📱 Як виявити шкідливий QR-код
Усі хоч раз зустрічалися з довгими URL-адресами, які містять безліч UTM-міток, призначених для збору статистики відвідувань. Щоб вручну не переписувати величезне посилання з продукту, набагато легше відсканувати QR-код за допомогою смартфона та перейти на сайт.
Здавалося б, що може бути небезпечним у звичайному QR-коді? Все банально просто: при скануванні URL-адреса найчастіше прихована, а іноді сканер і зовсім, без вашого попиту, перенаправляє вас на сайт. Відповідно, ви дуже легко можете опинитися на фішинговому сайті.
На щастя, завжди можна застерегти себе від такої ситуації. Використовуйте перевірені QR-сканери, які інформують вас про безпеку QR-коду, можна використовувати онлайн-сервіси, які не лише розшифрують зображення, а й перевірять дані через сканер:
1) RevealQR (https://revealqr.app/),
2) Flaash (https://flaash.me/).
Не варто сканувати будь-що, не перевіривши це.
Усі хоч раз зустрічалися з довгими URL-адресами, які містять безліч UTM-міток, призначених для збору статистики відвідувань. Щоб вручну не переписувати величезне посилання з продукту, набагато легше відсканувати QR-код за допомогою смартфона та перейти на сайт.
Здавалося б, що може бути небезпечним у звичайному QR-коді? Все банально просто: при скануванні URL-адреса найчастіше прихована, а іноді сканер і зовсім, без вашого попиту, перенаправляє вас на сайт. Відповідно, ви дуже легко можете опинитися на фішинговому сайті.
На щастя, завжди можна застерегти себе від такої ситуації. Використовуйте перевірені QR-сканери, які інформують вас про безпеку QR-коду, можна використовувати онлайн-сервіси, які не лише розшифрують зображення, а й перевірять дані через сканер:
1) RevealQR (https://revealqr.app/),
2) Flaash (https://flaash.me/).
Не варто сканувати будь-що, не перевіривши це.
Я тебе по IP вирахую! 😱😱😜
Всі ми стикалися з подібними загрозами в іграх, соц. мережах, на роботі та месенджерах. Як правило, далі погроз справа не заходила, та й усі розуміли, що вирахувати по IP неможливо, чи не так?
Точне розташування дізнатися за адресою комп'ютера в інтернеті неможливо, але тільки у випадку, якщо людина використовує VPN або проксі. В інших випадках вирахувати зразкове місце не складе труднощів. Зазвичай при цьому використовують онлайн-сервіси.
Перейшовши за посиланням, щоб переглянути гарну картинку, ви навіть не зрозумієте, що зловмисник вже дізнався ваш IP. Такі посилання роблять за допомогою подібного сервісу
Grabify (https://grabify.link/). Закидуєш в нього лінк на картинку, він автоматом додасть IP логер в ту лінку. Після того як людина перейде по той лінці, яку ви кинете, вже не буде важко обчислити місце розташування людини.
Всі ми стикалися з подібними загрозами в іграх, соц. мережах, на роботі та месенджерах. Як правило, далі погроз справа не заходила, та й усі розуміли, що вирахувати по IP неможливо, чи не так?
Точне розташування дізнатися за адресою комп'ютера в інтернеті неможливо, але тільки у випадку, якщо людина використовує VPN або проксі. В інших випадках вирахувати зразкове місце не складе труднощів. Зазвичай при цьому використовують онлайн-сервіси.
Перейшовши за посиланням, щоб переглянути гарну картинку, ви навіть не зрозумієте, що зловмисник вже дізнався ваш IP. Такі посилання роблять за допомогою подібного сервісу
Grabify (https://grabify.link/). Закидуєш в нього лінк на картинку, він автоматом додасть IP логер в ту лінку. Після того як людина перейде по той лінці, яку ви кинете, вже не буде важко обчислити місце розташування людини.
Убер після недавнього інциденту https://itbusiness.com.ua/hardnews/151768-uber-zayavlyaet-chto-rassleduet-inczident-kiberbezopasnosti.html . Ось коли бізнес задумується про безпеку😂
Logger++ Плагін в Burp Suite для пошуку вразливостей в API
Logger++ — це розширення для багатопотокового логування для Burp Suite. Це розширення дозволяє визначати розширені фільтри, щоб виділяти цікаві записи або логи фільтрів лише для тих, які відповідають потрібному фільтру. Ось колекція від logger++ для пошуку вразливостей API.
