🛡 Книга: Безопасность веб-приложений на Python. Криптография, TLS и устойчивость к атакам

В этой книге подробно рассказывается о нюансах написания безопасного кода на Python. В первой части излагаются основы криптографии: рассмотрены базовые понятия, проверка подлинности данных, симметричное и асимметричное шифрование.

⏺ Скачать: здесь

#Cryptography #Python #TLS

⌨️Репозиторий: Awesome Penetration Testing

Этот репозиторий представляет из себя коллекцию ресурсов для тестирования на проникновение и наступательных инструментов кибербезопасности.

Он охватывает широкий спектр тем, включая утилиты Android, инструменты анонимности, инструменты обхода антивируса, книги по этому вопросу, инструменты CTF, инструменты атаки на облачные платформы, инструменты эксфильтрации, эксплойты, инструменты для взлома хэшей, сканеры сетевых уязвимостей и др.

В репозиторий также включен список рекомендуемых книг по тестированию на проникновение и анализу вредоносных программ.

⏺ Ссылка на GitHub

#pentest

🔎 OSINT в нетсталкинге

Коллекция материалов по OSINT для нетсталкинга. Базовые знания, инструменты, гайды, реальные кейсы, работа с ресурсами как русскими так и английскими.

⏺ Ссылка на GitHub

#OSINT #netstalking

⌨Репозиторий: All Malware Source Code

Самая большая коллекция исходного кода вредоносных программ на GitHub для различных платформ на множестве разных языков программирования.

⏺ Ссылка на GitHub

#malware

🔥 Курс по PostgreSQL

— Серия уроков по PostgreSQL. Все те знания, которые вы получите на курсе легко применимы и к другим СУБД, таким как MySQL, Microsoft SQL Server, Oracle.

• Введение в PostgreSQL;
• Базовые SELECT запросы;
• Соединения (JOIN);
• Подзапросы в SQL;
• DDL: создание БД, таблиц и их модификация;
• Проектирование и нормализация Базы Данных (БД);
• Представления в SQL;
• Логика с CASE и COALESCE в Функции SQL;
• Функции SQL;
• Функции pl/pgSQL;
• Ошибки их обработка в SQL (исключения);
• Индексы в PostgreSQL;
• Индексы в PostgreSQL # Виды индексов SQL # EXPLAIN, ANALYZE;
• Индексы в PostgreSQL # Создание индексов на практике # EXPLAIN, ANALYZE #GIN.

#PostgreSQL

⌨Репозиторий: RedTeam-Tools

Этот репозиторий GitHub содержит набор инструментов и ресурсов, которые могут быть полезны для деятельности Red Teaming.

Материалы в этом репозитории предназначены только для ознакомительных и образовательных целей.

⏺ Ссылка на GitHub

#redteam #Web #Recon

😧 Руководство: Аудит безопасности RDP

• Как обнаружить компьютеры с Remote Desktop Protocol (RDP).
• Поиск RDP по открытым портам;
• Подключение стандартными утилитами;
• Брут-форс RDP.
• crowbar (levye);
• patator;
• rdesktop-brute;
• Сбор информации об RDP и через RDP.
• rdp-sec-check для получения характеристик настроек безопасности RDP службы;
• Скрипты Nmap для сбора информации и аудита RDP;
• Атака человек-посередине на RDP.
• Responder;
• pyrdp;
• seth;

#RDP

⌨️ JWT-атаки⁠⁠

JSON Web Token – это открытый стандарт (RFC 7519), который определяет компактный и автономный способ безопасной передачи информации между сторонами в виде объекта JSON.

— Инструменты для автоматизации JWT-атаки:

jwtXploiter — это Python-инструмент, предназначенный для автоматизации взлома JWT. Он позволяет проверить соответствие всех известных CVE для JWT и поддерживает различные виды атак на JWT, начиная от простого взлома и до выполнения атак с использованием самозаверяющих токенов!

JSON Web Tokens - это дополнение для Burpsuite, которое автоматизирует распространенные атаки на JWT. Кроме того, оно позволяет быстро выполнять кодирование / декодирование и проверку токенов.

JWT Tool - это широко используемый инструмент на языке Python, который позволяет производить проверку всех возможных атак, которые могут уязвимо существовать в веб-приложении.

JWT Editor - это дополнение для Burpsuite, которое обеспечивает возможность удобно изменять JWT-токены и быстро проверять различные методы обхода.

#Web

⚒ Инструмент: capa

Представляю вам тулсу с открытым исходным кодом для определения возможностей в исполняемых файлах🤨

Вы запускаете ее для PE, ELF, .NET файла или шелл-кода, и он говорит вам, что, по его мнению, может сделать программа.

Например, можно предположить, что файл является бэкдором, способен устанавливать службы или использует HTTP для связи.

⏺ Cсылка на GitHub

#Infosec #Cybersecurity

✈ Docleaner — чистка метаданных

Docleaner - это веб-служба и REST-подобный API, который позволяет пользователям загружать, анализировать и очищать невидимые метаданные своих документов.

