Awesome Security Api
Коллекция инструментов и ресурсов для обеспечения безопасности API:
Перечисление, сканирование
Fuzzing, SecLists
Брандмауэры
Проектирование, архитектура, разработка
https://github.com/arainho/awesome-api-security
@dnevnik_infosec
Коллекция инструментов и ресурсов для обеспечения безопасности API:
Перечисление, сканирование
Fuzzing, SecLists
Брандмауэры
Проектирование, архитектура, разработка
https://github.com/arainho/awesome-api-security
@dnevnik_infosec
GitHub
GitHub - arainho/awesome-api-security: A collection of awesome API Security tools and resources. The focus goes to open-source…
A collection of awesome API Security tools and resources. The focus goes to open-source tools and resources that benefit all the community. - arainho/awesome-api-security
Forwarded from Не баг, а фича
Выбираем самый приватный браузер
В работе веб-браузера нет ничего сложного. Вы его скачиваете, устанавливаете, и можете спокойно просматривать страницы в интернете. Тут главная проблема заключается в том, что выбрать из большого количества вариантов. Как понять, какой браузер самый безопасный?
Критериев оценки много. Сайт Search Engine Party создан, чтобы облегчить ваш выбор. Это агрегатор поисковых систем, которые ориентированы на приватность. Каталог браузеров содержит небольшую сводку об их приватности.
Поисковики здесь сравниваются по разным критериям: ведение логов, наличие .onion зеркала, поддержка JS, сторонние трекеры и т.д. В отчете блоки раскрашены в разные цвета: градиент от зеленого (безопасно) к красному (ни о какой приватности речи не идет). В таблице также отдельно выделены некоммерческие организации.
Найти идеальный во всех отношениях поисковик - задача навряд ли выполнимая. Но выбрать из списка лучших наиболее подходящий для себя и своих целей вариант вполне реально.
#приватность #браузер
В работе веб-браузера нет ничего сложного. Вы его скачиваете, устанавливаете, и можете спокойно просматривать страницы в интернете. Тут главная проблема заключается в том, что выбрать из большого количества вариантов. Как понять, какой браузер самый безопасный?
Критериев оценки много. Сайт Search Engine Party создан, чтобы облегчить ваш выбор. Это агрегатор поисковых систем, которые ориентированы на приватность. Каталог браузеров содержит небольшую сводку об их приватности.
Поисковики здесь сравниваются по разным критериям: ведение логов, наличие .onion зеркала, поддержка JS, сторонние трекеры и т.д. В отчете блоки раскрашены в разные цвета: градиент от зеленого (безопасно) к красному (ни о какой приватности речи не идет). В таблице также отдельно выделены некоммерческие организации.
Найти идеальный во всех отношениях поисковик - задача навряд ли выполнимая. Но выбрать из списка лучших наиболее подходящий для себя и своих целей вариант вполне реально.
#приватность #браузер
Forwarded from beacon private!