1) API Endpoints
-REST/RPC
-GraphQL
2) API Operations
-REST
-GraphQL
-RPC
3) API Vulnerabilities
-Excessive Data Exposure
-Mass Assignment
-Injection and Broken Object Level
-Security Misconfiguration
-Broken Authentication
-SSRF
-Open Redirect
-Lack of Resources and Rate Limiting
-XSS
https://github.com/bnematzadeh/LoggerPlusPlus-API-Filters
Logger++ — це розширення для багатопотокового логування для Burp Suite. Це розширення дозволяє визначати розширені фільтри, щоб виділяти цікаві записи або логи фільтрів лише для тих, які відповідають потрібному фільтру. Ось колекція від logger++ для пошуку вразливостей API.
1) API Endpoints
-REST/RPC
-GraphQL
2) API Operations
-REST
-GraphQL
-RPC
3) API Vulnerabilities
-Excessive Data Exposure
-Mass Assignment
-Injection and Broken Object Level
-Security Misconfiguration
-Broken Authentication
-SSRF
-Open Redirect
-Lack of Resources and Rate Limiting
-XSS
https://github.com/bnematzadeh/LoggerPlusPlus-API-Filters
Доповнив статтю по баш скриптам, розділами як можно за допомогою баш скриптів реалізувати автоматичний моніторинг вашого сайту та як налаштувати автоматичні повідомлення до вас якщо сайт лежить та коли сайт підіймається.
https://svyat.tech/Bash-noscripts-Linux/
https://svyat.tech/Bash-noscripts-Linux/
Які сайти мають доступ до вашого облікового запису Google?
На багатьох сайтах є можливість аутентифікації через ваш особистий обліковий запис Google. Іноді доступ до облікового запису надається машинально, навіть не запам'ятовуючи цього. Ми можемо навіть не підозрювати, які програми та які дані мають про обліковий запис.
Наша головна мета при аутентифікації – отримати швидкий доступ до сервісу. Через деякий час ми можемо взагалі забути про такий сервіс, але доступ до конфіденційних даних у сайту все одно залишиться.
У налаштуваннях безпеки можна переглянути, які програми мають доступ до вашого облікового запису. Якщо у списку ви виявили небажаний додаток, то позбавити його інформації про ваш обліковий запис можна в налаштуваннях сервісу, а потім натиснувши "Закрити доступ".
На багатьох сайтах є можливість аутентифікації через ваш особистий обліковий запис Google. Іноді доступ до облікового запису надається машинально, навіть не запам'ятовуючи цього. Ми можемо навіть не підозрювати, які програми та які дані мають про обліковий запис.
Наша головна мета при аутентифікації – отримати швидкий доступ до сервісу. Через деякий час ми можемо взагалі забути про такий сервіс, але доступ до конфіденційних даних у сайту все одно залишиться.
У налаштуваннях безпеки можна переглянути, які програми мають доступ до вашого облікового запису. Якщо у списку ви виявили небажаний додаток, то позбавити його інформації про ваш обліковий запис можна в налаштуваннях сервісу, а потім натиснувши "Закрити доступ".
MindMaps для Pentesters
У цьому сховищі зберігаються різні Mindmaps для того щоб не забути що обов'язково треба перевірити, які місця та на які вразливості.
Цей чекліст підходить для:
- мисливців bug bounty🧑🦰.
- пентестерів🧑🦰
- red team (🔴)
- blue team (🔵)
Якщо ви запримітили, що чогось не хватає, можете написати авторам, щоб додали, ваші внески та пропозиції вітаються.
https://github.com/imran-parray/Mind-Maps
У цьому сховищі зберігаються різні Mindmaps для того щоб не забути що обов'язково треба перевірити, які місця та на які вразливості.
Цей чекліст підходить для:
- мисливців bug bounty🧑🦰.
- пентестерів🧑🦰
- red team (🔴)
- blue team (🔵)
Якщо ви запримітили, що чогось не хватає, можете написати авторам, щоб додали, ваші внески та пропозиції вітаються.
https://github.com/imran-parray/Mind-Maps
Vulners Web Scanner
Крихітний сканер вразливостей на основі бази даних вразливостей vulners.com. Пасивно скануйте веб-сайти під час серфінгу в Інтернеті!
