Security Testing OWASP TOP 10 Mobile
В качестве растущей тенденции в ИТ-индустрии на кибербезопасность разрабатываемых продуктов и экспоненциально увеличивает спрос на специалистов, которые разбираются в том какие методы защиты на атаки со стороны мошенников можно применить, дабы защитить себя от злоумышленников. В рамках тренинга, который состоит в общем из 8 часов, вы узнаете узкие места в мобильных приложениях на android (немного затроним и IOS), за основу взят рейтинг OWASP TOP 10 mobile. Вы не только узнаете о критических уязвимостях в теории, но и будете использовать каждый из них на практике, употребляя при этом различные инструменты. Это будет весело, встретимся там!
Старт курса: 1 Ноября 2021 года
Длительность курса: 4 занятий по 2 часа.
Занятия: ПН и ЧТ. в 18:00
Группа: до 10 человек. (осталось 5 мест)
Место проведения: Общение через Google meet
Запись видео курса будет выслана на почту
Стоимость курса: 3500 грн
Подробности тут:
https://svyat.tech/Pentest-Android-Application-Training/
В качестве растущей тенденции в ИТ-индустрии на кибербезопасность разрабатываемых продуктов и экспоненциально увеличивает спрос на специалистов, которые разбираются в том какие методы защиты на атаки со стороны мошенников можно применить, дабы защитить себя от злоумышленников. В рамках тренинга, который состоит в общем из 8 часов, вы узнаете узкие места в мобильных приложениях на android (немного затроним и IOS), за основу взят рейтинг OWASP TOP 10 mobile. Вы не только узнаете о критических уязвимостях в теории, но и будете использовать каждый из них на практике, употребляя при этом различные инструменты. Это будет весело, встретимся там!
Старт курса: 1 Ноября 2021 года
Длительность курса: 4 занятий по 2 часа.
Занятия: ПН и ЧТ. в 18:00
Группа: до 10 человек. (осталось 5 мест)
Место проведения: Общение через Google meet
Запись видео курса будет выслана на почту
Стоимость курса: 3500 грн
Подробности тут:
https://svyat.tech/Pentest-Android-Application-Training/
Комплексные инструменты OSINT. Сбор информации в сети.
Продолжим изучать инструменты полезные в деле поиска информации в сети. И сегодня поговорим не о каких-то инструментах которые позволяют решать какую-то конкретную задачу, в том смысле что ищут что-то одно, а о утилитах которые позволяют комплексно изучать объект и помогают анализировать разнообразную информацию, в зависимости от имеющихся исходных данных. Учитывая что OSINT штука творческая, иногда подобные инструменты бывают крайне полезны.
https://hacker-basement.ru/2021/08/24/instrumenty-osint-sbor-informacii-maryam/
Продолжим изучать инструменты полезные в деле поиска информации в сети. И сегодня поговорим не о каких-то инструментах которые позволяют решать какую-то конкретную задачу, в том смысле что ищут что-то одно, а о утилитах которые позволяют комплексно изучать объект и помогают анализировать разнообразную информацию, в зависимости от имеющихся исходных данных. Учитывая что OSINT штука творческая, иногда подобные инструменты бывают крайне полезны.
https://hacker-basement.ru/2021/08/24/instrumenty-osint-sbor-informacii-maryam/
🕵️ Что такое динамическое тестирование безопасности приложений (DAST)?
Анализа кода уже недостаточно для поиска уязвимостей при нынешнем разнообразии киберугроз – необходимо проверить приложение в близких к боевым условиях. Чтобы это сделать, можно воспользоваться методом черного ящика.
https://proglib.io/p/chto-takoe-dinamicheskoe-testirovanie-bezopasnosti-prilozheniy-dast-2021-09-02
Анализа кода уже недостаточно для поиска уязвимостей при нынешнем разнообразии киберугроз – необходимо проверить приложение в близких к боевым условиях. Чтобы это сделать, можно воспользоваться методом черного ящика.
https://proglib.io/p/chto-takoe-dinamicheskoe-testirovanie-bezopasnosti-prilozheniy-dast-2021-09-02
Черновая версия OWASP TOP 10 2021 и видео доклад от ребят
Ознакомиться на сайте с топиком тут - https://owasp.org/Top10/
Посмотреть видос можно тут - https://www.youtube.com/watch?v=7vihq1OVd1M
Ознакомиться на сайте с топиком тут - https://owasp.org/Top10/
Посмотреть видос можно тут - https://www.youtube.com/watch?v=7vihq1OVd1M
Прохождения Hack the box в видосе
Hack the box - наиболее приближенная среда для тренировок перед сдачей экзамена OSCP
https://www.youtube.com/watch?v=s80CpIfvPbs
Hack the box - наиболее приближенная среда для тренировок перед сдачей экзамена OSCP
https://www.youtube.com/watch?v=s80CpIfvPbs
Руководство по Fuzz Faster U Fool (ffuf)
В этой статье пойдет речь о том, как использовать Fuzz Faster U Fool (ffuf). Это полезный инструмент для фаззинга с открытым исходным кодом.
