Этичный Хакер
402K subscribers
1.9K photos
304 videos
19 files
2.09K links
Про кибербезопасность и современные технологии.

Сотрудничество, реклама: @workhouse_price

Канал в реестре РКН: https://clck.ru/3FzjLS

Сотрудничаем с @Spiral_Yuri, @swaymedia, https://telega.in/c/hack_less
Download Telegram
👾 OWASP Top 10: A3 Раскрытие конфиденциальных данных

В этой статье ознакомим вас с третьей по величине своих последствий уязвимостью - раскрытие конфиденциальных данных.

https://telegra.ph/OWASP-Top-10-A3-Raskrytie-konfidencialnyh-dannyh-08-24

#less #OWASP | 💀 Этичный хакер
🔥17👍31
👾 OWASP Top 10: A4 XXE Атака внешнего объекта XML

В этой статье пойдёт речь о уязвимости внешних объектов XML.

https://telegra.ph/owasp-a4-08-24

#less #OWASP| 💀 Этичный хакер
👍14
👾 OWASP Top 10: A6 Неправильная конфигурация безопасности

В этой статье рассмотрим уязвимость охватыватывающая всё, что связано с конфигурациями безопасности.

https://telegra.ph/owasp-a6-08-25

#less #OWASP | 💀 Этичный хакер
👍18👎1
👾 OWASP Top 10: A7 Межсайтовый скриптинг (XSS)

В этой статье рассмотрим одну из уязвимостей OWASP TOP 10, межсайтовый скриптинг. Разберём что за уязвимость, как её внедряют и какие способы защиты бывают.

https://telegra.ph/owasp-a7-08-30

#less #OWASP #XSS | 💀 Этичный хакер
👍12🔥3👏1😢1
👾 OWASP Top 10: A5 Нарушенный контроль доступа

В этой статье рассмотрим уязвимость связанную с предоставлением или ограничением прав пользователя в приложении.

https://telegra.ph/owasp-a5-08-24

#less #OWASP | 💀 Этичный хакер
👍15
👾 OWASP Top 10: A8 Небезопасная десериализация

В этой статье рассмотрим очень сложную для понимания уязвимость связанную с десериализацией.

https://telegra.ph/owasp-a8-09-01

#less #OWASP | 💀 Этичный хакер
👍10🔥1
OWASP Top 10: A9 Использование компонентов с известными уязвимостями

В этой статье рассмотрим девятую по масштабу уязвимость, связанную с использованием ранее известных уязвимостей в компонентах.

https://telegra.ph/owasp-a9-09-03

#less #OWASP | 💀 Этичный хакер
👍15👎1🔥1
OWASP Top 10: A10 Недостаточное ведение журнала и мониторинг

В этой статье рассмотрим последнюю уязвимость из списка OWASP Top 10, связанную с плохими логами и мониторингом.

https://telegra.ph/owasp-a10-09-03

#less #OWASP | 💀 Этичный хакер
👍16👎1🔥1👏1
👾 Подделка межсайтовых запросов (CSRF) – уязвимость OWASP

В этой статье рассмотрим уязвимость CSRF с подробным объяснением принципа атак, а также дадим несколько советов по защите.

https://telegra.ph/Poddelka-mezhsajtovyh-zaprosov-CSRF--uyazvimost-OWASP-08-14

#less #CSRF #OWASP | 💀 Этичный хакер
👍281
📚Книга: OWASP. Методология тестирования безопасности веб-приложений

WSTG - это всеобъемлющее руководство по тестированию безопасности веб-приложений и веб-сервисов. WSTG, созданный совместными усилиями профессионалов в области кибербезопасности и волонтеров, предоставляет набор лучших практик, используемых пентестерами и организациями по всему миру.

