Как я понял, в чатике люди хотят осинта, так что вот вам пачка хорошего материала по всевозможным направлениям ресерча: https://github.com/jivoi/awesome-osint
#learn #osint
#learn #osint
GitHub
GitHub - jivoi/awesome-osint: :scream: A curated list of amazingly awesome OSINT
:scream: A curated list of amazingly awesome OSINT - jivoi/awesome-osint
❤2🔥2
Для тех, кто давно хотел вкатиться в вебчик или просто прокачать свои скилы в нем, публикуем курс крутых лекций по всем аспектам веб-безопсаности от стенфордского университета: https://web.stanford.edu/class/cs253/
В курсе, помимо базовых client- и server-side уязвимостей рассмотрены общие подходы к разработке безопасного программного обеспечния, а также объяснения современных и прогрессивных атак и методов их предотвращения
#learn #web
В курсе, помимо базовых client- и server-side уязвимостей рассмотрены общие подходы к разработке безопасного программного обеспечния, а также объяснения современных и прогрессивных атак и методов их предотвращения
#learn #web
web.stanford.edu
CS253 - Web Security
Principles of web security. The fundamentals and state-of-the-art in web security. Attacks and countermeasures. Topics include: the browser security model, web app vulnerabilities, injection, denial-of-service, TLS attacks, privacy, fingerprinting, same-origin…
🔥4👍1
Dorks for OSINT Cheat sheet.pdf
111.1 KB
В продолжение темы осинта и полезных инструментов разветки выкладываем классную оверкил шпору по гугл доркам, пользуйтесь наздоровье!
P.S. С помощью этой штуки можно и в вебчике баги искать, кстати, да, и негров ломать
#learn #osint
P.S. С помощью этой штуки можно и в вебчике баги искать, кстати, да, и негров ломать
#learn #osint
💘3🔥1🤩1
Классный ресурс, чтобы вкатиться в крипту и наконец-то начать решать ее на цтфках) Да-да, больная тема, но поры бы это исправить .-.
https://cryptohack.org/
#learn #crypto
https://cryptohack.org/
#learn #crypto
CryptoHack
CryptoHack – Home
A free, fun platform to learn about cryptography through solving challenges and cracking insecure code. Can you reach the top of the leaderboard?
❤2
Сегодня про мобилки
Нашли пачку крутых лаб по фриде в формате CTF! Всем, кто никогда не работал с мобилками, советуем познакомиться с этим темным лесом! 😉
#learn #mobile
Нашли пачку крутых лаб по фриде в формате CTF! Всем, кто никогда не работал с мобилками, советуем познакомиться с этим темным лесом! 😉
#learn #mobile
GitHub
GitHub - DERE-ad2001/Frida-Labs: The repo contains a series of challenges for learning Frida for Android Exploitation.
The repo contains a series of challenges for learning Frida for Android Exploitation. - DERE-ad2001/Frida-Labs
🔥3👍1
Так, обстановочку в канале поняли, поэтому потихоничку начнем вас готовить😉
Статья о том, что такое AD, и с чем его едят. Написана она самыми опытными CTF-ерами в России для самых маленьких в этой сфере (две трети канала емае)
#learn #ctf #attackdefence
Статья о том, что такое AD, и с чем его едят. Написана она самыми опытными CTF-ерами в России для самых маленьких в этой сфере (две трети канала емае)
#learn #ctf #attackdefence
cbsctf.ru
Attack-Defense для новичков
Что такое Attack-Defense CTF и как в это играть
❤3
ГДЕ можно поближе познакомиться с веб-тасками и порешать их:
1. https://tryhackme.com/ - тут очень много хорошей теории про Linux, основные уязвимости, разные способы эксплуатации этих уязвимостей и защиты от них.
2. https://portswigger.net - тут также есть объяснение того, как работают веб-уявзимости, но главное что тут огромное колличество лаб на абсолютно разные темы. Если нужна практика по вебу - must seen
3. https://app.hackthebox.com - отличная платформа для практики. Большое колличество, как и black box (без исходного кода) машин, так и white box (с исходным кодом).
4. https://vk.com/@spbctf-ctf-for-beginners - тут и теория, и практика для самых маленьких.
#learn
1. https://tryhackme.com/ - тут очень много хорошей теории про Linux, основные уязвимости, разные способы эксплуатации этих уязвимостей и защиты от них.
2. https://portswigger.net - тут также есть объяснение того, как работают веб-уявзимости, но главное что тут огромное колличество лаб на абсолютно разные темы. Если нужна практика по вебу - must seen
3. https://app.hackthebox.com - отличная платформа для практики. Большое колличество, как и black box (без исходного кода) машин, так и white box (с исходным кодом).
4. https://vk.com/@spbctf-ctf-for-beginners - тут и теория, и практика для самых маленьких.