https://cisoclub.ru/rukovodstvo-po-fuzz-faster-u-fool-ffuf/
В этой статье пойдет речь о том, как использовать Fuzz Faster U Fool (ffuf). Это полезный инструмент для фаззинга с открытым исходным кодом.
https://cisoclub.ru/rukovodstvo-po-fuzz-faster-u-fool-ffuf/
Влад Стыран / Кибербезопасность / Персональная защита - Часть 1
https://www.youtube.com/watch?v=M3-pXr3sCnE
https://www.youtube.com/watch?v=M3-pXr3sCnE
YouTube
Влад Стыран / Кибербезопасность / Персональная защита - Часть 1
Часть 2: https://youtu.be/FclonPvI6ck
Если театр начинается с вешалки, то кибербезопасность с личной информационной гигиены
В первой части интервью с Владом Стыраном мы обсудили персональную кибербезопасность: основные угрозы, методы защиты и “Что делать?”…
Если театр начинается с вешалки, то кибербезопасность с личной информационной гигиены
В первой части интервью с Владом Стыраном мы обсудили персональную кибербезопасность: основные угрозы, методы защиты и “Что делать?”…
Анонимность в Kali Linux с помощью Tor и Proxychains
В сегодняшней статье мы вернемся к вопросу анонимности в сети при использовании Kali Linux. Первое, что приходит на ум при фразе «Анонимность в Kali Linux» — это Tor или VPN. И одно и другое не может гарантировать 100% анонимности. Далее я покажу, как добиться идеальной анонимности работая в Kali Linux.
https://spy-soft.net/kali-linux-anonymity-tor-proxychains/
В сегодняшней статье мы вернемся к вопросу анонимности в сети при использовании Kali Linux. Первое, что приходит на ум при фразе «Анонимность в Kali Linux» — это Tor или VPN. И одно и другое не может гарантировать 100% анонимности. Далее я покажу, как добиться идеальной анонимности работая в Kali Linux.
https://spy-soft.net/kali-linux-anonymity-tor-proxychains/
🇺🇦 Security QA pinned «Security Testing OWASP TOP 10 Mobile В качестве растущей тенденции в ИТ-индустрии на кибербезопасность разрабатываемых продуктов и экспоненциально увеличивает спрос на специалистов, которые разбираются в том какие методы защиты на атаки со стороны мошенников…»
XSpear - это XSS сканнер с открытым исходным кодом, также можно его затянуть в Burp Suite
https://github.com/hahwul/XSpear
https://github.com/hahwul/XSpear
Уязвимости при SMS-аутентификации + Кейсы
К SMS-аутентификации переходят очень многие B2C сервисы, так как - это просто для пользователя. Не нужно запоминать какие-либо пароли, просто ввёл номер, получил код и на этом все. Но при разработке допускаются множество ошибок, которые приводят к серьезным уязвимостям и самая критическая из них, это захват аккаунта любого пользователя, зная только его номер телефона.
https://codeby.net/threads/blog-nachinajuschego-bug-xantera-ujazvimosti-pri-sms-autentifikacii-kejsy-chast-3-1.73191/
К SMS-аутентификации переходят очень многие B2C сервисы, так как - это просто для пользователя. Не нужно запоминать какие-либо пароли, просто ввёл номер, получил код и на этом все. Но при разработке допускаются множество ошибок, которые приводят к серьезным уязвимостям и самая критическая из них, это захват аккаунта любого пользователя, зная только его номер телефона.
https://codeby.net/threads/blog-nachinajuschego-bug-xantera-ujazvimosti-pri-sms-autentifikacii-kejsy-chast-3-1.73191/
Как взломать пароль от zip-файла в Kali Linux?
Цель этой статьи – показать, как взломать пароль для zip-файла (архива) в Kali Linux. По умолчанию Kali включает инструменты для взлома паролей для этих сжатых архивов, а именно утилиту fcrackzip и словари. Показжем метод взлома взлома пароля к zip-архиву с помощью fcrackzip
https://itsecforu.ru/2021/09/24/%f0%9f%90%89-%d0%ba%d0%b0%d0%ba-%d0%b2%d0%b7%d0%bb%d0%be%d0%bc%d0%b0%d1%82%d1%8c-%d0%bf%d0%b0%d1%80%d0%be%d0%bb%d1%8c-%d0%be%d1%82-zip-%d1%84%d0%b0%d0%b9%d0%bb%d0%b0-%d0%b2-kali-linux/
Цель этой статьи – показать, как взломать пароль для zip-файла (архива) в Kali Linux. По умолчанию Kali включает инструменты для взлома паролей для этих сжатых архивов, а именно утилиту fcrackzip и словари. Показжем метод взлома взлома пароля к zip-архиву с помощью fcrackzip
https://itsecforu.ru/2021/09/24/%f0%9f%90%89-%d0%ba%d0%b0%d0%ba-%d0%b2%d0%b7%d0%bb%d0%be%d0%bc%d0%b0%d1%82%d1%8c-%d0%bf%d0%b0%d1%80%d0%be%d0%bb%d1%8c-%d0%be%d1%82-zip-%d1%84%d0%b0%d0%b9%d0%bb%d0%b0-%d0%b2-kali-linux/
Проникаем в сеть банка
https://telegra.ph/Pronikaem-v-set-banka-09-16
https://telegra.ph/Pronikaem-v-set-banka-chast-2-09-17
https://telegra.ph/Pronikaem-v-set-banka-09-16
https://telegra.ph/Pronikaem-v-set-banka-chast-2-09-17
Telegraph
Проникаем в сеть банка [часть 1]
Всем привет, блэчеры и пентестеры. В этой серии статтей мы разберем как взломать банк (хоть и не вымышленый, за то с реальными уязвимостями, можно поучится) на основе лабы (сейчас лаба не рабочая). КОРОЧЕ, меньше текста начнем ~Ограбление века~. Для проведения…
Взлом Android с помощью Evil Droid
Каждый день мы загружаем с веб-сайтов множество приложений, в надежде получить платные приложения - бесплатно. Но часто, у этих приложений есть бэкдоры, которые могут сливать хакерам все наши личные данные. Что ж, многие люди думают, что такое происходит очень редко, и не каждый - такой талантливый хакер, который способен такое реализовать.
