З чого почати свій шлях в кібербезпеку. Іспит Portswigger/BurpSuite. Штучний Інтелект VS Хакери

Привіт! Як стати penetration tester’ом і скласти один із найскладніших іспитів у веббезпеці?
У цьому відео говоримо з Назарієм про його шлях у кібербезпеку, реальний досвід складання Burp Suite Certified Practitioner і те, що насправді працює в навчанні. Впевнений, що це відео зекономить тобі мінімум одну спробу скласти іспит.
Я отримав задоволення від цієї розмови - сподіваюся, вам також сподобається.

https://www.youtube.com/watch?v=dXRkXlC-Tc8&feature=youtu.be

Ефективне використання Cursor та оптимізація витрат на AI


Давно піднялась проблема в компанії, що не вистачає девелоперам місячної корпоративної підписки курсора на місяць і за 2-3 задачі всі токени улетають в прірву, але треба ще працювати цілий місяць, а вже лінь писати самому код, всі хотять, щоб за цього писала іяйка, але впадло розібратись як ефективно та екномно поводитись з токенами, щоб і не втрачалась якість його.

Прийшлось внікнуть як так зробити і от народилась ця дока, тестував на своїй реальній задачці, приклади також додані в статейку.

(Спойлер - у мене з цими порадами кількість токенів зменшилась в 6 раз, з 77к до 11.5к ):

Зокрема описано:
-які моделі краще використовувати за замовчуванням
-як правильно працювати з @file
-як зменшувати контекст запитів
-як уникати зайвих regenerate
-як правильно формулювати prompts
-і ще інші

https://svyat.tech/efektivne-vikoristannya-cursor-ta-optimizaciya-vitrat-na-ai

Клод Код: Створіть агента на основі штучного інтелекту, який знаходить вразливості

У цьому відео ми занурюємося в щотижневе лабораторне завдання зі створення агента сканера безпеки, зосереджуючись на критичних аспектах кібербезпеки. Ми розглядаємо результати, пов'язані з «Порушенням контролю доступу» – ключовою областю серед 10 головних вразливостей OWASP. Цей сеанс пропонує практичний огляд оцінки вразливостей та того, як ми виявляємо потенційні докази недоліків безпеки.

https://youtu.be/VFLieg8JjLA?si=eWdmRRVut-X8tMH5

🔥 Новий цікавий проєкт від OWASP для тих, хто в темі кібербезпеки

🚀 Що це взагалі таке?

OWASP APTS — це спроба стандартизувати автономне тестування безпеки, де частину роботи виконують не люди, а системи/AI/агенти.

Фактично:
* це набір вимог
* чеклістів (≈170+ пунктів)
* підходів до побудови automated pentest

🤖 Чому це важливо саме зараз?
Ми швидко рухаємось у світ, де:
* AI вже пише код
* AI вже робить code review
* AI вже шукає баги

👉 логічний наступний крок — AI робить pentest

https://github.com/OWASP/APTS

Вразливість яка дає повний доступ до сервера RCE, linux+WEB Pentest=Повний Доступ/Portswigger lab62

Всім привіт! Продовжуємо відео про кібербезпеку. У цьому відео ми продовжуємо практикуватись з Remote Code Execution (RCE).

Ця лабораторні не є хакерством, а є навчальним матеріалом, що виконується виключно в тестовому середовищі PortSwigger з метою підвищення обізнаності у сфері безпеки.

https://www.youtube.com/watch?v=-YSPMyN1_8Y

🔥 Знайшов ще один дуже жирний репозиторій для тих хто в темі пентесту та bug bounty

💣 Що це таке?

Це величезна база матеріалів для:
* penetration testing
* bug bounty
* security research

Всередині:
* payloads
* fuzzing lists
* bypass payloads
* dorks
* web/network/android pentest матеріали
* теорія по вразливостях

Фактично — “all-in-one” збірка для security engineer / pentester.

https://github.com/AlbusSec/Penetration-List

А як у вас, очікують менеджери, залученості співробітників до роботи коли проводите найм?

