-
Обратная связь. Вопросы, предложения, пожелания, жалобы - @Social_Engineering_bot
📱 Мобильная вирусология 2023.
• Небольшой отчет от экспертов "Лаборатории Касперского", который содержит статистику и основные тренды, связанные с мобильным вредоносным ПО: троянцы в Google Play, вредоносные модификации мессенджеров и др.
➡️ https://securelist.ru/mobile-malware-report-2023/109058/
#ИБ #Отчет
📶 SSH Commands Cheat Sheet.
• Объемная шпаргалка по SSH, которая пригодиться в работе:
- Basic SSH Commands;
- SSH Configurations and Options;
- Remote Server Management;
- Advanced SSH Commands;
- Tunneling;
- Conclusion.
#SSH
🍎Стив Джобс.
• 69 лет назад, 24 февраля 1955 года, у студентов-эмигрантов родился внебрачный сын, которого молодые родители отдали на усыновление. Мальчика взяла в семью бездетная пара Пол и Клара Джобс и назвала Стивеном Полом. Его приемная мать работала в бухгалтерской компании, а отец был механиком.
• В 12 лет Стивен Джобс позвонил главе компании HP Уильяму Хьюлетту и попросил у него детали, необходимые ему для сборки какого-то прибора. Пообщавшись с мальчиком, Уильям выслал ему все необходимое и пригласил в свою фирму поработать на каникулах. Тут-то и решилась судьба Джобса - во время работы в Hewlett-Packard он познакомился со Стивеном Возняком, с которым они и основали компанию Apple Computer Co.
#Разное
Aeza.net продолжает захват мира и рады представить новые флагманские локации Лондон и Гонконг, на базе передового оборудования с Ryzen 9 7950x3D до 5.7 ГГц, передовой сетью до 10 гбит/с без тарификации трафика и традиционной премиум поддержкой для всех клиентов.
Успей оценить качество хостинга в самом дорогом городе мира, в самом сердце Азиатско-Тихоокеанского региона, для наилучшего сервиса клиентов из стран с многомиллиардным населением и вашего бизнеса.
» Опробуй Гонконг прямо сейчас со скидкой в 25% «
Новостной канал
Реклама. ООО "АЕЗА ГРУПП" ИНН 7813654490 erid: LatgBqCvU
🗺 DevOps Roadmap 2024.
• Держите крутой и актуальный roadmap для DevOps, который включает в себя необходимые ссылки на обучающие материалы для каждого шага на этом пути.
➡️ https://github.com/milanm/DevOps-Roadmap
- GIT;
- Learn one programming language;
- Learn Linux & Scripting;
- Learn Networking & Security;
- Learn Server Management;
- Learn Containers;
- Learn Container Orchestration;
- Learn Infrastructure as a code;
- Learn CI/CD;
- Learn Monitoring & Observability;
- Learn one Cloud provider;
- Learn Software Engineering Practices;
- Additional resources;
- Tools;
- Books.
#DevOps
💻 Практика SQL.
- Объединение двух таблиц;
- Удаление дубликатов email;
- SELF JOIN - объединение таблицы с самой собой;
- JOIN нескольких таблиц;
- Объединение таблиц и запроса с GROUP BY;
- Условный оператор CASE в SQL;
- HAVING и группировка в SQL;
- Группировка, сортировка и LIMIT.
#SQL #Курс
🌍 Top 10 web hacking techniques of 2023.
• Это уже 17 номинация по самым значимым исследованиям веб-безопасности. Вас ждут топ-10 техник веб-хакинга 2023 года, с которыми можно ознакомиться по ссылкам ниже:
- Smashing the state machine: the true potential of web race conditions
- Exploiting Hardened .NET Deserialization
- SMTP Smuggling - Spoofing E-Mails Worldwide
- PHP filter chains: file read from error-based oracle
- Exploiting HTTP Parsers Inconsistencies
- HTTP Request Splitting vulnerabilities exploitation
- How I Hacked Microsoft Teams and got $150,000 in Pwn2Ownjacopotediosi/worldwide-server-side-cache-poisoning-on-all-akamai-edge-nodes-50k-bounty-earned-f97d80f3922b">
- From Akamai to F5 to NTLM... with love
- Cookie Crumbles: Breaking and Fixing Web Session Integrity
- can I speak to your manager? hacking root EPP servers to take control of zones
• А вот по этим ссылкам можно ознакомиться с прошлогодним материалом:
- Top 10 Web Hacking Techniques of 2023;
- Top 10 Web Hacking Techniques of 2022;
- Top 10 Web Hacking Techniques of 2021;
- Top 10 Web Hacking Techniques of 2020;
- Top 10 Web Hacking Techniques of 2019;
- Top 10 Web Hacking Techniques of 2018;
- Top 10 Web Hacking Techniques of 2017.
