🇺🇦 Security QA

2022-05-18 09:24:47 Для своїх скидон - 1000 грн. Промокод Login IT Відкрити / Коментувати

2022-05-18 09:23:50 Всім привіт, пост для ваших знайомих або для вас)
Хто хоче перейти на сторону IT та може не знає з чого почати.

Ми стартуємо другий курс Manual QA

Записатися - https://www.login-it.tech/login-to-manual-qa

Дата старту: 6 червня 2022 о 19:00
Тривалість: 15 занять по 2 години
Місце зустрічі: Google meet
Буде запис зустрічі та скинуто вам на пошту

Про що ви чи ваші друзі дізнаються:
- Про професію QA
- На скільки це важлива професія в любій індустрії
- Якими навичками оволодіти для старту в цьому напрямку
- Кар'єрний шлях та про нинішні у військовий час, про фінанси

Які знання отримає слухач:
- Повноцінні знання щоб почати свою кар'єру в IT
- Отримаєте практичні навички використання інструментів для тестування
- Отримаєте досвід проходження співбесіди

Кому буде цікаво:
Усім хто хоче перейти на сторону IT и не знає як це зробити

Спікер: ОЛЕКСІЙ ПЛЮХІН
- Mobile and WEB QA - PDFfiller
- Більше 4 років в тестуванні
- Більше 2 року в тестуванні мобільних додатків
- Був ментором для новеньких junior QA в EVO Відкрити / Коментувати

2022-05-17 09:25:21 ​​ Безкоштовні лабораторії для практики вразливості XXE

Якщо ви чули про цю вразливість, але не знали де її модна відпрацювати навички експлуатації XXE вразливостей, то цей список для вас :

PortSwigger XXE Labs
JBarone XXE Labs
GoSecure XXE Labs
c0ny1 XXE Labs
AppSecEnginner XXE Labs
HLOverflow XXE Labs

Free XXE Vulnerability Practice Labs

If you've heard of this vulnerability, but didn't know where it is fashionable to practice exploiting XXE vulnerabilities, then this list is for you:

PortSwigger XXE Labs
JBarone XXE Labs
GoSecure XXE Labs
c0ny1 XXE Labs
AppSecEnginner XXE Labs
HLOverflow XXE Labs Відкрити / Коментувати

2022-05-11 15:06:36 ​​ Розширення для пошуку витоків із динамічною генерацією списків слів

На GitHub є цікаве розширення для Burp Suite, яке шукає та переглядає резервні копії, а також старі, тимчасові та невикористовувані файли на веб-сервері на наявність конфіденційної інформації.

Extensions to search for sources with dynamic generation of word lists

GitHub has an interesting extension for Burp Suite that searches backups, as well as old, temporary, and unused files on a web server for sensitive information.

https://github.com/moeinfatehi/Backup-Finder Відкрити / Коментувати

2022-05-10 11:27:03 ​​Злом хешей файлу shadow після отримання root-доступу до Linux за допомогою John the Ripper і Hashcat

Після отримання root-доступу до Linux важливо не зупинятися на досягнутому. Чому б не спробувати зламати паролі користувачів? Якщо пощастить і для входу в різні системи буде використовуватися той самий обліковий запис, можна поширити атаку і на інші машини. Для злому паролів є два випробувані інструменти: John the Ripper і Hashcat.

https://svyat.tech/Crack-hash-password-with-John-the-Ripper-and-Hashcat/ Відкрити / Коментувати

2022-05-09 17:06:56 Група набрана, ну вже на осінь буде наступна група Відкрити / Коментувати

2022-05-09 10:33:57 Через тиждень, 16 травня о 18 00, стартує наступна группа по пентесту вебу та мобалай на основі овасп, залишилось 1 місце.

Пишіть в приват або через заявку https://www.login-it.tech/login-to-owasp-top-10 + https://www.login-it.tech/login-to-pentest-mob-app

Програма по лінці вище.

