446476
Канал №1 на тему хакинга и информационной безопасности в телеграм. Обратная связь: @hackerless_bot Сотрудничество, реклама: @workhouse_price Канал в реестре РКН: https://clck.ru/3FgdFY
😈 14 ноября в рамках SOC-Forum в третий раз состоялась Кибербитва — соревнование в формате Red vs. Blue для ИБ специалистов.
Участвовали команды в составе 5-6 человек, присутствовали как сотрудники компаний из подразделений реагирования на киберинциденты, так и независимые пентестеры.
В ходе Кибербитвы использовались цифровые двойники типовых офисных инфраструктур, смоделированные экспертами ГК «Солар». По сюжету участники сражались за 20 этажную кибервысотку, в которой были расположены офисы различных организаций. В течение 8 часов команды атаковали или защищали отведенный им сегмент, а затем удерживали контроль над ним.
❗️ И вот уже 15 ноября, каковы итоги Кибербитвы?
В завершение мероприятия организаторы разобрали вместе с участниками их отчеты о кибератаках, представили финальный скоринг и наградили команды, показавшие лучшие результаты.
Победу в Кибербитве на стороне атакующих одержала команда «YourBunnyQuote»
- На стороне защиты первенство завоевала команда «NLMK_SOC» из компании «НЛМК»
#Кибербитва #Forum #SOC | 💀 Этичный хакер
😈 SOC Forum: Центр исследования киберугроз Solar 4RAYS
Группа компаний (ГК) «Сόлар» 14 ноября провела пресс-конференцию, на которой представила центр исследования киберугроз Solar 4RAYS.
— Последние несколько лет стали знаковыми для сферы ИБ. По словам представителей ГК «Сόлар», колоссальные темпы развития цифровизации, резкий рост кибератак и прекращение работы большинства вендоров СЗИ в России заставили иначе взглянуть на кибербез, а отечественных вендоров — адаптироваться к работе в новых условиях…
Центр должен стать экспертным хабом, собирающим и анализирующим данные из имеющихся у компании источников и предоставляющий обновлённые правила настройки для сервисов и решений «Солара» (Solar JSOC, Solar MSS, DLP, IGA, SAST, SWG, NGFW, PAM).
#Conference #Forum #Solar | 💀 Этичный хакер
Мы на SOC-Forum! В течение всего мероприятия будем транслировать все самое интересное в канал🧑💻
Читать полностью…
Любите смеяться над мамкиными хакерами? Которые, подписавшись на каналы таких же школьников с постами «как взломать биткоин», с полной уверенностью начинают копировать давно устаревшие мануалы 🤦♂️
Вот только с приходом хорошо обученных генеративных нейронок даже эти школохакеры смогут стать серьезной угрозой 😂 С ними будет решение, знающее больше самого продвинутого хакера.
На канале CyberYozh выложен бесплатный курс (в двух томах) по применению AI для хакинга.
Том 2 (07.2023) – скачать
Том 1 (02.2023) – скачать
Вам лучше посмотреть это раньше, чем тот самый «школохакер» 😈
😈 Репозиторий: Ethical Hacking Lab — альманах пентестера
Коллекция обучающих материалов и лабораторий, подготовленных для студентов, изучающих информационную безопасность, сети и администрирование.
— Содержит материалы для подготовки к CEH и прочие ресурсы из различных уголков интернета.
🗣 Ссылка на GitHub
#Tools #Labs | 💀 Этичный хакер
😈 Детектим технологии используемые на целевом веб-сайте
В этом видеоматериале вы узнаете о том, как получить расширенную информацию о используемых технологиях на целевом веб-сайте.
#Recon | 💀 Этичный хакер
😈 Shodan и Censys: поиск скрытых деталей в Интернете
Поиск Shodan и Censys позволяет найти любые уязвимые устройства в Интернете. Это может быть частью вашего теста на проникновение, чтобы упростить поиск новых вещей в Интернете.
➖ https://telegra.ph/Shodan-i-Censys-poisk-skrytyh-detalej-v-Internete-03-06
#osint | 💀 Этичный хакер
😈 Инструменты захвата и анализа пакетов
1. tcpflow — это программа, которая захватывает данные, передаваемые в рамках TCP-соединений (потоков), и сохраняет данные в виде, удобном для анализа и отладки протокола.
2. OpenFPC — это набор инструментов, которые в совокупности обеспечивают облегченную полнофункциональную систему записи сетевого трафика и буферизации. Цель его разработки — позволить пользователям, не являющимся экспертами, развертывать распределенный регистратор сетевого трафика на оборудовании COTS, одновременно интегрируя его в существующие средства управления предупреждениями и журналами.
3. Dshell — это фреймворк для судебного анализа сети. Обеспечивает быструю разработку подключаемых модулей для поддержки разбора перехваченных сетевых пакетов.
