🇺🇦 Security QA

Логотип телеграм -каналу qa_security — 🇺🇦 Security QA
613
Логотип телеграм -каналу qa_security — 🇺🇦 Security QA

Коментарі

Щоб залишити коментар, потрібно авторизуватися.



Адреса каналу: @qa_security
Категорії: Технології
Мова: Українська
Передплатники: 2,706 (Дата оновлення: 2022-05-28)
Опис з каналу

Книги по тестированию, инструменты по хакингу, видео с конференций по тестированию.
Кто мы? — https://evo.company
Написать нам @SvyatLogin

Останні повідомлення

2022-05-27 09:47:31 ​​How Do DoS and DDoS Attacks

1. Introduction
2. Basics of Denial of Service Attacks
2.1. Distributed Denial of Service
3. Techniques of Denial of Service Attacks
3.1. SYN Flood
3.2. TTL Expiry Attack
3.3. Amplification Attacks
3.4. Low-rate Targeted Attacks
4. The Potential Consequences
5. Conclusion

https://www.baeldung.com/cs/dos-vs-ddos-attacks
560 views06:47
Відкрити / Коментувати
2022-05-26 10:54:37 У нас з'явився новий інструмент - бот для автоматизації атак

Ми помітили, що не всі можуть запускати атаки у той час коли це потрібно, тому атаки не завжди проходять максимально ефективно. Але відтепер кожен бажаючий може надати свої хмарні ресурси боту, який буде централізовано запускати атаку одночасно з усіх отриманих серверів. Його доопрацювали і вже можна переносити сервери з нестандартним портом ssh. Детальніше

We came up with a new tool - an attack automation bot

We've noticed that not everyone can launch attacks at one time, and it sometimes prevents us from reaching our full potential. From now on, you can grant access to your cloud resources to our bot that will launch a coordinated attack from all the available servers. It has been improved and it is already possible to transfer servers with a non-standard ssh port. More info
444 views07:54
Відкрити / Коментувати
2022-05-26 09:46:51 ​​Шпаргалки це помічники під час роботи з інструментами. З їхньою допомогою ви швидко прокачуєте навички та скорочуєте час на виконання завдань, необхідних для отримання результатів. По цьому лінку знаходиться велика кількість шпаргалок на тему OSINT.

https://cheatography.com/tag/security/

Обов'язково загляни сюди:

👉 Shodan Cheat Sheet.
👉 Sherlock (Python) Cheat Sheet.
👉 PhoneInfoga / Infoga Cheat Sheet.
668 views06:46
Відкрити / Коментувати
2022-05-24 09:46:40
99 views06:46
Відкрити / Коментувати
2022-05-24 08:48:18 🇺🇦 Шпаргалка щодо мобільного злому

Mobile Hacking CheatSheet – це спроба узагальнити кілька цікавих основ щодо інструментів і команд, необхідних для оцінки безпеки мобільних додатків Android та iOS.

https://github.com/randorisec/MobileHackingCheatSheet

🇬🇧 The Mobile Hacking CheatSheet

The Mobile Hacking CheatSheet is an attempt to summarise a few interesting basics info regarding tools and commands needed to assess the security of Android and iOS mobile applications.

https://github.com/randorisec/MobileHackingCheatSheet
334 views05:48
Відкрити / Коментувати
2022-05-20 15:44:47 ​​Cross-Site WebSocket Hijacking

WebSocket - протокол зв'язку поверх TCP-з'єднання, призначений для обміну повідомленнями між браузером і веб-сервером в режимі реального часу". На відміну від синхронного протоколу HTTP, побудованого за моделлю «запит - відповідь», WebSocket повністю асинхронний та симетричний. Він застосовується для організації чатів, онлайн-табло і створює постійне з'єднання між клієнтом та сервером, яке обидві сторони можуть використовувати для надсилання даних.

https://svyat.tech/Cross-Site-WebSocket-Hijacking/
302 views12:44
Відкрити / Коментувати
2022-05-20 09:10:46
649 views06:10
Відкрити / Коментувати
2022-05-20 09:08:19 Отримай практичні поради для QA-спеціалістів на NIX MultiConf!
Вже у ці вихідні, 21-22 травня, на найбільшій в Україні онлайн IT-конференції!

Між тим, як задонатити ЗСУ, попіклуйся про розвиток своїх навичок. Адже наше IT — це сила! Без яких знань не обійтись сучасному тестувальнику — дізнайся на NIX MultiConf.

На тебе чекають виступи фахівців NIX в області QA:
🔹 СЕРГІЙ МОГИЛЕВСЬКИЙ, QA Lead
🔹 АНДРІЙ КУШЛАК, Performance QA Engineer

А ще — безліч практичних інструментів, нових технологій і корисного досвіду від українських та іноземних експертів за напрямами: Java, JS, DATA, PHP, PM, Python, ВА, Design.