#Web #Hack
💻 Основы SQL.
• Бесплатный курс по основам SQL:
- Базы данных и SQL;
- Оператор SELECT;
- Фильтрация данных в SQL: WHERE;
- Сортировка в SQL: ORDER BY;
- Создание таблиц в SQL;
- Вставка и изменение данных в SQL;
- Агрегатные функции;
- Группировки и фильтрация в SQL: HAVING;
- Декомпозиция данных в базе;
- Запрос данных из нескольких таблиц: JOIN;
- Типы cоединений в SQL;
- Схема базы данных;
- Подзапросы;
- Транзакции;
- Индексы;
- Ограничения в базах данных;
- Представления в SQL;
- Заключение.
#SQL #Курс
📶 Введение в курс | Компьютерные сети 2024.
• Хорошие новости: Андрей Созыкин анонсировал обновление своих бесплатных курсов по компьютерным сетям, будет изменен подход к обучению и будем обсуждать много новых тем, которые актуальны в 2024 году. Ссылка на описание будущего курса: https://youtu.be/sOKljYVLD2Q.
• Считаю, что эти курсы являются лучшими по компьютерным сетям на данный момент, если брать в расчет курсы в открытом доступе. Всё доступно, понятно и бесплатно. Поделюсь с Вами ссылками на опубликованные ранее курсы и обязательно опубликую информацию когда они будут обновлены.
- Курс по компьютерным сетям начального уровня;
- Практики по компьютерным сетям;
- Компьютерные сети. Продвинутые темы;
- Защищенные сетевые протоколы.
#Сети
👩💻 Understanding process thread priorities in Linux.
• Интересная статья о приоритетах процессов в Linux, о работе ядра c приоритетами, и о том какие инструменты можно использовать для просмотра информации о приоритетах:
➡️ https://blogs.oracle.com/linux/post/task-priority
#Linux
👤 Можно ли оставаться анонимным внутри государства, которое закрыло весь внешний Интернет?
• Существующие популярные анонимные сети, подобия Tor или I2P, хороши своим прикладным использованием, а также относительно хорошей скоростью и лёгкостью настройки. Они также хороши и непосредственно в анонимизации трафика, когда нам необходимо скрыть истинную связь между отправителем и получателем, основываясь на принципе федеративности, то есть на свойстве, при котором узлы сети расположены в разных государствах, а сама цепочка маршрутизации проходит сквозь множество несвязанных между собой узлов.
• Но что делать, если государство единственно, как выстраивать маршруты в целях анонимизации, если нет никакого сетевого доступа в другие государства? Что делать, если все доступные государства находятся в своеобразном картеле, где сам принцип федеративности теряет свой основной замысел?
➡️ https://habr.com/post/753902/
#Анонимность
🤝 Переговоры с шифровальщиками. Реальные переписки.
• Автор этого репозитория собрал реальные переписки с вымогателями за последние годы и разделил материал по группировкам. Посмотрите, как общаются хакеры в чатах с жертвами:
➡ https://github.com/Casualtek/Ransomchats
• Дополнительный материал:
➡ https://habr.com/post/790526/
#Ransomware
🗺 Дорожная карта ИБ специалиста.
• https://dfedorov.spb.ru/edu/ — очень объемная "дорожная карта", которая поможет Вам определить необходимый пул требований \ знаний для различных специальностей в сфере ИБ. Схема составлена на основе анализа текущих вакансий.
#ИБ
📶 Submarine Cable Map 2024.
• 95% международного интернет-трафика проходит по волоконно-оптическим кабелям, которые лежат на дне морей и океанов, они соединяют почти все центры обработки данных на территории разных стран.
• В сети есть карта таких подводных кабелей, которая разделена по странам и выглядит весьма красиво 🤩
➡️ https://submarine-cable-map-2024.telegeography.com/
#Разное
💳 Для перехода на следующий уровень оплатите покупку картой:
Читать полностью…
📶 Visual guide to SSH tunneling and port forwarding.