Ну а як ви хотіли? Треба тримати планку конкуренції АІшке)))

На війні загинув Геннадій Мішевський, людина, яку я знав особисто.
Людина, яка багато років вкладалась у розвиток тестування, автоматизації та українського ІТ і не тільки айті а й розвитку систем оборони від рашистів тестуючі та розвиваючі FPV.

Він був не просто спеціалістом. Він був людиною, яка створювала, допомагала, ділилась знаннями та залишала після себе сильний слід у професії та серед людей.

Дуже боляче усвідомлювати, скільки талановитих, розумних і світлих людей ми втрачаємо через цих виблядків рашистів.

Світла пам’ять Герою.

У Геннадія залишилась дружина та двоє дітей.
Зараз для родини відкрито банку допомоги. Якщо маєте можливість будь ласка, підтримайте сім’ю. https://send.monobank.ua/jar/ADXENaogDC

На війні загинув QA-спеціаліст, переможець Премії DOU Геннадій Міщевський

https://dou.ua/goto/qViK

Геннадій багато років працював у QA, писав про тестування й автоматизацію, був одним із переможців першої Премії DOU. Після початку повномасштабного вторгнення долучився до проєкту SocialDroneUA, а потім — до лав Сил оборони. Редакція DOU висловлює співчуття рідним і близьким Геннадія.

Open-source інструмент для security / vuln research — ProjectDiscovery Vulnx

Що вміє:
— шукати CVE по фільтрах
— аналізувати KEV / EPSS / CVSS
— дивитись public PoC
— швидко шукати exploitable vulns
— робити вибірки по vendor/product
— працювати як normal human language search 😄

Приклади:
vulnx search "severity:critical && is_remote:true"
vulnx search "apache || nginx"
vulnx id CVE-2021-44228

Особливо цікаво виглядає для:
• SecOps
• Threat Hunting
• Pentest
• Vulnerability Management
• AI security agents / MCP tools
• автоматизації triage CVE у CI/CD

https://github.com/projectdiscovery/vulnx

Як змінився IT-ринок після AI-буму

Поки в Threads щодня «ховають» ринок, він насправді просто змінюється. Частина напрямків втрачає актуальність, а частина — навпаки стає ще ціннішою для бізнесу.

Вже в цю суботу CEO Data Loves Academy та Data Science спеціалістка з 10+ роками досвіду в IT Ганна Пилєва проведе відкритий ефір про реальну ситуацію на ринку.

На ефірі «Криза в ІТ: чому? Попит на аналітиків зростає, коли інших скорочують» поговоримо:
📍куди зараз реально варто заходити в IT
📍які напрямки будуть рости далі
📍чи є шанс у новачків у 2026
📍як AI вже змінив ринок праці

КОЛИ ➡️ 23 травня, 12:00 за Києвом
ДЕ ➡️ Telegram-канал HANNA PYLIEVA ПРО ІТ

Безкоштовно 👉 https://xn--r1a.website/+89JoBDdAdJ8wNGUy

Active Directory Adalanche GitHub

Тул будує граф залежностей і показує потенційні шляхи ескалації привілеїв, делегації, небезпечні ACL, hidden attack paths та інші “сюрпризи”, які руками знайти майже нереально.

Що цікаво:
* працює як standalone binary
* є Windows / Linux / macOS
* автоматично збирає дані з домену

Особливо корисно для пошуку:
* хто реально може стати Domain Admin
* небезпечних ACL inheritance
* delegation abuse
* shadow admins
* lateral movement paths
* misconfiguration chains

https://github.com/lkarlslund/Adalanche

ExtSentry

Що вміє:
✅ Аналізує Chrome/Edge/Firefox розширення за ID або URL
✅ Показує ризикові дозволи (cookies, history, webRequest, clipboard тощо)
✅ Перевіряє репутацію розширення
✅ Допомагає виявити потенційно шкідливі або скомпрометовані плагіни
✅ Підходить як для звичайних користувачів, так і для SOC/SecOps команд

Чому це важливо?

