🇺🇦 Після того як ви прочитали інструкцію про Linux, ось вам список різноманітних дистрибутивів GNU/Linux.

🇬🇧 After you've read the Linux guide, here's a list of the various GNU/Linux distributions.

1. Для новачків
1. For beginners

👉 ManjaroLinux
👉 Linux Mint
👉 Pop!_OS
👉 Ubuntu
👉 LUbuntu
👉 Elementary

2. Для впевнених користувачів
2. For confident users

👉 Debian
👉 Arch Linux
👉 Void Linux
👉 Gentoo
👉 NixOS
👉 TrueOS
👉 Parabola

3. ОС з фокусом на безпеку та анонімність
3. OS with a focus on security and anonymity

👉 Kali
👉 Tails
👉 BlackArchLinux
👉 Kodachi
👉 QubeOS
👉 Whonix

​​Посібник паролів у вашій організації

Ось короткий перелік моментів, які ви повинні зараз застосувати у своїй політиці паролів:

1) Блокувати повторне використання пароля.
2) Перевірка для типових паролів.
3) Скасуйте вимогу щодо спеціальних символів.
4) Дозволити всі символи, включаючи пробіли.
5) Дозволити копіювання та вставлення паролів.
6) Скасувати примусову ротацію паролів.
7) Подовжити поля пароля.
8) Нехай користувач бачить пароль, обмежує спроби і не використовує підказки.
9) Використовуйте 2FA – SMS добре.

Більш докладніше в статі нижче...

https://svyat.tech/Definitive-Guide-to-Passwords

🇺🇦 Карта MindMap які навики розвивати для пентесту, з списком літератури та тулзів

🇬🇧 MindMap, what need skills to develop for the pentest, with a list of literature and tools

https://www.mindmeister.com/ru/1756305170/pentest2021?fullscreen=1

​​Bash скрипти Linux

Серед системних адміністраторів та звичайних користувачів Linux досить популярна практика писати Bash скрипти для автоматизації та полегшення виконання певних завдань в операційній системі. Фактично, ви один раз написали порядок дій, які потрібно виконати, розписали файли і так далі, а потім просто пишіть одну коротку команду і всі дії виконуються як потрібно. Можна піти ще далі та запланувати автоматичне виконання скрипту.

https://svyat.tech/Bash-noscripts-Linux/

​​Карта з атакуючими інструментами безпеки (OST). За допомогою цієї карти ви дізнаєтесь які тулзи та бібліотеки використовують групи хакерів для здійснення своїх атак на задані цілі.

https://www.intezer.com/ost-map/

Більше інформації про цю карту, ви можете дізнатися тут

https://www.virusbulletin.com/conference/vb2020/abstracts/ost-map-mapping-malware-usage-open-source-offensive-security-tools

​​Nmap для Pentester: виявлення хоста

Nmap став одним із найпопулярніших інструментів мережевого сканування, залишивши позаду інші сканери. Часто хости в деяких організаціях захищені за допомогою брандмауерів або систем запобігання вторгненням, що призводить до збою сканування через існуючий набір правил, які використовуються для блокування мережного трафіку. Nmap пентестер може легко використовувати альтернативні методи виявлення хоста, щоб цього не сталося. Він складається з певних функцій, які роблять мережевий трафік трохи менш підозрілим. Тому давайте подивимося різні методи виявлення хоста.

https://svyat.tech/Nmap-for-pentester/

​​Шукаєте або тільки но вирішили пошукати вразливості в вашому проекті? Можно почати з пошуку SQL вразливостей. А для того в яких місцях її шукати допоможе цей чіт ліст, в якому по полочках показано, що та як.

https://sqlwiki.netspi.com/

​​Долучився до програми менторства в проекті Projector Mentorship, для того щоб допомагати розвивати не тільки вам скіли, але й для додаткового фінансування ЗСУ, так як усі зібрані кошти за моє менторство від цієї програми повністю будуть перераховані на наших бравих та сміливих захисників України. Чекаю вас. 😊

