosti-prilozheniy-dast-2021-09-02
Черновая версия OWASP TOP 10 2021 и видео доклад от ребят
Ознакомиться на сайте с топиком тут - https://owasp.org/Top10/
Посмотреть видос можно тут - https://www.youtube.com/watch?v=7vihq1OVd1M
Ознакомиться на сайте с топиком тут - https://owasp.org/Top10/
Посмотреть видос можно тут - https://www.youtube.com/watch?v=7vihq1OVd1M
Прохождения Hack the box в видосе
Hack the box - наиболее приближенная среда для тренировок перед сдачей экзамена OSCP
https://www.youtube.com/watch?v=s80CpIfvPbs
Hack the box - наиболее приближенная среда для тренировок перед сдачей экзамена OSCP
https://www.youtube.com/watch?v=s80CpIfvPbs
Руководство по Fuzz Faster U Fool (ffuf)
В этой статье пойдет речь о том, как использовать Fuzz Faster U Fool (ffuf). Это полезный инструмент для фаззинга с открытым исходным кодом.
https://cisoclub.ru/rukovodstvo-po-fuzz-faster-u-fool-ffuf/
В этой статье пойдет речь о том, как использовать Fuzz Faster U Fool (ffuf). Это полезный инструмент для фаззинга с открытым исходным кодом.
https://cisoclub.ru/rukovodstvo-po-fuzz-faster-u-fool-ffuf/
Влад Стыран / Кибербезопасность / Персональная защита - Часть 1
https://www.youtube.com/watch?v=M3-pXr3sCnE
https://www.youtube.com/watch?v=M3-pXr3sCnE
YouTube
Влад Стыран / Кибербезопасность / Персональная защита - Часть 1
Часть 2: https://youtu.be/FclonPvI6ck
Если театр начинается с вешалки, то кибербезопасность с личной информационной гигиены
В первой части интервью с Владом Стыраном мы обсудили персональную кибербезопасность: основные угрозы, методы защиты и “Что делать?”…
Если театр начинается с вешалки, то кибербезопасность с личной информационной гигиены
В первой части интервью с Владом Стыраном мы обсудили персональную кибербезопасность: основные угрозы, методы защиты и “Что делать?”…
Анонимность в Kali Linux с помощью Tor и Proxychains
В сегодняшней статье мы вернемся к вопросу анонимности в сети при использовании Kali Linux. Первое, что приходит на ум при фразе «Анонимность в Kali Linux» — это Tor или VPN. И одно и другое не может гарантировать 100% анонимности. Далее я покажу, как добиться идеальной анонимности работая в Kali Linux.
https://spy-soft.net/kali-linux-anonymity-tor-proxychains/
В сегодняшней статье мы вернемся к вопросу анонимности в сети при использовании Kali Linux. Первое, что приходит на ум при фразе «Анонимность в Kali Linux» — это Tor или VPN. И одно и другое не может гарантировать 100% анонимности. Далее я покажу, как добиться идеальной анонимности работая в Kali Linux.
https://spy-soft.net/kali-linux-anonymity-tor-proxychains/
🇺🇦 Security QA pinned «Security Testing OWASP TOP 10 Mobile В качестве растущей тенденции в ИТ-индустрии на кибербезопасность разрабатываемых продуктов и экспоненциально увеличивает спрос на специалистов, которые разбираются в том какие методы защиты на атаки со стороны мошенников…»
XSpear - это XSS сканнер с открытым исходным кодом, также можно его затянуть в Burp Suite
https://github.com/hahwul/XSpear
https://github.com/hahwul/XSpear
Уязвимости при SMS-аутентификации + Кейсы
К SMS-аутентификации переходят очень многие B2C сервисы, так как - это просто для пользователя. Не нужно запоминать какие-либо пароли, просто ввёл номер, получил код и на этом все. Но при разработке допускаются множество ошибок, которые приводят к серьезным уязвимостям и самая критическая из них, это захват аккаунта любого пользователя, зная только его номер телефона.
https://codeby.net/threads/blog-nachinajuschego-bug-xantera-ujazvimosti-pri-sms-autentifikacii-kejsy-chast-3-1.73191/
К SMS-аутентификации переходят очень многие B2C сервисы, так как - это просто для пользователя. Не нужно запоминать какие-либо пароли, просто ввёл номер, получил код и на этом все. Но при разработке допускаются множество ошибок, которые приводят к серьезным уязвимостям и самая критическая из них, это захват аккаунта любого пользователя, зная только его номер телефона.
https://codeby.net/threads/blog-nachinajuschego-bug-xantera-ujazvimosti-pri-sms-autentifikacii-kejsy-chast-3-1.73191/
Как взломать пароль от zip-файла в Kali Linux?