Скачать: здесь

#books #OWASP | 💀 Этичный хакер
👍291
📟 Подборка материалов по пентесту API

Небольшая подборка полезных ресурсов и чеклистов по пентесту API:

💬 OWASP API Security Top 10 (на русском)
💬 HolyTips
💬 API-Audit-Checklist
💬 31-days-of-API-Security-Tips
💬 API Security Checklist
💬 OAuth 2.0 Threat Model Pentesting Checklist
💬 JWT Security Cheat Sheet
💬 Microservices Security Cheat Sheet
💬 GraphQL Cheat Sheet
💬 REST Assessment Cheat Sheet
💬 REST Security Cheat Sheet
💬 API Security Encyclopedia

#Web #API #OWASP | 💀 Этичный хакер
Please open Telegram to view this post
VIEW IN TELEGRAM
👍291🤬1
🧑‍🎓 Навигация по каналу

#SQL
#CTF
#Linux
#Windows
#WiFi
#WPS
#WPA
#Dorks
#OSINT
#BurpSuite
#BugBounty
#API
#OWASP
#Injection
#Web
#Recon
#Encryption
#Vulnerability
#XSS
#CSRF
#HTTP
#WAF
#Tools
#Forensics
#MITM
#SocialEngineering (#SE)
#ReversEngeniring (#RE)
#News
#OpenSource

💬 Пошаговое руководство, как стать экспертом по кибербезопасности (на английском)

📶 База, основные понятия:
• Сетевая разведка (OSINT)
• Курс по SQL для начинающих
• EXIF - данные, метаданные
• Защита API - что необходимо знать?
• TCP: что за протокол такой?
• DNS атака: как это работает
• Модели OSI - сетевые протоколы
• 4 главных навыка специалиста по информационной безопасности
• Что о вас знает интернет-провайдер?
• Топ 5 правил безопасности в интернете
• Burp Suite: вникаем в аудит безопасности
• Базовые инструменты для тестирования в Kali Linux

🔎 OSINT:
• OSINT: руководство для самых маленьких
• Подборка дорков для более чем 10 известных сервисов
• Поиск в сети с помощью Maltego
• Offensive OSINT Tools
• Мануал по Maltego. Сбор информации
• Shodan и Censys: поиск скрытых деталей в Интернете
• Cканирование сайта с помощью Google дорков
• Mitaka - расширение браузера для OSINT
• CSI Linux. Убийца в мире пробива
• Blackbird - инструмент OSINT для поиска учетных записей
• EmailHarvester - инструмент для получения адресов электронной почты
• OSINT фреймворк для Github
• 20 практических приемов OSINT c применением новых возможностей цифрового мира
• Maltego: исследование веб-сайтов, хостинга и почт
• Поиск в сети с помощью Maltego
• Maltego: сканирование уязвимостей
• Maltego: исследование серверов, доменов и файлов
• Доксинг. Защити свои данные от деанона.
• DarkSide: сбор информации и соц. инженерия

😁 Kali Linux:
• Kali Linux: Базовый инструментарий для пентеста
• Как взломать WPA / WPA2 WiFi с помощью Kali Linux?
• Инструменты для хакинга на Kali Linux
• Установка Kali Linux в VirtualBox

👁 Социальная инженерия:
• Основные приемы манипуляции в дискуссии
• 10 человеческих слабостей, которые помогут управлять людьми
• Исключительные методы взлома
• Аудит с использованием соц. инженерии

🔵 Пентест:
• Kerberos: руководство для пентестеров
• Red Rabbit - Пентест и постэксплуатация
• Пентест сайта. 12 шагов.
• Подборка лабораторий для практики веб-пентеста
• Пентест Apache log4j
• Пентест сети IPv6
• Пентест: Wi-Fi с WPA паролем
• Rekono - автоматический пентест
• SQLmap: пентест БД
• Материалы по пентесту API
• Инструменты для хакинга на Kali Linux
• Подборка браузерных расширений для Bug Bounty и пентеста
• fsociety – платформа для тестирования на проникновение