Багато хто вважає, що якщо розширення знаходиться в Chrome Web Store — воно безпечне. Але практика показує інше.

https://extsentry.github.io/#checker/check

І також випадок з усіма поганими розширеннями зібран тут https://docs.google.com/spreadsheets/d/15xOLbYgz5DQnCWYE6a_LXGcqYC_bNPPzdBqdLofz6-E/edit?gid=0#gid=0

Генеруєте тестові картки для QA, автоматизації чи інтеграцій

Що вміє:
✅ Генерувати тестові номери банківських карток
✅ Створювати дані для Visa, Mastercard та інших BIN-префіксів
✅ Перевіряти номери за алгоритмом Луна (Luhn Check)
✅ Генерувати Track1/Track2 дані
✅ Формувати тестові набори для баз даних та автоматизованих тестів
✅ Працювати без встановлення додаткового ПЗ через веб-інтерфейс (neapay.com)

Де стане в пригоді:
🔹 Тестування checkout та платіжних форм
🔹 Автоматизація UI/API тестів
🔹 Навчання роботи з платіжними системами
🔹 Навантажувальне тестування
🔹 Створення тестових середовищ для фінтех-проєктів

https://neapay.com/online-tools/card-data-generator.html

Якщо б мені дозволили залишити лише один каталог закладок для кібербезпеки — це був би саме він.

Robert’s Links: Air, Land & Sea — одна з найбільших та найстаріших збірок посилань для OSINT, Threat Intelligence, Red Team, Blue Team та Security Research.

Що всередині:

🔍 OSINT-інструменти
🌐 Пошук доменів та DNS
📧 Email Intelligence
👤 Username та Social Media Search
🛰️ GEOINT та супутникові карти
☁️ Cloud Security
🎯 Threat Intelligence
🛡️ Vulnerability Assessment
💀 Malware Analysis
📱 Mobile Security
🔗 Blockchain Investigation
⚡ Incident Response
🧠 AI та Security Tools

Фактично це не просто список посилань, а ціла енциклопедія інструментів для спеціалістів з безпеки.

https://start.me/p/p1LqPo/robert-s-links-air-land-sea

QA-фахівці, маємо для вас одразу три класні вакансії!

Команда NIX шукає Automation QA, General QA та Manual QA з комерцiйним досвідом для роботи над масштабними проєктами клієнтів з усього світу☝️
Отримай можливість не просто тестувати продукт, а впливати на його якість, працювати над цікавими завданнями та розвивати свою експертизу. А також:

📈 швидке професійне зростання
🤝 сильне QA-ком’юніті та обмін досвідом
💡 середовище, де цінують ініціативу та нові ідеї
🛡 спеціальну перевагу, що забезпечить стабільність хлопцям

Поки інші шукають впевненість у завтрашньому дні — NIX тобі це забезпечить на 100%. Як саме? Дізнайся деталі у рекрутера!

Всі подробиці тут:
🔹 Automation QA
🔹 General QA
🔹 Manual QA

І не забудь дізнатись про головну перевагу 😉

DOU x Хартія

Збір для 2-го корпусу НГУ «Хартія» на важкі бомбери «Vampire» – для утримання звільнених територій та продовження операції на Куп’янському напрямку.

🎯Ціль: 30 000.00 ₴

🔗Посилання на збір
https://send.monobank.ua/jar/3ojtL2C8fH

Google AI Studio Live — один із найцікавіших, але недооцінених інструментів Google зараз.

Записав міні демо, як воно реалтаймово перекладає з голосом, відос якщо хочете послухати на рідній мові.

Що він дозволяє:
🎤 Спілкуватися з Gemini голосом у реальному часі.
📷 Показувати камеру та отримувати аналіз того, що бачить модель.
🖥️ Ділитися екраном і задавати питання по будь-якому інтерфейсу.
🎧 Отримувати майже миттєві голосові відповіді.
🤖 Прототипувати AI-агентів з голосом, відео та screen-sharing.

https://aistudio.google.com/