JavaScript Secrets - Ссылка на доклад
Bug Bounty Reconnaissance - Ccылка на доклад
Bug Bounty Hunting - Ссылка на доклад
Contact Support of the Company - Ссылка на доклад
SSRF - Interaction File - URL - Ссылка на доклад
Authorization Response - Ссылка на доклад
File Generation - Ссылка на доклад
Secondary Context - Ссылка на доклад
Sensitive Response - Ссылка на доклад
Request Smuggling - Ссылка на доклад
Privilege Escalation - Ссылка на доклад
XML Body - Ссылка на доклад
Reflection in Header - Ссылка на доклад
Redirection Response - Ссылка на доклад
ETO - Adding Email - Ссылка на доклад
GraphQL - Ссылка на доклад
ORG - Ссылка на доклад
GitHub [Sensitive Information] - Ссылка на доклад
Search Engines - Ссылка на доклад
Online Shopping - Ссылка на доклад
Settings - Edit | Add | Remove - Ссылка на доклад
SSO - Ссылка на доклад
2FA - Ссылка на доклад
Log In - Ссылка на доклад
File Upload - Ссылка на доклад
OAuth - Ссылка на доклад
ATO - Reset Password - Ссылка на доклад
Sign UP - Ссылка на доклад
P.S: THX https://twitter.com/0xAwali
Bug Bounty Reconnaissance - Ccылка на доклад
Bug Bounty Hunting - Ссылка на доклад
Contact Support of the Company - Ссылка на доклад
SSRF - Interaction File - URL - Ссылка на доклад
Authorization Response - Ссылка на доклад
File Generation - Ссылка на доклад
Secondary Context - Ссылка на доклад
Sensitive Response - Ссылка на доклад
Request Smuggling - Ссылка на доклад
Privilege Escalation - Ссылка на доклад
XML Body - Ссылка на доклад
Reflection in Header - Ссылка на доклад
Redirection Response - Ссылка на доклад
ETO - Adding Email - Ссылка на доклад
GraphQL - Ссылка на доклад
ORG - Ссылка на доклад
GitHub [Sensitive Information] - Ссылка на доклад
Search Engines - Ссылка на доклад
Online Shopping - Ссылка на доклад
Settings - Edit | Add | Remove - Ссылка на доклад
SSO - Ссылка на доклад
2FA - Ссылка на доклад
Log In - Ссылка на доклад
File Upload - Ссылка на доклад
OAuth - Ссылка на доклад
ATO - Reset Password - Ссылка на доклад
Sign UP - Ссылка на доклад
P.S: THX https://twitter.com/0xAwali
Forwarded from /BGENER/
https://censys.io
https://www.shodan.io
https://viz.greynoise.io/table
https://zoomeye.org
https://onyphe.io
https://app.binaryedge.io
https://hunter.io
https://wigle.net
https://ghostproject.fr
https://grep.app
https://snov.io
https://crt.sh
http://ahmia.fi
http://fofa.so
http://intelx.io
http://psbdump.ws
http://ivre.rocks
http://viz.greynoise.io
http://onyphe.io
http://community.riskiq.com
http://wigle.net
http://publicwww.com
http://pipl.com
http://osintframework.com
http://ixss.warsong.pw/xssor/
http://bgp.he.net
http://asnlookup.com/lookup
https://www.rtsak.com
https://bgp.tools
https://webmagellan.com/explore/paypal.com
https://spyse.com
https://myip.ms/view/ip_owners/7554/Vkontakte_Ltd.html
http://bounty.offensiveai.com/about
https://www.searchftps.net/
https://www.nerdydata.com
https://analyzeid.com/
threatcrowd.org
https://offshoreleaks.icij.org/nodes/11009484
urlscan.io
ipv4info.com
dehashed.com
https://passivedns.mnemonic.no/
http://dnshistory.org/dns-records/
https://asn.cymru.com/
https://hackertarget.com/reverse-dns-lookup/
http://buckets.grayhatwarfare.com
https://osint.sh/buckets/
http://filesearch.link
http://filechef.com
http://www.4shared.com
http://insecam.org
http://maltiverse.com/search
http://codefinder.org
https://threatminer.org/
https://traceroute-online.com/
NETOGRAPH.IO
https://analyze.intezer.com/#/
https://natlas.io/
https://app.any.run/