Він надає вам можливість пасивно сканувати веб-сайти, які ви переглядаєте, на відомі вразливості.
https://chrome.google.com/webstore/detail/vulners-web-scanner/dgdelbjijbkahooafjfnonijppnffhmd
Після встановлення плагіну, зареєструйся на їхньому сайті https://vulners.com/api-keys#web-extension та вкажи які саме ти хочеш встановити додатки для сканування, наприклад NMAP, Full API сканер і тд. Далі скопіюй апі ключ з сайту в плагін у хромі і воля, ви маєте пасивний сканер який вам скаже які знайому вразливості є у вас!
В безкоштовній версії у вас є можливість сканувати 100 API методів на місяць.
Крихітний сканер вразливостей на основі бази даних вразливостей vulners.com. Пасивно скануйте веб-сайти під час серфінгу в Інтернеті!
Він надає вам можливість пасивно сканувати веб-сайти, які ви переглядаєте, на відомі вразливості.
https://chrome.google.com/webstore/detail/vulners-web-scanner/dgdelbjijbkahooafjfnonijppnffhmd
Після встановлення плагіну, зареєструйся на їхньому сайті https://vulners.com/api-keys#web-extension та вкажи які саме ти хочеш встановити додатки для сканування, наприклад NMAP, Full API сканер і тд. Далі скопіюй апі ключ з сайту в плагін у хромі і воля, ви маєте пасивний сканер який вам скаже які знайому вразливості є у вас!
В безкоштовній версії у вас є можливість сканувати 100 API методів на місяць.
📧 Як надіслати анонімний електронний лист
У випадку, якщо вам потрібно надіслати дійсно важливу та секретну інформацію, то використовувати звичайну електронну пошту – не найкращий варіант.
За адресою електронної пошти співрозмовник, з великим шансом, зможе запросто знайти важливу конфіденційну інформацію про вас. Надалі така інформація може бути використана з будь-якою метою. Це означає, що надсилати секретну інформацію зі своєї електронної пошти зовсім не безпечно.
Набагато розумніше використовувати спеціальні сервіси. На сайті
- TempMail (цей робить все, що написав нижче, крім прийому листа на генеровану пошту) Є багато також різних плагінів для браузеру, для легкого користування сервісом
- Tempail
За допомогою цих сервісів можна отримати одноразову пошту не тільки для надсилання, але й отримання повідомлень. Також ці послуги можна використовувати для швидкої реєстрації на різних сайтах.
У випадку, якщо вам потрібно надіслати дійсно важливу та секретну інформацію, то використовувати звичайну електронну пошту – не найкращий варіант.
За адресою електронної пошти співрозмовник, з великим шансом, зможе запросто знайти важливу конфіденційну інформацію про вас. Надалі така інформація може бути використана з будь-якою метою. Це означає, що надсилати секретну інформацію зі своєї електронної пошти зовсім не безпечно.
Набагато розумніше використовувати спеціальні сервіси. На сайті
- TempMail (цей робить все, що написав нижче, крім прийому листа на генеровану пошту) Є багато також різних плагінів для браузеру, для легкого користування сервісом
- Tempail
За допомогою цих сервісів можна отримати одноразову пошту не тільки для надсилання, але й отримання повідомлень. Також ці послуги можна використовувати для швидкої реєстрації на різних сайтах.
Біблія для пентестерів
Перегляньте понад 2000 статей про хакерство, збережених протягом тривалого часу у форматі PDF.
https://github.com/oxfemale/PENTESTING-BIBLE
Перегляньте понад 2000 статей про хакерство, збережених протягом тривалого часу у форматі PDF.
https://github.com/oxfemale/PENTESTING-BIBLE
Cross Site Scripting ( XSS ) Vulnerability Payload List
Міжсайтові сценарії (XSS) – це тип ін’єкцій, під час яких шкідливі сценарії впроваджуються на безпечні та надійні веб-сайти. XSS-атаки відбуваються, коли зловмисник використовує веб-програму для надсилання шкідливого коду, як правило, у формі сценарію сторони браузера, іншому кінцевому користувачеві. Недоліки, які дозволяють цим атакам бути успішними, досить широко поширені та виникають у будь-якому місці, де веб-додаток використовує вхідні дані від користувача в межах вихідних даних, які він генерує, без їх перевірки чи кодування.
