BROKEN ACCESS підглядаємо пароль АДМІНІСТРАТОРА та ВИДАЛЯЄМО користувача. portswigger lab50
Показується, як через неправильну перевірку доступу можна отримати доступ до чужих даних, зокрема підглянути пароль або іншу конфіденційну інформацію.
🧠 Що демонструється
• як виникає Broken Access Control
• як атакуючий може обійти перевірку прав доступу
• як отримати чутливі дані іншого користувача
• чому це одна з найкритичніших OWASP-вразливостей
https://www.youtube.com/watch?v=ezA5kRJR9K0
Показується, як через неправильну перевірку доступу можна отримати доступ до чужих даних, зокрема підглянути пароль або іншу конфіденційну інформацію.
🧠 Що демонструється
• як виникає Broken Access Control
• як атакуючий може обійти перевірку прав доступу
• як отримати чутливі дані іншого користувача
• чому це одна з найкритичніших OWASP-вразливостей
https://www.youtube.com/watch?v=ezA5kRJR9K0
❤17
SwaggerSpy
OSINT-інструмент для пошуку витоків у Swagger API
Написаний на Python для автоматизованого OSINT-аналізу SwaggerHub.
Він допомагає знаходити потенційно чутливі дані в API-документації. 
Swagger — популярний фреймворк для опису REST-API у форматі JSON/YAML, який дозволяє створювати інтерактивну документацію для сервісів.
Чому це важливо
Розробники іноді випадково залишають у Swagger:
• 🔑 API keys
• 🔐 credentials
• 🪪 токени доступу
• 📡 внутрішні endpoints
• 📄 конфігураційні дані
SwaggerSpy допомагає знайти такі помилки до того, як ними скористаються зловмисники.
Як працює інструмент
1️⃣ шукає API на SwaggerHub
2️⃣ витягує документацію
3️⃣ сканує її через regex-патерни
4️⃣ формує звіт з можливими витоками
https://github.com/UndeadSec/SwaggerSpy
OSINT-інструмент для пошуку витоків у Swagger API
Написаний на Python для автоматизованого OSINT-аналізу SwaggerHub.
Він допомагає знаходити потенційно чутливі дані в API-документації. 
Swagger — популярний фреймворк для опису REST-API у форматі JSON/YAML, який дозволяє створювати інтерактивну документацію для сервісів.
Чому це важливо
Розробники іноді випадково залишають у Swagger:
• 🔑 API keys
• 🔐 credentials
• 🪪 токени доступу
• 📡 внутрішні endpoints
• 📄 конфігураційні дані
SwaggerSpy допомагає знайти такі помилки до того, як ними скористаються зловмисники.
Як працює інструмент
1️⃣ шукає API на SwaggerHub
2️⃣ витягує документацію
3️⃣ сканує її через regex-патерни
4️⃣ формує звіт з можливими витоками
https://github.com/UndeadSec/SwaggerSpy
❤10👍7
З чого почати свій шлях в кібербезпеку. Іспит Portswigger/BurpSuite. Штучний Інтелект VS Хакери
Привіт! Як стати penetration tester’ом і скласти один із найскладніших іспитів у веббезпеці?
У цьому відео говоримо з Назарієм про його шлях у кібербезпеку, реальний досвід складання Burp Suite Certified Practitioner і те, що насправді працює в навчанні. Впевнений, що це відео зекономить тобі мінімум одну спробу скласти іспит.
Я отримав задоволення від цієї розмови - сподіваюся, вам також сподобається.
https://www.youtube.com/watch?v=dXRkXlC-Tc8&feature=youtu.be
Привіт! Як стати penetration tester’ом і скласти один із найскладніших іспитів у веббезпеці?
У цьому відео говоримо з Назарієм про його шлях у кібербезпеку, реальний досвід складання Burp Suite Certified Practitioner і те, що насправді працює в навчанні. Впевнений, що це відео зекономить тобі мінімум одну спробу скласти іспит.