https://github.com/Quikko/Recon-Methodology
http://dnshistory.org
www.crunchbase.com/ (смотрим на купленные компании компанией😆)
https://builtwith.com/relationships/binance.com
https://www.robtex.com/dns-lookup/sberbank.com
@iptools_robot (бот в тг)
https://scamalytics.com/
dns.coffee/domains
https://fccid.io/ (iot recon)
http://dns.bufferover.run/dns?q= (godno)
https://dnsdumpster.com
https://github.com/pownjs/recon (toshje godno)
https://datashare.icij.org/
https://manytools.org/network/query-dns-records-online/go/ (spf и txt)
mxtoolbox.com/spf.aspx (spf)
https://www.virustotal.com/gui/domain/paypal.com/relations
https://www.threatcrowd.org/domain.php?domain=sberbank.ru
https://whois.domaintools.com/
securitytrails.com/domain/google.com/dns ((historical data)
https://www.robtex.com/dns-lookup/sberbank.ru
https://threatminer.org/domain.php?q=google.com#gsc.tab=0&gsc.q=google.com&gsc.page=1
https://manytools.org/network/query-dns-records-online/
https://otx.alienvault.com/indicator/hostname/www.sberbank.ru
https://ipinfo.io
spyse.com
https://dorks.faisalahmed.me/
http://ipv4info.com/
https://en.52wmb.com
ddosecrets.com
https://graphsense.info/
https://www.get-metadata.com/
https://wigle.net/
https://centralops.net/co/DomainDossier.aspx (годно)
http://check-host.net
https://www.shodan.io/domain/acunetix.com
https://dns.google.com/
https://recon.secapps.com/
http://www.crimeflare.org:82/ https://api.xploit.my.id/v1/crimeflare.php?url= http://ipinfo.io/134.22.52.1.2/json
Многие спрашивают как я ищу прямые айпишники, исследую инфру компаний
Решил систематизировать список поисковиков для вас :D
Конечно это далеко не полный, тот же urlscan я решил не включать в этот список, но в любом случае)
(P.s. уже включил😆)
By @dp2chat with ❤️
https://certificatedetails.com/5764174145f7e22cc86aee718c951e267baf4e8fd126671b3e8298d7101d9ddf/.vk.com
+
Intodns.com
https://netbootcamp.org/websitetool.html
sslabs.com
http://ptrarchive.com/tools/lookup2.htm?ip=1.1.1.1
http://kontragenta.net
https://start.me/p/b5Aow7/asint_collection
http://vigilante.pw
http://pulsedive.com
http://zorexeye.com
https://www.shodan.io
https://viz.greynoise.io/table
https://zoomeye.org
https://onyphe.io
https://app.binaryedge.io
https://hunter.io
https://wigle.net
https://ghostproject.fr
https://grep.app
https://snov.io
https://crt.sh
http://ahmia.fi
http://fofa.so
http://intelx.io
http://psbdump.ws
http://ivre.rocks
http://viz.greynoise.io
http://onyphe.io
http://community.riskiq.com
http://wigle.net
http://publicwww.com
http://pipl.com
http://osintframework.com
http://ixss.warsong.pw/xssor/
http://bgp.he.net
http://asnlookup.com/lookup
https://www.rtsak.com
https://bgp.tools
https://webmagellan.com/explore/paypal.com
https://spyse.com
https://myip.ms/view/ip_owners/7554/Vkontakte_Ltd.html
http://bounty.offensiveai.com/about
https://www.searchftps.net/
https://www.nerdydata.com
https://analyzeid.com/
threatcrowd.org
https://offshoreleaks.icij.org/nodes/11009484
urlscan.io
ipv4info.com
dehashed.com
https://passivedns.mnemonic.no/
http://dnshistory.org/dns-records/
https://asn.cymru.com/
https://hackertarget.com/reverse-dns-lookup/
http://buckets.grayhatwarfare.com
https://osint.sh/buckets/
http://filesearch.link
http://filechef.com
http://www.4shared.com
http://insecam.org
http://maltiverse.com/search
http://codefinder.org
https://threatminer.org/
https://traceroute-online.com/
NETOGRAPH.IO
https://analyze.intezer.com/#/
https://natlas.io/
https://app.any.run/
