Кібербезпека і soft skills. IBM переклала чотири свої курси українською

Компанія IBM пропонує чотири власні курси українською мовою на безоплатній платформі SkillsBuild. Про це команда Мінцифри повідомила в офіційному Telegram-каналі. Після завершення курсів користувачі отримають спеціальні значки, які можна додати до резюме або профілю в LinkedIn.

https://dou.ua/lenta/news/courses-from-ibm/

2022: A Year of Fascinating Discoveries

У цьому звіті автор ділиться деталями про деякі вразливості, які він виявив у redirected.com. Він надасть короткий огляд проблеми, покрокову розробку того, як він виявив і використовував їх, і деякі рекомендації щодо того, як ви можете знайти деякі подібні вразливості на ваших проектах

https://dhakalbibek.medium.com/2022-a-year-of-fascinating-discoveries-d3277dfb006f

GEO OSINT. Большая коллекция онлайн-ресурсов и инструментов для помощи в расследованиях GEOINT.

https://teletype.in/@coursmax/8Pis44HlJrE

​​Колись намагались пробити людину і не знали як це зробити? Ось цілий список ресурсів як можна пробити потрібну вам людину по юзернейму.

1. https://www.google.com/search?q=""username
2. https://www.bing.com/search?q=""username
3. https://usersearch.org/
3. https://knowem.com/checkusernames.php?u=
4. https://knowem.com/checksocialnames.php?u=
5. https://namechk.com/
6. https://namevine.com/
7. https://www.social-searcher.com
8. https://en.gravatar.com/
9. https://dehashed.com/
10. https://haveibeenpwned.com
11. https://linktr.ee/
12. https://www.searchmy.bio/
13. https://yandex.com/search/?text=%22%22&lr=10519

Вечер сладостей. Пару-тройку недель назад, поломали МТС кассу ( kassa.mts.ru ), и их дочернюю компанию - LiteBox ( litebox.ru ).

В жизни руснявых айти компаний, настиг тот период - когда украинские хакерсы ссут на них, и их репутацию. В прямом смысле, происходит унижение руснявого "ОйТи", и уж какая незадача - они этому даже сопротивляться не могут, не то чтобы уметь.

Нам, это только на руку.

[ LiteBox: { https://gofile.io/d/ksUp1V }

[ MTS-Kassa: { https://gofile.io/d/SQLxNI }

Основи практичного фішингу з Gophish

Цей матеріал — про одну з поширених атак, направлену на заволодіння персональними даними — фішинг.

Під час російсько-української війни, як ведеться у XXI столітті, бойові дії супроводжуються різноманітними інформаційними операціями. Щоб уберегти себе й оточення, варто розуміти, які небезпеки чекають нас в інформаційному просторі.

https://dou.ua/forums/topic/41619/

Burp Cheat Sheet

A cheat sheet for PortSwigger Burp Suite application security testing framework.

https://github.com/rinetd/BurpSuite-1/blob/master/CheatSheet.md

​​APIKit

APIKit -це набір інструментів API виявлення, а також поводження сканування та аудиту на вразливості. Він може працювати з такими видами API:

Відбитки пальців технологій API, які підтримує APIKit v1.0:

GraphQL
OpenAPI-Swagger
SpringbootActuator
SOAP-WSDL
REST-WADL
gRPC
UPnP

https://github.com/API-Security/APIKit

​​VulnPlanet

Якщо ви хотіли би побачити, як може виглядати вразливий код до найрозповсюджених вразливостей. То ось, ловіть, найширша колекція добре структурованих прикладів уразливого коду та виправлень в Інтернеті для Web2, Web3, API і Mobile (iOS і Android).

https://github.com/yevh/VulnPlanet

Ви думаєте над тим який краще всього поставити фаєрвол для захисту вашої системи? Ось кращі вам кращі технології в ділі.

​​Не тільки чатом GPT єдині) Доповнюємо різними можливостями штучний інтелект.

1. https://appicons.ai/ — генерує іконки для ваших програм;
2. https://excelformulabot.com/ — перекладає текстові інструкції в Excel формули!;
3. https://github.com/features/copilot — помічник програміста у реальному часі;
4. https://www.sheetai.app/ — перекладає ваші текстові інструкції у формули Google таблиць;
5. https://boo.ai/ —розумний помічник у написанні текстів;
6. https://plugins.jetbrains.com/plugin/20085-codeassist —ще один розумний помічник програміста;
7. https://audioread.com/ — перетворює текст на аудіо (подкаст);
8. https://makelogo.ai/ — малює логотипи та іконки;
9. https://wiz.chat/ — чат-бот GPT-3 для Slack;
10. https://www.browse.ai/ — ШІ для парсингу та екстракції даних із сайтів;
11. https://www.politepost.net/ — переробляє ваші грубі та швидко написані листи у вкрай ввічливі;
12. https://seo.ai/ — ваш розумний SEO помічник:
13. https://debuild.app/ — ШІ для створення сайтів;
14. https://webullar.com/ — ШІ для створення сайтів із смартфона;
25. https://www.voicemod.net/ — змінює ваш голос у режимі реального часу;

bbFuzzing.txt

Унікальний фазінг файл, який на 70% створювався за допомогою OpenAI ChatGPT.

