-
Обратная связь. Вопросы, предложения, пожелания, жалобы - @Social_Engineering_bot
🛡 Безопасность IPSec.
• Как устроен IPSec;
• Безопасность IPSec;
• Безопасность протокола IKE;
• MitM на IPSec с PSK;
• MitM на IPSec с RSA-Sig;
• Защита IPSec.
#IPSec #MitM
📚 Network Forensics: Privacy and Security.
• Дата выхода: 2021 год.
• Рейтинг: ⭐⭐⭐⭐⭐ (5 out of 5)
• VT.• Network Forensics: A privacy & Security provides a significance knowledge of network forensics in different functions and spheres of the security. The book gives the complete knowledge of network security, all kind of network attacks, intention of an attacker, identification of attack, detection, its analysis, incident response, ethical issues, botnet and botnet forensics. This book also refer the recent trends that comes under network forensics. It provides in-depth insight to the dormant and latent issues of the acquisition and system live investigation too.
🧩 Софт для чтения.
#Forensics #Privacy #Security #Eng
🚩 Telegram Premium за Первую Кровь
Каждую субботу в 12:00 на CTF-платфоме Codeby Games будут появляться новые задания. За FirstBlood вы получаете Telegram Premium на свой аккаунт.
🏆 Призы за First Blood:
Cложные задания - Telegram Premium на 12 мес
Cредние задания - Telegram Premium на 6 мес
Легкие задания - Telegram Premium на 3 мес
⏰ Акция действует до конца лета. У каждого есть шанс попробовать себя в роли хакера, присоединяйся!
‼️ Обязательное условие участия - в настройках профиля на платформе добавить username своего Telegram аккаунта.
👨💻 100 Methods for Container Attacks.
• https://redteamrecipe.com/100-Method-For-Container-Attacks/
#Red_Team #Blue_Team
В ChatGPT был найден Account Takeover, который позволял увести сессию у пользователя с помощью перехода по безобидной, на первый взгляд, ссылке.
Как это работало: после авторизации, на сайте делается GET-запрос, который отдает метаинфу об аккаунте, вроде имени, емейла и других данных, включая JWT-токен.
Это запрос к API, поэтому он не кэшируется. Но мы можем попытаться обмануть балансер, сказав ему, что это не API, а статический ресурс (например, файл стилей) и попросить его закэшировать ответ.
https://chat.openai.com/api/auth/session => CF-Cache-Status: DYNAMIC (не кэширует)
https://chat.openai.com/api/auth/session/test.css => CF-Cache-Status: HIT (кэширует)
Обе эти ссылки отдают метаинфу об аккаунте, просто во втором случае балансер откидывает правую часть /test.css и роутит запрос (не выдавая ошибки) на /api/auth/session/, при этом думая, что это по прежнему файл стилей и поэтому кэширует его, в отличие от первого варианта.
Это опасно тем, что после того, как авторизированный пользователь перешел по ссылке, злоумышленник может следом зайти по ней и увидеть закэшированный JWT-токен жертвы.
Работает это не всегда и иногда нужно поиграться с расширениями (полный список для Cloudflare можно посмотреть тут), либо просто воспользоваться готовым плагином для эксплуатации Web Cache Deception - атаки, которую я и описал в этом посте https://github.com/SpiderLabs/Airachnid-Burp-Extension.
📚 Building Virtual Machine Labs.
• Дата выхода: 2021 год.
• Рейтинг: ⭐⭐⭐⭐⭐ (5 out of 5)
• VT.
• Readers will choose one of five hypervisors for building their baseline lab environment, and will be guided through performing all of the necessary setup tasks. This allows students to become more familiar with virtualization technologies, gain mastery over their chosen hypervisor, and design a safe and secure virtual lab environment for further endeavors.
🧩 Софт для чтения.
#VM #Eng
🟢 Мини-курс: Основы виртуализации.
• Ключевые этапы и технологии в развитии виртуализации. От VMware до Kubernetes. От серверов до микросервисов:
• Введение;
• История развития виртуализации;
• Серверы;
• Виртуальные машины;
• Гипервизоры второго типа;
• Лабораторная работа №1. Создаем VM;
• Гипервизоры первого типа;
• Лабораторная работа №2. ESXi;
• Контейнеры;
• Лабораторная работа №3;
• Микросервисная архитектура;
• Kubernetes;
• Облачные провайдеры;
• Лабораторная работа №4;
• Заключение.
