Список ресурсів де можно скачати відкриті зливи та бази
1. databases.today — архів баз банків, сайтів, додатків
2. @basetelega — витоку, компанії, парсинг відкритих джерел
3. ebaza.pro (r) — є email, телефонні номери, фіз. особи, підприємства, бази доменів та інші
4. xss.is — список баз, 3,5B записів, 52 бази
5. @leaks_database — агрегатор публічних витоків
6. @BreachedData —витоку сайтів, додатків, соц. мереж, форумів та ін.
7. @opendataleaks — дампи сайтів шкіл, судів, інститутів, форумів по всьому світу
8. @fuckeddb — дампи сайтів, програм, соціальних мереж, шкіл, судів, інститутів, державних ресурсів, форумів по всьому світу
9. @DWI_OFFICIAL — витоку сайтів, додатків, бази паспортів та інше
10. @FriendlyLemon — витік Facebook для всіх країн
List of resources where you can download open showers and databases
1. databases.today - archive of databases of banks, sites, applications
2. @basetelega - leaks, companies, open source parsing
3. ebaza.pro (r) - there is an email, phone numbers, physical. individuals, enterprises, domain databases and others
4. xss.is - list of databases, 3.5B records, 52 databases
5. @leaks_database - aggregator of public sources
6. @BreachedData —leakage of sites, applications, social. networks, forums, etc.
7. @opendataleaks - dumps sites of schools, courts, institutes, forums around the world
8. @fuckeddb - dumps sites, programs, social networks, schools, courts, institutes, government resources, forums around the world
9. @DWI_OFFICIAL - leakage of sites, applications, database of passports and more
10. @FriendlyLemon - Facebook leak for all countries
1. databases.today — архів баз банків, сайтів, додатків
2. @basetelega — витоку, компанії, парсинг відкритих джерел
3. ebaza.pro (r) — є email, телефонні номери, фіз. особи, підприємства, бази доменів та інші
4. xss.is — список баз, 3,5B записів, 52 бази
5. @leaks_database — агрегатор публічних витоків
6. @BreachedData —витоку сайтів, додатків, соц. мереж, форумів та ін.
7. @opendataleaks — дампи сайтів шкіл, судів, інститутів, форумів по всьому світу
8. @fuckeddb — дампи сайтів, програм, соціальних мереж, шкіл, судів, інститутів, державних ресурсів, форумів по всьому світу
9. @DWI_OFFICIAL — витоку сайтів, додатків, бази паспортів та інше
10. @FriendlyLemon — витік Facebook для всіх країн
List of resources where you can download open showers and databases
1. databases.today - archive of databases of banks, sites, applications
2. @basetelega - leaks, companies, open source parsing
3. ebaza.pro (r) - there is an email, phone numbers, physical. individuals, enterprises, domain databases and others
4. xss.is - list of databases, 3.5B records, 52 databases
5. @leaks_database - aggregator of public sources
6. @BreachedData —leakage of sites, applications, social. networks, forums, etc.
7. @opendataleaks - dumps sites of schools, courts, institutes, forums around the world
8. @fuckeddb - dumps sites, programs, social networks, schools, courts, institutes, government resources, forums around the world
9. @DWI_OFFICIAL - leakage of sites, applications, database of passports and more
10. @FriendlyLemon - Facebook leak for all countries
Forwarded from Держспецзв’язку
⚡️Як посилити кіберзахист від рф: рекомендації Держспецзв’язку приватним компаніям
✅ Інвестуйте у найпростіші способи захисту
Найпопулярнішими методами кібератак російських військових хакерів є:
▪️фішингові розсилання, внаслідок яких вони можуть отримати облікові дані для доступу до інформаційних систем;
▪️розсилання шкідливого програмного забезпечення, яке спрямоване на викрадення даних або знищення інфраструктури;
▪️ використання відомих вразливостей.
Убезпечитись або мінімізувати ризики цих кібератак можна завдяки дотриманню правил кібергігієни, відповідальному ставленню до політики використання паролів, вчасному оновленню програмного забезпечення.
✅ Вивчайте слабкі місця вашого кіберзахисту та укріплюйте їх
Хакери постійно здійснюють розвідувальні операції в Україні, знаходять найслабші місця у захисті компаній та атакують через них. Не існує на 100% захищених систем. Проте що менше коштуватиме хакерам злом вашої системи, то вищою буде їхня мотивація.
