446476
Канал №1 на тему хакинга и информационной безопасности в телеграм. Обратная связь: @hackerless_bot Сотрудничество, реклама: @workhouse_price Канал в реестре РКН: https://clck.ru/3FgdFY
Привет! Мы в МТС активно поддерживаем ИТ-сообщество в России и запускаем всероссийскую олимпиаду по программированию с главным призом 3 млн рублей.
Для кого? Для школьников, студентов и действующих ИТ-специалистов.
Что будет? Блок онлайн-заданий, митапы и мастер-классы, общение в закрытом Telegram-канале и финальный очный тур с программированием на скорость. Когда олимпиада завершится, мы создадим True Tech Community, где будем делиться полезными и эксклюзивными материалами для разработчиков.
А что еще? Финалистов ждет afterparty, фестиваль технологий, интерактив, квесты, карьерные стенды, где лучшие специалисты смогут получить оффер от МТС.
Регистрация уже открыта! Подробности по ссылке. Ждем тебя!
В российском кибербезе WAF почему-то считается волшебной пилюлей и от DDoS, и от ботов, и вообще от любых атак на веб-приложения. Однако на практике не всё так однозначно.
Чтобы WAF работал быстро и без сбоев, он не должен быть нагружен.
Иначе файрвол может деградировать и схлопнуться от большого количества TCP-соединений, которые держит в памяти.
Для разгрузки (а иногда и замены) WAF мы в Servicepipe подключаем клиентам антибот. По опыту, он блокирует до 90% вредоносных запросов к приложению:
⏹ DDoS-атаки,
⏹ cканеры уязвимостей,
⏹ атаки на бизнес-логику,
⏹ актуальные угрозы из списков OWASP Automated Threats to Web Applications и API Security Top 10.
WAF пригодится уже после фильтрации антиботом. Поскольку это эффективное средство именно для доочистки трафика от целевых атак, хакерских взломов, угроз из списка OWASP Top 10.
Хотите максимально усилить безопасность веб-приложения? Протестируйте антибот Servicepipe сегодня, начав с бесплатной телеграм-консультации.
Дополнительная информация
ООО «Сервиспайп», ИНН 7708257951, erid: LatgC4apk
🔎 5 инструментов для GEOINT расследований
Часто в OSINT расследованиях приходиться иметь дело с выяснением местоположения по снимку. Для многих не секрет, что важна каждая деталь, поэтому чтобы поиски были более результативными, предлагаем ознакомиться с инструментами подборки.
⬜️ EarthCam — агрегатор рабочих веб-камер по всему миру;
⬜️ Geoestimation — оценивает местоположение фотографии с помощью ИИ;
⬜️ Airportwebcams — агрегатор веб-камер в различных аэропортах мира;
⬜️ Peakvisor — cодержит данные о более 1 000 000 гор по всему миру, часто используется в расследованиях для опознавания локации по очертанию рельефа на заднем плане;
⬜️ F4Map — карта мира с 3D-зданиями и тенями от них в различное время суток.
#OSINT #GEOINT | 💀 Этичный хакер
😈 Исследуем темную сторону Shodan
— База Shodan включает в себя различные устройства и оборудование, среди которого не только детские радионяни, роутеры, IP-телефоны и принтеры, но и сети светофоров, системы отопления зданий и даже целые промышленные предприятия, водоочистные сооружения и электростанции.
Этот «темный Google» способен обнаружить все, что подключено к Интернету. Итак, в этой статье на практике покажем, какие запросы делать, чтобы получать доступ к незащищённым устройствам.
🗣 Ссылка на чтиво
#Shodan #OSINT #Recon | 💀 Этичный хакер
📚Книга: Великий Китайский Файрвол
— Интернет начинался как развиваемый энтузиастами островок свободы, но с тех пор им научились управлять – как государства, так и крупные корпорации. Фраза «интернет помнит все» обрела второй смысл – контент стал подконтролен, иллюзия анонимности исчезла, а любое неосторожное сообщение может создать массу трудностей автору.