• Наглядные примеры построения SSH туннелей для решения различных задач: https://ittavern.com/visual-guide-to-ssh-tunneling-and-port-forwarding/
• Дополнительно: Визуальное руководство по туннелям SSH.
#SSH #security
👩💻 Крутая серия статей - Hunting for Persistence in Linux:
- (Part 1): Auditd, Sysmon, Osquery (and Webshells);
- (Part 2): Account Creation and Manipulation;
- (Part 3): Systemd, Timers, and Cron;
- (Part 4): Initialization Scripts and Shell Configuration;
- (Part 5): Systemd Generators.
#Linux #Red_Team
• Сперва подумал, что новость от ИА "Панорама", но нет, ошибся.
• Зачем? Для чего? И кто этот гений, который придумал собирать пароли....
• https://cisoclub.ru/v-rossii-budut-sobirat-loginy-i-paroli-dannye-ob-ip-adresah-bankovskih-kartah-passazhirov/
#Новости
🖥 В подсобке университета Великобритании нашли два хорошо сохранившихся персональных компьютера Q1 1972 года.
• В подсобке Кингстонского университета в Лондоне нашли два хорошо сохранившихся микропроцессорных компьютера Q1, которые выпустили в 1972 году. Q1 — достаточно малоизвестный ПК, сохранившихся экземпляров очень мало. Кроме того, компьютер редко экспортировался из США, поэтому обнаружение двух Q1 в столице Великобритании вызвало удивление.
• Созданный Q1 Corporation компьютер имеет встроенные оранжевый экран и клавиатуру, как и более поздняя модель — Q1 Lite. ПК способен взаимодействовать с принтерами и жёстким диском, а также обрабатывать текст и управлять вводом данных.
• Память устройства составляет 16 КБ, а максимальная тактовая частота — 800 кГц. Однако процессор позволяет Q1 претендовать на звание первого в мире настоящего микрокомпьютера — его выпустили на два года раньше более известного MITS Altair 8800.
➡️ https://youtu.be/dB3V_Q9wQ-M
#Разное
🚀 Академия Codeby запускает новый поток курса WAPT: "Тестирование WEB-приложений на проникновение"
📚 На курсе WAPT изучаются методы сбора информации, активный фаззинг, эксплуатация уязвимостей, повышение привилегий и социальная инженерия.
📅 Старт: 1 марта
🌐 Кому полезен курс:
- Специалистам в сфере информационной безопасности
- Пентестерам с опытом и без
- Разработчикам веб-приложений
- Аудитории CTF-соревнований
👨💻 За 4 месяца вы:
- Научитесь анализировать защиту веб-сервисов от популярных видов атак и находить уязвимости в веб-приложениях
- Получите навыки в таких атаках как SQL-injection и CMD injection
- Освоите Cross Site Scripting, PHP injection, Server Side Template injection
🚀 Готовы взламывать и защищать веб-приложения? Присоединяйтесь к курсу от Codeby – одной из сильнейших команд по пентесту!
📌 Узнать подробнее о курсе
👨💻 Attacking APIs \ Атаки на API.
• Программный интерфейс приложений (API) - фундаментальный элемент инноваций в современном, движимом приложениями мире. API - важная составляющая современных мобильных, SaaS и веб приложений, используемая в клиентских, партнерских и внутренних приложениях от банковской сферы, сфер розничных продаж и логистики до интернета вещей, автономных автомобилей и умных городов.
• По своей природе API раскрывают логику приложения и критичные данные, например, персональные данные, именно поэтому API все чаще становятся целью злоумышленников. Стремительные инновации невозможны без безопасных API. В этой статье рассматриваются общие векторы атак на API и приводятся примеры безопасной разработки.
➡️ https://blog.devsecopsguides.com/attacking-apis
#devsecops
• Кто-то слил на GitHub кучу внутренних правительственных документов Китая. Тут можно найти описание различного программного обеспечения и устройств, начиная от троянов под Win, Mac, iOS и Android с возможность удаленного доступа, записью звука в режиме реального времени и полноценным управлением тачки, заканчивая описанием шпионских устройств, к примеру повербанк от Xiaomi с возможностью перехвата трафика в сетях Wi-Fi.