✅ Безпека компанії залежить від кожного працівника
Хакери можуть атакувати компанію чи установу і через співробітників, викравши їхні дані. В особливій небезпеці – військові та державні діячі. Для цих категорій людей кібергігієна має стати звичкою No1.
✅ Фізична безпека користувачів критичної інформаційної інфраструктури така ж важлива, як і захист їхніх облікових записів
Російські хакери можуть використовувати облікові дані користувачів, які перебувають на тимчасово окупованих територіях. Компанії, особливо з-поміж критичної інфраструктури, мають усвідомлювати, що фізична безпека їхніх працівників – це також інвестиція в їхній кіберзахист.
✔️Нагадаємо, що Держспецзв'язку спільно з колективами найкращих українських компаній з кібербезпеки та провідними світовими виробниками рішень запровадила ешелонований кіберзахист для держави та бізнесу. Будь-яка компанія в Україні може звернутись до CERT-UA і отримати адресну допомогу в захисті від DDоS-атак, моніторингу безпеки, міграції в хмарні середовища, розгортанні сучасних систем захисту від кіберзагроз ваших робочих станцій і серверів тощо.
✅ Інвестуйте у найпростіші способи захисту
Найпопулярнішими методами кібератак російських військових хакерів є:
▪️фішингові розсилання, внаслідок яких вони можуть отримати облікові дані для доступу до інформаційних систем;
▪️розсилання шкідливого програмного забезпечення, яке спрямоване на викрадення даних або знищення інфраструктури;
▪️ використання відомих вразливостей.
Убезпечитись або мінімізувати ризики цих кібератак можна завдяки дотриманню правил кібергігієни, відповідальному ставленню до політики використання паролів, вчасному оновленню програмного забезпечення.
✅ Вивчайте слабкі місця вашого кіберзахисту та укріплюйте їх
Хакери постійно здійснюють розвідувальні операції в Україні, знаходять найслабші місця у захисті компаній та атакують через них. Не існує на 100% захищених систем. Проте що менше коштуватиме хакерам злом вашої системи, то вищою буде їхня мотивація.
✅ Безпека компанії залежить від кожного працівника
Хакери можуть атакувати компанію чи установу і через співробітників, викравши їхні дані. В особливій небезпеці – військові та державні діячі. Для цих категорій людей кібергігієна має стати звичкою No1.
✅ Фізична безпека користувачів критичної інформаційної інфраструктури така ж важлива, як і захист їхніх облікових записів
Російські хакери можуть використовувати облікові дані користувачів, які перебувають на тимчасово окупованих територіях. Компанії, особливо з-поміж критичної інфраструктури, мають усвідомлювати, що фізична безпека їхніх працівників – це також інвестиція в їхній кіберзахист.
✔️Нагадаємо, що Держспецзв'язку спільно з колективами найкращих українських компаній з кібербезпеки та провідними світовими виробниками рішень запровадила ешелонований кіберзахист для держави та бізнесу. Будь-яка компанія в Україні може звернутись до CERT-UA і отримати адресну допомогу в захисті від DDоS-атак, моніторингу безпеки, міграції в хмарні середовища, розгортанні сучасних систем захисту від кіберзагроз ваших робочих станцій і серверів тощо.