Книга рассказывает о том, как Китай первым в мире научился управлять интернетом и как другие страны перенимали его опыт.
🗣Ссылка на книгу
#firewall #books | 💀 Этичный хакер
📚 Репозиторий: APT Notes
В нём содержатся различные публичные документы, официальные документы и статьи о целевых кибератаках(APT).
APT-атака (Advanced Persistent Threat) – это целевая продолжительная атака повышенной сложности, задача которой является обнаружение на устройстве пользователя секретной, конфиденциальной или любой ценной информации и использование ее в интересах киберпреступников.
🗣Ссылка на GitHub
#infosec | 💀 Этичный хакер
😈 Как происходит взлом БД(Ч.3)
Итак, в этой статье опишем финальную часть нашей серии постов про SQL Injection, в котором мы на практическом примере взламываем БД веб-сайта.
🗣 Ссылка на чтиво
#SQL #Injection #Web | 💀 Этичный хакер
😈 Руслан Ахметзянов — TestOps 101
Про TestOps говорят уже несколько лет, а воз и ныне там.
— Katalon, Microsoft и Smartbear предлагают свои определения, а консенсус не предвидится. Так что же это такое? Нужны ли нам технологии для максимальной автоматизации тестирования? Что может помешать на пути к ней?
#video | 💀 Этичный хакер
😈 10 советов по использованию Burp Suite
Burp Suite — это платформа, предназначенная для проведения аудита веб-приложения, как в ручном, так и в автоматических режимах, позволяющая улучшить и ускорить процесс атаки.
В этой статье поведуем вам о некоторых советах в использовании Burp Suite. К концу статьи вы узнаете новые фишки которые, возможно, были упущены из виду.
🗣 Ссылка на чтиво
#BurpSuite | 💀 Этичный хакер
😈 Как происходит взлом БД(Ч.1)
В этой статье разберём тему SQL-инъекций, а точнее на практическом примере рассмотрим процесс взлома БД на машине от VulnWeb.
SQL инъекция — это один из самых доступных способов взлома сайта. Суть таких инъекций – внедрение в данные (передаваемые через GET, POST запросы или значения Cookie) произвольного SQL кода.
🗣 Ссылка на чтиво
#SQL #Injection #Web | 💀 Этичный хакер
📶 OSINT Template Engine — инструмент для сбора информации
— Инструмент для сбора информации OSINT, который использует настраиваемые шаблоны для сбора данных из различных источников.
Он позволяет создавать новые шаблоны и изменять существующие, что позволяет гибко реагировать на изменяющиеся эндпоинты источников сбора и получать всегда только актуальную информацию.
⏺ Ссылка на источник
#OSINT | 💀 Этичный хакер
😈 Тестирование безопасности API: кейсы, инструменты и рекомендации
— При анализе защищенности API приложений почти всегда находят кучу уязвимостей.
На примере реальных проектов за последние несколько лет спикер Рамазан Рамазанов расскажет, как ломают API, какие недостатки чаще всего встречаются и как сделать API безопаснее.
#Web #API | 💀 Этичный хакер
🗣Книга: Unix и Linux: руководство системного администратора
Это современное и полное руководство по инсталляции, настройке и обслуживанию любой системы на основе FreeBSD или Linux, включая системы, предоставляющие базовую инфраструктуру Интернета и облачную инфраструктуру. Обновленное с учетом новых дистрибутивов и облачных сред, это всестороннее руководство охватывает лучшие практики для всех аспектов системного администрирования, включая управление хранением данных.
⏺ Скачать: здесь
#books #Linux | 💀 Этичный хакер
⚫ OWASP Top 10 Web Application Risks
Уязвимость веб-приложения - это слабое место в системе безопасности программного обеспечения, работающего в веб-браузерах. Веб-доступ делает приложения высокодоступными, но также подвергает их многочисленным атакам.