#Виртуализация #Kubernetes #VMware
🌐 Darkweb #OSINT links and new 2023 resources.
• https://www.osintme.com/index.php/2023/06/30/darkweb-osint-links-and-new-2023-resources/
🤖 Очень ценные советы и методы использования ChatGPT в OSINT.
• https://osintnewsletter.com/p/17
#ChatGPT #OSINT
🟢 Основы документирования сетей. Как рисовать понятные и красивые схемы на примере типового дизайна сети.
• Введение;
• Чем рисовать? Visio;
• Чем рисовать? Diagrams.net;
• Структурная схема сети;
• L3 схема сети;
• L2 схема сети;
• Расположение оборудования в стойке;
• IP-план;
• Описание настроек;
• Заключение.
#Сети
📚 Incident Response: Evidence Preservation and Collection.
• Дата выхода: 2020 год.
• Рейтинг: ⭐⭐⭐⭐⭐ (5 out of 5)
• VT.
• This issue of Cyber Secrets covers several items within the Incident Response real including tools and techniques to make an incident responder's job a little easier. Included is a sample preservation letter if you need to request evidence from a third party , memory capture, log analysis, and more.
🧩 Софт для чтения.
#Security #Eng
https://github.com/Orange-Cyberdefense/KeePwn
Позволяет батчем искать и эксплуатировать CVE для Keepass на машинах в домене, и извлекать содержимое .kdb(x) файлов.
🟢 SSH-туннели: практические примеры использования и важные функции.
- Как устроены SSH-туннели;
- Как создать SSH-туннель и настроить его параметры;
- SSH Proxy: как организовать доступ к любой системе (обращение к проксируемому серверу);
- Зачем нужны динамические SSH tunnels;
- Команды и практическое применения функций SSH-туннелей;
- Реализация SSH tunnels в Windows;
- Безопасны ли SSH-туннели?
🧷 https://selectel.ru/blog/ssh-tunnels/
#SSH
👤 Анонимная сеть в 200 строк кода на Go.
• Реализации анонимных сетей всегда стремятся быть как можно проще, доступнее для понимания, как на теоретическом, так и на программном уровнях. Такие условия становятся необходимыми вследствие одного из основных принципов построения безопасных программ — чем проще объяснить, тем легче доказать. Но к сожалению теория часто может расходиться с практикой, и то, что легко объяснить в теории, может быть проблематично объяснять на коде.
• Вследствие этого, можно сказать just-for-fun, у меня появился вопрос: можно ли реализовать анонимную сеть настолько малую, чтобы её программный код смог понять даже начинающий программист за короткое время?
• https://habr.com/ru/articles/745256/
#Golang #Сети #Анонимность
• Эволюция Spear-Phishing - техники известных групп, взгляд изнутри.
• https://raw.githubusercontent.com/vc0RExor/
#Phishing
🟢 OSCE³ and OSEE Study Guide.
🧷 https://github.com/CyberSecurityUP/OSCE3-Complete-Guide
#infosec #Red_Team
💻 Основы SQL.
• Курс рассчитан на начинающих разработчиков, data scientist'ов, аналитиков, тестировщиков и других ИТ-специалистов, которые хотят научиться работать с данными в базах.
• Базы данных и SQL;
• Оператор SELECT;
• Фильтрация данных в SQL: WHERE;
• Сортировка в SQL: ORDER BY;
• Создание таблиц в SQL;
• Вставка и изменение данных в SQL;
• Агрегатные функции;
• Группировки и фильтрация в SQL: HAVING;
• Декомпозиция данных в базе;
• Запрос данных из нескольких таблиц: JOIN;
• Типы объединений в SQL;
• Схема базы данных;
• Подзапросы;
• Транзакции;
• Индексы;
• Ограничения в базах данных;
• Представления в SQL.
#Курс #SQL
📚 Социальная Инженерия и Профайлинг. Психология обмана.
• Дата выхода: 2013 год.
• Рейтинг: ⭐⭐⭐⭐⭐ (5 out of 5)
• VT.• Книга будет полезная всем, кто увлекается Социальной Инженерией и Профайлингом.
🧩 Софт для чтения.
#RU #СИ #Профайлинг
📚 Cyber Forensics.
• Дата выхода: 2021 год.
