Сборка обучающего материала по пентесту API
👉 OWASP API Security Top 10 (на русском)
👉 HolyTips
👉 API-Audit-Checklist
👉 API Security Checklist
👉 OAuth 2.0 Threat Model Pentesting Checklist
👉 GraphQL Cheat Sheet
👉 REST Assessment Cheat Sheet
👉 REST Security Cheat Sheet
👉 API Security Encyclopedia
👉 OWASP API Security Top 10 (на русском)
👉 HolyTips
👉 API-Audit-Checklist
👉 API Security Checklist
👉 OAuth 2.0 Threat Model Pentesting Checklist
👉 GraphQL Cheat Sheet
👉 REST Assessment Cheat Sheet
👉 REST Security Cheat Sheet
👉 API Security Encyclopedia
Хабр
Перевод OWASP API Security Top 10
Эта статья - перевод OWASP API Security Top 10, опубликованного в 2019 году. Проект состоит из десяти наиболее актуальных рисков безопасности API. Полная версия документа на русском языке опубликована...
HackTheBox CTF "Monteverde" разбор Active Directory (Уровень: Средний)
https://codeby.net/threads/hackthebox-ctf-monteverde-razbor-active-directory-uroven-srednij.79341/
https://codeby.net/threads/hackthebox-ctf-monteverde-razbor-active-directory-uroven-srednij.79341/
Default-http-login-hunter.sh (cканер паролей по умолчанию)
В этой статье представлен новый и совершенно бесплатный сканер паролей для входа по умолчанию (default-http-login-hunter), который может быть полезен для тестировщиков на проникновение, аудиторов безопасности, а также для системных администраторов и сетевых администраторов.
https://cryptoworld.su/default-http-login-hunter-sh-ckaner-parolej-po-umolchaniyu/
В этой статье представлен новый и совершенно бесплатный сканер паролей для входа по умолчанию (default-http-login-hunter), который может быть полезен для тестировщиков на проникновение, аудиторов безопасности, а также для системных администраторов и сетевых администраторов.
https://cryptoworld.su/default-http-login-hunter-sh-ckaner-parolej-po-umolchaniyu/
Лабораторки для практики:
👉 Reflected XSS
👉 Stored XSS
👉 JWT
👉 RFI
👉 LFI
👉 Обход Captcha
👉 Обход панели входа админа
👉 CSP
👉 Open redirects
👉 Логические ошибки
👉 Есть еще большое на этом же сайте
👉 Reflected XSS
👉 Stored XSS
👉 JWT
👉 RFI
👉 LFI
👉 Обход Captcha
👉 Обход панели входа админа
👉 CSP
👉 Open redirects
👉 Логические ошибки
👉 Есть еще большое на этом же сайте
Большая подборка сервисов для пробива через соц сети
https://telegra.ph/Bolshaya-podborka-servisov-dlya-probiva-cherez-soc-seti-01-18
https://telegra.ph/Bolshaya-podborka-servisov-dlya-probiva-cherez-soc-seti-01-18
Телеграм-канал о тестировщиках для тестировщиков!
@QAcommunityNEWS
Присоединяйся!
- реальные кейсы: как продавать себя в ИТ-компанию?
- свежие новости QA;
- авторский контент!
- воркшопы;
- митапы;
- инфа по программам стажировки
- и искрометный профессиональный юмор.
@QAcommunityNEWS
Присоединяйся!
- реальные кейсы: как продавать себя в ИТ-компанию?
- свежие новости QA;
- авторский контент!
- воркшопы;
- митапы;
- инфа по программам стажировки
- и искрометный профессиональный юмор.
20 основных уязвимостей и неправильных конфигураций Microsoft Azure
Сегодня многие организации внедрили облачные технологии, такие как Microsoft Azure или Amazon Web Services (AWS), чтобы упростить управление своей ИТ-инфраструктурой и передать ее на аутсорсинг.
https://cryptoworld.su/20-osnovnyx-uyazvimostej-i-nepravilnyx-konfiguracij-microsoft-azure/
Сегодня многие организации внедрили облачные технологии, такие как Microsoft Azure или Amazon Web Services (AWS), чтобы упростить управление своей ИТ-инфраструктурой и передать ее на аутсорсинг.