— Вот топ-10 уязвимостей, включенных в список:1. Нарушенный контроль доступа#OWASP #Web #infosec | 💀 Этичный хакер
2. Уязвимость к криптографическим атакам
3. Инъекция
4. Небезопасный дизайн
5. Неверная конфигурация безопасности
6. Уязвимые и устаревшие компоненты
7. Ошибки идентификации и аутентификации
8. Нарушения целостности программного обеспечения и данных
9. Сбои регистрации и мониторинга безопасности
10. Подделка запросов на стороне сервера (SSRF)
😈 ТОП-10 плагинов для OWASP ZAP
💬 Access Control Testing: Позволяет проводить тестирование контроля доступа и выявлять потенциальные проблемы с контролем доступа.
💬 Advanced SQLInjection Add-on: Инструмент активного сканирования для обнаружения SQLi (на основе SQLMap).
💬 Attack Surface Detector: Плагин помогает выявить конечные точки веб-приложения, параметры, которые принимают эти конечные точки, и тип данных этих параметров.
💬 DOM XSS Active Scan Rule: Активный сканер для обнаружения уязвимостей DOM XSS.
💬 Directory List v2.3: Предоставляет файлы с именами каталогов для брутфорса или фаззинга.
💬 Eval Villain: Расширение для ZAP и Firefox, которое будет подключаться к опасным функциям, таким как eval, и предупреждать вас об их использовании.
💬 GraphQL Support: Плагин для получения структуры и запросов GraphQL.
💬 Out-of-band Application Security Testing Support: Сервер OAST для обнаружения внешних и слепых уязвимостей. Аналог Burp Collaborator, только для ZAP.
💬 HUNT v2: Выполняет пассивное сканирование на наличие потенциально уязвимых параметров.
💬 Community-scripts: Большая коллекция скриптов ZAP предоставленная комьюнити
#Web #Recon | 💀 Этичный хакер
👩💻 ZboxFS — зашифрованная файловая система
ZboxFS - это файловая система, ориентированная на конфиденциальность и предназначенная для безопасного хранения файлов приложения.
— Цель ZboxFS - помочь приложениям безопасно, конфиденциально и надежно хранить файлы. Он встраивается в ваше приложение и предоставляет зашифрованную виртуальную файловую систему.
❗️ ZboxFS инкапсулирует файлы и каталоги в зашифрованное хранилище, предоставляя виртуальную файловую систему и эксклюзивный доступ для авторизованных приложений.
ZboxFS можно использовать на GNU/ Linux, macOS, Windows и Android.
🗣 Ссылка на GitHub
🗣 Ссылка на оф. сайт
🗣 Ссылка на документацию
#Forensics #Data | 💀 Этичный хакер
⌨ JSON Web Token
JSON Web Token — это JSON объект, который определен в открытом стандарте RFC 7519. Он считается одним из безопасных способов передачи информации между двумя участниками.
Для его создания необходимо определить заголовок (header) с общей информацией по токену, полезные данные (payload), такие как id пользователя, его роль и т.д. и подписи (signature).
— Инструменты для автоматизации JWT-атаки:
1. jwtXploiter — это Python-инструмент, предназначенный для автоматизации взлома JWT. Он позволяет проверить соответствие всех известных CVE для JWT и поддерживает различные виды атак на JWT, начиная от простого взлома и до выполнения атак с использованием самозаверяющих токенов!
2. JSON Web Tokens - это дополнение для Burpsuite, которое автоматизирует распространенные атаки на JWT. Кроме того, оно позволяет быстро выполнять кодирование / декодирование и проверку токенов.
3. JWT Tool - это широко используемый инструмент на языке Python, который позволяет производить проверку всех возможных атак, которые могут уязвимо существовать в веб-приложении.
4. JWT Editor - это дополнение для Burpsuite, которое обеспечивает возможность удобно изменять JWT-токены и быстро проверять различные методы обхода.