💳 OWASP Top 10:
OWASP Top 10: A1 SQL - инъекции
OWASP Top 10: A2 Сломанная аутентификация и управление сеансами
OWASP Top 10: A3 Раскрытие конфиденциальных данных
OWASP Top 10: A4 XXE Атака внешнего объекта XML
OWASP Top 10: A5 Нарушенный контроль доступа
OWASP Top 10: A6 Неправильная конфигурация безопасности
OWASP Top 10: A7 Межсайтовый скриптинг (XSS)
OWASP Top 10: A8 Небезопасная десериализация
OWASP Top 10: A9 Использование компонентов с известными уязвимостями
OWASP Top 10: A10 Недостаточное ведение журнала и мониторинг
• Подделка межсайтовых запросов (CSRF) – уязвимость OWASP
OWASP. Методология тестирования безопасности веб-приложений
• Небольшая подборка плагинов для OWASP ZAP

🥷 Анонимность:
• Форензика: идентификация поддельных изображений
• Создание левой личности
• Как удалить свой номер из GetContact
• Как удалить персональные данные из ботов пробива
• Реализация двойного дна на IOS и Android
• Комплексная проверка анонимности
• Конфиденциальность в криптовалютах
• Настройки безопасности: Отключаем слежку в Windows
• Как удалить персональные данные из ботов пробива
• Находим все аккаунты, связанные с вашей почтой
• Что Google знает о вас
• Одни из самых анонимных OC

Помимо всего прочего, в канале бесплатно публикуем различную литературу и руководства — #books
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1148044🔥38🤯10❤‍🔥76🤡4🤔32😎2
😈 ТОП-10 плагинов для OWASP ZAP

💬 Access Control Testing: Позволяет проводить тестирование контроля доступа и выявлять потенциальные проблемы с контролем доступа.

💬 Advanced SQLInjection Add-on: Инструмент активного сканирования для обнаружения SQLi (на основе SQLMap).

💬 Attack Surface Detector: Плагин помогает выявить конечные точки веб-приложения, параметры, которые принимают эти конечные точки, и тип данных этих параметров.

💬 DOM XSS Active Scan Rule: Активный сканер для обнаружения уязвимостей DOM XSS.

💬 Directory List v2.3: Предоставляет файлы с именами каталогов для брутфорса или фаззинга.

💬 Eval Villain: Расширение для ZAP и Firefox, которое будет подключаться к опасным функциям, таким как eval, и предупреждать вас об их использовании.

💬 GraphQL Support: Плагин для получения структуры и запросов GraphQL.

💬 Out-of-band Application Security Testing Support: Сервер OAST для обнаружения внешних и слепых уязвимостей. Аналог Burp Collaborator, только для ZAP.

💬 HUNT v2: Выполняет пассивное сканирование на наличие потенциально уязвимых параметров.

💬 Community-scripts: Большая коллекция скриптов ZAP предоставленная комьюнити

#Web #Recon #OWASP #Tools | 💀 Этичный хакер
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1811❤‍🔥5😱1🌚1
OWASP Top 10 Web Application Risks

Уязвимость веб-приложения
- это слабое место в системе безопасности программного обеспечения, работающего в веб-браузерах. Веб-доступ делает приложения высокодоступными, но также подвергает их многочисленным атакам.

— Вот топ-10 уязвимостей, включенных в список:

1. Нарушенный контроль доступа
2. Уязвимость к криптографическим атакам
3. Инъекция
4. Небезопасный дизайн
5. Неверная конфигурация безопасности
6. Уязвимые и устаревшие компоненты
7. Ошибки идентификации и аутентификации
8. Нарушения целостности программного обеспечения и данных
9. Сбои регистрации и мониторинга безопасности
10. Подделка запросов на стороне сервера (SSRF)

#OWASP #Web #infosec | 💀 Этичный хакер
Please open Telegram to view this post
VIEW IN TELEGRAM
👍345👏3🆒3🤬1🎅1
😈 Пентест веб-сайта с помощью OWASP ZAP

OWASP ZAP - это сканер безопасности веб-приложений с открытым исходным кодом, который стал одним из наиболее широко используемых инструментов для динамического тестирования безопасности приложений (DAST), поддерживаемых OWASP.

— Защита веб-приложения имеет решающее значение, поэтому осваивать пентест инструменты приходится и самим разработчикам. Есть и мощные фреймворки для пентеста WordPress (WPScan) но ведь не все пользуются этой CMS, поэтому в этом посте рассмотрим универсальный пентест-инструмент OWASP ZAP (Zed Attack Proxy).

