🖥 Репозиторий: Hacker101 — исходный код для Hacker101.com

Hacker101 — это бесплатный курс по веб-безопасности на платформе HackerOne.

— Данный репозиторий структурирован как набор видеоуроков, которые можно смотреть в порядке следования тем или по отдельным видео. Также есть уровни курсовой работы, где можно искать ошибки и экспериментировать с их эксплуатацией на практике.

⏺ Ссылка на GitHub

#Security #XCC #Hacking #Vulnerability #Web #Mobile

🖥 Репозиторий: API-SecurityEmpire — проект по безопасности API

API-SecurityEmpire — это проект, который представляет уникальные методы атак и защиты в области безопасности API.

— Данный репозиторий содержит ментальные карты, советы и ресурсы, связанные с безопасностью API и тестированием на проникновение.

⏺ Ссылка на GitHub

#API #Security #InfoSec #BugBounty

🖥 Репозиторий: Pinkerton — инструмент для поиска секретов в JavaScript

Pinkerton — это мощный open-source сканер, созданный для автоматического поиска чувствительных данных (API-ключей, токенов, паролей) в JavaScript-файлах на веб-сайтах.

— Данный инструмент подходит для тех, кто хочет автоматизировать безопасность своего фронта и не допустить утечек ключей.

⏺ Ссылка на GitHub

#Pentest #Security #BugBounty #OpenSource #JS #Infosec

🖥 Репозиторий: File_Hider — простой способ скрыть файлы и папки

File_Hider — утилита для быстрого и лёгкого скрытия файлов и папок на компьютере, чтобы защитить их от случайного доступа.

— Данный инструмент имеет открытый исходный код и простое использование без лишних настроек.

⏺ Ссылка на GitHub

#Privacy #Security #Encryption #Data #File

🖥 Репозиторий: jSQL Injection — автоматизация тестирования SQL-инъекций

jSQL Injection — это инструмент для автоматизации тестирования на уязвимости SQL-инъекций, написанный на Java.

— Он позволяет быстро и эффективно обнаруживать и эксплуатировать уязвимости в веб-приложениях, обеспечивая пользователям мощный интерфейс для работы с различными базами данных.

Данный инструмент поддерживает множество типов SQL-инъекций и предлагает функционал для извлечения данных, выполнения команд на сервере и тестирования на наличие уязвимостей, что делает его ценным ресурсом для профессионалов в области безопасности.

⏺ Ссылка на GitHub

#Java #SQLInjection #Security #Pentesting #OpenSource

🖥 Репозиторий: Gf (Getfiles) — инструмент для поиска и анализа интересных данных в URL

Gf — это набор шаблонов для фильтрации и поиска полезной информации (например, ключей, конфигов, SQL-инъекций) в выводе сканеров и краулеров.

— Он позволяет быстро находить уязвимости и важные данные в HTTP-ответах и URL на основе пользовательских или готовых шаблонов.

Инструмент написан на Go, отлично интегрируется с другими популярными инструментами (ffuf, httpx, nuclei) и позволяет упростить процесс охвата поверхностей атаки и выявления слабых мест в веб-приложениях.

⏺ Ссылка на GitHub

#Security #BugBounty #WebSecurity #Pentesting #Go

🖥 Репозиторий: Network Security Toolkit (NST) — набор средств сетевой и компьютерной безопасности

Network Security Toolkit (NST) — набор средств сетевой и компьютерной безопасности с открытым исходным кодом, основанный на Linux.

— Платформа предоставляет большой набор инструментов для диагностики и мониторинга сетей, а также для проведения рутинных задач по обеспечению.

Проект NST появился в начале 2000-х годов как инициатива сообщества сетевых инженеров и специалистов по ИБ.

Главная цель — собрать в одном месте проверенные временем инструменты для анализа сетей и аудита безопасности, при этом упростив доступ к ним через графический веб-интерфейс.

⏺ Официальный сайт

#Network #NST #Security

🖥 Репозиторий: LitterBox — Безопасная песочница для выполнения кода

LitterBox — это инструмент для создания изолированной среды для безопасного выполнения ненадежного или произвольного кода.

— Поддерживает множество языков программирования (Python, C++, Java и др.).
— Предоставляет настраиваемые лимиты ресурсов (CPU, память, время выполнения).
— Обеспечивает строгую изоляцию файловой системы и сетевого доступа.
— Использует контейнеры Docker для надежной изоляции процессов.
— Имеет API для удобной интеграции в другие системы (например, онлайн-судьи).

⏺ Ссылка на GutHub

#SandBox #Security #RedTeam #Malware #Pentest | Лаборатория хакера

🖥 Репозиторий: GOAD — полностью автоматизированная и контролируемая среда Active Directory

GOAD — представляет собой специально созданную лабораторную среду, имитирующую реальную инфраструктуру Active Directory, которая используется в большинстве корпоративных сетей.

Основная цель GOAD — предоставить безопасное пространство для:

— Изучения атак на Active Directory: Специалисты по кибербезопасности, пентестеры (красные команды) и исследователи могут практиковать и тестировать различные методы компрометации Active Directory, например, атаки на основе Kerberos (Kerberoasting, Golden Ticket), манипуляции с GPO, эксплуатацию уязвимостей LAPS, NTLM Relay и другие.
— Разработки и тестирования защитных мер: Защитники (синие команды) могут использовать GOAD для тестирования средств обнаружения угроз, систем мониторинга, SIEM-систем и других решений для обеспечения безопасности Active Directory.
— Обучения и тренировок: Это отличная платформа для обучения новых сотрудников или повышения квалификации существующих специалистов в области безопасности Active Directory, позволяющая им получить практический опыт без риска для реальных производственных систем.