Записатись можна тут:

https://www.prjctrmentor.com/mentor/sviat-logyn

Прийомні дні - ВТ та СР з 17 до 19 години 😉

​​Обхід Cloudflare через uploader

Cloudflare - усі клієнти цього інструменту вважають заплатив та впевнений, що система отримає захист на всі 100% від зовнішніх загроз. Але це не так. Читайте чому це так:

https://svyat.tech/Bypass-Cloudflare-in-file-upload/

​​🇺🇦 Hetty — це набір інструментів HTTP для дослідження безпеки. Він має на меті стати альтернативою комерційному програмному забезпеченню з відкритим вихідним кодом, такому як Burp Suite Pro, з потужними функціями, адаптованими до потреб інформаційної безпеки та спільноти баунтів.

- HTTP-проксі Machine-in-the-middle (MITM) із журналами та розширеним пошуком
- HTTP-клієнт для ручного створення/редагування запитів і повторного відтворення проксі-запитів
- Перехоплення запитів і відповідей для перевірки вручну (редагування, надсилання/отримання, скасування)
- Простий у використанні веб-інтерфейс адміністратора
- Зберігання бази даних на основі проекту, щоб допомогти організувати роботу

🇬🇧 Hetty is an HTTP toolkit for security research. It aims to become an open source alternative to commercial software like Burp Suite Pro, with powerful features tailored to the needs of the infosec and bug bounty community.

- Machine-in-the-middle (MITM) HTTP proxy, with logs and advanced search
- HTTP client for manually creating/editing requests, and replay proxied requests
- Intercept requests and responses for manual review (edit, send/receive, cancel)
- Scope support, to help keep work organized
- Easy-to-use web based admin interface
- Project based database storage, to help keep work organized

https://github.com/dstotijn/hetty

🇺🇦 Список із понад 100 форумів хакерів, зломщиків і кіберзлочиних форумів для розслідування інцидентів

Будь-який поважаючий себе аналітик загроз або дослідник кіберзлочинів знає про важливість моніторингу певних онлайн-форумів на наявність ознак несправності, витоку даних до зараження зловмисним програмним забезпеченням або вразливостей, які використовуються в дикій природі кіберпростору. Тому тримай руку на пульсі та ось ці форуми:

🇬🇧 List of 100+ hacker, cracker, carder & cyber criminal forums for investigators

Any self-respecting threat intelligence analyst or cybercrime investigator out there knows the importance of monitoring certain online forums for signs of trouble, from data breaches, leaks, to malware infections or vulnerabilities that are being exploited out in the wild.