Цікавишся розвитком IT-бізнесу в Україні? Тоді дивись виступи українських бізнес-лідерів і став їм питання в прямому ефірі на NIX MultiConf.

Щоб не пропустити подію, переходь за посиланням та реєструйся.

Під час ефіру ти можеш долучитися до збору коштів на потреби ЗСУ та волонтерів.

Все буде Україна! Все буде NIX!
655 views06:08
Відкрити / Коментувати
2022-05-18 09:24:47 Для своїх скидон - 1000 грн. Промокод Login IT
486 views06:24
Відкрити / Коментувати
2022-05-18 09:23:50
Всім привіт, пост для ваших знайомих або для вас)
Хто хоче перейти на сторону IT та може не знає з чого почати.

📑 Ми стартуємо другий курс Manual QA

Записатися - https://www.login-it.tech/login-to-manual-qa

Дата старту: 6 червня 2022 о 19:00
Тривалість: 15 занять по 2 години
Місце зустрічі: Google meet
Буде запис зустрічі та скинуто вам на пошту

Про що ви чи ваші друзі дізнаються:
- Про професію QA
- На скільки це важлива професія в любій індустрії
- Якими навичками оволодіти для старту в цьому напрямку
- Кар'єрний шлях та про нинішні у військовий час, про фінанси

Які знання отримає слухач:
- Повноцінні знання щоб почати свою кар'єру в IT
- Отримаєте практичні навички використання інструментів для тестування
- Отримаєте досвід проходження співбесіди

Кому буде цікаво:
Усім хто хоче перейти на сторону IT и не знає як це зробити

Спікер: ОЛЕКСІЙ ПЛЮХІН
- Mobile and WEB QA - PDFfiller
- Більше 4 років в тестуванні
- Більше 2 року в тестуванні мобільних додатків
- Був ментором для новеньких junior QA в EVO
502 views06:23
Відкрити / Коментувати
2022-05-17 09:25:21 ​​🇺🇦 Безкоштовні лабораторії для практики вразливості XXE

Якщо ви чули про цю вразливість, але не знали де її модна відпрацювати навички експлуатації XXE вразливостей, то цей список для вас :

👉 PortSwigger XXE Labs
👉 JBarone XXE Labs
👉 GoSecure XXE Labs
👉 c0ny1 XXE Labs
👉 AppSecEnginner XXE Labs
👉 HLOverflow XXE Labs

🇬🇧 Free XXE Vulnerability Practice Labs

If you've heard of this vulnerability, but didn't know where it is fashionable to practice exploiting XXE vulnerabilities, then this list is for you:

👉 PortSwigger XXE Labs
👉 JBarone XXE Labs
👉 GoSecure XXE Labs
👉 c0ny1 XXE Labs
👉 AppSecEnginner XXE Labs
👉 HLOverflow XXE Labs
650 views06:25
Відкрити / Коментувати
2022-05-11 15:06:36 ​​🇺🇦 Розширення для пошуку витоків із динамічною генерацією списків слів

На GitHub є цікаве розширення для Burp Suite, яке шукає та переглядає резервні копії, а також старі, тимчасові та невикористовувані файли на веб-сервері на наявність конфіденційної інформації.

🇬🇧 Extensions to search for sources with dynamic generation of word lists

GitHub has an interesting extension for Burp Suite that searches backups, as well as old, temporary, and unused files on a web server for sensitive information.

https://github.com/moeinfatehi/Backup-Finder
531 views12:06
Відкрити / Коментувати
2022-05-10 11:27:03 ​​Злом хешей файлу shadow після отримання root-доступу до Linux за допомогою John the Ripper і Hashcat

Після отримання root-доступу до Linux важливо не зупинятися на досягнутому. Чому б не спробувати зламати паролі користувачів? Якщо пощастить і для входу в різні системи буде використовуватися той самий обліковий запис, можна поширити атаку і на інші машини. Для злому паролів є два випробувані інструменти: John the Ripper і Hashcat.

https://svyat.tech/Crack-hash-password-with-John-the-Ripper-and-Hashcat/
523 views08:27
Відкрити / Коментувати
2022-05-09 17:06:56 Група набрана, ну вже на осінь буде наступна група
697 views14:06
Відкрити / Коментувати
2022-05-09 10:33:57 Через тиждень, 16 травня о 18 00, стартує наступна группа по пентесту вебу та мобалай на основі овасп, залишилось 1 місце.

Пишіть в приват або через заявку https://www.login-it.tech/login-to-owasp-top-10 + https://www.login-it.tech/login-to-pentest-mob-app

Програма по лінці вище.

Ціна всього 5к грн.
309 viewsedited  07:33
Відкрити / Коментувати
2022-05-09 09:43:27 ​​🇺🇦 Лабораторки для практики експлуатації SSRF

У списку представлені онлайн лабораторії та ті, які ви можете підняти на власному тестовому середовищі.

