Please open Telegram to view this post
VIEW IN TELEGRAM
Когда знаешь техники защиты, кругозор в ходе пентеста значительно расширяется 👇
This media is not supported in your browser
VIEW IN TELEGRAM
🎓 Топ 12 советов по обеспечению безопасности API от ByteByteGo (Alex Xu)
🔐 Использование HTTPS
🔐 Использование OAuth2
🔐 Использование WebAuthn
🔐 Использование Leveled API Keys
🔐 Использование авторизации
🔐 Ограничение скорости обработки запросов
🔐 Версионирование API
🔐 Использование белых списков
🔐 Проверка рисков безопасности OWASP API
🔐 Использование API Gateway
🔐 Обработка ошибок
🔐 Валидация ввода
#инфографика
🔐 Использование HTTPS
🔐 Использование OAuth2
🔐 Использование WebAuthn
🔐 Использование Leveled API Keys
🔐 Использование авторизации
🔐 Ограничение скорости обработки запросов
🔐 Версионирование API
🔐 Использование белых списков
🔐 Проверка рисков безопасности OWASP API
🔐 Использование API Gateway
🔐 Обработка ошибок
🔐 Валидация ввода
#инфографика
🛠Обратите внимание на инструмент TruffleHog, который активно поддерживается, обновляется и имеет несколько преимуществ по сравнению с другими подобными инструментами:
☑️Написан на Go
☑️Большая поддержка различных систем
☑️Встраивание в процессы CI/CD
☑️Высокая скорость работы и многое другое
👉 Читать обзор на русском
#tools #pentest #bugbounty #redteam
Please open Telegram to view this post
VIEW IN TELEGRAM
🎃Собрали для вас несколько страшных историй по случаю Хэллоуина. Ждем ваши истории в комментариях👇
Для кого-то это может звучать странно, но с помощью файла favicon.ico можно открыть для себя много интересного.
Но для этого есть полезные инструменты вроде favirecon, о которых вы могли не знать.
Расширяем наш однострочник👇
$
#tips #recon
Но для этого есть полезные инструменты вроде favirecon, о которых вы могли не знать.
Расширяем наш однострочник👇
$
subfinder -d ubisoft.com -silent -all | httpx -silent | favirecon | grep -i Amazon
👉 favirecon быстро обнаружит технологии, WAF, открытые панели и известные сервисы.#tips #recon
💡Шпаргалка по кодам состояния HTTP: на заметку этичному хакеру
Стоило бы добавить 101 Switching Protocols, который используется сервером для указания того, что TCP-соединение будет использоваться для другого протокола.
#cheatsheet
Стоило бы добавить 101 Switching Protocols, который используется сервером для указания того, что TCP-соединение будет использоваться для другого протокола.
#cheatsheet
🧰Hackvertor — еще один инструмент в вашу копилку, который выведет работу с Burp Suit на новый уровень.
👉 Он выполняет преобразование на основе тегов, которое поддерживает различные escape-коды и кодировки, включая объекты HTML5, шестнадцатеричное, восьмеричное, юникод, кодировку URL-адресов и т. д.
☑️Он использует XML-подобные теги для указания типа используемого кодирования/преобразования.
☑️Вы можете использовать несколько вложенных тегов для выполнения преобразований.
☑️Теги также могут иметь аргументы, позволяющие им вести себя как функции.
☑️Он имеет функцию автоматического декодирования, позволяющую угадать тип требуемого преобразования и автоматически декодировать его несколько раз.
☑️И многое другое.
👉 Подробный гайд по работе с инструментом
#tools #bugbounty #pentest
👉 Он выполняет преобразование на основе тегов, которое поддерживает различные escape-коды и кодировки, включая объекты HTML5, шестнадцатеричное, восьмеричное, юникод, кодировку URL-адресов и т. д.
☑️Он использует XML-подобные теги для указания типа используемого кодирования/преобразования.