Я отримав задоволення від цієї розмови - сподіваюся, вам також сподобається.
https://www.youtube.com/watch?v=dXRkXlC-Tc8&feature=youtu.be
🔥18👍7
Ефективне використання Cursor та оптимізація витрат на AI
Давно піднялась проблема в компанії, що не вистачає девелоперам місячної корпоративної підписки курсора на місяць і за 2-3 задачі всі токени улетають в прірву, але треба ще працювати цілий місяць, а вже лінь писати самому код, всі хотять, щоб за цього писала іяйка, але впадло розібратись як ефективно та екномно поводитись з токенами, щоб і не втрачалась якість його.
Прийшлось внікнуть як так зробити і от народилась ця дока, тестував на своїй реальній задачці, приклади також додані в статейку.
(Спойлер - у мене з цими порадами кількість токенів зменшилась в 6 раз, з 77к до 11.5к ):
Зокрема описано:
-які моделі краще використовувати за замовчуванням
-як правильно працювати з @file
-як зменшувати контекст запитів
-як уникати зайвих regenerate
-як правильно формулювати prompts
-і ще інші
https://svyat.tech/efektivne-vikoristannya-cursor-ta-optimizaciya-vitrat-na-ai
Давно піднялась проблема в компанії, що не вистачає девелоперам місячної корпоративної підписки курсора на місяць і за 2-3 задачі всі токени улетають в прірву, але треба ще працювати цілий місяць, а вже лінь писати самому код, всі хотять, щоб за цього писала іяйка, але впадло розібратись як ефективно та екномно поводитись з токенами, щоб і не втрачалась якість його.
Прийшлось внікнуть як так зробити і от народилась ця дока, тестував на своїй реальній задачці, приклади також додані в статейку.
(Спойлер - у мене з цими порадами кількість токенів зменшилась в 6 раз, з 77к до 11.5к ):
Зокрема описано:
-які моделі краще використовувати за замовчуванням
-як правильно працювати з @file
-як зменшувати контекст запитів
-як уникати зайвих regenerate
-як правильно формулювати prompts
-і ще інші
https://svyat.tech/efektivne-vikoristannya-cursor-ta-optimizaciya-vitrat-na-ai
🔥25❤6👍3
Хто ще не купив квиточки на партіхард Київ?
Як так Ромчик старається, а людей не вистачає.
https://partyhard.com.ua/
Як так Ромчик старається, а людей не вистачає.
https://partyhard.com.ua/
Party Hard
Party Hard — найкулуарніша ІТ конференція у світі!
❤3
Всім привіт, ще одна реклама івентику, якщо хтось пропустив таку подію, але таке важко пропустити від DOU, но мало лі:
- один із найбільших івентів для IT-спільноти
- спікери з Google, Cisco, MacPaw, Swarmer, GitLab, Wix та інших компаній
- Більше 7 тематичних треків
- А ще стендап, концерт, афтепаті, фудкорт, сайд-івенти
https://dou.ua/dou-day-2026/
- один із найбільших івентів для IT-спільноти
- спікери з Google, Cisco, MacPaw, Swarmer, GitLab, Wix та інших компаній
- Більше 7 тематичних треків
- А ще стендап, концерт, афтепаті, фудкорт, сайд-івенти
https://dou.ua/dou-day-2026/
❤3
Клод Код: Створіть агента на основі штучного інтелекту, який знаходить вразливості
У цьому відео ми занурюємося в щотижневе лабораторне завдання зі створення агента сканера безпеки, зосереджуючись на критичних аспектах кібербезпеки. Ми розглядаємо результати, пов'язані з «Порушенням контролю доступу» – ключовою областю серед 10 головних вразливостей OWASP. Цей сеанс пропонує практичний огляд оцінки вразливостей та того, як ми виявляємо потенційні докази недоліків безпеки.
https://youtu.be/VFLieg8JjLA?si=eWdmRRVut-X8tMH5
У цьому відео ми занурюємося в щотижневе лабораторне завдання зі створення агента сканера безпеки, зосереджуючись на критичних аспектах кібербезпеки. Ми розглядаємо результати, пов'язані з «Порушенням контролю доступу» – ключовою областю серед 10 головних вразливостей OWASP. Цей сеанс пропонує практичний огляд оцінки вразливостей та того, як ми виявляємо потенційні докази недоліків безпеки.
https://youtu.be/VFLieg8JjLA?si=eWdmRRVut-X8tMH5
🔥11👍10❤1
⚡️ Manual-тестування працює, поки продукт невеликий, але зі зростанням кількості релізів і сервісів цей підхід уже не масштабується.