Решта 30% - це збірка від багбоунтерів.

Проект активний, список слів буде активно поповнюватися і видаляти файли також буде активно, є кошик (до 5%)

https://github.com/reewardius/bbFuzzing.txt

Збираємо 4,5 млн грн на «небесну кару» для окупантів. DOU збір

Війна триває, військові ЗСУ не втомлюються захищати Україну, а ми продовжуємо підтримувати їх донатами та зброєю. Разом з KOLO ми оголошуємо збір 4 500 000 грн на 20 комплексів Wing Pro та резерв 10-15 крил для заміни втрачених.

https://dou.ua/forums/topic/41855/

​​Kali Purple

Kali Purple - це

1. Практика для Opsov: з віртуалізації, налаштування брандмауерів, VLAN, WAF, SIEM, IDS/IPS, і тд.
2. Практика для ред тіми: тестування на проникнення вразливих машин, дивлячись на те, що бачить синя тіма захисту. Чи можете ви стати непомітнішим для них?
3. Практика для блю тіми: брандмауер і правила IPS, аналіз SIEM і розробка приладної панелі щоб відслідковувати ред тіму.
4. Практика фіолетової тіми: ред та блю тіма працюють разом, щоб розробити остаточний набір правил.
5. Захист: розгорніть Kali-Purple для захисту вашої мережі

https://gitlab.com/kalilinux/documentation/kali-purple

​​HackTricks

Ласкаво просимо до великої книги, де ви знайдете любий кейс/техніку злому/всілякі кейси з CTF, реальних програм, прочитаних досліджень і новин.

P.S. Дякую за наводку @korokochok2022 😉

https://book.hacktricks.xyz/welcome/readme

​​RedTeam-Tools

Це сховище github містить колекцію з понад 120 інструментів і ресурсів, які можуть бути корисними для командної діяльності.

Деякі з інструментів можуть бути спеціально розроблені для червоної групи, тоді як інші є більш загального призначення та можуть бути адаптовані для використання в контексті червоної групи.

https://github.com/A-poc/RedTeam-Tools

BlueTeam-Tools

Це сховище github містить колекцію з понад 40 інструментів і ресурсів, які можуть бути корисними для діяльності синьої команди.

Деякі інструменти можуть бути спеціально розроблені для синього об’єднання, тоді як інші мають більш загальне призначення та можуть бути адаптовані для використання в контексті синього об’єднання.

https://github.com/A-poc/BlueTeam-Tools

​​OpenAI ChatGPT for Cyber Security

Нові рішення OpenAI стають популярними в Інтернеті, і одним із найкорисніших інструментів є «ChatGPT».

https://infosecwriteups.com/openai-chatgpt-for-cyber-security-4bc602069f9c

​​Юзаєш чат GPT по повній?, Ось підбірка для розширення його можливостей та зручності:

👉 1. https://github.com/HorrorPills/ChatGPT-Gnome-Desktop-Extension - вбудовує ChatGPT в Linux середовище оточення Gnome.

👉 2. https://chrome.google.com/webstore/detail/chatgpt-for-google/jgjaeacdkonaoafenlfkkkmbaopkbilf — розширення для Google Chrome.

👉 3. https://github.com/wong2/chat-gpt-google-extension - інтеграція цієї нейромережі в пошукові системи Google, Baidu, Bing, DuckDuckGo, Brave, Yahoo, Naver, Yandex, Kagi, Searx;

👉 4. https://chrome.google.com/webstore/detail/promptheus-converse-with/eipjdkbchadnamipponehljdnflolfki - підключає ІІ до голосового помічника;

👉 5. https://github.com/altryne/chatGPT-telegram-bot/ - допомагає створити Telegram бота на ChatGPT;

​​Як прискорити завантаження файлів у браузері Google Chrome?

Коли ви завантажуєте файли великих розмірів у Chrome, завантаження відбувається в одному потоці, при тому, що більшість інтернет-трафіку просто залишається незадіяною. А це означає, що можна значно прискорити завантаження, відкривши відразу кілька потоків.

Щоб її увімкнути прискорення, потрібно:

1) вести в адресному рядку «chrome://flags/#enable-parallel-downloading»
2) в розділі parallel-downloading вибрати "Enabled";
3) перезавантажити браузер.

Після всіх цих дій завантаження файлів у Chrome буде багатопотоковим, що в рази збільшить швидкість.

​​Альтернатива Burp Collaborator для пошуку вразливостей SSRF

Ось кілька сайтів, які допоможуть у пошуку SSRF уразливостей:

https://canarytokens.org
https://webhook.site
https://app.interactsh.com
https://hookdeck.com

Я не кажу вам відмовлятися від Burp Collaborator,але звичайно варто мати в арсеналі інструментів ці ресурси.

Трішки юмора в нелегкі наші часи. до теми що через QA типу зайти легше ніж через інші ролі в IT, щоб потім змінити роль QA на іншу)))