#learn
👍13❤1
Summary вчерашнего занятия
1. Поговорили про слабые варианты защиты от Path Traversal
2. Разобрали сложное задание с прошлого года CybHack CTF. Само задание все еще доступно на нашей платформе. (Для решения вам может понадобиться интересная статейка про flask-unsign)
3. Поговорили про самую распространенную Client-Side уязвимость XSS (Cross-Site-Scripting)
4. Познакомились с платформой PortSwigger и решили несколько лабораторных работ оттуда - разобрали SSRF и логические уязвимости приложений. (Данная платформа считается самой лучшей для вкатывания в информационную безопасность веб-приложений, так что дерзайте, там очень много лаб.-. p.s. если будут вопросы по лабам, можете смело писать нам)
#summary #learn
1. Поговорили про слабые варианты защиты от Path Traversal
2. Разобрали сложное задание с прошлого года CybHack CTF. Само задание все еще доступно на нашей платформе. (Для решения вам может понадобиться интересная статейка про flask-unsign)
3. Поговорили про самую распространенную Client-Side уязвимость XSS (Cross-Site-Scripting)
4. Познакомились с платформой PortSwigger и решили несколько лабораторных работ оттуда - разобрали SSRF и логические уязвимости приложений. (Данная платформа считается самой лучшей для вкатывания в информационную безопасность веб-приложений, так что дерзайте, там очень много лаб.-. p.s. если будут вопросы по лабам, можете смело писать нам)
#summary #learn
❤13
Курс
Совершенно забыл вам рассказать про курс ugractf, где вкратце рассказано про все категории тасков, которые вы можете встретить на реальных ctf. В нем присутствуют и практические задания, так что сможете сразу и попрактиковаться, начав с простого
P.S. Сам с него начинал когда-то оч давно, так что действительно советую для старта в мире флагов
#learn
Совершенно забыл вам рассказать про курс ugractf, где вкратце рассказано про все категории тасков, которые вы можете встретить на реальных ctf. В нем присутствуют и практические задания, так что сможете сразу и попрактиковаться, начав с простого
P.S. Сам с него начинал когда-то оч давно, так что действительно советую для старта в мире флагов
#learn
❤8
JWT
На занятии говорили с вами о сессионных куки фласка, однако это не единственный способ для авторизации пользователей в веб-приложении. Один из них - JWT (json web token). С его помощью можно хранить информацию о пользователе на стороне клиента, не задействуя при этом никаких ресурсов для хранения этих токенов (как это реализовано в flask). Советую почитать статейку о том, как они работают, ибо это очень часто встречающаяся технология на CTF.
#learn
На занятии говорили с вами о сессионных куки фласка, однако это не единственный способ для авторизации пользователей в веб-приложении. Один из них - JWT (json web token). С его помощью можно хранить информацию о пользователе на стороне клиента, не задействуя при этом никаких ресурсов для хранения этих токенов (как это реализовано в flask). Советую почитать статейку о том, как они работают, ибо это очень часто встречающаяся технология на CTF.
#learn
Хабр
Пять простых шагов для понимания JSON Web Tokens (JWT)
Представляю вам мой довольно вольный перевод статьи 5 Easy Steps to Understanding JSON Web Tokens (JWT) . В этой статье будет рассказано о том, что из себя представляют JSON Web Tokens (JWT) и с чем...
❤5
Тулинг
Для работы с любыми кодировками лучше всего подходит CyberChef - он как швейцарский нож
Для JWT самый популярный декодер/энкодер - это jwt.io
#tools #learn
Для работы с любыми кодировками лучше всего подходит CyberChef - он как швейцарский нож
Для JWT самый популярный декодер/энкодер - это jwt.io
#tools #learn
gchq.github.io
CyberChef
The Cyber Swiss Army Knife - a web app for encryption, encoding, compression and data analysis
❤3
Summary последнего занятия
- Поговорили про Linux и некоторые процессы в нем. Закрепить знания можете на сайте Bandit - тык
- Разобрали задание на Command Injection
- Рассмотрели устройство шаблонов - для чего они нужны и как их нужно правильно использовать. Решили два задания на SSTI.
- Немножко затронули тему реверс-шеллов. Для тех, кто захочет ПоТыКаТь все это дело, есть прекрасный сайт с кучей разных пэйлоадов
#summary #learn
- Поговорили про Linux и некоторые процессы в нем. Закрепить знания можете на сайте Bandit - тык
- Разобрали задание на Command Injection
- Рассмотрели устройство шаблонов - для чего они нужны и как их нужно правильно использовать. Решили два задания на SSTI.
- Немножко затронули тему реверс-шеллов. Для тех, кто захочет ПоТыКаТь все это дело, есть прекрасный сайт с кучей разных пэйлоадов
#summary #learn
❤6
Фаззинг директорий
Каждый из нас замечал, что веб-приложения работают с так называемыми "ручками". Например, на роуте
Чтобы вам проще было познакомиться с этой технологией, мы подготовили таск на нашей платформе. Попробуйте решить его всеми тулзами и понять, какая вам больше по душе)
#learn #task
Каждый из нас замечал, что веб-приложения работают с так называемыми "ручками". Например, на роуте
/login обычно располагается страница для входа, а на /profile - страница с информацией пользователя. В рамках тестирований на проникновение часто бывает полезным иметь список всех доступных ручек для лучшего понимания устройства работы сайта. В этом нам может помоч фазинг директорий и такие утилиты как ffuf, gobuster или dirsearch, которые фазят по словарям извесных и наиболее популярных роутовЧтобы вам проще было познакомиться с этой технологией, мы подготовили таск на нашей платформе. Попробуйте решить его всеми тулзами и понять, какая вам больше по душе)
#learn #task
❤8