Зловмисник може використовувати XSS, щоб надіслати шкідливий сценарій нічого не підозрюючому користувачеві. Браузер кінцевого користувача не може дізнатися, що сценарію не можна довіряти, і виконає сценарій. Оскільки він вважає, що сценарій надійшов із надійного джерела, зловмисний сценарій може отримати доступ до будь-яких файлів cookie, маркерів сеансу чи іншої конфіденційної інформації, яка зберігається веб-переглядачем і використовується на цьому сайті. Ці сценарії можуть навіть переписати вміст сторінки HTML. Щоб отримати докладніші відомості про різні типи недоліків XSS, перегляньте: Типи міжсайтового сценарію.
https://github.com/payloadbox/xss-payload-list
Безкоштовні сканери на XSS:
👉 XSStrike
👉 BruteXSS GUI
👉 XSS Scanner Online
👉 XSSer
👉 xsscrapy
👉 OWASP ZAP
Міжсайтові сценарії (XSS) – це тип ін’єкцій, під час яких шкідливі сценарії впроваджуються на безпечні та надійні веб-сайти. XSS-атаки відбуваються, коли зловмисник використовує веб-програму для надсилання шкідливого коду, як правило, у формі сценарію сторони браузера, іншому кінцевому користувачеві. Недоліки, які дозволяють цим атакам бути успішними, досить широко поширені та виникають у будь-якому місці, де веб-додаток використовує вхідні дані від користувача в межах вихідних даних, які він генерує, без їх перевірки чи кодування.
Зловмисник може використовувати XSS, щоб надіслати шкідливий сценарій нічого не підозрюючому користувачеві. Браузер кінцевого користувача не може дізнатися, що сценарію не можна довіряти, і виконає сценарій. Оскільки він вважає, що сценарій надійшов із надійного джерела, зловмисний сценарій може отримати доступ до будь-яких файлів cookie, маркерів сеансу чи іншої конфіденційної інформації, яка зберігається веб-переглядачем і використовується на цьому сайті. Ці сценарії можуть навіть переписати вміст сторінки HTML. Щоб отримати докладніші відомості про різні типи недоліків XSS, перегляньте: Типи міжсайтового сценарію.
https://github.com/payloadbox/xss-payload-list
Безкоштовні сканери на XSS:
👉 XSStrike
👉 BruteXSS GUI
👉 XSS Scanner Online
👉 XSSer
👉 xsscrapy
👉 OWASP ZAP
GitHub
GitHub - payloadbox/xss-payload-list: 🎯 Cross Site Scripting ( XSS ) Vulnerability Payload List
🎯 Cross Site Scripting ( XSS ) Vulnerability Payload List - payloadbox/xss-payload-list
Шпаргалка облікових даних за замовчуванням
Єдине місце для всіх облікових даних за замовчуванням, щоб допомогти пентестерам під час тестування. Цей документ містить логін/пароль більшості продуктів за замовчуванням, зібрані з багатьох джерел.
В чому профіт?
- Один документ для облікових даних найвідоміших постачальників
- Допомагає пентестерам під час пентестів
- Допомагає співробітникам Blue team захистити активи інфраструктури компанії, виявивши цей недолік безпеки, щоб пом’якшити його.
https://github.com/ihebski/DefaultCreds-cheat-sheet
Єдине місце для всіх облікових даних за замовчуванням, щоб допомогти пентестерам під час тестування. Цей документ містить логін/пароль більшості продуктів за замовчуванням, зібрані з багатьох джерел.
В чому профіт?
- Один документ для облікових даних найвідоміших постачальників
- Допомагає пентестерам під час пентестів
- Допомагає співробітникам Blue team захистити активи інфраструктури компанії, виявивши цей недолік безпеки, щоб пом’якшити його.
https://github.com/ihebski/DefaultCreds-cheat-sheet
OSCP Cheat Sheet
Команди, Payload та ресурси для професійної сертифікації Offensive Security Certified.
https://github.com/0xsyr0/OSCP
Команди, Payload та ресурси для професійної сертифікації Offensive Security Certified.
https://github.com/0xsyr0/OSCP
Web Penetration Testing
Ця шпаргалка створена для Red Teamers і тестувальників проникнення, щоб допомогти їм полювати на вразливі місця. Він розроблений таким чином, щоб початківці могли зрозуміти основи, а професіонали могли освіжити свої навички.
https://github.com/Ignitetechnologies/bugbounty
Ця шпаргалка створена для Red Teamers і тестувальників проникнення, щоб допомогти їм полювати на вразливі місця. Він розроблений таким чином, щоб початківці могли зрозуміти основи, а професіонали могли освіжити свої навички.
https://github.com/Ignitetechnologies/bugbounty
Крутий Pentesting читшіт по AWS
Якщо ваша інфраструктура знаходиться на AWS, то цей посібник створено, щоб допомогти вам дізнатися більше про неправильні конфігурації AWS і знайти слабкі місця для витоку даних.