📡 Сервіси супутників / Companion services
👉 Observer - http://observer.farearth.com/observer/
👉 USGS Earth Explorer - https://earthexplorer.usgs.gov
👉 Landviewer - https://eos.com/products/landviewer/
👉 Copernicus Open Access Hub - https://scihub.copernicus.eu/
👉 Sentinel Hub EO Browser - https://apps.sentinel-hub.com/eo-browser/
👉 Sentinel Hub Playground - https://search.earthdata.nasa.gov/
👉 NASA Earthdata Search - https://search.earthdata.nasa.gov/
👉 INPE Image Catalog - http://www.dgi.inpe.br/catalogo/👉 NOAA Data Access Viewer - https://coast.noaa.gov/dataviewer/#/
👉 NASA WorldView - https://worldview.earthdata.nasa.gov/
👉 ALOS - https://www.eorc.jaxa.jp/ALOS/jp/alos-4/a4_about_j.htm
👉 Bhuvan - https://bhuvan.nrsc.gov.in/home/index.php
👉 Observer - http://observer.farearth.com/observer/
👉 USGS Earth Explorer - https://earthexplorer.usgs.gov
👉 Landviewer - https://eos.com/products/landviewer/
👉 Copernicus Open Access Hub - https://scihub.copernicus.eu/
👉 Sentinel Hub EO Browser - https://apps.sentinel-hub.com/eo-browser/
👉 Sentinel Hub Playground - https://search.earthdata.nasa.gov/
👉 NASA Earthdata Search - https://search.earthdata.nasa.gov/
👉 INPE Image Catalog - http://www.dgi.inpe.br/catalogo/👉 NOAA Data Access Viewer - https://coast.noaa.gov/dataviewer/#/
👉 NASA WorldView - https://worldview.earthdata.nasa.gov/
👉 ALOS - https://www.eorc.jaxa.jp/ALOS/jp/alos-4/a4_about_j.htm
👉 Bhuvan - https://bhuvan.nrsc.gov.in/home/index.php
🇺🇦 Генератор payload Open Redirect та SSRF від Intigrity
Intigrity вирішили викотити свій генератор корисного навантаження для обходу фільтрів під час проведення Open Redirect та SSRF атак.
https://tools.intigriti.io/redirector/#
🇬🇧 Open Redirect and SSRF payload generator from Intigrity
Intigrity decided to roll out its payload generator to bypass filters during Open Redirect and SSRF attacks.
https://tools.intigriti.io/redirector/#
Intigrity вирішили викотити свій генератор корисного навантаження для обходу фільтрів під час проведення Open Redirect та SSRF атак.
https://tools.intigriti.io/redirector/#
🇬🇧 Open Redirect and SSRF payload generator from Intigrity
Intigrity decided to roll out its payload generator to bypass filters during Open Redirect and SSRF attacks.
https://tools.intigriti.io/redirector/#
🇺🇦 Інструмент для аудиту безпеки GraphQL
GraphQL Cop – це невелика утиліта на Python для запуску загальних тестів безпеки в API GraphQL. Має близько 10 тестів для DoS, CSRF та витоків інформації.
При виявленні вразливостей дозволяє відтворити результати, надаючи команди cURL.
https://github.com/dolevf/graphql-cop
🇬🇧 GraphQL security audit tool
GraphQL Cop is a small Python utility for running general security tests in the GraphQL API. He has 10 tests for DoS, CSRF and information leaks.
When vulnerabilities are detected, it allows you to reproduce the results by providing cURL commands.
https://github.com/dolevf/graphql-cop
GraphQL Cop – це невелика утиліта на Python для запуску загальних тестів безпеки в API GraphQL. Має близько 10 тестів для DoS, CSRF та витоків інформації.
При виявленні вразливостей дозволяє відтворити результати, надаючи команди cURL.
https://github.com/dolevf/graphql-cop
🇬🇧 GraphQL security audit tool
GraphQL Cop is a small Python utility for running general security tests in the GraphQL API. He has 10 tests for DoS, CSRF and information leaks.
When vulnerabilities are detected, it allows you to reproduce the results by providing cURL commands.
https://github.com/dolevf/graphql-cop
🇺🇦 Powershell Scripts з обходом антивірусу у Windows
Нижче представлений репозиторій, що публікує Powershell скрипти, які дозволяють повністю оминути антивірусний захист у системі.
https://github.com/tihanyin/PSSW100AVB
🇬🇧 Powershell Scripts with antivirus bypass in Windows
Below is a repository that publishes Powershell noscripts that completely bypass antivirus protection on the system.
https://github.com/tihanyin/PSSW100AVB
Нижче представлений репозиторій, що публікує Powershell скрипти, які дозволяють повністю оминути антивірусний захист у системі.
https://github.com/tihanyin/PSSW100AVB
🇬🇧 Powershell Scripts with antivirus bypass in Windows
Below is a repository that publishes Powershell noscripts that completely bypass antivirus protection on the system.
https://github.com/tihanyin/PSSW100AVB
Давно хочеш навчитися програмуванню, але це здається важким, постійно не вистачає часу і не знаєш, з чого почати? 🤔
Почни з Python 🐍
Спільнота Python з нуля допоможе тобі освоїти одну з найпростіших мов програмування приділяючи цьому лише кілька хвилин на день.