4. stenographer — решение для захвата пакетов, предназначенное для быстрой буферизации всех пакетов на диск, а затем для обеспечения простого и быстрого доступа к подмножествам этих пакетов.
5. Moloch — это крупномасштабная система захвата пакетов IPv4 (PCAP), индексации и базы данных с открытым исходным кодом. Для просмотра, поиска и экспорта PCAP предусмотрен простой веб-интерфейс. Доступны API-интерфейсы, которые позволяют напрямую загружать данные PCAP и данные сеанса в формате JSON.
#PCAP #TCP | 💀 Этичный хакер
2 самых популярных канала по информационной безопасности и этичному хакингу:
🔐 infosec — редкая литература, курсы и уникальные мануалы для ИБ специалистов любого уровня и направления. Читайте, развивайтесь, практикуйте.
👨💻 Social Engineering — авторский Telegram канал, посвященный информационной безопасности, OSINT и социальной инженерии.
28 ноября Тинькофф совместно с BI. ZONE проведет Bug Bounty Cup — онлайн-соревнование по информационной безопасности для студентов по всей России. Вы получите доступ к одному из приложений компании, в котором попытаетесь найти уязвимости и баги. За каждую успешную находку вас ждет не только слава кибергероя, но и денежные призы 💸
Не обязательно быть профессиональным «белым хакером», чтобы принять участие, достаточно базового понимания уязвимостей и горячего интереса к инфобезу. Перед стартом соревнования эксперты Тинькофф проведут вводный инструктаж, где расскажут, как именно искать баги.
Подробности и регистрация до 26 ноября тут: https://w.tinkoff.ru/bug_bounty_cup
АО «Тинькофф Банк», ИНН 7710140
Стартануть в IT быстро и эффективно — подготовительный курс по Java-разработке.
⏰ Начинаем уже 7 ноября!
Даем: 62 урока с практикой в браузере, 3 онлайн вебинара и 1 сессию лайвкодинга с практикующим разработчиком.
Получаем: крепкие знания базы языка, умение понимать код и первую программу на Java, написанную вместе с наставником.
Всего 990 ₽ и ваше жгучее желание начать. Приходите с любым бэкграундом: нам не важны возраст, пол, образование и текущая профессия.
Запишитесь прямо сейчас!
Реклама. ООО "ХЕКСЛЕТ РУС". ИНН 7325174845. erid:LjN8KNY8g
🛡 Next Generation Firewall: оптимальные стратегии выбора и внедрения
После 2022 года российский рынок NGFW сильно изменился: ушли крупные вендоры, появились новые игроки. Узнайте, как эффективно защитить корпоративную инфраструктуру с помощью NGFW, доступных российским компаниям.
📅 8 ноября, 11:00 присоединяйтесь к бесплатному вебинару:
☑️ Обзор решений и критерии их выбора.
☑️ Практические аспекты внедрения NGFW.
☑️ Сравнение различных моделей NGFW: аппаратные, виртуальные и Managed Service.
🎯 Если вы отвечаете в компании за информационную безопасность, ждем вас на вебинаре.
Регистрируйтесь и приходите на вебинар.
😈 SSTI: Руководство по внедрению шаблонов на стороне сервера
Server-Side Template Injection (SSTI) — это уязвимость внедрения вредоносного кода в шаблон с последующим выполнением на стороне сервера. Многие сайты используют разнообразные шаблоны для более стильного/динамичного отображения страниц, а также для создания подготовленных ответов для пользователей.
🗣 Ссылка на чтиво
#SSTI #Injection | 💀 Этичный хакер
😈 BruteShark — анализ сетевого трафика
BruteShark - это инструмент сетевого криминалистического анализа, который выполняет глубокую обработку и проверку сетевого трафика (в основном файлов РСАР, но также может осуществлять прямой захват данных из сетевого интерфейса).
Он включает в себя: извлечение паролей, построение карты сети, реконструкцию сеансов ТСР, извлечение хэшей зашифрованных паролей и даже преобразование их в формат Hashcat для выполнения автономной атаки методом брутфорса.
⏺ Ссылка на GitHub
#Recon #Network #Forensics | 💀 Этичный хакер
💉 Руководство по внедрению кода
Внедрение кода — это тип уязвимости безопасности, возникающий, когда злоумышленник внедряет код в программу, который затем выполняется приложением. Злоумышленник может воспользоваться этой уязвимостью для выполнения произвольного кода и, возможно, получить контроль над приложением или базовой системой.
— В этом материале расскажем, что такое Code Injection, каков принцип работы, шпаргалка и то, как с этим бороться.
🗣 Ссылка на чтиво
#Web #Injection #code | 💀 Этичный хакер
Когда МТС RED объявился на первом SOC-форуме год назад – это была компания, которая делала первые шаги в отрасли.