https://github.com/Quikko/Recon-Methodology
http://dnshistory.org
www.crunchbase.com/ (смотрим на купленные компании компанией😆)
https://builtwith.com/relationships/binance.com
https://www.robtex.com/dns-lookup/sberbank.com
@iptools_robot (бот в тг)
https://scamalytics.com/
dns.coffee/domains
https://fccid.io/ (iot recon)
http://dns.bufferover.run/dns?q= (godno)
https://dnsdumpster.com
https://github.com/pownjs/recon (toshje godno)
https://datashare.icij.org/
https://manytools.org/network/query-dns-records-online/go/ (spf и txt)
mxtoolbox.com/spf.aspx (spf)
https://www.virustotal.com/gui/domain/paypal.com/relations
https://www.threatcrowd.org/domain.php?domain=sberbank.ru
https://whois.domaintools.com/
securitytrails.com/domain/google.com/dns ((historical data)
https://www.robtex.com/dns-lookup/sberbank.ru
https://threatminer.org/domain.php?q=google.com#gsc.tab=0&gsc.q=google.com&gsc.page=1
https://manytools.org/network/query-dns-records-online/
https://otx.alienvault.com/indicator/hostname/www.sberbank.ru
https://ipinfo.io
spyse.com
https://dorks.faisalahmed.me/
http://ipv4info.com/
https://en.52wmb.com
ddosecrets.com
https://graphsense.info/
https://www.get-metadata.com/
https://wigle.net/
https://centralops.net/co/DomainDossier.aspx (годно)
http://check-host.net
https://www.shodan.io/domain/acunetix.com
https://dns.google.com/
https://recon.secapps.com/
http://www.crimeflare.org:82/ https://api.xploit.my.id/v1/crimeflare.php?url= http://ipinfo.io/134.22.52.1.2/json
Многие спрашивают как я ищу прямые айпишники, исследую инфру компаний
Решил систематизировать список поисковиков для вас :D
Конечно это далеко не полный, тот же urlscan я решил не включать в этот список, но в любом случае)
(P.s. уже включил😆)
By @dp2chat with ❤️
https://certificatedetails.com/5764174145f7e22cc86aee718c951e267baf4e8fd126671b3e8298d7101d9ddf/.vk.com
+
Intodns.com
https://netbootcamp.org/websitetool.html
sslabs.com
http://ptrarchive.com/tools/lookup2.htm?ip=1.1.1.1
http://kontragenta.net
https://start.me/p/b5Aow7/asint_collection
http://vigilante.pw
http://pulsedive.com
http://zorexeye.com
Censys
Censys | The Authority for Internet Intelligence and Insights
Censys empowers security teams with the most comprehensive, accurate, and up-to-date map of the internet to defend attack surfaces and hunt for threats.
API Security Checklist
Интересный список наиболее важных контрмер безопасности при разработке, тестировании и релизе API.
https://github.com/shieldfy/API-Security-Checklist
@dnevnik_infosec
Интересный список наиболее важных контрмер безопасности при разработке, тестировании и релизе API.
https://github.com/shieldfy/API-Security-Checklist
@dnevnik_infosec
GitHub
GitHub - shieldfy/API-Security-Checklist: Checklist of the most important security countermeasures when designing, testing, and…
Checklist of the most important security countermeasures when designing, testing, and releasing your API - shieldfy/API-Security-Checklist
Cross-site scripting (XSS) cheat sheet
Эта шпаргалка по межсайтовому скриптингу (XSS) содержит множество векторов, которые могут помочь вам обойти WAF и фильтры. Вы можете выбирать векторы по событию, тегу или браузеру, и для каждого вектора прилагается PoC.
Источник
@dnevnik_infosec
Эта шпаргалка по межсайтовому скриптингу (XSS) содержит множество векторов, которые могут помочь вам обойти WAF и фильтры. Вы можете выбирать векторы по событию, тегу или браузеру, и для каждого вектора прилагается PoC.
