🧑‍🎓 Руководство по тестированию безопасности от OWASP

Проект тестирования OWASP разрабатывался на протяжении многих лет, чтобы помочь людям понять, что, почему, когда, где и как тестировать веб-приложения

Читатели могут использовать эту структуру в качестве шаблона для создания собственных программ тестирования или для квалификации чужих процессов

— Руководство по тестированию подробно описывает как общую структуру тестирования, так и методы, необходимые для реализации структуры на практике

👀 Источник

✋ Secure Books

📄 Шпаргалка по Feroxbuster

Feroxbuster – инструмент для обнаружения скрытого веб-контента. Написан на языке Rust.

Feroxbuster использует метод «крестовый поход» в сочетании с списком слов для поиска несвязанного контента в целевых каталогах

Эти ресурсы могут содержать чувствительную информацию о веб-приложениях и операционных системах

✋ Secure Books

📂 Всё о RDP: от настройки до взлома

RDP (Remote Desktop Protocol) – протокол удалённого рабочего стола, предназначенный для подключения и работы пользователя с удалённым сервером

Это технология, разработанная для удобного подключения к компьютерам и серверам на базе ОС Windows

Руководство состоит из трех больших разделов:
⏺Удалённый рабочий стол RDP: как включить и как подключиться по RDP
⏺RDP в Linux: запуск сервера и подключение к Windows
⏺Аудит безопасности RDP

👀 Источник

✋ Secure Books

Когда решение по баг-баунти отчету зависло

✋ Secure Books

🔵 Руководство по тестированию безопасности веб-приложений

В этом руководстве мы подробно рассмотрим значение, инструменты и ключевые термины, используемые в тестировании безопасности веб-сайтов, а также подходы к тестированию безопасности

Содержание руководства:
⏺Что такое тестирование безопасности?
⏺Некоторые ключевые термины, используемые при тестировании безопасности
⏺Рекомендуемые инструменты тестирования безопасности
⏺Подходы к тестированию безопасности
⏺Методы тестирования веб-безопасности
⏺Взлом паролей
⏺Манипуляция URL с помощью методов HTTP GET
SQL-инъекции
⏺Межсайтовый скриптинг (XSS)
⏺Заключение

👀 Источник

✋ Secure Books

😂 Нифига себе сходил за хлебушком, или история одного взлома

Всё началось с того, что ко мне (как к фрилансеру) обратились за помощью и попросили настроить exim4 так, чтобы почтовая рассылка не попадала в спам. Даже заботливо ссылку прислали на замечательную статью

— Работы на пару часиков включая обновление DNS, но не тут то было. Залогинившись под рутом я включил свой любимый screen по привычке командой screen -x и лицезрел прелюбопытнейшее действо в любимой многими папке /dev/shm

Злоумышленник не удосужился прикрыть сессию screen, либо всё еще работал в ней. И тут начинается квест...

👀 Источник

✋ Secure Books

📄 Шпаргалка по IDA Pro

IDA Pro – это программное обеспечение для обратного инжиниринга и анализа кода. Оно разработано компанией Hex-Rays

IDA Pro предоставляет мощные инструменты для дизассемблирования (преобразования машинного кода в ассемблерный код) и декомпиляции (преобразования машинного кода или ассемблерного кода в исходный код на высокоуровневом языке программирования)

Этот инструмент позволяет:
⏺анализировать исполняемые файлы и библиотеки
⏺исследовать их структуру и функциональность
⏺искать явные или потенциальные уязвимости в программном коде

✋ Secure Books

📂 Подборка шпаргалок по SQL

С этими шпаргалками по SQL можно не бояться, что в ответственный момент вы что-то забудете

Сохраняйте в закладки и используйте в работе с реляционными базами данных

В подборке будут рассмотрены шпаргалки по:
⏺Ключевым словам
⏺Комментариям
⏺Операторам
⏺Джойнам
⏺Другие шпаргалки по SQL

👀 Источник

✋ Secure Books

🖥 10 команд для Docker, без которых вам не обойтись

Docker – это платформа с открытым исходным кодом для автоматизации разработки, доставки и развёртывания приложений

Её основная идея – создание стандартного и предсказуемого окружения, где приложения могут работать независимо от операционной системы или инфраструктуры

👀 Источник

✋ Secure Books

Бэкап — канал с исходниками популярных проектов.

Здесь вы найдёте исходные коды нейросетей, ботов, сайтов и других интересных проектов, которые вдохновят вас, дадут дополнительные знания и готовые решения для ваших проектов.

➡️ Подписывайся

😈 Поиск и анализ уязвимостей поддоменов сайта

WebCopilot – это инструмент для автоматизированного поиска поддоменов сайта и последующего сканирования на наличие уязвимостей

Он позволяет быстро и эффективно сканировать целевые сайты, используя проверенные опенсорсные утилиты, и сохранять результаты для дальнейшего анализа

👀 Источник

✋ Secure Books

😈 Социальная инженерия на практике: «физический доступ» на закрытую конференцию Кевина Митника

«Физический доступ – это проникновение в здание интересующей вас компании. Мне это никогда не нравилось. Слишком рискованно. Пишу об этом – и меня уже пробивает холодный пот», — Кевин Митник, «Призрак в Сети. Мемуары величайшего хакера»

В статье рассмотрены отрывок из книги Митника про физический доступ и история про проникновение на конференцию Митника в Москве 2013

Материал по теме:
⏺ Подборка книг Кевина Митника

👀 Источник

✋ Secure Books

📂 5 бесплатных курсов по кибербезопасности

⏺ «Специалист по информационной безопасности: старт карьеры» от «Нетологии»: студенты получат карьерный план и выполнят итоговый проект — поиск уязвимостей и настройка программного обеспечения.