https://cryptoworld.su/20-osnovnyx-uyazvimostej-i-nepravilnyx-konfiguracij-microsoft-azure/
Популярные словари для пентестинга
В этой статье пойдет речь о популярных словарях для тестирования на проникновение. Читатели узнают, какие списки слов лучше всего использовать при пентестинге.
https://cisoclub.ru/populyarnye-slovari-dlya-pentestinga/
В этой статье пойдет речь о популярных словарях для тестирования на проникновение. Читатели узнают, какие списки слов лучше всего использовать при пентестинге.
https://cisoclub.ru/populyarnye-slovari-dlya-pentestinga/
XSS, RCE, SQLi и Docker. Linux Hard HackTheBox EarlyAccess!
Продолжаем проходить лаборатории и CTF с сайта HackTheBox! В этой лаборатории мы разберём машину EarlyAccess (Linux - Web).
Сегодня мы применим уязвимости такие как SQLi, XSS и RCE, а так же рассмотрим повышение привилегий через Docker! Начинаем)
https://codeby.net/threads/xss-rce-sqli-i-docker-linux-hard-hackthebox-earlyaccess.79446/
Продолжаем проходить лаборатории и CTF с сайта HackTheBox! В этой лаборатории мы разберём машину EarlyAccess (Linux - Web).
Сегодня мы применим уязвимости такие как SQLi, XSS и RCE, а так же рассмотрим повышение привилегий через Docker! Начинаем)
https://codeby.net/threads/xss-rce-sqli-i-docker-linux-hard-hackthebox-earlyaccess.79446/
Отличный митам от OWASP Zhytomyr с Алексеем Барановским. Какие есть ресурсы для сертификации и стоит ли вообще сертифицироваться.
https://www.youtube.com/watch?v=FLsu2FCUkBA
https://www.youtube.com/watch?v=FLsu2FCUkBA
YouTube
OWASP Zhytomyr meetup 2022#1
OWASP Zhytomyr starts this year with a practical topic - gaining certifications: which one to choose, are they useful, and what the process is.
By the way, we have a special guest with a big amount of certifications from (ISC)², ISACA, EC-Council, CompTIA…
By the way, we have a special guest with a big amount of certifications from (ISC)², ISACA, EC-Council, CompTIA…
Burp Suite. Spider - Сканирование целевого оъекта
https://protey.net/threads/6-burp-suite-spider-skanirovanie-celevogo-oekta.136/
https://protey.net/threads/6-burp-suite-spider-skanirovanie-celevogo-oekta.136/
Руководство по XXE Injection
В данной статье пойдет речь об инъекции XXE. Читатели узнают о том, как правильно выполнить эту атаку и найти все возможные уязвимости системы.
https://cisoclub.ru/rukovodstvo-po-xxe-injection/
В данной статье пойдет речь об инъекции XXE. Читатели узнают о том, как правильно выполнить эту атаку и найти все возможные уязвимости системы.
https://cisoclub.ru/rukovodstvo-po-xxe-injection/
Всем привет, как все знают сегодня тяжелый день для Украины. Но главное не паникуйте!
Закидываю белый список инфо ресурсов для отслеживания информации по нынешним реалиям, не верьте фейкам, если кто-то (друзья, кумовья, сотрудники, родственники) вам заливает про какую-то жопу, лучше проверьте на сколько велика и правдива эта жопа. Эта война зависит не только от оружия, но и от информации, чтоб посеять панику у нашего народа Украины. Будьте сильными и спокойными, так как в таком равновесии вы будете действовать наиболее правильно!!! Берегите себя !!!
https://dou.ua/forums/topic/36655/
Закидываю белый список инфо ресурсов для отслеживания информации по нынешним реалиям, не верьте фейкам, если кто-то (друзья, кумовья, сотрудники, родственники) вам заливает про какую-то жопу, лучше проверьте на сколько велика и правдива эта жопа. Эта война зависит не только от оружия, но и от информации, чтоб посеять панику у нашего народа Украины. Будьте сильными и спокойными, так как в таком равновесии вы будете действовать наиболее правильно!!! Берегите себя !!!
https://dou.ua/forums/topic/36655/
DOU
Де відстежувати інформацію про події
Оскільки війна — гібридна, в інформаційному просторі також відбувається боротьба. Закликаємо вас не поширювати не перевірену інформацію.