Служба извлекает, преобразует и очищает метаданные документа в зависимости от его типа и делает исходные и результирующие метаданные доступными для пользователя стороны.

⏺ Ссылка на GitHub

#Anon

🔠 LIA — качественный Deep Fake

Нейросеть для быстрой реализации качественных DeepFake.

⏺ Ссылка на GitHub

#deepfake

😘 Unshackle

Unshackle - это инструмент с открытым исходным кодом для обхода паролей пользователей Windows с использованием загрузочного USB-накопителя на основе GNU/Linux.

⏺ Ссылка на GitHub

#Windows

✔️ Bashfuscator — фреймворк обфускации

Bashfuscator - это модульный и расширяемый фреймворк обфускации Bash, написанный на Python 3.

Он предоставляет множество различных способов сделать однострочники или скрипты Bash более трудными для понимания. Это достигается путем создания запутанного рандомизированного кода Bash, который во время выполнения оценивает исходный ввод и выполняет его.

Bashfuscator упрощает создание сильно запутанных команд и сценариев Bash как из командной строки, так и в виде библиотеки Python.

⏺ Ссылка на GitHub

#Bash #Python

✅ Magic Copy — быстрое извлечение

Magic Сору - это расширение браузера, которое использует модель Meta Segment Anything Model для извлечения объекта переднего плана из изображения и копирования его в буфер обмена.

⏺ Ссылка на GitHub
⏺ Ссылка на Chromium

#photo

🔍 Osintgram

Osintgram - это инструмент OSINT в Instagram для сбора, анализа и проведения разведки.

Он предлагает интерактивную оболочку для анализа аккаунта Instagram любого пользователя по его нику.

⏺ Ссылка на GitHub
⏺ Ссылка на команды

#OSINT

📨 RecoverPy

RecoverPy - это мощный инструмент, который использует возможности вашей системы для восстановления потерянных файлов.

RecoverPy способен восстанавливать не только удаленные файлы, но и перезаписанные данные.

⏺ Ссылка на GiHub

#recovery #Python

💻 Portmaster — свой брандмауэр

Portmaster - это свободный брандмауэр для приложений с открытым исходным кодом, который сделает всю тяжелую работу за вас.

— Восстановите конфиденциальность и верните себе контроль над всей сетевой активностью вашего компьютера.

· Мониторьте всю сетевую активность
· Автоматически блокируйте трекеры и вредоносные программы
· Защитите свои DNS-запросы по умолчанию
· Создайте свои собственные правила
· Установите глобальные настройки и настройки для каждого приложения

⏺ Ссылка на GitHub
⏺ Ссылка на документацию

#firewall

🔍Metadata Cleaner — очистка и просмотр метаданных

Приложение Python для просмотра и очистки метаданных в файлах с помощью mat2.

Метаданные в файле могут многое рассказать о вас. Камеры записывают данные о том, когда был сделан снимок и какая камера использовалась. Приложения Office автоматически добавляют информацию об авторе и компании в документы и электронные таблицы. Возможно, вы не хотите разглашать эту информацию.

— Этот инструмент позволяет вам просматривать метаданные в ваших файлах и, насколько это возможно, избавляться от них.

⏺ Ссылка на GitLab

#exif #data

👩‍💻 ActiveHashcash

ActiveHashcash защищает ваше web- приложение от атак, DoS и ботов.

— Идея состоит в том, чтобы заставить клиентов потратить некоторое время и мощность своего устройства на решение сложной проблемы, которую очень легко проверить для сервера.

ActiveHashcash можно подключить к конфиденциальным формам, таким как вход в систему и регистрация.

Пока пользователь заполняет форму, ActiveHashcash выполняет работу на JavaScript и задает результат в виде скрытого входного текста. Форма не может быть отправлена, пока не найдено доказательство работы.

ActiveHashcash блокирует ботов, которые не интерпретируют JavaScript, поскольку доказательство работы не вычисляется, а также замедляет работу более сложных ботов.

⏺ Ссылка на GitHub

#Web

⚫️ AutoPWN Suite

AutoPWN Suite - это проект для автоматического сканирования уязвимостей и эксплуатации систем.

- Обнаружение диапазона IP-адресов сети без ввода данных.
- Обнаружение уязвимостей на основе версии.
- Тестирование веб-приложений на уязвимости
- Автоматически загружать эксплойт, связанный с уязвимостью.
- Шумовой режим для создания шума в сети.
- Режим скрытности.

Работает на Windows, МacOS и GNU/Linux.

⏺ Ссылка на GitHub

#Web #Recon #pentest

✔️ vpngate-with-proxy

Клиент VPN GATE для GNU/Linux с поддержкой прокси.

- Возможность подключения к публичным серверам VPN напрямую или через прокси
- Автоматическое настройка DNS для устранения утечки DNS.
- Автоматическая фильтрация мертвых VPN-серверов.
- Может выполнять пользовательский скрипт после того, как vpn tunnel установлен или сломан.

⏺ Ссылка на GitHub

#VPN #Linux