🇺🇦 Шпаргалка щодо мобільного злому

Mobile Hacking CheatSheet – це спроба узагальнити кілька цікавих основ щодо інструментів і команд, необхідних для оцінки безпеки мобільних додатків Android та iOS.

https://github.com/randorisec/MobileHackingCheatSheet

🇬🇧 The Mobile Hacking CheatSheet

The Mobile Hacking CheatSheet is an attempt to summarise a few interesting basics info regarding tools and commands needed to assess the security of Android and iOS mobile applications.

https://github.com/randorisec/MobileHackingCheatSheet

​​Шпаргалки це помічники під час роботи з інструментами. З їхньою допомогою ви швидко прокачуєте навички та скорочуєте час на виконання завдань, необхідних для отримання результатів. По цьому лінку знаходиться велика кількість шпаргалок на тему OSINT.

https://cheatography.com/tag/security/

Обов'язково загляни сюди:

👉 Shodan Cheat Sheet.
👉 Sherlock (Python) Cheat Sheet.
👉 PhoneInfoga / Infoga Cheat Sheet.

У нас з'явився новий інструмент - бот для автоматизації атак

Ми помітили, що не всі можуть запускати атаки у той час коли це потрібно, тому атаки не завжди проходять максимально ефективно. Але відтепер кожен бажаючий може надати свої хмарні ресурси боту, який буде централізовано запускати атаку одночасно з усіх отриманих серверів. Його доопрацювали і вже можна переносити сервери з нестандартним портом ssh. Детальніше

We came up with a new tool - an attack automation bot

We've noticed that not everyone can launch attacks at one time, and it sometimes prevents us from reaching our full potential. From now on, you can grant access to your cloud resources to our bot that will launch a coordinated attack from all the available servers. It has been improved and it is already possible to transfer servers with a non-standard ssh port. More info

​​How Do DoS and DDoS Attacks

1. Introduction
2. Basics of Denial of Service Attacks
2.1. Distributed Denial of Service
3. Techniques of Denial of Service Attacks
3.1. SYN Flood
3.2. TTL Expiry Attack
3.3. Amplification Attacks
3.4. Low-rate Targeted Attacks
4. The Potential Consequences
5. Conclusion

https://www.baeldung.com/cs/dos-vs-ddos-attacks

​​Сайт який пропонує низку інтерактивних уроків з практикою, в яких від тебе потрібно тільки стежити за тим, як пакети переміщуються між вузлами мережі, з можливістю створювати свої пакети, прописуючи їм заголовки і намагатися в такий спосіб провести успішну атаку. Щоб користуватися ним, від вас тільки вимагається пройти реєстрацію (без вказівки пошти та іншої інформації, достатньо вигадати логін та пароль)

https://netsim.erinn.io

Після реєстрації тобі стануть доступні уроки розбиті на 4 частини:

👉 Перша частина (Basics) – навчить тебе роботі з симулятором і пояснює базові поняття: пакети, заголовки тощо.
👉 Друга частина (Spoofs) – розповідає про принципи спуфінгу;
👉 Третя частина (Denial of Service) – у трьох уроках пояснює, як працює атака типу «відмова в обслуговуванні»;
👉 Четверта частина (Attacks) — описує принцип роботи traceroute, #MITM атаки та обхід блокування ресурсів.

Код ресурсу відкритий та доступний на github:

https://github.com/errorinn/netsim

💥 Зберемо 8 000 000 грн на «маленьке ППО»! Збір DOU & KOLO

Ніколи раніше — і от знову ми закликаємо ІТ-спільноту допомогти побороти окупанта.

Роман Перімов, який очолив підрозділ з 30 айтівців у бригаді штурмової піхоти, оголосив збір коштів на «мікро-ППО» для збиття ворожих дронів.

💪 Планують придбати установку SKY CTRL за 8 000 000 грн. Ця система майже стовідсотково бачить будь-які дрібні літаючі об’єкти у своєму радіусі і «приземляє» їх навіть вночі.

Ця система стане першою подібною в ЗСУ. Благодійний фонд KOLO пообіцяв купити і доставити цю установку.

💸 За нами, спільното — збір коштів.

Працюємо за тією ж схемою:

1️⃣ Задонатьте будь-яку суму (https://dou.ua/goto/XnXJ).
2️⃣ Поставте + у коментарях до топіка.
3️⃣ Запросіть знайомих долучитись: поширте топік у соцмережах.

Шо там по русні?😈

​​🇺🇦 Набір CTF з тестування безпеки

Набий руку на практиці пентесту цих площадок:

🇬🇧 CTF Security Testing Kit

Get your hands on the practice of pentest these sites:

• Capture the Ether
• The Ethernaut
• Etherhack
• Security Innovation Blockchain CTF
• Ciphershastra CTF
• Defi Hack
• Gacha Lab (BSC Testnet)
• Cipher Shastra

​​🇺🇦 Хочеш провести розвідку в мережі по никнейму якогось юзера? Тобі в цьому допоможу тулза sherlock. Легко встановити:

🇬🇧 Do you want to conduct an online survey by the nickname of a user? The sherlock tool will help you with this. Easy to install:
# clone the repo
$ git clone https://github.com/sherlock-project/sherlock.git
$ cd sherlock
$ python3 -m pip install -r requirements.txt

🇺🇦 Легко заюзати пошук, просто набрав:
🇬🇧 Easy to search, just type:
- python3 sherlock user123 (для одного юзера)
- python3 sherlock user1 user2 user3 (для декількох юзерів)

🇺🇦 Більше інфи про тулзу знаходь тут:
🇬🇧 More information about the tool can be found here:

https://github.com/sherlock-project/sherlock

​​Dockeye

🇺🇦 Якщо вам потрібний UI для Docker, спробуй dockeye. Це графічний клієнт для управління Docker, який виглядає майже несхожим на інші подібні інструменти.