#Web #JWT | 💀 Этичный хакер
✔️ White Phoenix - инструмент восстановления данных
— Этот инструмент восстанавливает содержимое из файлов, зашифрованных программами-вымогателями с использованием «прерывистого шифрования».
Прерывистое шифрование - это когда программа-вымогатель отказывается от шифрования всего файла, вместо этого шифруя только часть каждого файла, часто блоки фиксированного размера или только начало целевых файлов. Есть несколько причин, по которым злоумышленники предпочитают прерывистое шифрование полному шифрованию. Наиболее очевидным является скорость.
— White Phoenix в настоящее время поддерживает следующие типы файлов: pdf', 'docx', 'docm', 'dotx', 'dotm', 'odt', 'xlsx', 'xlsm', 'xltx', 'xltm', 'xlsb', 'xlam', 'ods''pptx', 'pptm', 'ptox', 'potm', 'ppsx', 'ppsm', 'odp', 'zip'
🗣 Ссылка на GitHub
#Encryption | 💀 Этичный хакер
Предлагаем ознакомиться с самыми крупными и интересными проектами Telegram в сфере ИТ и информационной безопасности:
👤 SecurityLab — приватность в эпоху наблюдения? Да, это возможно! Узнайте всё о цифровой безопасности и защите своих данных.
👨🏻💻 Social Engineering — самый крупный ресурс в Telegram, посвященный Информационной Безопасности, OSINT и Cоциальной Инженерии.
💡 Physics.Math.Code — канал для физиков, математиков, инженеров и разработчиков. Публикуются подборки полезных книг, роудмапы для самообразования, видеоуроки, разборы интересных задач и многое интересное из науки и техники.
🐧 Черный треугольник — авторский IT-блог. Открываем горизонты свободы в цифровую эпоху.
🔎 sniffer — анализ сетевого трафика
— Информация, особенно конфиденциальная представляет повышенный интерес для злоумышленников. Для того чтобы избежать утечек, предотвратить направленные атаки на информационные ресурсы прибегают к анализу сетевого трафика.
Современный альтернативный сниффер сетевого трафика, работающий в терминале, который предназначен для устранения неполадок в сети.
Его можно запустить в любое время для анализа процессов или соединений, вызывающих увеличение сетевого трафика, без загрузки каких-либо модулей ядра.
🗣 Ссылка на GitHub
#Web #sniffer | 💀 Этичный хакер
😈 5 Google Dorks которые должен знать каждый
Google Dork или Google Dork Queries (GDQ) — это набор запросов для выявления грубейших дыр в безопасности. Всего, что должным образом не спрятано от поисковых роботов.
В этой статье рассмотрим какие запросы необходимы для обнаружения скрытой информации и уязвимостей, которые можно благодаря лишь поисковому запросу.
🗣 Ссылка на чтиво
#Dorks #OSINT #Recon #Web | 💀 Этичный хакер
2 самых популярных канала по информационной безопасности и этичному хакингу:
📚 @it_secur — Редкая литература, курсы и уникальные мануалы для ИБ специалистов любого уровня и направления. Читайте, развивайтесь, практикуйте.
👨🏻💻 @infosecurity — Авторский Telegram канал, посвященный информационной безопасности, OSINT и социальной инженерии.
📚 Репозиторий: All Android и iOS
В нём содержатся уязвимости Android/iOS, приложения для обеспечения безопасности Android/iOS, отчеты и презентации, лучшие практики и исследования по безопасности.
Кроме того, имеются и инструменты криминалистики, дизассемблеров, разработки, динам/стат анализа, обфускаторы и деобфускаторы, онлайн-анализат, дистрибутивы и т.д.
🗣Ссылка на GitHub
#infosec | 💀 Этичный хакер
😈 Как происходит взлом БД(Ч.2)
В этой статье продолжим тему SQL-инъекций, а точнее на практическом примере рассмотрим процесс взлома БД по средством GET-запроса.
