🇺🇦 Security QA

2022-05-03 10:41:21 ​​ 8 найкращих програм для аналізу мережевого трафіку

Аналіз трафіку є процесом, важливість якого відома будь-якому ІТ-професіоналу, незалежно від того, працює він у невеликій компанії або у великій корпорації. Адже виявлення та виправлення проблем із мережею — це справжнє мистецтво, яке безпосередньо залежить як від інстинкту самого фахівця, так і від глибини та якості даних, які він оперує.

https://svyat.tech/8-best-programs-for-network-analysis/ Відкрити / Коментувати

2022-05-02 09:46:10 Пасивний сканер портів

Smap – це копія Nmap, яка використовує безкоштовний API сервісу shodan.io для сканування портів. Він приймає ті ж аргументи командного рядка, що і Nmap, і робить той самий висновок.

Особливості тулзи:
• Сканує 200 хостів на секунду
• Включає виявлення вразливостей
• Підтримує всі формати виводу nmap
• Обліковий запис shodan не вимагається
• Повністю пасивний, всього 1 http запит на хост

https://github.com/s0md3v/Smap

Passive port scanner

Smap is a copy of Nmap, that uses the free API of the shodan.io service to scan ports. It accepts the same command line arguments as Nmap and draws the same conclusion.

Features of tools:
• Scans 200 hosts per second
• Includes vulnerability detection
• Supports all nmap output formats
• A shodan account is not required
• Completely passive, only 1 http host request

https://github.com/s0md3v/Smap Відкрити / Коментувати

2022-04-29 09:00:12 ​​Привіт, друзі
Ми в Fwdays відновили роботу і активно працюємо над створенням технічних благодійних воркшопів англійською та інших івентів згодом.

Наразі хочемо анонсувати воркшоп від Олексія Распопова на тему: “Practical E2E testing for web apps”.
Під час воркшопу поговоримо про рівень тестування, який приносить найбільшу цінність, але вимагає найменших зусиль, та інструменти, які роблять це можливим.

Воркшоп відбудеться 12 травня (четвер) з 16:00 до 18:00 (GMT+3), онлайн.

Місця обмежені, є два тарифи: стандарт та преміум. Перші квитки за найнижчою ціною вже розлетілись, але є ще декілька квитків від 59€ до фінального переключення ціни

Придбати квиток та ознайомитися з деталями воркшопу можна за посиланням bit.ly/3Ogr9vM Відкрити / Коментувати

2022-04-28 11:00:07 ​​ Хочете попрактикувати шукати XSS, та не знаєте де? Безкоштовні лаби для практики експлуатації XSS

PortSwigger XSS Labs
Google XSS Game
Alert(1) to Win
Prompt(1) to Win
XSS Challenges
cure53 XSS Challenges
XSS Gym & XSS Practice Labs by Brutelogic
XSS by PwnFunction
XSS Game

Want to practice looking XSS, but don't know where? Free labs for practice XSS

PortSwigger XSS Labs
Google XSS Game
Alert(1) to Win
Prompt(1) to Win
XSS Challenges
cure53 XSS Challenges
XSS Gym & XSS Practice Labs by Brutelogic
XSS by PwnFunction
XSS Game Відкрити / Коментувати

2022-04-28 09:00:12 ​​Давно хочеш навчитися програмуванню, але це здається важким, постійно не вистачає часу і не знаєш, з чого почати?

Почни з Python

Спільнота Python з нуля допоможе тобі освоїти одну з найпростіших мов програмування приділяючи цьому лише кілька хвилин на день.

Чекаємо на тебе тут https://t.me/pytonzero Відкрити / Коментувати

2022-04-26 08:56:29 ​​ Powershell Scripts з обходом антивірусу у Windows

Нижче представлений репозиторій, що публікує Powershell скрипти, які дозволяють повністю оминути антивірусний захист у системі.

https://github.com/tihanyin/PSSW100AVB

Powershell Scripts with antivirus bypass in Windows

Below is a repository that publishes Powershell scripts that completely bypass antivirus protection on the system.

https://github.com/tihanyin/PSSW100AVB Відкрити / Коментувати

2022-04-22 09:00:08 ​​ Інструмент для аудиту безпеки GraphQL

GraphQL Cop – це невелика утиліта на Python для запуску загальних тестів безпеки в API GraphQL. Має близько 10 тестів для DoS, CSRF та витоків інформації.