0x00sec – https://0x00sec.org
Alligator – https://alligator.cash
Altenen Forums – https://altenens.is
Antichat – https://forum.antichat.com
ASCarding – https://ascarding.com
Black Hat Pro Tools – https://www.blackhatprotools.info
BreachForums – https://breached.to
Carder Forum Online – https://carder-forum.online
Carding Forum – https://cardingforum.cx
Carding Leaks – https://cardingleaks.ws
CardVilla – https://cardvilla.cc
Chitachok – https://chitachok.fun
Combolist – https://combolist.top
Cracked – https://cracked.io
Crackia – https://crackia.com
Cracking – https://cracking.org
Crackingall – https://crackingall.com
Cracking Hits – https://crackinghits.to
Cracking Italy – https://crackingitaly.to
Cracking X – https://crackingx.com
Cracking Pro – https://www.crackingpro.com
Crackingshare – https://crackingshare.com
Crackx – https://crackx.to
Crimenetwork – https://crime.to
CrdCrew – https://crdcrew.cc
CrdPro – https://crdpro.cc
CWEB Carding Forum – https://www.cweb.ws
CyberForum RU – https://www.cyberforum.ru
Cyber Leaks – https://cyberleaks.to
Cyber Nulled – https://cybernulled.com
DarkPro – https://darkpro.net
DarkStash – https://darkstash.com
Dark-Time – https://srv2.dark-time.life
Darkweb Mafias – https://darkwebmafias.ws
Demon Forums – https://www.demonforums.net
DirectLeaks – https://directleaks.to
DrDark – https://drdark.ru
ELeaks – https://eleaks.to
Enclave – https://www.enclave.cc
Eternia – https://eternia.to
Exetools – https://forum.exetools.com
Exploit.in – https://exploit.in
EzCarder – https://ezcarder.cc
ForumTeamSite – https://forumteam.site
FSSquad – https://fssquad.com
Ghostlyhaks – https://ghostlyhaks.com/forum
Go4Expert – https://www.go4expert.com/forums
Greekhacking – https://greekhacking.gr
Hack Forums – https://hackforums.net
Hacking Father – https://hackingfather.com
Hackonology – https://hackonology.com/forum
Hack Seller – https://hackseller.com
HacksTurkey – https://hacksturkey.com
Happy Hack – http://happy-hack.net/board
Hide01 Forums – https://forums.hide01.ir
High-Minded – https://high-minded.net
Indetectables – https://indetectables.net/index.php
Iran-Cyber – https://iran-cyber.net/forums
Kuketz Forum – https://forum.kuketz-blog.de
Leak Forum – https://leakforum.org
Leak Zone – https://leakzone.net
Leaked BB – https://leakedbb.com
Leech – https://leech.is
Legit Carder – https://legitcarder.ru
LegitCarders – https://legitcarders.ws
Lolz Guru – https://lolz.guru
MaulTalk – https://www.maultalk.com
Memory Hackers – https://memoryhackers.org
Niflheim – https://niflheim.top
Noirth – https://noirth.com
Nsane Forums – https://nsaneforums.com
Null Cracker – https://nullcrack.store
Nulled – https://www.nulled.to
Nulled.Id – https://nulled.id
Pegasus Hack Team – https://pegasushackteam.com
Psylab – https://psylab.cc
Openssource – https://www.openssource.info
P0wersurge – https://p0wersurge.com/forums
ProLogic – https://prologic.su
R10 – https://www.r10.net
Reteam – http://reteam.org/board
ROM Hacking – https://www.romhacking.net/forum
RST Forums – https://rstforums.com/forum
Russian Carder – https://russiancarder.net
Seopirat – https://www.seopirat.club
Shield Forum – https://shieldforum.in
Sinful Site – https://sinfulsite.com
Sinisterly – https://sinister.ly
SoldierX – https://www.soldierx.com/bbs

SzeneBox – https://www.szenebox.org
TrainingCircle – https://trainingcircle.in
Trusted Sellers – https://trustedsellers.ws
TurkHacks – https://www.turkhacks.com
Underc0de – https://underc0de.org/foro
UnderWorldMafias – https://underworldmafias.net
Valid Market – https://www.validmarket.io
Verified Carder – https://www.verifiedcarder.net
VLMI – https://vlmi.ws
Webmasters – http://webmasters.ru/forum
Wilders Security – https://www.wilderssecurity.com
Xaker.Name Team – https://xak.guru
XSS.is – https://xss.is
YouHack – https://www.youhack.ru

​​Сайти для прийому смс та дзвінків

1. Twilio.com
2. Textnow.com
3. Countrycode.org
4. Wp.pinger.com
5. Textmagic.com
6. Esendex.co.uk — (Легко отримати пробний період користування віртуальним номером шляхом швидкої реєстрації, в пакет входить 25 безкоштовних повідомлень, обмеження користування в 7 днів. Не потрібна кредитна карта. Можна вважати за особистий номер!)
7. Burstsms.com.au — (Схожий сервіс, що й попередній, швидка реєстрація, в пробник входить 14 днів користування. Не потрібна кредитна карта. Також можна вважати за особистий номер!)
8. Directsms.com.au -(Реєструєшся, отримуєш безкоштовну 30-денну пробну версію Бізнес sms. Особистий вірт.номер!)
9. Vumber.com — (Реєструєшся, отримуєш 14-денну пробну версію. Особистий вірт.номер!)