Чекаємо на тебе тут ➡️ https://news.1rj.ru/str/pytonzero
Почни з Python 🐍
Спільнота Python з нуля допоможе тобі освоїти одну з найпростіших мов програмування приділяючи цьому лише кілька хвилин на день.
Чекаємо на тебе тут ➡️ https://news.1rj.ru/str/pytonzero
🇺🇦 Хочете попрактикувати шукати XSS, та не знаєте де? Безкоштовні лаби для практики експлуатації XSS
👉 PortSwigger XSS Labs
👉 Google XSS Game
👉 Alert(1) to Win
👉 Prompt(1) to Win
👉 XSS Challenges
👉 cure53 XSS Challenges
👉 XSS Gym & XSS Practice Labs by Brutelogic
👉 XSS by PwnFunction
👉 XSS Game
🇬🇧 Want to practice looking XSS, but don't know where? Free labs for practice XSS
👉 PortSwigger XSS Labs
👉 Google XSS Game
👉 Alert(1) to Win
👉 Prompt(1) to Win
👉 XSS Challenges
👉 cure53 XSS Challenges
👉 XSS Gym & XSS Practice Labs by Brutelogic
👉 XSS by PwnFunction
👉 XSS Game
👉 PortSwigger XSS Labs
👉 Google XSS Game
👉 Alert(1) to Win
👉 Prompt(1) to Win
👉 XSS Challenges
👉 cure53 XSS Challenges
👉 XSS Gym & XSS Practice Labs by Brutelogic
👉 XSS by PwnFunction
👉 XSS Game
🇬🇧 Want to practice looking XSS, but don't know where? Free labs for practice XSS
👉 PortSwigger XSS Labs
👉 Google XSS Game
👉 Alert(1) to Win
👉 Prompt(1) to Win
👉 XSS Challenges
👉 cure53 XSS Challenges
👉 XSS Gym & XSS Practice Labs by Brutelogic
👉 XSS by PwnFunction
👉 XSS Game
🇺🇦 Пасивний сканер портів
Smap – це копія Nmap, яка використовує безкоштовний API сервісу shodan.io для сканування портів. Він приймає ті ж аргументи командного рядка, що і Nmap, і робить той самий висновок.
Особливості тулзи:
• Сканує 200 хостів на секунду
• Включає виявлення вразливостей
• Підтримує всі формати виводу nmap
• Обліковий запис shodan не вимагається
• Повністю пасивний, всього 1 http запит на хост
https://github.com/s0md3v/Smap
🇬🇧 Passive port scanner
Smap is a copy of Nmap, that uses the free API of the shodan.io service to scan ports. It accepts the same command line arguments as Nmap and draws the same conclusion.
Features of tools:
• Scans 200 hosts per second
• Includes vulnerability detection
• Supports all nmap output formats
• A shodan account is not required
• Completely passive, only 1 http host request
https://github.com/s0md3v/Smap
Smap – це копія Nmap, яка використовує безкоштовний API сервісу shodan.io для сканування портів. Він приймає ті ж аргументи командного рядка, що і Nmap, і робить той самий висновок.
Особливості тулзи:
• Сканує 200 хостів на секунду
• Включає виявлення вразливостей
• Підтримує всі формати виводу nmap
• Обліковий запис shodan не вимагається
• Повністю пасивний, всього 1 http запит на хост
https://github.com/s0md3v/Smap
🇬🇧 Passive port scanner
Smap is a copy of Nmap, that uses the free API of the shodan.io service to scan ports. It accepts the same command line arguments as Nmap and draws the same conclusion.