• В общем, источник будет читать очень тяжело, так как он на китайском языке: https://github.com/I-S00N/I-S00N/blob/main/0/15.md
• Но вот тут есть информация на английском: https://news.ycombinator.com/item?id=39426379 и https://news.ycombinator.com/item?id=39426379
• Еще больше информации есть в этом твите: https://twitter.com/
#Разное
Чтобы эффективно противостоять кибератакам, нужно быть в курсе основных тенденций киберугроз. В собственном центре исследования киберугроз «Солар» изучает актуальные тактики злоумышленников, а о последних событиях и новых решениях в сфере кибербезопасности рассказывает в своем канале.
Подписывайтесь, и вы узнаете:
- Как (Ex)Cobalt заразило госучреждение вредоносным модулем CobInt
- Какие уязвимости скрывают популярные CMS-системы
- Как будут действовать хакеры в 2024 году
«Солару» есть что рассказать о кибербезопасности, ведь под его защитой данные более 850 компаний и миллионов пользователей.
erid: LjN8KDrfL
💸 Фейковые приложения «Тинькофф Банка».
• Будьте внимательны, в App Store есть несколько фейковых приложений "Тинькофф" банка. Не устанавливайте и не вводите свои данные. Официальное приложение удалено и недоступно в App Store.
👨💻 Instant Workstation.
• Один из многочисленных сервисов для запуска ОС прямо в браузере. Для работы доступны Linux, BSD, Haiku, Redox, TempleOS и Quantix.
➡️ https://instantworkstation.com/virtual-machines
#Разное
Открыт новый набор на практические курсы по информационной безопасности INSECA.
Каждый модуль обучения содержит боевые задачи, с которыми ИБ-специалисты сталкиваются ежедневно. Наставники из Касперского, Сбера, Альфа-Банка, Норникеля, Бизона и др.
🔹Threat Hunting. Практический курс по поиску киберугроз. Получите навыки выявления аномалий в инфраструктуре с помощью формулировки гипотез и их дальнейшей проверки. Начните бесплатно.
🔹Threat Intelligence. Практический курс по киберразведке. В этом курсе собрано все, что нужно знать о проактивном анализе для защиты организации от киберугроз. Начните бесплатно.
🔹Vulnerability management. Практический курс по управлению уязвимостями. На курсе вас ждут 11 практических работ, каждая из которых симулирует рабочие обязанности специалиста по управлению уязвимостями. Начните бесплатно.
🔹Digital Forensics & Incident Response. Практический курс по цифровой криминалистике и реагированию на инциденты. Получите навыки, необходимые для расследования, анализа и реагирования на инциденты кибербезопасности. Начните бесплатно.
🔹Аналитик SOC. Практический курс по мониторингу и реагированию на инциденты. Получите навыки выявления киберугроз и оперативного реагирования на ИБ-инциденты с помощью инструментов класса SIEM и IRP\SOAR.
🔹Open CTI. Практический курс по работе с платформой анализа киберугроз. Единственный русскоязычный курс, который научит пользоваться платформой OpenCTI.
👩💻 Kubernetes security fundamentals: Authentication.
• Kubernetes authentication principles;
• Internal Kubernetes authentication methods;
- Static token authentication;
- Bootstrap tokens;
- X.509 client certificates;
- Service account tokens;
• External authentication methods;
- OpenID Connect (OIDC);
- Webhook token authentication;
- Authenticating proxy;
- Impersonating proxy;
• Authentication for other Kubernetes components;
- Kubelet;
- Controller manager and scheduler;
- Kube-proxy;
- Etcd;
• Conclusion.
#Kubernetes
🔒 Стартует курс "Введение в информационную безопасность" от Академии Кодебай!
Начало обучения: 4 марта
🔍 Кому полезен курс:
- участникам CTF, IT-специалистам
- web-разработчикам
- студентам направления "Информационная безопасность"
🕵️ За 4 месяца вы попробуете:
- Искать, исследовать и эксплуатировать следующие виды уязвимостей: SQL Injection, OS Command Injection, XSS, LFI, RFI, SSRF и Unsecure File Upload
- Решать CTF-задания
- Организовывать защиту от перебора паролей
💡 На курсе вы научитесь:
- Работе с инструментами Kali Linux
- Консольным командам ОС Windows и Linux, написанию скриптов
- Использованию базового инструментария пентестера: BurpSuite, Nmap, Gobuster, Wfuzz, Sqlmap, Wpscan, Fail2ban
🎓 После сдачи экзамена вы получите сертификат от Академии Кодебай
💻 Узнайте больше об информационной безопасности!