• Рейтинг: ⭐⭐⭐⭐⭐ (5 out of 5)
• VT.• Cyber Forensics is an electronic discovery technique used to determine and reveal technical criminal evidence. It often involves electronic data storage extraction for legal purposes. The goal is to examine digital media in a forensically sound manner with the aim of identifying, preserving, recovering, analyzing and presenting facts and opinions about the digital information.
🧩 Софт для чтения.
#Forensics #Eng
🔘 RAID массивы. Уровни 0 1 5 6 10. Что такое RAID и как он работает.
• Вступление;
• RAID 0;
• RAID 1;
• RAID 5;
• RAID 6;
• RAID 10;
• Сравнение уровней RAID.
#RAID
🔐 40 Linux Server Hardening Security Tips [2023 edition].
• https://www.cyberciti.biz/tips/linux-security.html
#Linux
Есть такая профессия — данные защищать.
И чтобы это сделать, нужно научиться думать как хакер. «Белый» хакер!
Skillfactory приглашает на бесплатный онлайн-интенсив по кибербезу с 11 по 13 июля в 19:00 мск.
Всего три дня, а сколько пользы они вам принесут:
— погружение в профессию белого хакера;
— самостоятельный взлом сервера;
— подарки и индивидуальная обратная связь от эксперта.
А самое главное — четкое понимание, насколько это направление вам подходит.
Регистрируйтесь бесплатно по ссылке: https://go.skillfactory.ru/t2raZg
Реклама, ООО «Скилфэктори» 2VtzqxTU6xj
🗺 Полезная схема для #GEOINT. Может стать отличным помощником в решении различных кейсов и задач.
• https://github.com/seintpl/osint/tree/main
📚 Practical Lock Picking: A Physical Penetration Tester's Training Guide.
• Дата выхода: 2012 год.
• Рейтинг: ⭐⭐⭐⭐⭐ (5 out of 5)
• VT.
• This book is geared specifically toward penetration testers, security consultants, IT security professionals, and hackers.
• Detailed full-color photos make learning as easy as picking a lock;
• Extensive appendix details tools and toolkits currently available for all your lock picking needs.
🧩 Софт для чтения.
#LockPicking #Eng
🐍 Python для сетевых инженеров.
• Отличный курс на русском языке (66 часов полезного материала), который будет очень полезен сетевым инженерам:
• Часть 1. Вводная лекция;
• Часть 2. Вводная лекция;
• Часть 1. Основы Git;
• Часть 2. Основы Git и Github;
• Часть 3. Утилита pyneng для тестирования и сдачи заданий;
• Часть 1. slack, Основы python;
• Часть 2. Основы python;
• Часть 3. Выбор редактора, редактор Mu;
• Часть 1. Числа. Строки;
• Часть 2. Методы строк, форматирование строк;
• Часть 3. Форматирование строк. Списки;
• Часть 4. Списки;
• Часть 1. Словари;
• Часть 2. Кортежи, множества, булевы значения, преобразование и проверка типов данных;
• Часть 3. Создание базовых скриптов;
• Часть 1. Условия if/elif/else;
• Часть 2. Цикл for, while;
• Часть 3. Операторы break, continue, pass. Обработка исключений;
• Часть 1. Основы работы с файлами;
• Часть 2. Примеры работы с файлами;
• Часть 3. Примеры работы с файлами;
• Часть 1. Функции;
• Часть 2. Функции;
• Часть 3. Функции;
• Часть 1. Распаковка переменных, генераторы списков, множеств, словарей;
• Часть 2. Полезные функции: print, range, sorted, enumerate;
• Часть 3. Полезные функции: zip, lambda, map, filter, all, any;
• Часть 1. Модули;
• Часть 2. Модули;
• Часть 1. Полезные модули: subprocess;
• Часть 2. Полезные модули: os, ipaddress, tabulate;
• Часть 3. Полезные модули: glob, pprint;
• Часть 1. Синтаксис регулярных выражений;
• Часть 2. Синтаксис регулярных выражений;
• Часть 3. Синтаксис регулярных выражений;
• Часть 1. Модуль re. Объект Match. Функция search;
• Часть 2. Модуль re. Функция finditer, флаги;
• Часть 3. Модуль re. Функция findall, split, sub;
• Unicode;
• Часть 1. CSV;
• Часть 2. JSON;
• Часть 3. YAML;
• Часть 1. Подключение к оборудованию. Модуль pexpect;
• Часть 2. Модуль pexpect;
• Часть 3. Модуль pexpect;
• Часть 4. Модуль telnetlib;
• Часть 1. Модуль paramiko;
• Часть 2. Модуль netmiko;
• Часть 1. Одновременное подключение к нескольким устройствам;
• Часть 2. Модуль concurrent futures. Метод executor.map;
• Часть 3. Модуль concurrent.futures. Метод submit;
• Часть 1. Jinja2. Основы;
• Часть 2. Jinja2. Синтаксис шаблонов;
• Часть 3. Jinja2. Использование include и наследование шаблонов;
• Часть 1. TextFSM. Основы;
• Часть 2. TextFSM. Синтаксис шаблонов;
• Часть 3. TextFSM. Clitable;
• Часть 1. ООП. Основы;
• Часть 2. ООП. Основы;
• Часть 3. ООП. Основы;
• Часть 1. ООП. Специальные методы;
• Часть 2. ООП. Специальные методы;
• Часть 1. ООП. Наследование;
• Часть 2. ООП. Наследование;
• Часть 1. Продолжение обучения;
• Часть 2. Продолжение обучения;
#Python
🤹♀️Как интернет-шлюз ИКС легко закроет все потребности вашей корпоративной сети.