Прошел год, мы снова на SOC-форуме и видим, как они стали полноценным игроком рынка с командой из 250 специалистов, собственными продуктами и решениями. А в ближайших планах – занять место в пятерке сильнейших игроков рынка.
На SOC-форуме команда МТС RED решила поиграть с публикой и продемонстрировала всем схожесть профессии врача и ИБ-специалиста. Сначала они консультировали посетителей по вопросам кибербезопасности в медицинских халатах, а потом и вовсе показали ИБ-аптечку, в которую поместили такие «препараты» как антидедосин, гоствипиен форте и киберосведомзол.
#MTC #SOC #Forum | 💀 Этичный Xакер
😈 SOC Forum: комплексная кибербезопасность — новый виток цифровой трансформации
SOC-Forum — одна из крупнейших конференций в РФ по ИБ и единственное в России мероприятие, посвящённое вопросам создания и эксплуатации центров мониторинга, противодействию кибератакам, реагированию и расследованию инцидентов.
❗ К выступлению приглашён настоящий костяк инфобеза в РФ: НКЦКИ, ФСТЭК России и Минцифры России, ЦБ РФ и Сбер.
— Значимым событием на форуме по традиции является пленарная сессия, на которой представители различных организаций поднимают такие темы как: выстраивание национальной кибербезопасности на уровне государства и бизнеса, регулирование ИБ-отрасли, как перемены последних лет отразились на бизнесе и чем сфера ИБ может быть полезна.
#Conference #Forum | 💀 Этичный хакер
😈 Создание лаборатории для пентеста: путешествие в изоляцию
В этой статье я поделюсь своим опытом и идеями о том, как я построил безопасную и изолированную исследовательскую лабораторию, отделенную от моей домашней сети.
🗣 Ссылка на чтиво
#Virtual #Vulnerability #Box | 💀 Этичный хакер
😈 Поиск по облачным хранилищам
В этом посте рассмотрим сервис, который осуществляет поиск по таким хранилищам как: Mega, Depositefiles, Dropbox, Turbo Bit, Vip-files и пр.
— Возможен поиск по 60 наиболее популярным облачным хранилищам.
🗣 Ссылка на инструмент
Если вам необходимо осуществить поиск по менее популярным хранилищам, типа Take File, Anonfiles, Keep2share, Ex-load и пр., то на ваш случай имеется иной сервис, который осуществляет поиск по более чем 100 различным ресурсам.
🗣 Ссылка на инструмент
#Web #OSINT | 💀 Этичный хакер
Предлагаем ознакомиться с самыми крупными и интересными проектами Telegram в сфере ИТ и информационной безопасности:
👤 SecurityLab — приватность в эпоху наблюдения? Да, это возможно! Узнайте всё о цифровой безопасности и защите своих данных.
🐧 Черный треугольник — авторский IT-блог. Открываем горизонты свободы в цифровую эпоху.
👁 Data1eaks — лучший на постсоветском пространстве канал про утечки баз данных. Будь в курсе всех сливов и отслеживай, есть ли ты в утечках.
👨🏻💻 Social Engineering — самый крупный ресурс в Telegram, посвященный информационной безопасности, OSINT и социальной инженерии;
💡 Physics.Math.Code — канал для физиков, математиков, инженеров и разработчиков. Публикуются подборки полезных книг, роудмапы для самообразования, видеоуроки, разборы интересных задач и многое интересное из науки и техники.
Специалист по информационной безопасности (веб-пентестер) тестирует веб-приложения на уязвимости и защищает их.
Научитесь взламывать сервисы и фиксить слабые места на курсе Практикума «Специалист по информационной безопасности».
Зачем учиться на веб-пентестера:
— сервисы часто страдают от злоумышленников — специалисты по информационной безопасности очень востребованы;
— обучение даст вам возможность расширить набор компетенций и научиться писать более безопасный код;
— специалисты по безопасности могут участвовать в программе Bug Bounty и получать вознаграждения.
Освойте профессию «Специалист по информационной безопасности: веб-пентест» и станьте востребованным IT-специалистом.
— Оставьте заявку до 30 ноября и получите промокод со скидкой 20%. Пусть Чёрная Пятница станет поводом сделать карьерный рывок!
Onion Links 2.0: Понятно каждому, доступно всем.
Подпишись — /channel/+J079GyWGH7Y2YjZi
😈 MVT — утилиты судебно-криминалистической экспертизы
Mobile Verification Toolkit (MVT) - это набор утилит судебно- криминалистической экспертизы для поиска признаков заражения в смартфонах Android и iOS.
Возможности MVT постоянно развиваются, но некоторые из его ключевых особенностей включают в себя:
- Расшифровка зашифрованных резервных копий iOS.