— GOAD автоматизирует развертывание сложной инфраструктуры Active Directory с различными уязвимостями, конфигурациями и сценариями, что делает его ценным инструментом для тех, кто хочет углубить свои знания и навыки в области безопасности доменов Windows.

⏺ Ссылка на GitHub

#AD #Pentest #RedTeam #BlueTeam #Security #GitHub | Лаборатория хакера

🖥 Репозиторий: TTWAF — Web Application Firewall (WAF) на Python для защиты веб-приложений

TTWAF — это Web Application Firewall (WAF), написанный на Python, предназначенный для защиты веб-приложений от различных типов атак.

— Данный инструмент может помочь в обнаружении и предотвращении распространенных веб-уязвимостей, таких как SQL-инъекции, межсайтовый скриптинг (XSS) и другие вредоносные запросы, повышая безопасность веб-серверов.

⏺ Ссылка на GitHub

#Python #WAF #Web #Security #Hacking | Лаборатория хакера

🖥 Репозиторий: Honggfuzz — Инструмент для фаззинга (поиска уязвимостей) от Google

Honggfuzz — это инструмент для фаззинга, предназначенный для автоматического поиска уязвимостей в программном обеспечении путём подачи случайных или мутированных данных и отслеживания сбоев.

— Поддерживает три режима работы: фаззинг на основе файлов, сетевых протоколов и инструментированных сборок (ASan, UBSan, CFI). Работает на Linux, macOS, Windows и Android. Имеет персистентный режим и поддерживает параллельный фаззинг на нескольких ядрах.

⏺ Ссылка на GitHub

#Fuzzing #Security #Vulnerability #Research #Google #OpenSource | Лаборатория хакера

📖 Книга: The Tangled Web: A Guide to Securing Modern Web Applications

Книга Michał Zalewski, посвящённая безопасности веб-приложений.

Современные веб-приложения построены на сложной комбинации технологий, которые разрабатывались годами и были «неудачно объединены».

Каждый элемент стека веб-приложения — от HTTP-запросов до скриптов на стороне браузера — имеет важные, но неочевидные последствия для безопасности.

— Чтобы защитить пользователей, разработчикам необходимо уверенно ориентироваться в этом ландшафте. 

⏺ Ссылка на книгу

#Book #Web #Security | Лаборатория хакера

🖥 Репозиторий: Medusa — Параллельный брутфорсер для удалённой аутентификации

Medusa — это параллельный брутфорс-инструмент для перебора учётных данных на удалённых сервисах. Разработан как модульная, многопоточная альтернатива Hydra с фокусом на стабильность при массовых атаках.

— Поддерживает более 20 протоколов: SSH, FTP, HTTP/HTTPS, Telnet, VNC, MySQL, MSSQL, PostgreSQL, POP3, IMAP, SNMP, SMTP-AUTH, SMB, RDP (через NLA), WebForm и Generic-модуль. Позволяет задавать списки целей из файла, комбинировать логины/пароли по маске, настраивать задержки и таймауты для каждого модуля. Имеет режим восстановления сессии при прерывании атаки.

⏺ Ссылка на GitHub

#Bruteforce #Password #Authentication #Network #Security #RedTeam #Pentest | Лаборатория хакера

📖 Книга: OWASP Mobile Application Security Verification Standard

это стандарт безопасности мобильных приложений, разработанный проектом Open Web Application Security Project (OWASP).

— Он устанавливает требования к разработке, тестированию и оценке безопасности мобильных приложений, особенно тех, которые обрабатывают чувствительные данные (например, в сфере финансов, здравоохранения). 

⏺ Ссылка на книгу

#Book #OWASP #Mobile #Security | Лаборатория хакера

📖 Книга: Security for Containers and Kubernetes: Learn how to implement robust security measures in containerized environments

Книга объединяет различные решения, которые могут дать гибким командам возможность активно контролировать, защищать и противодействовать атакам, уязвимостям и неправильным конфигурациям на протяжении всего процесса DevOps.

— Эти решения включают в себя критически важные задачи, такие как проверка и защита модулей, кластеров контейнеров, времени выполнения контейнеров, политики авторизации, решение проблем безопасности контейнеров, обеспечение безопасного развертывания и миграции, а также усиление рабочих процессов непрерывной интеграции и непрерывной доставки.

⏺ Ссылка на книгу

#Book #Containers #Kubernetes #Security | Лаборатория хакера

🖥 Репозиторий: Bandit — Инструмент для поиска распространенных уязвимостей и проблем безопасности в коде на Python

Bandit — это статический анализатор кода (SAST) для обнаружения потенциальных угроз безопасности в Python-приложениях.

— Анализирует каждый файл проекта, строит абстрактное синтаксическое дерево (AST) и запускает специализированные плагины для поиска таких проблем, как жестко заданные пароли, использование небезопасных функций (например, eval или os.system) и уязвимых конфигураций.

⏺ Ссылка на GitHub

#Python #Security #Audit #DevSecOps #Code #AppSec #Pentest | Лаборатория хакера