☑️Вы можете использовать несколько вложенных тегов для выполнения преобразований.
☑️Теги также могут иметь аргументы, позволяющие им вести себя как функции.
☑️Он имеет функцию автоматического декодирования, позволяющую угадать тип требуемого преобразования и автоматически декодировать его несколько раз.
☑️И многое другое.
👉 Подробный гайд по работе с инструментом
#tools #bugbounty #pentest
This media is not supported in your browser
VIEW IN TELEGRAM
💻🍏Apple представила новый MacBook Pro с процессорами семейства M3, которые делают один из лучших в мире профессиональных ноутбуков еще лучше. 14- и 16-дюймовые модели с M3 Pro и M3 Max доступны в новом цвете «черный космос». Хотите узнать подробнее? Смотрите презентацию Apple Scary Fast на русском и всего за 6 минут.
💡А мы недавно делали небольшую подборку ноутбуков для разрабов, где перечислили самые легкие, автономные и производительные. Скажем честно, не всем она понравилась. Так или иначе, поделитесь своим опытом 🔽
💬Какие характеристики для вас наиболее важны? Накидайте свой топ ноутбуков в комментарии👇
#холивар
💡А мы недавно делали небольшую подборку ноутбуков для разрабов, где перечислили самые легкие, автономные и производительные. Скажем честно, не всем она понравилась. Так или иначе, поделитесь своим опытом 🔽
💬Какие характеристики для вас наиболее важны? Накидайте свой топ ноутбуков в комментарии👇
#холивар
Please open Telegram to view this post
VIEW IN TELEGRAM
Хабр
«Мамкины хакеры» на официальной работе: чем занимаются пентестеры
«Пентестер» — слово вообще-то не русское, заимствованное. Что приходит на ум людям не из ИТ, боюсь представить. Поэтому мы себя «на Руси» гордо зовём «специалисты по тестированию на проникновение»....
Подборка лучших статей «Библиотеки программиста» за октябрь: сохраняй в заметки, чтобы не пропустить #самыйсок
📚 ТОП-8 книг по DevOps в 2023 году
💪 6 сервисов для подготовки к техническим собеседованиям
🗺️ Карьерная карта: что это, как ее составить и почему она обязательно нужна разработчику
🛡️ 8 способов защиты от манипуляций на работе
👩💻 Женщины в ИТ: проблемы и преимущества сложной профессии
🤖 8 лучших бесплатных курсов по ИИ и глубокому обучению
👨💻 9 трендов в найме айтишников в 2023 году
🤔 9 мифов об IT и найме айтишников
🤖 25 бесплатных AI-инструментов для разработчиков
☁️ ТОП-10 бессерверных фреймворков
🚩 Итог одной валютной удаленки: проработал месяц бесплатно и ушел с долгами
💻 20 лучших ноутбуков для программиста в 2023 году
🧠 Как научиться критически мыслить: 6 эффективных способов
📚 ТОП-8 книг по DevOps в 2023 году
💪 6 сервисов для подготовки к техническим собеседованиям
🗺️ Карьерная карта: что это, как ее составить и почему она обязательно нужна разработчику
🛡️ 8 способов защиты от манипуляций на работе
👩💻 Женщины в ИТ: проблемы и преимущества сложной профессии
🤖 8 лучших бесплатных курсов по ИИ и глубокому обучению
👨💻 9 трендов в найме айтишников в 2023 году
🤔 9 мифов об IT и найме айтишников
🤖 25 бесплатных AI-инструментов для разработчиков
☁️ ТОП-10 бессерверных фреймворков
🚩 Итог одной валютной удаленки: проработал месяц бесплатно и ушел с долгами
💻 20 лучших ноутбуков для программиста в 2023 году
🧠 Как научиться критически мыслить: 6 эффективных способов
Коллекция инструментов для DevOps-специалиста, которые могут пригодиться в повседневных задачах по пентесту и DevSecOps:
🔧 DevOps Python Tools
🔧 DevOps Bash Tools
🔧 DevOps Perl Tools
🔧 DevOps Golang Tools
🔧 Advanced Nagios Plugins Collection
#devops #devsecops #tools
🔧 DevOps Python Tools
🔧 DevOps Bash Tools
🔧 DevOps Perl Tools
🔧 DevOps Golang Tools
🔧 Advanced Nagios Plugins Collection
#devops #devsecops #tools
GitHub
GitHub - HariSekhon/DevOps-Python-tools: 80+ DevOps & Data CLI Tools - AWS, GCP, GCF Python Cloud Functions, Log Anonymizer, Spark…
80+ DevOps & Data CLI Tools - AWS, GCP, GCF Python Cloud Functions, Log Anonymizer, Spark, Hadoop, HBase, Hive, Impala, Linux, Docker, Spark Data Converters & Validators (Avro/Parqu...