🗣 Ссылка на чтиво

‼️ Также прикрепляю другие полезные материалы по теме #ZAP:
- ТОП-10 плагинов для OWASP ZAP
- Межсайтовый скриптинг (XSS)

#Web #OWASP #ZAP #Пентест | 🧑‍💻 Этичный хакер
Please open Telegram to view this post
VIEW IN TELEGRAM
👍21👏53🔥1
😈 Захват сетевой инфраструктуры: история пентеста финансовой организации

В этом посте речь пойдёт о том, как сломанная логика, самописные сервисы и графические пароли могут привести к захвату сетевой инфраструктуры компании, полной потере денег и пользовательских данных.

— Это реальная история. События, о которых рассказывается в посте, произошли не так уж давно. По просьбе юристов названия были изменены. Из уважения к читателям все рассказано так, как было на самом деле.

🗣 Ссылка на чтиво

#Пентест #OWASP #SE | 🧑‍💻 Этичный хакер
Please open Telegram to view this post
VIEW IN TELEGRAM
👍28🔥7🤯4👏2
😈 Захват сетевой инфраструктуры: история пентеста финансовой организации

В этом посте речь пойдёт о том, как сломанная логика, самописные сервисы и графические пароли могут привести к захвату сетевой инфраструктуры компании, полной потере денег и пользовательских данных.

— Это реальная история. События, о которых рассказывается в посте, произошли не так уж давно. По просьбе юристов названия были изменены. Из уважения к читателям все рассказано так, как было на самом деле.

🗣 Ссылка на чтиво

#Пентест #OWASP #SE | 🧑‍💻 Этичный хакер
Please open Telegram to view this post
VIEW IN TELEGRAM
15👍11🔥9
😈 Захват сетевой инфраструктуры: история пентеста финансовой организации

В этом посте речь пойдёт о том, как сломанная логика, самописные сервисы и графические пароли могут привести к захвату сетевой инфраструктуры компании, полной потере денег и пользовательских данных.

— Это реальная история. События, о которых рассказывается в посте, произошли не так уж давно. По просьбе юристов названия были изменены. Из уважения к читателям все рассказано так, как было на самом деле.

🗣 Ссылка на чтиво

#Пентест #OWASP #SE | 🧑‍💻 Этичный хакер
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥186👍3👏3
😈 Пентест веб-сайта с помощью OWASP ZAP

OWASP ZAP - это сканер безопасности веб-приложений с открытым исходным кодом, который стал одним из наиболее широко используемых инструментов для динамического тестирования безопасности приложений (DAST), поддерживаемых OWASP.

— Защита веб-приложения имеет решающее значение, поэтому осваивать пентест инструменты приходится и самим разработчикам. Есть и мощные фреймворки для пентеста WordPress (WPScan) но ведь не все пользуются этой CMS, поэтому в этом посте рассмотрим универсальный пентест-инструмент OWASP ZAP (Zed Attack Proxy).

🗣 Ссылка на чтиво

‼️ Также прикрепляю другие полезные материалы по теме #ZAP:
- ТОП-10 плагинов для OWASP ZAP
- Межсайтовый скриптинг (XSS)

#Web #OWASP #ZAP #Пентест | 🧑‍💻 Этичный хакер
Please open Telegram to view this post
VIEW IN TELEGRAM
👍13🔥10
😈 Захват сетевой инфраструктуры: история пентеста финансовой организации

В этом посте речь пойдёт о том, как сломанная логика, самописные сервисы и графические пароли могут привести к захвату сетевой инфраструктуры компании, полной потере денег и пользовательских данных.

— Это реальная история. События, о которых рассказывается в посте, произошли не так уж давно. По просьбе юристов названия были изменены. Из уважения к читателям все рассказано так, как было на самом деле.

🗣 Ссылка на чтиво

#Пентест #OWASP #SE | 🧑‍💻 Этичный хакер
Please open Telegram to view this post
VIEW IN TELEGRAM
👍19🤔6🔥31