Публічні номери для прйому смс:

Receive-sms-online.info
Receivefreesms.net
Sms-receive.net
Receive-a-sms.com
Hs3x.com
Receive-sms-now.com — (Є рус номери, щоб використовувати проти русні, ви зрозуміли для чого:-)
Smsreceivefree.com
Receivesmsonline.com
Getsms.org — (Є рус номери, щоб використовувати проти русні, ви зрозуміли для чого:-)
Tempsms.ru — (Є рус номери, щоб використовувати проти русні, ви зрозуміли для чого:-)
Numberforsms.com — (Є рус номери, щоб використовувати проти русні, ви зрозуміли для чого:-)
Sonetel.com
Smska.us — (Є рус номери, щоб використовувати проти русні, ви зрозуміли для чого:-)
Sellaite.com
Sms.ink — (Є рус номери, щоб використовувати проти русні, ви зрозуміли для чого:-)
Proovl.com
Onlinesim.ru
Zadarma.com — (Є рус номери, щоб використовувати проти русні, ви зрозуміли для чого:-)
Smsc.ru — (Є рус номери, щоб використовувати проти русні, ви зрозуміли для чого:-)
Freevirtualnumber.skycallbd.com
Getfreesmsnumber.com
Receive-smsonline.net
Receivefreesms.com
Receivesmsverification.com
Sms-online.co
Ireceivesmsonline.com
Receive-sms-online.com
Receive-sms-free.com
Esendex.com.au
Receivesmsonline.in
Mytrashmobile.com
Receivesmsonline.me
Anon-sms.com
Mfreesms.com
Spryng.nl
Smsreceiveonline.com
Smsget.net — (Є рус номери, щоб використовувати проти русні, ви зрозуміли для чого:-)
smsvk.net
7sim.net/ru
give-sms.com
hsmslike.ru/ru
smsvk.net
receive-sms-online.com
5sim.net
virtualsms.ru
regamega.ru
7sim.net/ru
sms-acktiwator.ru
smsvk.net
www.proovl.com
onlinesim.ru
smsget.net
receive-sms.com
receive-sms-online.info
tempsms.ru
sms.ink
smska.us
freephonenumber.online
sonetel.com/ru
simsms.org
getsms.online/ru
smsget.net
anon-sms.com
receivesmsonline.in
getfreesmsnumber.com
sms-online.co/receive-free-sms
hs3x.com
getsms.org
smsreceivefree.com
sonetel.com/ru/
smska.us
tempsms.ru
sellaite.com/smsreceiver
sms.ink
receive-sms-online.info
proovl.com/ru
receive-sms-now.com
receive-sms.com
receivesmsonline.com
receivefreesms.com
smslike.ru/ru
sms-reg.com
5sim.net
sms-area.org
sms-activate.ru
simsms.org
virtualsms.ru
getsms.online/ru
sms-acktiwator.ru
https://qealty.ru/

Привіт, моя знайома шукає в компанію Esper Bionics - Mechanical Test Engineer. Хто хоче займатися крутою розробкою, тобто тестуванню реальної робо техніки та штучним інтелектом, а може не просто тестувати а й вразливості пошукати 😉- то звертайтесь.

Подробиці вакансії:
https://www.linkedin.com/jobs/view/3194126619/

​​Список софту який дозволяє робити відео з Deep Face:

1. DeepFaceLive — програма для заміни обличчя в режимі реального часу для потокової передачі на ПК або відеодзвінків. Від творців популярної бібліотеки DeepFaceLab. Тут інструкція.

2. Round DeepFake @RoundDFBot - записуємо Deep Fake в Telegram. Більше для побалуватись.
З мінусів: обмеження за тривалістю ролика та утермарку. Побалуватися все одно можна, раджу спробувати, адже бот безкоштовний.