Features of tools:
• Scans 200 hosts per second
• Includes vulnerability detection
• Supports all nmap output formats
• A shodan account is not required
• Completely passive, only 1 http host request
https://github.com/s0md3v/Smap
GitHub
GitHub - s0md3v/Smap: a drop-in replacement for Nmap powered by shodan.io
a drop-in replacement for Nmap powered by shodan.io - s0md3v/Smap
🇺🇦 8 найкращих програм для аналізу мережевого трафіку
Аналіз трафіку є процесом, важливість якого відома будь-якому ІТ-професіоналу, незалежно від того, працює він у невеликій компанії або у великій корпорації. Адже виявлення та виправлення проблем із мережею — це справжнє мистецтво, яке безпосередньо залежить як від інстинкту самого фахівця, так і від глибини та якості даних, які він оперує.
https://svyat.tech/8-best-programs-for-network-analysis/
Аналіз трафіку є процесом, важливість якого відома будь-якому ІТ-професіоналу, незалежно від того, працює він у невеликій компанії або у великій корпорації. Адже виявлення та виправлення проблем із мережею — це справжнє мистецтво, яке безпосередньо залежить як від інстинкту самого фахівця, так і від глибини та якості даних, які він оперує.
https://svyat.tech/8-best-programs-for-network-analysis/
🇺🇦 Не можете знайти вразливості дефолтними скриптами в OWASP ZAP? Ось вам невелика добірка плагінів для нього...
👉 Access Control Testing
Дозволяє проводити тестування контролю доступу та виявляти потенційні проблеми з контролем доступу.
👉 Advanced SQLInjection Add-on
Інструмент активного сканування для виявлення SQLi (на основі SQLMap).
👉 Attack Surface Detector
Плагін допомагає виявити кінцеві точки веб-застосунку, параметри, які приймають ці кінцеві точки, і тип даних цих параметрів.
👉 DOM XSS Active Scan Rule
Активний сканер для виявлення вразливостей DOM XSS.
👉 Directory List v2.3
Надає файли з іменами каталогів для брутфорсу або фазінгу.
👉 Eval Villain
Розширення для ZAP та Firefox, яке підключатиметься до небезпечних функцій, таких як eval, та попереджати вас про їх використання.
👉 GraphQL Support
Плагін для отримання структури та запитів GraphQL.
👉 Out-of-band Application Security Testing Support
Сервер OAST для виявлення зовнішніх та сліпих уразливостей. Аналог Burp Collaborator тільки для ZAP.
👉 HUNT v2
Виконує пасивне сканування на наявність потенційно вразливих параметрів.
👉 Community-noscripts
Велика колекція скриптів ZAP надана ком'юніті.
🇬🇧 Can't find vulnerabilities in default noscripts with OWASP ZAP? Here is a small selection of plugins for him ...
👉 Access Control Testing
Allows you to test access control and identify potential problems with access control.
👉 Advanced SQLInjection Add-on
Active scan tool for SQLi detection (based on SQLMap).
👉 Attack Surface Detector
The plugin helps identify web application endpoints, the parameters that accept these endpoints, and the data type of these parameters.
👉 DOM XSS Active Scan Rule
Active DOS XSS vulnerability scanner.
👉 Directory List v2.3
Provides directory names for brute force or phasing.
👉 Eval Villain
An extension for ZAP and Firefox that connects to dangerous features such as eval and warns you about their use.
👉 GraphQL Support
Plugin to get the structure and queries of GraphQL.
👉 Out-of-band Application Security Testing Support
OAST server to detect external and blind vulnerabilities. Analog Burp Collaborator only for ZAP.
👉 HUNT v2
Performs passive scanning for potentially vulnerable parameters.
👉 Community-noscripts
A large collection of ZAP noscripts is provided to the community.
👉 Access Control Testing
Дозволяє проводити тестування контролю доступу та виявляти потенційні проблеми з контролем доступу.
👉 Advanced SQLInjection Add-on
Інструмент активного сканування для виявлення SQLi (на основі SQLMap).
👉 Attack Surface Detector
Плагін допомагає виявити кінцеві точки веб-застосунку, параметри, які приймають ці кінцеві точки, і тип даних цих параметрів.
👉 DOM XSS Active Scan Rule
Активний сканер для виявлення вразливостей DOM XSS.
👉 Directory List v2.3
Надає файли з іменами каталогів для брутфорсу або фазінгу.
👉 Eval Villain
Розширення для ZAP та Firefox, яке підключатиметься до небезпечних функцій, таких як eval, та попереджати вас про їх використання.
👉 GraphQL Support
Плагін для отримання структури та запитів GraphQL.
👉 Out-of-band Application Security Testing Support
Сервер OAST для виявлення зовнішніх та сліпих уразливостей. Аналог Burp Collaborator тільки для ZAP.
👉 HUNT v2
Виконує пасивне сканування на наявність потенційно вразливих параметрів.