The-Power-Of-Recon.pdf
1.9 MB
💪 Сила разведки в багбаунти и пентесте
Презентация доклада full time багхантера Godfather Orwa на Security BSides Ahmedabad, в которой он делится опытом разведки. И правда, нельзя недооценивать важность разведки, ведь именно она приводит к большим результатам.
👉 Google Презентации
#recon #bugbounty #pentest
Презентация доклада full time багхантера Godfather Orwa на Security BSides Ahmedabad, в которой он делится опытом разведки. И правда, нельзя недооценивать важность разведки, ведь именно она приводит к большим результатам.
👉 Google Презентации
#recon #bugbounty #pentest
👶Разжёванный курс по Linux для чайников: на заметку этичному хакеру
Вас ждут две части, каждая из которых длится больше восьми часов. Курс охватывает все необходимые основы Linux и включает решение домашних заданий.
🔸Часть 1
🔸Часть 2
#basics #easy #linux
Вас ждут две части, каждая из которых длится больше восьми часов. Курс охватывает все необходимые основы Linux и включает решение домашних заданий.
🔸Часть 1
🔸Часть 2
#basics #easy #linux
YouTube
Разжёванный курс по Linux для чайников. Часть 1
Часть 1. 4 - урока.
Появившись как решения вокруг созданного в начале 1990-х годов ядра, уже с начала 2000-х годов системы Linux являются основными для суперкомпьютеров и серверов, расширяется применение их для встраиваемых систем и мобильных устройств,…
Появившись как решения вокруг созданного в начале 1990-х годов ядра, уже с начала 2000-х годов системы Linux являются основными для суперкомпьютеров и серверов, расширяется применение их для встраиваемых систем и мобильных устройств,…
🔐20 советов по безопасности API
А кто знает как улучшить безопасность, тот понимает, куда необходимо смотреть в ходе поиска багов 😉
#security #cheatsheet
А кто знает как улучшить безопасность, тот понимает, куда необходимо смотреть в ходе поиска багов 😉
#security #cheatsheet
🤯Server Side Request Forgery: атака на веб-приложение, которая страшнее, чем кажется
Доклад Дениса Рыбина на TechTrain про SSRF, который не потерял своей актуальности и сегодня.
Вы узнаете в целом об этом баге, к каким серьёзным последствиям может приводить его наличие и в каких неожиданных местах он может появляться.
Отдельное внимание уделяется проблеме некорректных и недостаточных мер противодействия атаке и тому, как их можно обойти.
📺 Смотреть
#pentest #bugbounty
Доклад Дениса Рыбина на TechTrain про SSRF, который не потерял своей актуальности и сегодня.
Вы узнаете в целом об этом баге, к каким серьёзным последствиям может приводить его наличие и в каких неожиданных местах он может появляться.
Отдельное внимание уделяется проблеме некорректных и недостаточных мер противодействия атаке и тому, как их можно обойти.
📺 Смотреть
#pentest #bugbounty