- Обработка и анализ записей из многочисленных баз данных систем и приложений iOS, журналов и системной аналитики.
- Извлечение установленных приложений с устройств Android.
- Извлечение диагностической информации с устройств Android по протоколу adb.
- Сравнение извлеченных записей с предоставленным списком вредоносных индикаторов в формате STIX2.
- Создание журналов JSON извлеченных записей и отдельных журналов JSON всех обнаруженных вредоносных следов.
- Создание единой хронологической шкалы извлеченных записей, а также временной шкалу всех обнаруженных вредоносных следов.
🗣 Ссылка на GitHub
🗣 Ссылка на документацию
#Recon #MVT | 💀 Этичный хакер
😈 SQL-инъекция: разбор уязвимости на примере
SQL-инъекция - это атака, которая может привести к компрометации конфиденциальных данных и даже полному захвату системы.
— Разрабам и сисадминам важно знать об этой угрозе и принимать меры по ее предотвращению. Использование подготовленных инструкций с параметризованными запросами, проверка и очистка входных данных, а также регулярные аудиты могут значительно снизить риск успешной атаки. Об этом и пойдёт речь в статье:
🗣 Ссылка на чтиво
#SQL #Injection | 💀 Этичный хакер
😈 BlackMamba — среда для пост-эксплуатации
BlackMamba - это мультиклиентная среда для пост-эксплуатации машины жертвы с некоторыми функциями шпионского ПО. Работает на Python 3.8.6 и QT Framework.
Каков функционал:
- Мультиклиент - поддерживает несколько подключений жертв одновременно.
-Обновления связи в реальном времени - связь и обновления
в реальном времени между жертвой и сервером.
- Зашифрованная связь - почти все коммуникации зашифрованы, за исключением потокового видео с экрана.
- Сбор скриншотов - получите снимок экрана в реальном времени от жертвы.
- Потоковое видео - смотрите в реальном времени экран
жертвы.
- Блокировка клиента - блокировка и разблокировка машины жертвы и т.д.
🗣 Ссылка на GitHub
#C2 #Exploitation | 💀 Этичный хакер
😈 Уязвимость XSS: определение и предотвращение
Уязвимость Cross-Site Scripting – одна из немногих уязвимостей, которая вошла в каждый десятый список самых важных угроз безопасности веб-приложений OWASP.
— Для предотвращения уязвимостей XSS очень важно применять контекстно-зависимую выходную кодировку. В некоторых случаях этого может быть достаточно для кодирования специальных символов HTML, таких как открывающие и закрывающие теги. В других случаях необходимо правильно применять кодировку URL.
#Web #XSS | 💀 Этичный хакер
😈 BYOB — ботнет для исследований
BYOB - это проект с открытым исходным кодом, который предоставляет исследователям и разработчикам безопасности основу для создания и эксплуатации базового ботнета для углубления их понимания сложной вредоносной программы, которая ежегодно заражает миллионы устройств и порождает современные ботнеты, с тем чтобы улучшить их способность разработать контрмеры против этих угроз.
⏺ Ссылка на GitHub
#Botnet #Vulnerability| 💀 Этичный хакер
Erid: LjN8KXsCk
👨💻 Защита компании от взлома
Кибербезопасность - тема непроста, но эксперты из «Лаборатории Касперского» в своем канале “Порвали два трояна” разбирают и объясняют ее просто и с юмором.
Только самое интересное без воды:
— Новейшие угрозы;
— Практические советы;
— Немного приколов из мира ИБ.
💪Свежие хиты на канале:
— Подготовка к DDoS;
— Как избежать утечки данных;
— Что важно при постановке задачи сисадминам.
Присоединяйтесь👇
“Порвали два трояна”
Реклама. Рекламодатель: АО Лаборатория Касперского
Можно вечно смотреть, как горит огонь, как течет вода и как у кого-то в 487395 раз не получается взломать ваш сервер.
Skillfactory приглашает на бесплатный интенсив «Профессия пентестер. Как стать хакером и не попасть в розыск Интерпола» с 7 по 9 ноября в 19:00 мск.
Три дня практики с погружением в профессию:
– узнаете о прогрессивных способах взлома;
– проведете реальные атаки и получите обратную связь от эксперта;
– поймете, в каком направлении двигаться дальше.
Зарегистрироваться бесплатно: https://go.skillfactory.ru/&erid=LjN8KUw3U
Реклама, ООО «Скилфэктори»
Python и 1000 программ — про Python с нуля.
➖Создаём Telegram-бота с нуля на Python
➖Парсинг сайтов на Python
➖Как сделать 3D Игру на Python с Нуля [ Pygame ]
➖Продвинутая разработка на Python
54 русскоязычные книги, 32 видеокурса, 68 шпаргалок — для изучающих Python