⠀
Забути про виснажливі й монотонні ручні перевірки та оптимізувати власні ресурси, — можна після 27 занять на курсі QA Automation TypeScript від robot_dreams.
⠀
На курсі ви навчитеся:
✔️ кодити на JavaScript i TypeScript та писати програми під автотести
✔️ запускати перевірку користувацьких інтерфейсів за заданим графіком
✔️ користуватися інструментами та фреймворками для інтеграції СІ/CD
✔️ писати зрозумілі тест-репорти
Лектор: Вячеслав Левконюк — Software Developer Engineer in Test в ELEKS, який має понад 14 років досвіду в тестуванні та працював у GlobalLogic і Luxoft.
Старт: 27 квітня
Деталі, програма та реєстрація ⬅️
⠀
Забути про виснажливі й монотонні ручні перевірки та оптимізувати власні ресурси, — можна після 27 занять на курсі QA Automation TypeScript від robot_dreams.
⠀
На курсі ви навчитеся:
✔️ кодити на JavaScript i TypeScript та писати програми під автотести
✔️ запускати перевірку користувацьких інтерфейсів за заданим графіком
✔️ користуватися інструментами та фреймворками для інтеграції СІ/CD
✔️ писати зрозумілі тест-репорти
Лектор: Вячеслав Левконюк — Software Developer Engineer in Test в ELEKS, який має понад 14 років досвіду в тестуванні та працював у GlobalLogic і Luxoft.
Старт: 27 квітня
Деталі, програма та реєстрація ⬅️
❤4
🔥 Новий цікавий проєкт від OWASP для тих, хто в темі кібербезпеки
🚀 Що це взагалі таке?
OWASP APTS — це спроба стандартизувати автономне тестування безпеки, де частину роботи виконують не люди, а системи/AI/агенти.
Фактично:
* це набір вимог
* чеклістів (≈170+ пунктів)
* підходів до побудови automated pentest
🤖 Чому це важливо саме зараз?
Ми швидко рухаємось у світ, де:
* AI вже пише код
* AI вже робить code review
* AI вже шукає баги
👉 логічний наступний крок — AI робить pentest
https://github.com/OWASP/APTS
🚀 Що це взагалі таке?
OWASP APTS — це спроба стандартизувати автономне тестування безпеки, де частину роботи виконують не люди, а системи/AI/агенти.
Фактично:
* це набір вимог
* чеклістів (≈170+ пунктів)
* підходів до побудови automated pentest
🤖 Чому це важливо саме зараз?
Ми швидко рухаємось у світ, де:
* AI вже пише код
* AI вже робить code review
* AI вже шукає баги
👉 логічний наступний крок — AI робить pentest
https://github.com/OWASP/APTS
❤16👍1
Вразливість яка дає повний доступ до сервера RCE, linux+WEB Pentest=Повний Доступ/Portswigger lab62
Всім привіт! Продовжуємо відео про кібербезпеку. У цьому відео ми продовжуємо практикуватись з Remote Code Execution (RCE).
Ця лабораторні не є хакерством, а є навчальним матеріалом, що виконується виключно в тестовому середовищі PortSwigger з метою підвищення обізнаності у сфері безпеки.
https://www.youtube.com/watch?v=-YSPMyN1_8Y
Всім привіт! Продовжуємо відео про кібербезпеку. У цьому відео ми продовжуємо практикуватись з Remote Code Execution (RCE).
Ця лабораторні не є хакерством, а є навчальним матеріалом, що виконується виключно в тестовому середовищі PortSwigger з метою підвищення обізнаності у сфері безпеки.
https://www.youtube.com/watch?v=-YSPMyN1_8Y
❤12
🔥 Знайшов ще один дуже жирний репозиторій для тих хто в темі пентесту та bug bounty
💣 Що це таке?