👉 PortSwigger SSRF Labs

👉 Server-Side Request Forgery (SSRF) vulnerable Lab

👉 Vulnado SSRF Lab

👉 Snyk SSRF Lab

👉 Kontra SSRF Lab

🇬🇧 Laboratory for SSRF operation practice

The list includes online labs and ones you can build on your own test environment.

👉 PortSwigger SSRF Labs

👉 Server-Side Request Forgery (SSRF) vulnerable Lab

👉 Vulnado SSRF Lab

👉 Snyk SSRF Lab

👉 Kontra SSRF Lab
461 views06:43
Відкрити / Коментувати
2022-05-06 10:42:39
✈️ ІТ-спільното, купимо армії «літачок»? Збираємо $ 1 000 000 на дрон PD-2

Наближаймо день нашої перемоги, наприклад, можна придбати для українських військових БПЛА PD-2!

🇺🇦 Це — комплекс з двох літаків і автомобіля, оснащений тепловізійними камерами та іншими «ніштяками» (бонус: українського виробництва). Коротше, потужний літачок, який допоможе нашим військовим знищити окупанта і звільнити Україну. Що може бути краще?

Збираємо $ 1 000 000 🍋 (або 30 000 000 грн) для «Повернись живим». Вони придбають цей БПЛА та передадуть за призначенням.

Як задонатити і особисто купити частинку літачка?

1️⃣ Задонатьте будь-яку суму (у віджеті 👉 https://dou.ua/goto/0YZp).
2️⃣ Поставте + у коментарях до топіка.
3️⃣ Запросіть знайомих долучитись: поширте топік у соцмережах, наприклад.

Шо там по русні?😈
331 views07:42
Відкрити / Коментувати
2022-05-06 09:36:33 ​​🇺🇦 Не можете знайти вразливості дефолтними скриптами в OWASP ZAP? Ось вам невелика добірка плагінів для нього...

👉 Access Control Testing
Дозволяє проводити тестування контролю доступу та виявляти потенційні проблеми з контролем доступу.

👉 Advanced SQLInjection Add-on
Інструмент активного сканування для виявлення SQLi (на основі SQLMap).

👉 Attack Surface Detector
Плагін допомагає виявити кінцеві точки веб-застосунку, параметри, які приймають ці кінцеві точки, і тип даних цих параметрів.

👉 DOM XSS Active Scan Rule
Активний сканер для виявлення вразливостей DOM XSS.

👉 Directory List v2.3
Надає файли з іменами каталогів для брутфорсу або фазінгу.

👉 Eval Villain
Розширення для ZAP та Firefox, яке підключатиметься до небезпечних функцій, таких як eval, та попереджати вас про їх використання.

👉 GraphQL Support
Плагін для отримання структури та запитів GraphQL.

👉 Out-of-band Application Security Testing Support
Сервер OAST для виявлення зовнішніх та сліпих уразливостей. Аналог Burp Collaborator тільки для ZAP.

👉 HUNT v2
Виконує пасивне сканування на наявність потенційно вразливих параметрів.

👉 Community-scripts
Велика колекція скриптів ZAP надана ком'юніті.

🇬🇧 Can't find vulnerabilities in default scripts with OWASP ZAP? Here is a small selection of plugins for him ...

👉 Access Control Testing
Allows you to test access control and identify potential problems with access control.

👉 Advanced SQLInjection Add-on
Active scan tool for SQLi detection (based on SQLMap).

👉 Attack Surface Detector
The plugin helps identify web application endpoints, the parameters that accept these endpoints, and the data type of these parameters.

👉 DOM XSS Active Scan Rule
Active DOS XSS vulnerability scanner.

👉 Directory List v2.3
Provides directory names for brute force or phasing.

👉 Eval Villain
An extension for ZAP and Firefox that connects to dangerous features such as eval and warns you about their use.

👉 GraphQL Support
Plugin to get the structure and queries of GraphQL.

👉 Out-of-band Application Security Testing Support
OAST server to detect external and blind vulnerabilities. Analog Burp Collaborator only for ZAP.

👉 HUNT v2
Performs passive scanning for potentially vulnerable parameters.

👉 Community-scripts
A large collection of ZAP scripts is provided to the community.
543 views06:36
Відкрити / Коментувати
2022-05-03 10:41:21 ​​🇺🇦 8 найкращих програм для аналізу мережевого трафіку

Аналіз трафіку є процесом, важливість якого відома будь-якому ІТ-професіоналу, незалежно від того, працює він у невеликій компанії або у великій корпорації. Адже виявлення та виправлення проблем із мережею — це справжнє мистецтво, яке безпосередньо залежить як від інстинкту самого фахівця, так і від глибини та якості даних, які він оперує.

https://svyat.tech/8-best-programs-for-network-analysis/
356 views07:41
Відкрити / Коментувати
2022-05-02 09:46:10 🇺🇦 Пасивний сканер портів

Smap – це копія Nmap, яка використовує безкоштовний API сервісу shodan.io для сканування портів. Він приймає ті ж аргументи командного рядка, що і Nmap, і робить той самий висновок.