⏺ «Основы безопасности и анонимности в сети» от GeekBrains: за два дня студенты изучат спектр необходимых навыков — от анализа угроз до разработки систем защиты.

⏺ «Пять опасных ловушек в интернете» от Skysmart: курс для родителей, которые хотят обезопасить своих детей в интернете.

⏺ «Курс по анонимности и безопасности в сети» от CyberYozh Academy: курс с практическими советами от экспертов, которые помогут обезопасить личную информацию от взломов.

⏺ «Знакомство с веб-безопасностью» от GeekBrains: на курсе научат подбирать защищённые пароли и безопасно использовать интернет-ресурсы.

✋ Secure Books

📖 Руководство по SMB и Samba

SMB (Server Message Block) – сетевой протокол прикладного уровня, предназначенный для удалённого доступа к сетевым принтерам и файлам и другим сетевым ресурсам, а также для межпроцессорного взаимодействия

Руководство включает в себя три раздела:
1. SMB: настройка общей сетевой папки в Windows
2. SMB и Samba в Linux: подключение к общей папке Windows, создание сетевых папок в Linux
3. Аудит безопасности SMB и Samba

👀 Источник

✋ Secure Books

🤖 Как сделать анализатор кода за два дня

Статический анализ – это очень мощный инструмент, позволяющий следить за качеством кода

Предлагаем вместе попробовать написать простой Lua анализатор на Java, чтобы понять, как устроены статические анализаторы кода внутри

👀 Источник

✋ Secure Books

🚠 Типы атак на уровни OSI

Модель OSI (Open Systems Interconnection) – это концептуальная структура, разработанная для описания взаимодействия устройств в компьютерных сетях

Модель состоит из семи уровней: физический, канальный, сетевой, транспортный, сеансовый, представительский, прикладной

— В статье будут разобраны различные типы атак на все уровни OSI и их последствия

👀 Источник

✋ Secure Books

💻 Раз заплатка, два заплатка: зачем нужны бинарные патчи, и как ими пользоваться

Бинарные патчи – это исправления для программного обеспечения, которые распространяются в виде исполняемых файлов, а не исходного кода

— В этой статье мы рассмотрим четыре механизма создания
бинарных патчей и поговорим о назначении каждого из них

⏺В первой части статьи расскажем о Ksplice – технологии,
способной довести uptime сервера до 100%
⏺Во второй поговорим об инструментах xdelta и bsdiff, с помощью которых можно прилично сэкономить на трафике при обновлении системы
⏺В третьей части уделим внимание механизму deltup, экономия трафика при использовании которого может достигнуть 95 %
⏺Четвертая часть посвящена фреймворку binpatchng, предназначенному для создания пакетов с патчами для базовой инсталляции OpenBSD в домашних условиях.

👀 Источник

✋ Secure Books

📺 Видеокурс: Тестирование сайтов на уязвимость

Курс полностью на русском языке и состоит из 25 видео:
1. Установка и полное обновление Kali Linux
2. Архитектура Веб-сервера
3. Tomcat сервер: WAR shell
4. Троян на PHP (две части)
5. Уязвимость DVWA LFI: Local File Inclusion (две части)
6. Уязвимость DVWA RFI: Remote File Inclusion
7. Уязвимость DVWA Command Execution
8. Что такое XSS уязвимость
9. Три вида XSS атак
10. Reflected XSS | Отражённый | DVWA: низкий, средний и высокий уровень защиты (3 видео)
11. Обновление DVWA в Metasploitable2
12. Stored XSS | Хранимый | DVWA: низкий, средний и высокий уровень защиты
13. DOM-based XSS атака
14. CSRF атака: межсайтовая подделка запрос
15. Расшифровка SSL трафика (два части)
16. Взлом WEB сайтов: SQL инъекции
17. Взлом сайта через браузер
18. Взлом сайта через браузер: Web Shell
19. Взлом сайта через браузер: производим настоящий взлом

👀 Источник

Материал по теме:
• Web Security Testing Starter Kit
• 7 онлайн-сервисов для тестирования уязвимостей сайта на WordPress
• 23 сервиса быстрой проверки безопасности сайта
• Краткое руководство по XSS атакам
• Руководство по XSS на ВикипедиЯ
• Уроки по XSS: Урок 1. Основы XSS и поиск уязвимых к XSS сайтов
• Уроки по XSS: Урок 2. Скрытая передача данных, перехват нажатия клавиш, изменение внешнего вида сайта, подцепление на BeEF, фишинг, подсказки обхода фильтров
• Уроки по XSS: Урок 3. Контексты внедрения XSS

✋ Secure Books