Источник
@dnevnik_infosec
portswigger.net
Cross-Site Scripting (XSS) Cheat Sheet - 2026 Edition | Web Security Academy
Interactive cross-site scripting (XSS) cheat sheet for 2026, brought to you by PortSwigger. Actively maintained, and regularly updated with new vectors.
👍2
Как вас обманывают в телеграме: основные схемы 2022 года!
Видео канала одного из самых известных киберпреступников РФ
https://www.youtube.com/watch?v=UTfPNBaZxQA
@dnevnik_infosec
Видео канала одного из самых известных киберпреступников РФ
https://www.youtube.com/watch?v=UTfPNBaZxQA
@dnevnik_infosec
YouTube
⚠️ КАК ВАС ОБМАНУТ В ТЕЛЕГРАМЕ: ОСНОВНЫЕ СХЕМЫ 2022 ГОДА
✅ Каналы Павлу:
➡️ Chipollino Onion Club: https://t.me/+F9EKeBaCRetkYzcy
➡️ Кладовка Pavluu: https://t.me/KladovkaPavlu
➡️ Все остальные каналы: https://t.me/ChipollinoNetwork
➡️ Лучший обменник в телеграме: http://t.me/onion_market_bot?start=541854394
…
➡️ Chipollino Onion Club: https://t.me/+F9EKeBaCRetkYzcy
➡️ Кладовка Pavluu: https://t.me/KladovkaPavlu
➡️ Все остальные каналы: https://t.me/ChipollinoNetwork
➡️ Лучший обменник в телеграме: http://t.me/onion_market_bot?start=541854394
…
Закрылся крупнейший кардинговый сайт UniCC, где злоумышленники обменивались данными ворованных банковских карт. Утверждается, что общая прибыль с продаж около 358 млн долларов.
Источник
@dnevnik_infosec
Источник
@dnevnik_infosec
BleepingComputer
Carding site UniCC retires after generating $358 million in sales
UniCC, the largest carding site operating on the dark web at the moment, has announced its retirement, claiming reasons of tiredness.
Антивирусные заметки. Перечислены API, используемые: Avira, BitDefender, F-Secure, MalwareBytes, Norton, TrendMicro и WebRoot.
https://github.com/ethereal-vx/Antivirus-Artifacts
@dnevnik_infosec
https://github.com/ethereal-vx/Antivirus-Artifacts
@dnevnik_infosec
GitHub
GitHub - ethereal-vx/Antivirus-Artifacts: Anti-virus artifacts. Listing APIs hooked by: Avira, BitDefender, F-Secure, MalwareBytes…
Anti-virus artifacts. Listing APIs hooked by: Avira, BitDefender, F-Secure, MalwareBytes, Norton, TrendMicro, and WebRoot. - ethereal-vx/Antivirus-Artifacts
Forwarded from Горизонт Событий
🕵️♀️ Git сервис который поддерживается комьюнити
Буквально на днях мне попался сайт, где располагаются такие репозитории Netflix-4K-Script, ransomrar и многие другие. Да, многие репозитории с лёгкостью вы сможете найти и на просторах GitHub. Все прелести Darktea раскрываются именно в те моменты, когда некоторые из перечисленных выше репозиториев внезапно пропадают с GitHub по причине нарушения авторских прав.
TOR: link
Сlearnet: link
Буквально на днях мне попался сайт, где располагаются такие репозитории Netflix-4K-Script, ransomrar и многие другие. Да, многие репозитории с лёгкостью вы сможете найти и на просторах GitHub. Все прелести Darktea раскрываются именно в те моменты, когда некоторые из перечисленных выше репозиториев внезапно пропадают с GitHub по причине нарушения авторских прав.
TOR: link
Сlearnet: link
🐧 Советы по обеспечению безопасности сервера Linux для новичков
Поскольку так много наших личных и профессиональных данных сегодня доступно в Интернете, важно, чтобы все – от профессионалов до обычных пользователей Интернета – знали основы безопасности и конфиденциальности. Будучи студентом, я смог получить опыт в.....
