Лаборатория хакера

⚫️ Анализатор GoSec Это популярный и самый старый из актуальных анализаторов безопасности для Go. В его базе 35 уязвимостей, которые встречаются чаще всего. Все опасности, которые они несут, описаны в стандарте CVE. GoSec Cl-интегрирован с платформами Github, Gitlab, Jenkins, Travis CI и другими. Проект поддерживает сообщество разработчиков Go. ⏺ Ссылка на GitHub #cybersecurity #infosec #pentesting

Предлагаем ознакомиться с самыми интересными проектами Telegram в сфере информационной безопасности: ➡️ Dark Mycroft – темная сторона корпоративной разведки. Все, что вы хотели узнать про Даркнет, но боялись спросить. ➡️ OSINT | Форензика — Русскоязычное сообщество по обсуждению OSINT и Форензики. На канале ежедневно публикуются методики, инструменты и новости сферы. ➡️ Книги | Books — Одна из крупных библиотек в сегменте Telegram. Тысячи книг и полезного материала по информационным технологиям, информационной безопасность, программированю. ➡️ White2Hack - Этичный хакинг и защита своих данных. Статьи, курсы, тулзы, обзоры. ➡️ Social Engineering — самый крупный ресурс в Telegram, посвященный Информационной Безопасности, OSINT и Cоциальной Инженерии.

✈️ Бесплатные лаборатории для освоения атаки XXE Если вы давно хотели отточить свои навыки эксплуатации XXE уязвимостей, то теперь вы можете сделать это, благодаря данной небольшой подборке: 💬 PortSwigger XXE Labs 💬 JBarone XXE Labs 💬 GoSecure XXE Labs 💬 c0ny1 XXE Labs 💬 AppSecEnginner XXE Labs 💬 HLOverflow XXE Labs #Web #XXE

encrypted-dns-server Простой в установке, высокопроизводительный прокси-DNS- сервер DNSCrypt, написанный на Rust. Поддерживает следующие протоколы: 💬 DNSCrypt v2 💬 Анонимизированный DNSCrypt 💬 Переадресация DNS-over-HTTP (DoH) Все они могут обслуживаться одновременно через один и тот же порт (обычно порт 443). Прокси автоматически определяет, какой протокол используется каждым клиентом. ⏺ Ссылка на GitHub #privacy #infosec #dns

Предлагаем ознакомиться с самыми интересными проектами Telegram в сфере информационной безопасности: ➡️ Dark Mycroft – темная сторона корпоративной разведки. Все, что вы хотели узнать про Даркнет, но боялись спросить. ➡️ OSINT | Форензика — Русскоязычное сообщество по обсуждению OSINT и Форензики. На канале ежедневно публикуются методики, инструменты и новости сферы. ➡️ Книги | Books — Одна из крупных библиотек в сегменте Telegram. Тысячи книг и полезного материала по информационным технологиям, информационной безопасность, программированю. ➡️ White2Hack - Этичный хакинг и защита своих данных. Статьи, курсы, тулзы, обзоры. ➡️ Social Engineering — самый крупный ресурс в Telegram, посвященный Информационной Безопасности, OSINT и Cоциальной Инженерии.

🔎 Автоматизированный доркинг в различных поисковых системах Скрипт, позволяющий немного автоматизировать процесс поиска и найти конфиденциальную информацию с помощью дорков через Bing, Google и Yahoo. ⏺ Ссылка на GitHub #Web #Recon

📑 Автоматизированный поиск конфиденциальных данных Новый инструмент под названием back-me-up позволяет проверить утечку конфиденциальных данных с помощью некоторых шаблонов/регулярных выражений. Шаблоны в основном нацелены на данные с Wayback Machine. ⏺ Ссылка на GitHub #Web

⌨️ Учебный план для специалистов по ИБ Практический учебный план, чтобы стать успешным инженером по кибербезопасности, основанный на таких ролях, как Pentest, AppSec, Cloud Security, DevSecOps и т.д. Включает бесплатные и платные ресурсы, инструменты и концепции. ⏺ Ссылка на GitHub #Web #redteam