👉 Community-noscripts
Велика колекція скриптів ZAP надана ком'юніті.
🇬🇧 Can't find vulnerabilities in default noscripts with OWASP ZAP? Here is a small selection of plugins for him ...
👉 Access Control Testing
Allows you to test access control and identify potential problems with access control.
👉 Advanced SQLInjection Add-on
Active scan tool for SQLi detection (based on SQLMap).
👉 Attack Surface Detector
The plugin helps identify web application endpoints, the parameters that accept these endpoints, and the data type of these parameters.
👉 DOM XSS Active Scan Rule
Active DOS XSS vulnerability scanner.
👉 Directory List v2.3
Provides directory names for brute force or phasing.
👉 Eval Villain
An extension for ZAP and Firefox that connects to dangerous features such as eval and warns you about their use.
👉 GraphQL Support
Plugin to get the structure and queries of GraphQL.
👉 Out-of-band Application Security Testing Support
OAST server to detect external and blind vulnerabilities. Analog Burp Collaborator only for ZAP.
👉 HUNT v2
Performs passive scanning for potentially vulnerable parameters.
👉 Community-noscripts
A large collection of ZAP noscripts is provided to the community.
Forwarded from DOU
✈️ ІТ-спільното, купимо армії «літачок»? Збираємо $ 1 000 000 на дрон PD-2
Наближаймо день нашої перемоги, наприклад, можна придбати для українських військових БПЛА PD-2!
🇺🇦 Це — комплекс з двох літаків і автомобіля, оснащений тепловізійними камерами та іншими «ніштяками» (бонус: українського виробництва). Коротше, потужний літачок, який допоможе нашим військовим знищити окупанта і звільнити Україну. Що може бути краще?
Збираємо $ 1 000 000 🍋 (або 30 000 000 грн) для «Повернись живим». Вони придбають цей БПЛА та передадуть за призначенням.
Як задонатити і особисто купити частинку літачка?
1️⃣ Задонатьте будь-яку суму (у віджеті 👉 https://dou.ua/goto/0YZp).
2️⃣ Поставте + у коментарях до топіка.
3️⃣ Запросіть знайомих долучитись: поширте топік у соцмережах, наприклад.
Шо там по русні?😈
Наближаймо день нашої перемоги, наприклад, можна придбати для українських військових БПЛА PD-2!
🇺🇦 Це — комплекс з двох літаків і автомобіля, оснащений тепловізійними камерами та іншими «ніштяками» (бонус: українського виробництва). Коротше, потужний літачок, який допоможе нашим військовим знищити окупанта і звільнити Україну. Що може бути краще?
Збираємо $ 1 000 000 🍋 (або 30 000 000 грн) для «Повернись живим». Вони придбають цей БПЛА та передадуть за призначенням.
Як задонатити і особисто купити частинку літачка?
1️⃣ Задонатьте будь-яку суму (у віджеті 👉 https://dou.ua/goto/0YZp).
2️⃣ Поставте + у коментарях до топіка.
3️⃣ Запросіть знайомих долучитись: поширте топік у соцмережах, наприклад.
Шо там по русні?😈
🇺🇦 Лабораторки для практики експлуатації SSRF
У списку представлені онлайн лабораторії та ті, які ви можете підняти на власному тестовому середовищі.
👉 PortSwigger SSRF Labs
👉 Server-Side Request Forgery (SSRF) vulnerable Lab
👉 Vulnado SSRF Lab
👉 Snyk SSRF Lab
👉 Kontra SSRF Lab
🇬🇧 Laboratory for SSRF operation practice
The list includes online labs and ones you can build on your own test environment.
👉 PortSwigger SSRF Labs
👉 Server-Side Request Forgery (SSRF) vulnerable Lab
👉 Vulnado SSRF Lab
👉 Snyk SSRF Lab
👉 Kontra SSRF Lab
У списку представлені онлайн лабораторії та ті, які ви можете підняти на власному тестовому середовищі.
👉 PortSwigger SSRF Labs
👉 Server-Side Request Forgery (SSRF) vulnerable Lab
👉 Vulnado SSRF Lab
👉 Snyk SSRF Lab
👉 Kontra SSRF Lab
🇬🇧 Laboratory for SSRF operation practice
The list includes online labs and ones you can build on your own test environment.