Особливості тулзи:
• Сканує 200 хостів на секунду
• Включає виявлення вразливостей
• Підтримує всі формати виводу nmap
• Обліковий запис shodan не вимагається
• Повністю пасивний, всього 1 http запит на хост

https://github.com/s0md3v/Smap

🇬🇧 Passive port scanner

Smap is a copy of Nmap, that uses the free API of the shodan.io service to scan ports. It accepts the same command line arguments as Nmap and draws the same conclusion.

Features of tools:
• Scans 200 hosts per second
• Includes vulnerability detection
• Supports all nmap output formats
• A shodan account is not required
• Completely passive, only 1 http host request

https://github.com/s0md3v/Smap
302 views06:46
Відкрити / Коментувати
2022-04-29 09:00:12 ​​Привіт, друзі 👋
Ми в Fwdays відновили роботу і активно працюємо над створенням технічних благодійних воркшопів англійською та інших івентів згодом.

Наразі хочемо анонсувати воркшоп від Олексія Распопова на тему: “Practical E2E testing for web apps”.
Під час воркшопу поговоримо про рівень тестування, який приносить найбільшу цінність, але вимагає найменших зусиль, та інструменти, які роблять це можливим.

Воркшоп відбудеться 12 травня (четвер) з 16:00 до 18:00 (GMT+3), онлайн.

Місця обмежені, є два тарифи: стандарт та преміум. Перші квитки за найнижчою ціною вже розлетілись, але є ще декілька квитків від 59€ до фінального переключення ціни 😉

Придбати квиток та ознайомитися з деталями воркшопу можна за посиланням 👉 bit.ly/3Ogr9vM
114 views06:00
Відкрити / Коментувати
2022-04-28 11:00:07 ​​🇺🇦 Хочете попрактикувати шукати XSS, та не знаєте де? Безкоштовні лаби для практики експлуатації XSS

👉 PortSwigger XSS Labs
👉 Google XSS Game
👉 Alert(1) to Win
👉 Prompt(1) to Win
👉 XSS Challenges
👉 cure53 XSS Challenges
👉 XSS Gym & XSS Practice Labs by Brutelogic
👉 XSS by PwnFunction
👉 XSS Game

🇬🇧 Want to practice looking XSS, but don't know where? Free labs for practice XSS

👉 PortSwigger XSS Labs
👉 Google XSS Game
👉 Alert(1) to Win
👉 Prompt(1) to Win
👉 XSS Challenges
👉 cure53 XSS Challenges
👉 XSS Gym & XSS Practice Labs by Brutelogic
👉 XSS by PwnFunction
👉 XSS Game
321 views08:00
Відкрити / Коментувати
2022-04-28 09:00:12 ​​Давно хочеш навчитися програмуванню, але це здається важким, постійно не вистачає часу і не знаєш, з чого почати? 🤔

Почни з Python 🐍

Спільнота Python з нуля допоможе тобі освоїти одну з найпростіших мов програмування приділяючи цьому лише кілька хвилин на день.

Чекаємо на тебе тут ➡️ https://t.me/pytonzero
373 views06:00
Відкрити / Коментувати
2022-04-26 08:56:29 ​​🇺🇦 Powershell Scripts з обходом антивірусу у Windows

Нижче представлений репозиторій, що публікує Powershell скрипти, які дозволяють повністю оминути антивірусний захист у системі.

https://github.com/tihanyin/PSSW100AVB

🇬🇧 Powershell Scripts with antivirus bypass in Windows

Below is a repository that publishes Powershell scripts that completely bypass antivirus protection on the system.

https://github.com/tihanyin/PSSW100AVB
247 views05:56
Відкрити / Коментувати
2022-04-22 09:00:08 ​​🇺🇦 Інструмент для аудиту безпеки GraphQL

GraphQL Cop – це невелика утиліта на Python для запуску загальних тестів безпеки в API GraphQL. Має близько 10 тестів для DoS, CSRF та витоків інформації.

При виявленні вразливостей дозволяє відтворити результати, надаючи команди cURL.

https://github.com/dolevf/graphql-cop

🇬🇧 GraphQL security audit tool

GraphQL Cop is a small Python utility for running general security tests in the GraphQL API. He has 10 tests for DoS, CSRF and information leaks.

When vulnerabilities are detected, it allows you to reproduce the results by providing cURL commands.

https://github.com/dolevf/graphql-cop
466 views06:00
Відкрити / Коментувати