📱 Курс «Анализ защищенности приложений Андроид» Старт: 10 июля Продолжительность: 3 месяца Курс позволяет изучить основы анализа мобильных приложений под ОС Android. Рассматривается устройство приложений Android, этапы создания мобильного приложения, приемы реверса и изменения кода. Подробно рассмотрен поиск и эксплуатация уязвимостей в мобильных приложениях ОС Android. 🎓 Кому будет полезен курс: — Новичкам с базовыми понятиями об алгоритмах и операционных системах; — Специалистам по тестированию на проникновение, желающим лучше изучить анализ мобильных приложений; — Разработчикам мобильных приложений, для повышения уровня защищённости разрабатываемых приложений. 🏆 Выдаём сертификат при успешной сдаче экзамена 📌 Узнать подробнее о курсе

🔎 Автоматический конструктор запросов для Google доркинга Если вы устали набирать множество гугл-дорков для различных файлов, во время вашей OSINT разведки, то можно использовать FilePhish — автоматический конструктор запросов для самых популярных расширений файлов. Для корректной работы в Chrome и Firefox требуется разрешить FilePhish отправлять всплывающие окна и использовать перенаправления в меню настроек браузера. В Chrome: Settings > Security and privacy > Pop-ups and redirects > Allowed В Firefox: Privacy & Security > Block pop-up windows > Exceptions ⏺ Ссылка на инструмент #Web #Recon #Google

⚡️ Тест на знание пентестинга⚡️   — Ответьте на 20 вопросов и проверьте, на сколько хорошо вы знаете практику тестирования на проникновение, а так же готовность к углубленному обучению на онлайн-курсе «Пентест. Практика тестирования на проникновение» со скидкой в OTUS!   👉🏻 ПРОЙТИ ТЕСТ: https://otus.pw/PcEF/   🎁 Бонусом за успешное прохождение теста, вы получите запись открытого урока "Атаки Relay, инструменты и особенности использования".   Получите свой бонус прямо сейчас! И приходите учиться. Реклама. ООО "ОТУС ОНЛАЙН-ОБРАЗОВАНИЕ". ИНН 9705100963. 2Ranyn4LSWc

✈️ Коллекция Google дорков Подборка различных дорков для поиска уязвимостей и утечек в Google. ⏺ Ссылка на GitHub #Web #Recon #Dork #Google

👩‍💻 Databag — Самостоятельный федеративный легкий мессенджер для децентрализованной сети.

Примечательные особенности включают в себя:

💬 Идентификация на основе открытого и закрытого ключа (не привязанная к какой-либо цепочке блоков или домену хостинга) Федеративный (учетные записи на разных узлах могут взаимодействовать) 💬 Обсуждения на основе тем (сообщения организованы по темам, а не по контактам) 💬 Легкий (сервер работает на Raspberry Pi Zero v1.3) 💬 Децентрализованный (прямая связь между приложением и узлом контакта) 💬 Низкая задержка (использование веб-сокетов для push- событий, чтобы избежать опроса) 💬 Отзывчивый (хорошо отображается на телефоне, планшете и ПК) 💬 Неограниченное количество учетных записей на узел (хостинг для всей вашей семьи) 💬 Мобильные оповещения (push-уведомления о новых контактах и сообщениях) ⏺ Ссылка на GitHub Вы также можете протестировать проект здесь. #communication #decentralized #web

3 канала по информационной безопасности, OSINT и СИ: 📚 @it_secur — Редкая литература для этичных хакеров и ИБ специалистов любого уровня и направления. Читайте, развивайтесь, практикуйте. 👨🏻‍💻 @infosecurity — Самый крупный ресурс в Telegram, посвященный Хакингу, OSINT и Cоциальной Инженерии. 🔖 @infosec_work — Актуальные предложения от самых крупных работодателей и лидеров рынка в сфере информационной безопасности.