👉 PortSwigger SSRF Labs
👉 Server-Side Request Forgery (SSRF) vulnerable Lab
👉 Vulnado SSRF Lab
👉 Snyk SSRF Lab
👉 Kontra SSRF Lab
Злом хешей файлу shadow після отримання root-доступу до Linux за допомогою John the Ripper і Hashcat
Після отримання root-доступу до Linux важливо не зупинятися на досягнутому. Чому б не спробувати зламати паролі користувачів? Якщо пощастить і для входу в різні системи буде використовуватися той самий обліковий запис, можна поширити атаку і на інші машини. Для злому паролів є два випробувані інструменти: John the Ripper і Hashcat.
https://svyat.tech/Crack-hash-password-with-John-the-Ripper-and-Hashcat/
Після отримання root-доступу до Linux важливо не зупинятися на досягнутому. Чому б не спробувати зламати паролі користувачів? Якщо пощастить і для входу в різні системи буде використовуватися той самий обліковий запис, можна поширити атаку і на інші машини. Для злому паролів є два випробувані інструменти: John the Ripper і Hashcat.
https://svyat.tech/Crack-hash-password-with-John-the-Ripper-and-Hashcat/
🇺🇦 Розширення для пошуку витоків із динамічною генерацією списків слів
На GitHub є цікаве розширення для Burp Suite, яке шукає та переглядає резервні копії, а також старі, тимчасові та невикористовувані файли на веб-сервері на наявність конфіденційної інформації.
🇬🇧 Extensions to search for sources with dynamic generation of word lists
GitHub has an interesting extension for Burp Suite that searches backups, as well as old, temporary, and unused files on a web server for sensitive information.
https://github.com/moeinfatehi/Backup-Finder
На GitHub є цікаве розширення для Burp Suite, яке шукає та переглядає резервні копії, а також старі, тимчасові та невикористовувані файли на веб-сервері на наявність конфіденційної інформації.
🇬🇧 Extensions to search for sources with dynamic generation of word lists
GitHub has an interesting extension for Burp Suite that searches backups, as well as old, temporary, and unused files on a web server for sensitive information.
https://github.com/moeinfatehi/Backup-Finder
🇺🇦 Безкоштовні лабораторії для практики вразливості XXE
Якщо ви чули про цю вразливість, але не знали де її модна відпрацювати навички експлуатації XXE вразливостей, то цей список для вас :
👉 PortSwigger XXE Labs
👉 JBarone XXE Labs
👉 GoSecure XXE Labs
👉 c0ny1 XXE Labs
👉 AppSecEnginner XXE Labs
👉 HLOverflow XXE Labs
🇬🇧 Free XXE Vulnerability Practice Labs
If you've heard of this vulnerability, but didn't know where it is fashionable to practice exploiting XXE vulnerabilities, then this list is for you:
👉 PortSwigger XXE Labs
👉 JBarone XXE Labs
👉 GoSecure XXE Labs
👉 c0ny1 XXE Labs
👉 AppSecEnginner XXE Labs
👉 HLOverflow XXE Labs
Якщо ви чули про цю вразливість, але не знали де її модна відпрацювати навички експлуатації XXE вразливостей, то цей список для вас :
👉 PortSwigger XXE Labs
👉 JBarone XXE Labs
👉 GoSecure XXE Labs
👉 c0ny1 XXE Labs
👉 AppSecEnginner XXE Labs
👉 HLOverflow XXE Labs
🇬🇧 Free XXE Vulnerability Practice Labs
If you've heard of this vulnerability, but didn't know where it is fashionable to practice exploiting XXE vulnerabilities, then this list is for you:
👉 PortSwigger XXE Labs
👉 JBarone XXE Labs
👉 GoSecure XXE Labs
👉 c0ny1 XXE Labs
👉 AppSecEnginner XXE Labs
👉 HLOverflow XXE Labs
Cross-Site WebSocket Hijacking
WebSocket - протокол зв'язку поверх TCP-з'єднання, призначений для обміну повідомленнями між браузером і веб-сервером в режимі реального часу". На відміну від синхронного протоколу HTTP, побудованого за моделлю «запит - відповідь», WebSocket повністю асинхронний та симетричний. Він застосовується для організації чатів, онлайн-табло і створює постійне з'єднання між клієнтом та сервером, яке обидві сторони можуть використовувати для надсилання даних.