Итак, давайте создадим вредоносное ПО для Android, с существующим приложением и взломаем Android с помощью Evil Droid.
https://telegra.ph/Vzlom-Android-s-pomoshchyu-Evil-Droid-10-04
Каждый день мы загружаем с веб-сайтов множество приложений, в надежде получить платные приложения - бесплатно. Но часто, у этих приложений есть бэкдоры, которые могут сливать хакерам все наши личные данные. Что ж, многие люди думают, что такое происходит очень редко, и не каждый - такой талантливый хакер, который способен такое реализовать.
Итак, давайте создадим вредоносное ПО для Android, с существующим приложением и взломаем Android с помощью Evil Droid.
https://telegra.ph/Vzlom-Android-s-pomoshchyu-Evil-Droid-10-04
Стресс-тест сети (DoS веб-сайта) со SlowHTTPTest в Kali Linux: slowloris, slow body и slow read атаки в одном инструменте
SlowHTTPTest — это имеющий множество настроек инструмент, симулирующие некоторые атаки отказа в обслуживании (DoS) уровня приложения. Он работает на большинстве платформ Linux, OSX и Cygwin (Unix-подобное окружение и интерфейс командной строки для Microsoft Windows).
https://codeby.net/threads/stress-test-seti-dos-veb-sajta-so-slowhttptest-v-kali-linux-slowloris-slow-body-i-slow-read-ataki-v-odnom-instrumente.70068/
SlowHTTPTest — это имеющий множество настроек инструмент, симулирующие некоторые атаки отказа в обслуживании (DoS) уровня приложения. Он работает на большинстве платформ Linux, OSX и Cygwin (Unix-подобное окружение и интерфейс командной строки для Microsoft Windows).
https://codeby.net/threads/stress-test-seti-dos-veb-sajta-so-slowhttptest-v-kali-linux-slowloris-slow-body-i-slow-read-ataki-v-odnom-instrumente.70068/
MOBEXLER - специальная ОС на основе Linux Ubuntu 18 для пентеста IOS и Android, в ней предустановленныt все приложухи для проверки на безопасность как IOS, так и Android приложений.
https://mobexler.com/setup.htm
https://mobexler.com/setup.htm
ZANTI - набор инструментов для пентестинга на Android
Этот инструмент может взламывать пароли на Android, а также изменять HTTP-запросы и ответы. Может производить взлом беспроводных сетей через ваш телефон на Android.
https://telegra.ph/ZANTI---nabor-instrumentov-dlya-pentestinga-na-Android-10-06
Этот инструмент может взламывать пароли на Android, а также изменять HTTP-запросы и ответы. Может производить взлом беспроводных сетей через ваш телефон на Android.
https://telegra.ph/ZANTI---nabor-instrumentov-dlya-pentestinga-na-Android-10-06
👍1
10 поисковых систем используемых хакерами
Мы все используем поисковые системы в повседневной жизни, будь то поиск рецепта или выполнение задания или какой-то другой задачи, но задумывались ли вы, какие инструменты и поисковые системы в Интернете могут использовать хакеры для обнаружения уязвимостей системы через Интернет. Хакерская поисковая система в Интернете немного отличается от нашей, обычной поисковой системы, потому что она может предоставлять доступ ко всем без исключения ресурсам Интернета, включая ресурсы Deep Web, такие как Shodan, Hunter Search Engine.
https://telegra.ph/10-poiskovyh-sistem-ispolzuemyh-hakerami-10-03
Мы все используем поисковые системы в повседневной жизни, будь то поиск рецепта или выполнение задания или какой-то другой задачи, но задумывались ли вы, какие инструменты и поисковые системы в Интернете могут использовать хакеры для обнаружения уязвимостей системы через Интернет. Хакерская поисковая система в Интернете немного отличается от нашей, обычной поисковой системы, потому что она может предоставлять доступ ко всем без исключения ресурсам Интернета, включая ресурсы Deep Web, такие как Shodan, Hunter Search Engine.
https://telegra.ph/10-poiskovyh-sistem-ispolzuemyh-hakerami-10-03