3. DeepFakes Web - платний сайт, де можна зробити відео за 2$.

4. FaceSwap — схожий на DeepFaceLab, але надає більше можливостей, найкращу документацію та найкращу онлайн-підтримку. І так, він також доступний на Mac та Linux

І так, з програмами познайомились де можуть робити дипфейки, але й треба вміти розрізняти реальні відео від фейкових відео, які можуть робити різні зловмисники. Визначаємо DeepFake на відео:

1. https://deepware.ai/ – безкоштовний сервіс для перевірки відео на справжність. Також є в Google Play.

2. DFSpot-Deepfake-Recognition — нейромережева модель, яка визначає, чи є вхідне відео/зображення реальним чи Deepfake.

​​Тепер можете видалити ваші не потрібні антивірсу, щоб не засаряти ваш ком непотребом. Я наприклад зовсім не використовую додаткових антивірусів, тому що вони не тільки можуть не захищати, а додають ще +1 вхід до вашого компа, якщо вони проєбланять захист у себе.
При цьому важливо вміти перевіряти файли та посилання без спеціального софту, що навантажує вашу систему.

1. Hybrid Analysis - онлайн пісочниця, в якій можна перевірити будь-який файл. Після його відправки на перевірку, сайт запускає його в ізольованій пісочниці VirtualBox або VMware, а потім дивиться, як він поведеться в системі і робить висновок: небезпечний він для неї чи ні. Із систем є Windows, Linux Ubuntu та Android.

2. Virus Total - найпопулярніший он-лайн антивірус. Перевіряє файли та посилання. Має свого робота тут, проте всередині можна побачити багато стрімкої реклами.

3. MetaDefender Cloud - потужний антивірусний сканер файлів, посилань, IP адрес, доменів та хешів.

4. ClamAV - пакет антивірусного ПЗ, що працює в багатьох операційних системах, включаючи Unix-подібні ОС, OpenVMS, Microsoft Windows і Apple Mac OS X.

Перелік загальнодоступних програм bug bounty.

Метою цього проекту є:
- допомога мисливцям за винагородами якнайшвидше почати роботу з новими програмами.
- надати командам безпеки кращу видимість своїх активів.
- зменшити навантаження та шум, з яким стикаються деякі програми від автоматизованих інструментів

https://github.com/trickest/inventory

​​Вийшов новий реліз від Kali

https://www.kali.org/blog/kali-linux-2022-3-release/

​​В тебе валяється непотрібний смартфон, не знаєш куди його заюзати?

Ось список додатків для користувачів Android на всі випадки життя.

1. Haven — додаток, який перетворює ваш смартфон на повноцінну камеру відеоспостереження з фіксацією рухів та вібрацій.

2. MetalSniffer — перетворює смартфон на портативний детектор сигналів та прихованих пристроїв.

3. Hidden Camera Detector — додаток для виявлення прихованих камер за допомогою інфрачервоних та магнітних сенсорів смартфона.

4. Fing — перетворює смартфон на Wi-Fi сканер мереж, у тому числі можна дивитися, які пристрої підключено до площі Wi-Fi.

5. tinyCam Monitor — програма для підключення смартфона до будь-якої камери.

​​autossrf

Це ваш союзник у масштабному виявленні вразливостей SSRF. На відміну від інших інструментів автоматизації ssrf, цей має дві такі оригінальні функції:

1) Розумний фаззинг на відповідних параметрах SSRF GET
Під час фаззингу autoSSRF зосереджується лише на загальних параметрах, пов’язаних із SSRF (?url=, ?uri=, ..), і не заважає всьому іншому. Це гарантує, що вихідна URL-адреса все ще буде правильно зрозуміла перевіреною веб-програмою, чого може не статися з інструментом, який сліпо розпилює параметри запиту.

2) Генерація динамічних корисних навантажень на основі контексту
Для вказаної URL-адреси: https://host.com/?fileURL=https://authorizedhost.com, autoSSRF розпізнає authorizedhost.com як потенційно білий список хостів для веб-програми та генерує корисні дані динамічно на основі цього , намагаючись обійти перевірку білого списку. Це призведе до цікавих корисних даних, таких як: http://authorizedhost.attacker.com, http://authorizedhost%252F@attacker.com тощо.