🚠 Manyverse: Сеть на одноранговом протоколе SSB

Manyverse - это приложение/социальная сеть, построенная на одноранговом протоколе SSB, доступное для компьютеров и мобильных устройств.

— Сообщения, лайки, профили, личные сообщения и т. д., все то что вы ожидаете от социальной сети.

Оно не работает в облаке, принадлежащем компании, вместо этого сообщения ваших друзей и все ваши социальные данные полностью хранятся в вашем устройстве.

🗣 Ссылка на оф. сайт
🗣 Ссылка на GitHub

#Web #Network | 💀 Этичный хакер

😈 API: гайд для самых маленьких

API - это интерфейс, позволяющий двум независимым компонентам программного обеспечения обмениваться информацией. API играет роль посредника между внутренними и внешними программными функциями, обеспечивая эффективный обмен информацией.

— В этом всеобъемлющем руководстве простыми словами будут объяснены API, их важность и то, как они работают.

🗣 Ссылка на чтиво

#Web #API | 💀 Этичный хакер

😈 CSRF: детектируем и блокируем уязвимость

Уязвимость CSRF – дает возможность злоумышленнику производить различные манипуляции с аккаунтом пользователя от лица самого пользователя, при этом, жертва даже не будет знать об этом.

— В этом видеоматериале поговорим о том, как защитить веб-сайты от данной уязвимости.

#Web #CSRF | 💀 Этичный хакер

💉 Command Injection с обходом блокировки ключевых слов

Атаки подобного вида осуществляются через формы ввода данных, cookie файлы, заголовки HTTP с последующим внедрением в системную оболочку. Это становится возможным, когда отсутствует контроль вводимых данных или он носит поверхностный характер.

— Если вы нашли Command Injection, а WAF блокирует ключевые слова, то можно попробовать один из способов обхода, заключающийся в добавлении обратного слеша и символа новой строки между словами из черного списка:

c\%0aat /et\%0ac/pas\%0aswd

#Web #RCE | 💀 Этичный хакер

💉 Руководство по внедрению кода

Внедрение кода — это тип уязвимости, возникающий, когда злоумышленник внедряет код в программу, который затем выполняется приложением. Злоумышленник может воспользоваться этой уязвимостью для выполнения произвольного кода и, возможно, получить контроль над приложением или базовой системой.

— В этом материале расскажем, что такое Code Injection, каков принцип работы, шпаргалка и то, как с этим бороться.

🗣 Ссылка на чтиво

#Web #Injection #code | 💀 Этичный хакер

😈 Уязвимость XSS: определение и предотвращение

Уязвимость Cross-Site Scripting – одна из немногих уязвимостей, которая вошла в каждый десятый список самых важных угроз безопасности веб-приложений OWASP.

— Для предотвращения уязвимостей XSS очень важно применять контекстно-зависимую выходную кодировку. В некоторых случаях этого может быть достаточно для кодирования специальных символов HTML, таких как открывающие и закрывающие теги. В других случаях необходимо правильно применять кодировку URL.

#Web #XSS | 💀 Этичный хакер

😈 Поиск по облачным хранилищам

В этом посте рассмотрим сервис, который осуществляет поиск по таким хранилищам как: Mega, Depositefiles, Dropbox, Turbo Bit, Vip-files и пр.

— Возможен поиск по 60 наиболее популярным облачным хранилищам.

🗣 Ссылка на инструмент

Если вам необходимо осуществить поиск по менее популярным хранилищам, типа Take File, Anonfiles, Keep2share, Ex-load и пр., то на ваш случай имеется иной сервис, который осуществляет поиск по более чем 100 различным ресурсам.

🗣 Ссылка на инструмент

#Web #OSINT | 💀 Этичный хакер

😈 ngrok: Как получить геопозицию, доступ к камере и микрофону любого устройства

В этой статье речь пойдет о способе деанонимизации с применением социальной инженерии благодаря инструменту StormBreaker который позволяет получить доступ к местоположению, камере и микрофону жертвы.

Но, для того, чтобы данный способ сработал, жертве необходимо дать разрешение на доступ в браузере.

🗣 Ссылка на чтиво

#Web #Logger #ngrok | 💀 Этичный хакер

😈 Wireshark: руководство для начинающих

Wireshark — это популярный инструмент для анализа сетевого трафика, который используется в информационной безопасности. Он позволяет перехватывать и анализировать сетевой трафик, включая передачу данных между компьютерами и устройствами в сети.

— Один из главных преимуществ использования Wireshark в информационной безопасности заключается в том, что он может помочь выявить потенциально опасные или вредоносные пакеты данных, которые могут быть направлены на ваш компьютер или сеть. Это позволяет быстро определить источник проблемы и принять соответствующие меры для ее устранения.

Кроме того, Wireshark предоставляет множество инструментов для анализа трафика, включая функции сканирования портов, определения протоколов и анализа сетевого трафика. Эти инструменты позволяют идентифицировать различные типы атак, такие как SQL-инъекции, XSS-атаки и другие.

Wireshark является бесплатным инструментом и доступен для большинства операционных систем.

🗣 Ссылка на Wireshark

#Web #Wireshark | 💀 Этичный хакер

😈 Расширения Burp Suite, которые помогут в пентесте J2EE

J2EE (Java 2 Enterprise Edition) — комплекс взаимодействующих объектно-ориентированных технологий, который можно рассматривать как платформу для разработки бизнес-приложений на основе языка Java.