Це величезна база матеріалів для:
* penetration testing
* bug bounty
* security research
Всередині:
* payloads
* fuzzing lists
* bypass payloads
* dorks
* web/network/android pentest матеріали
* теорія по вразливостях
Фактично — “all-in-one” збірка для security engineer / pentester.
https://github.com/AlbusSec/Penetration-List
💣 Що це таке?
Це величезна база матеріалів для:
* penetration testing
* bug bounty
* security research
Всередині:
* payloads
* fuzzing lists
* bypass payloads
* dorks
* web/network/android pentest матеріали
* теорія по вразливостях
Фактично — “all-in-one” збірка для security engineer / pentester.
https://github.com/AlbusSec/Penetration-List
❤22👍4
На війні загинув Геннадій Мішевський, людина, яку я знав особисто.
Людина, яка багато років вкладалась у розвиток тестування, автоматизації та українського ІТ і не тільки айті а й розвитку систем оборони від рашистів тестуючі та розвиваючі FPV.
Він був не просто спеціалістом. Він був людиною, яка створювала, допомагала, ділилась знаннями та залишала після себе сильний слід у професії та серед людей.
Дуже боляче усвідомлювати, скільки талановитих, розумних і світлих людей ми втрачаємо через цих виблядків рашистів.
Світла пам’ять Герою.
У Геннадія залишилась дружина та двоє дітей.
Зараз для родини відкрито банку допомоги. Якщо маєте можливість будь ласка, підтримайте сім’ю. https://send.monobank.ua/jar/ADXENaogDC
Людина, яка багато років вкладалась у розвиток тестування, автоматизації та українського ІТ і не тільки айті а й розвитку систем оборони від рашистів тестуючі та розвиваючі FPV.
Він був не просто спеціалістом. Він був людиною, яка створювала, допомагала, ділилась знаннями та залишала після себе сильний слід у професії та серед людей.
Дуже боляче усвідомлювати, скільки талановитих, розумних і світлих людей ми втрачаємо через цих виблядків рашистів.
Світла пам’ять Герою.
У Геннадія залишилась дружина та двоє дітей.
Зараз для родини відкрито банку допомоги. Якщо маєте можливість будь ласка, підтримайте сім’ю. https://send.monobank.ua/jar/ADXENaogDC
send.monobank.ua
Безпечний переказ коштів
Надсилайте безкоштовно та безпечно кошти
Forwarded from DOU
На війні загинув QA-спеціаліст, переможець Премії DOU Геннадій Міщевський
https://dou.ua/goto/qViK
Геннадій багато років працював у QA, писав про тестування й автоматизацію, був одним із переможців першої Премії DOU. Після початку повномасштабного вторгнення долучився до проєкту SocialDroneUA, а потім — до лав Сил оборони. Редакція DOU висловлює співчуття рідним і близьким Геннадія.
https://dou.ua/goto/qViK
Геннадій багато років працював у QA, писав про тестування й автоматизацію, був одним із переможців першої Премії DOU. Після початку повномасштабного вторгнення долучився до проєкту SocialDroneUA, а потім — до лав Сил оборони. Редакція DOU висловлює співчуття рідним і близьким Геннадія.