При виявленні вразливостей дозволяє відтворити результати, надаючи команди cURL.

https://github.com/dolevf/graphql-cop

GraphQL security audit tool

GraphQL Cop is a small Python utility for running general security tests in the GraphQL API. He has 10 tests for DoS, CSRF and information leaks.

When vulnerabilities are detected, it allows you to reproduce the results by providing cURL commands.

https://github.com/dolevf/graphql-cop Відкрити / Коментувати

2022-04-21 09:07:37 ​​ Генератор payload Open Redirect та SSRF від Intigrity

Intigrity вирішили викотити свій генератор корисного навантаження для обходу фільтрів під час проведення Open Redirect та SSRF атак.

https://tools.intigriti.io/redirector/#

Open Redirect and SSRF payload generator from Intigrity

Intigrity decided to roll out its payload generator to bypass filters during Open Redirect and SSRF attacks.

https://tools.intigriti.io/redirector/# Відкрити / Коментувати

2022-04-20 09:00:07 ​​ Сервіси супутників / Companion services

Observer - http://observer.farearth.com/observer/
USGS Earth Explorer - https://earthexplorer.usgs.gov
Landviewer - https://eos.com/products/landviewer/
Copernicus Open Access Hub - https://scihub.copernicus.eu/
Sentinel Hub EO Browser - https://apps.sentinel-hub.com/eo-browser/
Sentinel Hub Playground - https://search.earthdata.nasa.gov/
NASA Earthdata Search - https://search.earthdata.nasa.gov/
INPE Image Catalog - http://www.dgi.inpe.br/catalogo/ NOAA Data Access Viewer - https://coast.noaa.gov/dataviewer/#/
NASA WorldView - https://worldview.earthdata.nasa.gov/
ALOS - https://www.eorc.jaxa.jp/ALOS/jp/alos-4/a4_about_j.htm
Bhuvan - https://bhuvan.nrsc.gov.in/home/index.php Відкрити / Коментувати

2022-04-19 16:58:11 ​​ Як посилити кіберзахист від рф: рекомендації Держспецзв’язку приватним компаніям

Інвестуйте у найпростіші способи захисту

Найпопулярнішими методами кібератак російських військових хакерів є:
фішингові розсилання, внаслідок яких вони можуть отримати облікові дані для доступу до інформаційних систем;
розсилання шкідливого програмного забезпечення, яке спрямоване на викрадення даних або знищення інфраструктури;
використання відомих вразливостей.

Убезпечитись або мінімізувати ризики цих кібератак можна завдяки дотриманню правил кібергігієни, відповідальному ставленню до політики використання паролів, вчасному оновленню програмного забезпечення.

Вивчайте слабкі місця вашого кіберзахисту та укріплюйте їх

Хакери постійно здійснюють розвідувальні операції в Україні, знаходять найслабші місця у захисті компаній та атакують через них. Не існує на 100% захищених систем. Проте що менше коштуватиме хакерам злом вашої системи, то вищою буде їхня мотивація.

Безпека компанії залежить від кожного працівника

Хакери можуть атакувати компанію чи установу і через співробітників, викравши їхні дані. В особливій небезпеці – військові та державні діячі. Для цих категорій людей кібергігієна має стати звичкою No1.

Фізична безпека користувачів критичної інформаційної інфраструктури така ж важлива, як і захист їхніх облікових записів

Російські хакери можуть використовувати облікові дані користувачів, які перебувають на тимчасово окупованих територіях. Компанії, особливо з-поміж критичної інфраструктури, мають усвідомлювати, що фізична безпека їхніх працівників – це також інвестиція в їхній кіберзахист.

Нагадаємо, що Держспецзв'язку спільно з колективами найкращих українських компаній з кібербезпеки та провідними світовими виробниками рішень запровадила ешелонований кіберзахист для держави та бізнесу. Будь-яка компанія в Україні може звернутись до CERT-UA і отримати адресну допомогу в захисті від DDоS-атак, моніторингу безпеки, міграції в хмарні середовища, розгортанні сучасних систем захисту від кіберзагроз ваших робочих станцій і серверів тощо. Відкрити / Коментувати