Щоб їм скористуватися вам потрібен ключ до AWS налаштувань (це не важко знайти, просто подивіться на github розробника)
https://github.com/pop3ret/AWSome-Pentesting/blob/main/AWSome-Pentesting-Cheatsheet.md
Якщо ваша інфраструктура знаходиться на AWS, то цей посібник створено, щоб допомогти вам дізнатися більше про неправильні конфігурації AWS і знайти слабкі місця для витоку даних.
Щоб їм скористуватися вам потрібен ключ до AWS налаштувань (це не важко знайти, просто подивіться на github розробника)
https://github.com/pop3ret/AWSome-Pentesting/blob/main/AWSome-Pentesting-Cheatsheet.md
Якщо ви вирішили займатися пентестом, то вам обов'язково знадобляться знання Linux. Так як багато утиліт можна запустити тільки на лінукс. Тому написав статейку де зібрав основні команди для роботи з терміналом в Linux, додав опис що вона робить і до половину додав картинки, щоб ви змогли провізіалізувати що вона робить. Поки писав, то сам для себе відкрив деякі можливості😅
https://svyat.tech/Foundation-Linux-command/
https://svyat.tech/Foundation-Linux-command/
Безкоштовні додатки для практики пентесту мобільних додатків
Нижче наведено добірку безкоштовних лабораторій, в яких можна пошукати вразливості мобільних додатків.
👉 Damn Vulnerable Android App (DVAA)
👉 Damn Vulnerable iOS App (DVIA)
👉 Damn Vulnerable Hybrid Mobile App (DVHMA)
👉 The OWASP iGoat project
👉 Cool Games
👉 Note Box
👉 Panda Zap
👉 InsecureBank v2
Якщо тебе цікавить де можна підняти цю лабораторію, то можна встановити спеціальний дистрибутив Linux для пентесту мобільних додатків у себе на віртуалку.
https://mobexler.com/setup.htm
Також можна інтегрувати сервіс з IOS девайсами, так як айфони можна підіймати тільки на маках, але то вже не безкоштовна фіча, але можна на трівіал версії погратися.
https://www.corellium.com/
Нижче наведено добірку безкоштовних лабораторій, в яких можна пошукати вразливості мобільних додатків.
👉 Damn Vulnerable Android App (DVAA)
👉 Damn Vulnerable iOS App (DVIA)
👉 Damn Vulnerable Hybrid Mobile App (DVHMA)
👉 The OWASP iGoat project
👉 Cool Games
👉 Note Box
👉 Panda Zap
👉 InsecureBank v2
Якщо тебе цікавить де можна підняти цю лабораторію, то можна встановити спеціальний дистрибутив Linux для пентесту мобільних додатків у себе на віртуалку.
https://mobexler.com/setup.htm
Також можна інтегрувати сервіс з IOS девайсами, так як айфони можна підіймати тільки на маках, але то вже не безкоштовна фіча, але можна на трівіал версії погратися.
https://www.corellium.com/
RFI/LFI Payload List
Як і у випадку з багатьма експлойтами, віддалене та локальне читання файлів є проблемою лише наприкінці кодування. Сподіваємось, ця стаття та лінки з наборами пейлоудів допоможуть вам дати уявлення про те, як захистити свій веб-сайт і, головне, ваш код від експлойту вимкнення файлів.
https://telegra.ph/Web-security-flaw--LFI-10-10
https://telegra.ph/Web-security-flaws--LFI-10-10
https://github.com/payloadbox/rfi-lfi-payload-list
https://raw.githubusercontent.com/emadshanab/LFI-Payload-List/master/LFI%20payloads.txt
Як і у випадку з багатьма експлойтами, віддалене та локальне читання файлів є проблемою лише наприкінці кодування. Сподіваємось, ця стаття та лінки з наборами пейлоудів допоможуть вам дати уявлення про те, як захистити свій веб-сайт і, головне, ваш код від експлойту вимкнення файлів.
https://telegra.ph/Web-security-flaw--LFI-10-10
https://telegra.ph/Web-security-flaws--LFI-10-10
https://github.com/payloadbox/rfi-lfi-payload-list
https://raw.githubusercontent.com/emadshanab/LFI-Payload-List/master/LFI%20payloads.txt