12 июля в 11.00 мск приглашаем на вебинар, где вы узнаете, как комплексно решать максимальное число ИТ-задач и легко управлять корпоративной сетью, экономя время и деньги компании.
В программе:
- Возможности для защиты вашей корпоративной сети, управления доступом пользователей и фильтрации контента
- Функции ИКС, преимущества интернет-шлюза
- Как легко настроить, все, что нужно, в одном интерфейсе
- Неосновные функции ИКС: почтовый сервер, телефония и другие сетевые сервисы
- Простота администрирования и техническая поддержка ИКС.
✍️ Регистрация
Более 90 функций в едином удобном интерфейсе ИКС: интернет-шлюз, DHCP-сервер, DNS, NAT, VPN-сервер, системы обнаружения и предотвращения вторжений IPS/IDS, функции контроля приложении, WAF, антивирус, прокси-сервер, файловый сервер, ip-телефония, контент-фильтр.
❗️Триал период 35 дней, действует приоритетная техподдержка
✈ Телеграм ИКС
📚 Искусство обмана.
• Дата выхода: 2004 год.
• Рейтинг: ⭐⭐⭐⭐⭐ (5 out of 5)
• VT.
• Эта книга объясняет, как просто бывает перехитрить всех защитников и обойти технологическую оборону, как работают социальные инженеры и как отразить нападение с их стороны Кевин Митник и его соавтор, Бил Саймон рассказывают множество историй, которые раскрывают секреты социальной инженерии.
🧩 Софт для чтения.
#СИ #RU
📚 Wireshark for Security Professionals.
• Дата выхода: 2017 год.
• Рейтинг: ⭐⭐⭐⭐⭐ (5 out of 5)
• VT.
• Master the basics of Wireshark;
• Explore the virtual w4sp-lab environment that mimics a real-world network;
• Gain experience using the Debian-based Kali OS among other systems;
• Understand the technical details behind network attacks;
• Execute exploitation and grasp offensive and defensive activities, exploring them through Wireshark;
• Employ Lua to extend Wireshark features and create useful scripts.
🧩 Софт для чтения.
#Wireshark #Network #Metasploit #Eng
❗️Must Have для администраторов баз данных и разработчиков!
🦾 Приходите за продвинутыми навыками на открытые уроки в OTUS.
📆 4 июля в 20:00 — Хранимые процедуры и функции в PostgreSQL
Разберем основы разработки элементов серверной логики. Рассмотрим использование ненативных языков для написания хранимых процедур и функций в PostgreSQL на примере С и Python.
https://otus.pw/DqiT/
📆 11 июля в 20:00 — Query Store что это?
Как использовать и зачем? Заглянем в мир MS SQL Server и узнаем всё про Query Store. Раскроем все секреты Query Store и расскажем вам, как использовать его в своих проектах.
https://otus.pw/wA4q/
📌Запишитесь, чтобы принять участие в занятиях.
Нативная интеграция. Информация о продукте www.otus.ru
• Лучший roadmap по сертификациям в #ИБ, отсортированный по уровням сложности и направлениям:
• https://pauljerimy.com/security-certification-roadmap/