🫡42
Open-source інструмент для security / vuln research — ProjectDiscovery Vulnx
Що вміє:
— шукати CVE по фільтрах
— аналізувати KEV / EPSS / CVSS
— дивитись public PoC
— швидко шукати exploitable vulns
— робити вибірки по vendor/product
— працювати як normal human language search 😄
Приклади:
vulnx search "severity:critical && is_remote:true"
vulnx search "apache || nginx"
vulnx id CVE-2021-44228
Особливо цікаво виглядає для:
• SecOps
• Threat Hunting
• Pentest
• Vulnerability Management
• AI security agents / MCP tools
• автоматизації triage CVE у CI/CD
https://github.com/projectdiscovery/vulnx
Що вміє:
— шукати CVE по фільтрах
— аналізувати KEV / EPSS / CVSS
— дивитись public PoC
— швидко шукати exploitable vulns
— робити вибірки по vendor/product
— працювати як normal human language search 😄
Приклади:
vulnx search "severity:critical && is_remote:true"
vulnx search "apache || nginx"
vulnx id CVE-2021-44228
Особливо цікаво виглядає для:
• SecOps
• Threat Hunting
• Pentest
• Vulnerability Management
• AI security agents / MCP tools
• автоматизації triage CVE у CI/CD
https://github.com/projectdiscovery/vulnx
❤6
27 травня на 6-му щорічному Cybersecurity Forum збираються лідери галузі та фахівці-практики, щоб обговорити, як зберегти стійкість у дедалі складнішому ландшафті загроз.
Поки більшість організацій досі обговорюють, чи варто впроваджувати ШІ і як це зробити, зловмисники вже випередили їх використовуючи загальнодоступні інструменти для швидкого вдосконалення своїх тактик.
Про це говоритиме Аррон Тандеркліфф — Security Engineer, Global Security Architecture в Google.
Тема доповіді: Автономний захист в епоху агентних атак
Аррон розкаже, як ШІ активно використовується сучасними групами зловмисників і чому це кардинально змінює ландшафт загроз.
27 травня 2026 року, 10:00 – 18:00 (Kyiv time)
Офлайн у Празі або онлайн-стрім
👉 Реєстрація
Поки більшість організацій досі обговорюють, чи варто впроваджувати ШІ і як це зробити, зловмисники вже випередили їх використовуючи загальнодоступні інструменти для швидкого вдосконалення своїх тактик.
Про це говоритиме Аррон Тандеркліфф — Security Engineer, Global Security Architecture в Google.
Тема доповіді: Автономний захист в епоху агентних атак
Аррон розкаже, як ШІ активно використовується сучасними групами зловмисників і чому це кардинально змінює ландшафт загроз.
27 травня 2026 року, 10:00 – 18:00 (Kyiv time)
Офлайн у Празі або онлайн-стрім
👉 Реєстрація
👍10🤔2
Як змінився IT-ринок після AI-буму
Поки в Threads щодня «ховають» ринок, він насправді просто змінюється. Частина напрямків втрачає актуальність, а частина — навпаки стає ще ціннішою для бізнесу.
Вже в цю суботу CEO Data Loves Academy та Data Science спеціалістка з 10+ роками досвіду в IT Ганна Пилєва проведе відкритий ефір про реальну ситуацію на ринку.
На ефірі «Криза в ІТ: чому? Попит на аналітиків зростає, коли інших скорочують» поговоримо:
📍куди зараз реально варто заходити в IT
📍які напрямки будуть рости далі
📍чи є шанс у новачків у 2026
📍як AI вже змінив ринок праці
КОЛИ ➡️ 23 травня, 12:00 за Києвом
ДЕ ➡️ Telegram-канал HANNA PYLIEVA ПРО ІТ
Безкоштовно 👉 https://t.me/+89JoBDdAdJ8wNGUy
Поки в Threads щодня «ховають» ринок, він насправді просто змінюється. Частина напрямків втрачає актуальність, а частина — навпаки стає ще ціннішою для бізнесу.
Вже в цю суботу CEO Data Loves Academy та Data Science спеціалістка з 10+ роками досвіду в IT Ганна Пилєва проведе відкритий ефір про реальну ситуацію на ринку.
На ефірі «Криза в ІТ: чому? Попит на аналітиків зростає, коли інших скорочують» поговоримо:
📍куди зараз реально варто заходити в IT
📍які напрямки будуть рости далі
📍чи є шанс у новачків у 2026
📍як AI вже змінив ринок праці
КОЛИ ➡️ 23 травня, 12:00 за Києвом
ДЕ ➡️ Telegram-канал HANNA PYLIEVA ПРО ІТ
Безкоштовно 👉 https://t.me/+89JoBDdAdJ8wNGUy