Цель этой статьи – показать, как взломать пароль для zip-файла (архива) в Kali Linux. По умолчанию Kali включает инструменты для взлома паролей для этих сжатых архивов, а именно утилиту fcrackzip и словари. Показжем метод взлома взлома пароля к zip-архиву с помощью fcrackzip
https://itsecforu.ru/2021/09/24/%f0%9f%90%89-%d0%ba%d0%b0%d0%ba-%d0%b2%d0%b7%d0%bb%d0%be%d0%bc%d0%b0%d1%82%d1%8c-%d0%bf%d0%b0%d1%80%d0%be%d0%bb%d1%8c-%d0%be%d1%82-zip-%d1%84%d0%b0%d0%b9%d0%bb%d0%b0-%d0%b2-kali-linux/
Цель этой статьи – показать, как взломать пароль для zip-файла (архива) в Kali Linux. По умолчанию Kali включает инструменты для взлома паролей для этих сжатых архивов, а именно утилиту fcrackzip и словари. Показжем метод взлома взлома пароля к zip-архиву с помощью fcrackzip
https://itsecforu.ru/2021/09/24/%f0%9f%90%89-%d0%ba%d0%b0%d0%ba-%d0%b2%d0%b7%d0%bb%d0%be%d0%bc%d0%b0%d1%82%d1%8c-%d0%bf%d0%b0%d1%80%d0%be%d0%bb%d1%8c-%d0%be%d1%82-zip-%d1%84%d0%b0%d0%b9%d0%bb%d0%b0-%d0%b2-kali-linux/
Проникаем в сеть банка
https://telegra.ph/Pronikaem-v-set-banka-09-16
https://telegra.ph/Pronikaem-v-set-banka-chast-2-09-17
https://telegra.ph/Pronikaem-v-set-banka-09-16
https://telegra.ph/Pronikaem-v-set-banka-chast-2-09-17
Telegraph
Проникаем в сеть банка [часть 1]
Всем привет, блэчеры и пентестеры. В этой серии статтей мы разберем как взломать банк (хоть и не вымышленый, за то с реальными уязвимостями, можно поучится) на основе лабы (сейчас лаба не рабочая). КОРОЧЕ, меньше текста начнем ~Ограбление века~. Для проведения…
Взлом Android с помощью Evil Droid
Каждый день мы загружаем с веб-сайтов множество приложений, в надежде получить платные приложения - бесплатно. Но часто, у этих приложений есть бэкдоры, которые могут сливать хакерам все наши личные данные. Что ж, многие люди думают, что такое происходит очень редко, и не каждый - такой талантливый хакер, который способен такое реализовать.
Итак, давайте создадим вредоносное ПО для Android, с существующим приложением и взломаем Android с помощью Evil Droid.
https://telegra.ph/Vzlom-Android-s-pomoshchyu-Evil-Droid-10-04
Каждый день мы загружаем с веб-сайтов множество приложений, в надежде получить платные приложения - бесплатно. Но часто, у этих приложений есть бэкдоры, которые могут сливать хакерам все наши личные данные. Что ж, многие люди думают, что такое происходит очень редко, и не каждый - такой талантливый хакер, который способен такое реализовать.
Итак, давайте создадим вредоносное ПО для Android, с существующим приложением и взломаем Android с помощью Evil Droid.
https://telegra.ph/Vzlom-Android-s-pomoshchyu-Evil-Droid-10-04
Стресс-тест сети (DoS веб-сайта) со SlowHTTPTest в Kali Linux: slowloris, slow body и slow read атаки в одном инструменте
SlowHTTPTest — это имеющий множество настроек инструмент, симулирующие некоторые атаки отказа в обслуживании (DoS) уровня приложения. Он работает на большинстве платформ Linux, OSX и Cygwin (Unix-подобное окружение и интерфейс командной строки для Microsoft Windows).
https://codeby.net/threads/stress-test-seti-dos-veb-sajta-so-slowhttptest-v-kali-linux-slowloris-slow-body-i-slow-read-ataki-v-odnom-instrumente.70068/
SlowHTTPTest — это имеющий множество настроек инструмент, симулирующие некоторые атаки отказа в обслуживании (DoS) уровня приложения. Он работает на большинстве платформ Linux, OSX и Cygwin (Unix-подобное окружение и интерфейс командной строки для Microsoft Windows).
https://codeby.net/threads/stress-test-seti-dos-veb-sajta-so-slowhttptest-v-kali-linux-slowloris-slow-body-i-slow-read-ataki-v-odnom-instrumente.70068/
MOBEXLER - специальная ОС на основе Linux Ubuntu 18 для пентеста IOS и Android, в ней предустановленныt все приложухи для проверки на безопасность как IOS, так и Android приложений.
https://mobexler.com/setup.htm
https://mobexler.com/setup.htm
ZANTI - набор инструментов для пентестинга на Android
Этот инструмент может взламывать пароли на Android, а также изменять HTTP-запросы и ответы. Может производить взлом беспроводных сетей через ваш телефон на Android.
https://telegra.ph/ZANTI---nabor-instrumentov-dlya-pentestinga-na-Android-10-06
Этот инструмент может взламывать пароли на Android, а также изменять HTTP-запросы и ответы. Может производить взлом беспроводных сетей через ваш телефон на Android.
https://telegra.ph/ZANTI---nabor-instrumentov-dlya-pentestinga-na-Android-10-06
👍1