В этой статье рассмотрим 5 расширений Burp Suite для пентеста J2EE на наличие скрытых параметров и проблем с авторизацией.

🗣 Ссылка на чтиво

#BurpSuite #Web #Java | 💀 Этичный хакер

😈 Как я обнаружил более 40 важных уязвимостей в течение 1 часа

В этой статье подробно расскажем о своем поэтапном подходе к обнаружению множественных уязвимостей на примере реального кейса.

🗣 Ссылка на чтиво

#Recon #BugBounty #Web | 💀 Этичный хакер

😈 JSON Web Token

JSON Web Token — это JSON объект, который определен в открытом стандарте RFC 7519. Он считается одним из безопасных способов передачи информации между двумя участниками.

Для его создания необходимо определить заголовок (header) с общей информацией по токену, полезные данные (payload), такие как id пользователя, его роль и т.д. и подписи (signature).

— Инструменты для автоматизации JWT-атаки:

1. jwtXploiter — это Python-инструмент, предназначенный для автоматизации взлома JWT. Он позволяет проверить соответствие всех известных CVE для JWT и поддерживает различные виды атак на JWT, начиная от простого взлома и до выполнения атак с использованием самозаверяющих токенов!

2. JSON Web Tokens - это дополнение для Burpsuite, которое автоматизирует распространенные атаки на JWT. Кроме того, оно позволяет быстро выполнять кодирование / декодирование и проверку токенов.

3. JWT Tool - это широко используемый инструмент на языке Python, который позволяет производить проверку всех возможных атак, которые могут уязвимо существовать в веб-приложении.

4. JWT Editor - это дополнение для Burpsuite, которое обеспечивает возможность удобно изменять JWT-токены и быстро проверять различные методы обхода.

#Web #JWT #Tools | 💀 Этичный хакер

👩‍💻 Защита API - что необходимо знать?

API - это контракт, который предоставляет программа. «Ко мне можно обращаться так и так, я обязуюсь делать то и это».

В фундаменте каждой информационной защиты лежит глубокое понимание технологии целевой системы. В этой статье речь пойдет о защите API (Application Programming Interface) — важнейшего набора функций для каждого программиста.

🗣 Ссылка на чтиво

#Web #API | 💀 Этичный хакер

😈 ТОП-5 методов, которые используют для взлома

Социальные сети ныне неотъемлимая часть каждого человека, Мы открыто обсуждаем нашу личную жизнь, повседневную деятельность и информацию о деньгах, но много ли людей задумывается над защитой своих данных?

В этой статье пойдёт речь, о самых распространённых техниках, начиная от фишинга и заканчивая DNS спуфингом.

🗣 Ссылка на чтиво

#Web #Phishing #Spoofing #DNS #MITM | 💀 Этичный хакер

😈 Пентест веб-сайта с помощью OWASP ZAP

OWASP ZAP - это сканер безопасности веб-приложений с открытым исходным кодом, который стал одним из наиболее широко используемых инструментов для динамического тестирования безопасности приложений (DAST), поддерживаемых OWASP.

— Защита веб-приложения имеет решающее значение, поэтому осваивать пентест инструменты приходится и самим разработчикам. Есть и мощные фреймворки для пентеста WordPress (WPScan) но ведь не все пользуются этой CMS, поэтому в этом посте рассмотрим универсальный пентест-инструмент OWASP ZAP (Zed Attack Proxy).

🗣 Ссылка на чтиво

‼️ Также прикрепляю другие полезные материалы по теме #ZAP:
- ТОП-10 плагинов для OWASP ZAP
- Межсайтовый скриптинг (XSS)

#Web #OWASP #ZAP #Пентест | 🧑‍💻 Этичный хакер

😈 Как ловили хакера и инсайдера во Всемирном банке

Продолжаем веб-серфинг в поисках крутых ИБ-историй. И вот сегодня – поучительный рассказ о том, как Амели Коран (Amélie Koran aka webjedi) практически голыми руками поймала хакера, атаковавшего сервера Всемирного банка, а также инсайдера, который пытался сыграть на этой истории.

🗣 Ссылка на чтиво

#ИБ #Web #Crime | 🧑‍💻 Этичный хакер

😈 Пентест веб-сайта с помощью OWASP ZAP

OWASP ZAP - это сканер безопасности веб-приложений с открытым исходным кодом, который стал одним из наиболее широко используемых инструментов для динамического тестирования безопасности приложений (DAST), поддерживаемых OWASP.

— Защита веб-приложения имеет решающее значение, поэтому осваивать пентест инструменты приходится и самим разработчикам. Есть и мощные фреймворки для пентеста WordPress (WPScan) но ведь не все пользуются этой CMS, поэтому в этом посте рассмотрим универсальный пентест-инструмент OWASP ZAP (Zed Attack Proxy).

🗣 Ссылка на чтиво

‼️ Также прикрепляю другие полезные материалы по теме #ZAP:
- ТОП-10 плагинов для OWASP ZAP
- Межсайтовый скриптинг (XSS)

#Web #OWASP #ZAP #Пентест | 🧑‍💻 Этичный хакер