https://svyat.tech/Cross-Site-WebSocket-Hijacking/
WebSocket - протокол зв'язку поверх TCP-з'єднання, призначений для обміну повідомленнями між браузером і веб-сервером в режимі реального часу". На відміну від синхронного протоколу HTTP, побудованого за моделлю «запит - відповідь», WebSocket повністю асинхронний та симетричний. Він застосовується для організації чатів, онлайн-табло і створює постійне з'єднання між клієнтом та сервером, яке обидві сторони можуть використовувати для надсилання даних.
https://svyat.tech/Cross-Site-WebSocket-Hijacking/
🇺🇦 Шпаргалка щодо мобільного злому
Mobile Hacking CheatSheet – це спроба узагальнити кілька цікавих основ щодо інструментів і команд, необхідних для оцінки безпеки мобільних додатків Android та iOS.
https://github.com/randorisec/MobileHackingCheatSheet
🇬🇧 The Mobile Hacking CheatSheet
The Mobile Hacking CheatSheet is an attempt to summarise a few interesting basics info regarding tools and commands needed to assess the security of Android and iOS mobile applications.
https://github.com/randorisec/MobileHackingCheatSheet
Mobile Hacking CheatSheet – це спроба узагальнити кілька цікавих основ щодо інструментів і команд, необхідних для оцінки безпеки мобільних додатків Android та iOS.
https://github.com/randorisec/MobileHackingCheatSheet
🇬🇧 The Mobile Hacking CheatSheet
The Mobile Hacking CheatSheet is an attempt to summarise a few interesting basics info regarding tools and commands needed to assess the security of Android and iOS mobile applications.
https://github.com/randorisec/MobileHackingCheatSheet
GitHub
GitHub - randorisec/MobileHackingCheatSheet: Basics on commands/tools/info on how to assess the security of mobile applications
Basics on commands/tools/info on how to assess the security of mobile applications - randorisec/MobileHackingCheatSheet
Шпаргалки це помічники під час роботи з інструментами. З їхньою допомогою ви швидко прокачуєте навички та скорочуєте час на виконання завдань, необхідних для отримання результатів. По цьому лінку знаходиться велика кількість шпаргалок на тему OSINT.
https://cheatography.com/tag/security/
Обов'язково загляни сюди:
👉 Shodan Cheat Sheet.
👉 Sherlock (Python) Cheat Sheet.
👉 PhoneInfoga / Infoga Cheat Sheet.
https://cheatography.com/tag/security/
Обов'язково загляни сюди:
👉 Shodan Cheat Sheet.
👉 Sherlock (Python) Cheat Sheet.
👉 PhoneInfoga / Infoga Cheat Sheet.
Forwarded from IT ARMY of Ukraine
У нас з'явився новий інструмент - бот для автоматизації атак
Ми помітили, що не всі можуть запускати атаки у той час коли це потрібно, тому атаки не завжди проходять максимально ефективно. Але відтепер кожен бажаючий може надати свої хмарні ресурси боту, який буде централізовано запускати атаку одночасно з усіх отриманих серверів. Його доопрацювали і вже можна переносити сервери з нестандартним портом ssh. Детальніше
We came up with a new tool - an attack automation bot
We've noticed that not everyone can launch attacks at one time, and it sometimes prevents us from reaching our full potential. From now on, you can grant access to your cloud resources to our bot that will launch a coordinated attack from all the available servers. It has been improved and it is already possible to transfer servers with a non-standard ssh port. More info
Ми помітили, що не всі можуть запускати атаки у той час коли це потрібно, тому атаки не завжди проходять максимально ефективно. Але відтепер кожен бажаючий може надати свої хмарні ресурси боту, який буде централізовано запускати атаку одночасно з усіх отриманих серверів. Його доопрацювали і вже можна переносити сервери з нестандартним портом ssh. Детальніше
We came up with a new tool - an attack automation bot
We've noticed that not everyone can launch attacks at one time, and it sometimes prevents us from reaching our full potential. From now on, you can grant access to your cloud resources to our bot that will launch a coordinated attack from all the available servers. It has been improved and it is already possible to transfer servers with a non-standard ssh port. More info