Ціна всього 5к грн. Відкрити / Коментувати

2022-05-09 09:43:27 ​​ Лабораторки для практики експлуатації SSRF

У списку представлені онлайн лабораторії та ті, які ви можете підняти на власному тестовому середовищі.

PortSwigger SSRF Labs

Server-Side Request Forgery (SSRF) vulnerable Lab

Vulnado SSRF Lab

Snyk SSRF Lab

Kontra SSRF Lab

Laboratory for SSRF operation practice

The list includes online labs and ones you can build on your own test environment.

PortSwigger SSRF Labs

Server-Side Request Forgery (SSRF) vulnerable Lab

Vulnado SSRF Lab

Snyk SSRF Lab

Kontra SSRF Lab Відкрити / Коментувати

2022-05-06 10:42:39 ІТ-спільното, купимо армії «літачок»? Збираємо $ 1 000 000 на дрон PD-2

Наближаймо день нашої перемоги, наприклад, можна придбати для українських військових БПЛА PD-2!

Це — комплекс з двох літаків і автомобіля, оснащений тепловізійними камерами та іншими «ніштяками» (бонус: українського виробництва). Коротше, потужний літачок, який допоможе нашим військовим знищити окупанта і звільнити Україну. Що може бути краще?

Збираємо $ 1 000 000 (або 30 000 000 грн) для «Повернись живим». Вони придбають цей БПЛА та передадуть за призначенням.

Як задонатити і особисто купити частинку літачка?

Задонатьте будь-яку суму (у віджеті https://dou.ua/goto/0YZp).
Поставте + у коментарях до топіка.
Запросіть знайомих долучитись: поширте топік у соцмережах, наприклад.

Шо там по русні? Відкрити / Коментувати

2022-05-06 09:36:33 ​​ Не можете знайти вразливості дефолтними скриптами в OWASP ZAP? Ось вам невелика добірка плагінів для нього...

Access Control Testing
Дозволяє проводити тестування контролю доступу та виявляти потенційні проблеми з контролем доступу.

Advanced SQLInjection Add-on
Інструмент активного сканування для виявлення SQLi (на основі SQLMap).

Attack Surface Detector
Плагін допомагає виявити кінцеві точки веб-застосунку, параметри, які приймають ці кінцеві точки, і тип даних цих параметрів.

DOM XSS Active Scan Rule
Активний сканер для виявлення вразливостей DOM XSS.

Directory List v2.3
Надає файли з іменами каталогів для брутфорсу або фазінгу.

Eval Villain
Розширення для ZAP та Firefox, яке підключатиметься до небезпечних функцій, таких як eval, та попереджати вас про їх використання.

GraphQL Support
Плагін для отримання структури та запитів GraphQL.

Out-of-band Application Security Testing Support
Сервер OAST для виявлення зовнішніх та сліпих уразливостей. Аналог Burp Collaborator тільки для ZAP.

HUNT v2
Виконує пасивне сканування на наявність потенційно вразливих параметрів.

Community-scripts
Велика колекція скриптів ZAP надана ком'юніті.

Can't find vulnerabilities in default scripts with OWASP ZAP? Here is a small selection of plugins for him ...

Access Control Testing
Allows you to test access control and identify potential problems with access control.

Advanced SQLInjection Add-on
Active scan tool for SQLi detection (based on SQLMap).

Attack Surface Detector
The plugin helps identify web application endpoints, the parameters that accept these endpoints, and the data type of these parameters.

DOM XSS Active Scan Rule
Active DOS XSS vulnerability scanner.

Directory List v2.3
Provides directory names for brute force or phasing.

Eval Villain
An extension for ZAP and Firefox that connects to dangerous features such as eval and warns you about their use.

GraphQL Support
Plugin to get the structure and queries of GraphQL.

Out-of-band Application Security Testing Support
OAST server to detect external and blind vulnerabilities. Analog Burp Collaborator only for ZAP.

HUNT v2
Performs passive scanning for potentially vulnerable parameters.

Community-scripts
A large collection of ZAP scripts is provided to the community. Відкрити / Коментувати