🇬🇧 If you need a UI for Docker, try dockeye. This is a graphical client for managing Docker, which looks almost different from other similar tools.

🇺🇦 Посилання:

🇬🇧 Link:
https://github.com/vv9k/dockeye

🇺🇦 Є збірки для Linux та MacOS. Завантажити їх можна зі сторінки релізів:

🇬🇧 There are builds for Linux and MacOS. You can download them from the releases page:

https://github.com/vv9k/dockeye/releases

Разработчики Offensive Security, создатели Kali Linux, объявили, что в конце месяца ждут всех желающих на бесплатном обучающем курсе «Тестирование на проникновение с Kali Linux (PEN-200/PWK)», который будут стримить на Twitch

https://www.google.com/amp/s/www.bleepingcomputer.com/news/security/kali-linux-team-to-stream-free-penetration-testing-course-on-twitch/amp/

​​🇺🇦 Тепер і у Portswigger є сайт на якому можно відточувати практичні навички з інструментом Burp Suite. Сайт зробили з заготовленими вразливостями так, як ви можете з ними зустрітися в реальному житті.

У цього ресурсу є такі діроньки:
- одноразові токени CSRF
- велика кількість JavaScript
- XSS
- SQL injection

А ще ви можете наловчитись не тільки руками працювати в бурп, ай правильно запускати сканер на ньому

https://ginandjuice.shop/

🇬🇧 Now Portswigger has a site where you can hone practical skills with the Burp Suite tool. The site is made with prepared vulnerabilities, where you can meet them in real life.

This resource has the following holes:
- one-time CSRF tokens
- a large amount of JavaScript
- XSS
- SQL injection

And you can learn not only to work with your hands in the burp, but also to run the scanner on it

https://ginandjuice.shop/

​​🇺🇦 Список інструментів для роботи з Google Hacking Database
Добірка інструментів, які дозволять вам автоматизувати процес доркінгу:

🇬🇧 List of tools for working with Google Hacking Database
A selection of tools that will allow you to automate the dorking process:

👉 GitDorker
👉 Katana
👉 Fast-Google-Dorks-Scan
👉 oxdork
👉 SDorker
👉 pagodo
👉 dorks-eye
👉 Dorksearch
👉 FilePhish
👉 Bug Bounty Helper
👉 Pentest-tools google-hacking

🇺🇦 Круті набори читшитів

Шпаргалки в роботі є відмінним помічником. З їхньою допомогою, ти зможеш прокачати свої навички у певній сфері та скоротити час на виконання завдань для отримання потрібного результату.

🇬🇧 Cool sets of cheats

Cribs at work are a great helper. With their help, you will be able to hone your skills in a particular field and reduce the time to complete tasks to get the desired result.

1) Для калі тулзів
2) Pentesting Cheatsheets
3) MSFVenom Cheatsheet

🇺🇦 Розповідаю про найкритичнішу вразливість із топіку OWASP та про те як її можна шукати

🇬🇧 I talk about the most critical vulnerability from the OWASP topic and how to look for it

https://youtu.be/yOa99q4Hogc

​​Про вразливість в CORS та як шукати її з плагіном Burp Extension CORS

https://svyat.tech/Burp-Extension-CORS/

Якщо вам цікавить сертифікація в напрямку безпеки, то є багато напрямків в цьому направлені. Ось цілий гайд з тим в яку сторону можно розвиватися та які сертифікати для цього напрямку цінні.

​​🇺🇦 Хочеш долучитись до пошуків по програмі баг баунті? Але на знаєш як правильно писати репорти, щоб не було стидно при повідомлені, про знайдену вразливість. Так от, ось вам ТОП 100 та більше справжніх репортів про знайдені вразливості на різних сайтах.

При читані таких репортів ви собі вималюєте картинку як правильно їх описувати

🇬🇧 Want to join bug bounty searches? But you do not know how to write reports correctly, so as not to be ashamed to report the vulnerability found. So, here are the TOP 100 or more real reports about vulnerabilities found on various sites.

When reading such reports, you paint a picture of how to describe them correctly

https://github.com/reddelexc/hackerone-reports

🇺🇦 Крута 4х година лекція про OSINT.

В якій ви дізнаєтесь про те як шукати інформацію в різних джерелах та про багато різних аспектів соціальної інженерії.

🇬🇧 Cool 4 hour lecture on OSINT.

In which you will learn how to look for information in different sources and about many different aspects of social engineering.

👉 Twitter;
👉 Facebook;
👉 Instagram;
👉 Snapchat;
👉 Reddit;
👉 LinkedIn;
👉 TikTok;
👉 Reverse Image Searching;
👉 Viewing EXIF Data;
👉 Physical Location OSINT;
👉 Identifying Geographical Locations;
👉 Where in the World;
👉 Creepy OSINT;
👉 Discovering Email Addresses;
👉 Password OSINT - Introduction;
👉 Hunting Breached Passwords;
👉 Hunting Usernames & Accounts;
👉 Searching for People;
👉 Voter Records;
👉 Hunting Phone Numbers;
👉 Discovering Birthdates;
👉 Searching for Resumes.

https://www.youtube.com/watch?v=qwA6MmbeGNo