SQL инъекция — это один из самых доступных способов взлома сайта. Суть таких инъекций – внедрение в данные (передаваемые через GET, POST запросы или Cookie) произвольного SQL кода.
🗣 Ссылка на чтиво
upd: исправили ссылку на статью, теперь всё корректно.
#SQL #Injection #Web | 💀 Этичный хакер
😈 SQLmap: разбор инструмента
Сегодня разберём тулсу в наборе каждого пентестера, это один из самых мощных инструментов, когда дело доходит до уязвимости SQL-инъекции.
В статье разберём различные типы команд SQLmap, которые могут пригодиться при использовании различных сценариев SQL-инъекции.
🗣 Ссылка на чтиво
#SQL #Web | 💀 Этичный хакер
😈 Топ-3 подкаста о кибербезопасности
➖ «Безопасно говоря» от Yandex Cloud при поддержке журнала «Хакер»: Эксперты по безопасности облачной платформы и специалисты из разных компаний и отраслей обсуждают, как бизнесу, IT и специалистам по информационной безопасности разговаривать на одном языке, чтобы выстроить безопасную работу в облаке.
➖ «Смени пароль!»: Эксперты «Лаборатории Касперского» рассматривают кейсы реальных киберпреступлений, а также помогают разобраться в новых угрозах для пользователей цифровых сервисов.
➖ «Не для галочки — подкаст о приватности»: Специалисты в области права и кибербезопасности разбирают, как компании работают с данными и как это влияем на всех нас. Подкаст запущен при поддержке Российской ассоциации в области приватности (RPPA).
#Cybersecurity
🚀 В Телеграм появился новый канал, на котором бесплатно учат кибербезу
CyberSec News — тут рассказывают, как защититься от хакеров, находить уязвимости в программах и сайтах и стать белым хакером.
Его ведет гик-специалист по безопасности, который фанатеет от киберпанка и самураев. Поэтому во все посты он вписывает прикольные японские фразочки.
А еще он понятно пишет и разъясняет работу каждой уязвимости на пальцах. Поэтому будет полезно почитать специалистам любого уровня.
Да и тем, кому просто нравится кибербез и самураи — тоже зайдет ;)
Заглядывайте, если хотите стать этичным хакером → @CyberNewsSe
🤑AP Security с лабораторией кибербезопасности на нашем канале расскажут про📣:
✔️передовые методы и утилиты для этичного хакинга
✔️полезные материалы и статьи по ИБ
✔️новости из мира кибербезопасности
✔️статьи и ресерчи от нашей команды
🔓Ждем вас на нашем канале!⚡️/channel/ap_security
А ты защищён? ❓
• В последнее время, злоумышленников стало ещё больше и от них никак не избавиться! Но-но канал "А ты защищён?" Защитит тебя от скама 2023 года.
"Не баг, а фича, не го&но, а защита."
Не теряйте шанс👇🏻
🎁 Бесплатный курс (кибербез)
🌐 Защититься от взлома!
🔗 Подписаться
В прошлом году в России было скомпрометировано почти 300 млн пользовательских данных. Это, например, адреса, паспортные данные и пароли. Такой статистикой поделились в «Лаборатории Касперского».
Чтобы сохранить конфиденциальность и защитить данные пользователей, компаниям нужно больше специалистов по кибербезопасности. Обучиться этой профессии можно в магистратуре ВШЭ и Нетологии «Кибербезопасность».
Плюсы программы:
- Онлайн-обучение с преимуществами очного ― вы будете полноценным студентом ВШЭ, при этом сможете учиться в удобное время.
- Пройдёте стажировку у партнёров из Мегафон, Авито, OZON и других.
За время обучения вы примете участие в нескольких реальных проектах, которые сможете добавить в портфолио. А в конце — защитите магистерскую диссертацию.
Узнать подробности — https://netolo.gy/b1dZ
Реклама ООО “Нетология” LatgBy7dZ