Источник
@dnevnik_infosec
Поскольку так много наших личных и профессиональных данных сегодня доступно в Интернете, важно, чтобы все – от профессионалов до обычных пользователей Интернета – знали основы безопасности и конфиденциальности. Будучи студентом, я смог получить опыт в.....
Источник
@dnevnik_infosec
💎 webgems
webgems - это место, где разработчики и дизайнеры могут найти новые ресурсы и многое другое. Новичку иногда нелегко найти то, что ему нужно, поскольку он не знает, где что искать.
https://webgems.io/
@dnevnik_infosec
webgems - это место, где разработчики и дизайнеры могут найти новые ресурсы и многое другое. Новичку иногда нелегко найти то, что ему нужно, поскольку он не знает, где что искать.
https://webgems.io/
@dnevnik_infosec
Современный инструмент фишинга с расширенным функционалом
https://github.com/Soldie/HiddenEye-DarkSecDevelopers
@dnevnik_infosec
https://github.com/Soldie/HiddenEye-DarkSecDevelopers
@dnevnik_infosec
GitHub
GitHub - Soldie/HiddenEye-DarkSecDevelopers
Contribute to Soldie/HiddenEye-DarkSecDevelopers development by creating an account on GitHub.
Burp и его друзья
В этой статье мы расскажем о полезных плагинах для Burp Suite Professional — инструмента для анализа веб-приложений. Плагинов много, и, чтобы помочь аудиторам сделать правильный выбор, мы составили список тех, которые сами чаще всего используем в работе.
Источник
@dnevnik_infosec
В этой статье мы расскажем о полезных плагинах для Burp Suite Professional — инструмента для анализа веб-приложений. Плагинов много, и, чтобы помочь аудиторам сделать правильный выбор, мы составили список тех, которые сами чаще всего используем в работе.
Источник
@dnevnik_infosec
Хабр
Burp и его друзья
В этой статье мы расскажем о полезных плагинах для Burp Suite Professional — инструмента для анализа веб-приложений. Плагинов много, и, чтобы помочь аудиторам сделать правильный выбор, мы составили...
Scylla
Это инструмент OSINT, разработанный на языке Python 3.6. Scylla позволяет пользователям выполнять расширенный поиск по аккаунтам Instagram и Twitter, веб-сайтам/веб-серверам, номерам телефонов и именам. Scylla также позволяет пользователям найти все профили социальных сетей (основные платформы), закрепленные за определенным именем пользователя. Кроме того, Scylla имеет поддержку shodan, поэтому вы можете искать устройства по всему интернету, а также обладает глубокими возможностями геолокации.
https://github.com/MandConsultingGroup/Scylla
@dnevnik_infosec
Это инструмент OSINT, разработанный на языке Python 3.6. Scylla позволяет пользователям выполнять расширенный поиск по аккаунтам Instagram и Twitter, веб-сайтам/веб-серверам, номерам телефонов и именам. Scylla также позволяет пользователям найти все профили социальных сетей (основные платформы), закрепленные за определенным именем пользователя. Кроме того, Scylla имеет поддержку shodan, поэтому вы можете искать устройства по всему интернету, а также обладает глубокими возможностями геолокации.
https://github.com/MandConsultingGroup/Scylla
@dnevnik_infosec
GitHub
GitHub - josh0xA/rrgen: A Header Only C++ Library for Storing Safe Pseudorandom Values into Modern Containers with Uniform Integer…
A Header Only C++ Library for Storing Safe Pseudorandom Values into Modern Containers with Uniform Integer Distributions - josh0xA/rrgen
Этический взлом и сетевая безопасность с нуля в 2022 году
https://www.youtube.com/watch?v=kJjRysMAzjc
@dnevnik_infosec
https://www.youtube.com/watch?v=kJjRysMAzjc
@dnevnik_infosec