⚙️ Проверяем к каким CDN-провайдерам принадлежит список IP-адресов Когда-то реализовывал нечто подобное, но только на основе wappalyzer, однако здесь другой вариант реализации. ipcdn - это небольшая утилита для проверки того, принадлежит ли список IP-адресов какому либо CDN провайдеру. Этот инструмент основан на диапазонах CIDR, собранных ProjectDiscovery в их проекте cdncheck. Диапазоны обещают пополнять. Он обнаруживает следующие CDN: Azure, Cloudflare, Cloudfront, Fastly и Incapsula. Его основной сценарий использования заключается в том, чтобы избежать сканирования портов и/или выполнения других интенсивных задач на IP-адресах, принадлежащих CDN, что может привести к блокировке или бану. ⏺ Ссылка на GitHub #Web #Recon

Часто слышу такие фразы от Айтишников: - Тяжело работать. Почти не работаю. Мысль о работе угнетает. - Не хочу ложиться спать потому, что утром надо на работу. - Затягиваю задачу до последнего дня и срываю сроки. - Понимаю, что стою на месте и начинаю себя за это гнобить. Человек приходит ко мне уже в состоянии полного дна - когда вообще ничего не может делать. Когда просыпается с мыслью: «Я ничего не хочу и не могу!». Сталкивался с таким? Ощущение, что жизнь - болото. В этот момент ты говоришь себе: «Соберись, тряпка! Иди работай, это же так просто!». После чего все равно ничего не делаешь и начинаешь себя гнобить за безделье. Это происходит день ото дня. На следующей день еще меньше сил, гнобишь себя еще больше и попадаешь в замкнутый круг самоосуждения. Конец немного предсказуем: депрессивное состояние, вплоть до нарушений сна, пищевого поведения и т.д. Что делать? Не тянуть и начать грамотно с этим работать. Самостоятельно можно гнить несколько лет, убеждая себя, что «прогресс есть». С психологом реально выйти из апатии буквально за пару месяцев. Если думаешь, что «само пройдет» - не пройдет! Убери прокрастинацию без насилия над собой на бесплатном мини-курсе "Саморегуляция +". Что ты обычно думаешь, когда видишь слово «упражнение»? «Блин, я и так устал, а тут еще что-то делать надо» и грустно забиваешь. Упражнения моего курса направлены на бездействие, на торможение психики, а не на очередное напряжное «надо». После прохождения курса ты: - Найдешь накопленные за много лет причины прокрастинации. - Снизишь чувство долженствования и вины. - Вернешь себе силы и желание что-то делать. Это не займет много времени. Я подобрал методики, которые не потребуют больше 10-15 минут на каждую. Подписывайся на мой ТГ-канал и смотри мини-курс в закрепе: https://t.me/+clnUeYYFA7cwM2Ni

🔎 Инструмент для сбора поддоменов из списка IP-адресов Ещё один инструмент, который может позволить вам найти новые поддомены во время фазы разведки. hakip2host получает на входе список IP-адресов, а затем выполняет ряд проверок, чтобы найти связанные имена хостов, а именно поиск по PTR, CN и SAN из SSL сертификатов. ⏺ Ссылка на GitHub #Web #Recon

​Совет на 2023 год: изучите Кибер безопасность Ежегодно в мире совершается более 1,5 миллионов кибер преступлений, а 98% компаний не знают кому отдать свои деньги, чтобы укрепили их защиту. На рынке сейчас не хватает более 50.000 специалистов, а средняя зарплата новичка ~ 300.000 рублей. Здесь не нужно зубрить тонны книг и знать 25 языков программирования, а всего лишь изучить простые технологии. Cyber Squad — канал №1 про хакинг, где каждый может освоить искусство взлома по готовым бесплатным материалам. Подписывайся – https://t.me/+wybrBw5C8R00YWQy

🌐 Расширение для поиска утечек с динамической генерацией списков слов Заметил на GitHub интересное расширение для Burp Suite, которое ищет и просматривает резервные копии, а также старые, временные и неиспользуемые файлы на веб-сервере на наличие конфиденциальной информации. Главная особенность расширения заключается в том, что используется динамическая генерация списка слов, основанная на именах и структуре директорий веб приложения. ⏺ Ссылка на GitHub #Web #BurpSuite #Recon

💉 Инструмент для поиска панелей входа и тестирования их на SQLi Умеет находить среди списка веб хостов панели входа и проверять их на SQL инъекции (пока реализованы только Error-Based, но автор планирует так же реализовать Time-Based). Есть многопоточность и возможность прикрутить свои прокси. ⏺ Ссылка на GitHub #Web #SQLi