-
Обратная связь. Вопросы, предложения, пожелания, жалобы - @Social_Engineering_bot
📚 Форензика. Теория и практика расследования киберпреступлений.
• Дата выхода: 2020.
• Рейтинг: ⭐⭐⭐⭐⭐ (5 out of 5)
• VT.
• Представлен анализ существующих подходов в современной отечественной практике расследования киберпреступлений. На основе накопленного практического опыта проведения, экспертиз преступлений в сфере высоких технологий предложен подход по их унификации.
🧩 Софт для чтения.
#Форензика #RU
🔐 Key Management Service — сервис для управления ключами шифрования от Yandex Cloud
Используйте ключи, чтобы защитить секреты, личные данные и другую конфиденциальную информацию, которую вы храните в облаке.
Теперь в сервисе стала доступна асимметричная криптография и подпись данных. Подробнее читайте в нашей статье.
Реклама ООО "Яндекс.Облако" ИНН 7704458262
📚 Призрак в Сети. Мемуары величайшего хакера.
• Дата выхода: 2012.
• Рейтинг: ⭐⭐⭐⭐⭐ (5 out of 5)
• VT.
• Захватывающая невыдуманная история интриг, саспенса и невероятных побегов Кевина Митника.
🧩 Софт для чтения.
#Митник #RU
🖥 Как Xerox создал рабочий стол.
• В 1960-х и 70-х годах большинство компьютеров были большими и дорогими системами, работающими с использованием пакетной обработки с перфокартами или интерактивных операционных систем командной строки, доступ к которым осуществлялся через телетайпы или видеодисплейные терминалы. Они были не очень удобны в использовании и требовали специализированного обучения для программирования или корректного управления.
• В начале 1970-х годов компания Xerox начала экспериментировать с новым графическим подходом, результатом чего стал революционный компьютер Xerox Alto, в котором использовалась мышь и растовый дисплей. Когда в конце 1970-х годов пришло время коммерциализировать Alto в серийное производство, компании Xerox понадобился интерфейс, который мог бы облегчить работу с компьютером офисным специалистам без специальной компьютерной подготовки. Эта задача выпала на долю Дэвида Кэнфилда Смита из компании Xerox, который изобрел метафору рабочего стола для разработанной в 1981 году системы Xerox Star 8010 Information System.
• Xerox Star 8010 — первый коммерческий компьютер, в котором была использована графическая модель рабочего стола с папками и значками, применяемая нами и сегодня.
#Разное
👩💻 Docker от Ивана Глазкова.
• Зачем оно нужно? Установка и первый запуск контейнера;
• Открываем порты для доступа в контейнер;
• Что такое слои в образе, как они получаются и как выглядят;
• Базовые принципы сборки образа;
• Volume и монтирование в контейнер;
• Multi Stage Build из исходников и ENV в dockerfile.
#RU #Docker
🔑 Methods for Stealing Passwords in Browser.
➡ https://redteamrecipe.com/
#blue_team #red_team #hack
💿 Seagate ST-506 HDD на 5 Мбайт.
• Жесткий диск Seagate ST-506 (на фото), представленный в 1980 году, можно назвать одним из эпохальных событий индустрии. Инженеры Seagate еще в 1978 году начали разработку жесткого диска на базе знаменитого "винчестера", но в физических габаритах привода Shugart Associates "Minifloppy". Новый жесткий диск должен был удовлетворить потребности растущего рынка персональных компьютеров. Вместе с HDD появился одноименный интерфейс ST-506, а форм-фактор на долгое время стал стандартом индустрии.
• Интересен вопрос стоимости. За 5-Мбайт жесткий диск в 1980-м году пришлось бы отдать целых $1.500, что в современных долларах составляет $5.768, в рублях — 570 тысяч.
• Жесткий диск Seagate ST-506 подключался к плате контроллера через интерфейс Shugart Associates SA1000, который, в свою очередь, был унаследован от интерфейса дисковода. Жесткий диск подсоединялся к контроллеру двумя шлейфами, а именно 34-контактным кабелем управления и 20-контактным кабелем передачи данных. Для передачи информации использовалось кодирование MFM, как и для записи на диск, поэтому данный интерфейс часто называли MFM. Кабель управления поддерживал подключение до четырех жестких дисков, но к каждому подводился свой кабель данных от платы контроллера. Впрочем, большинство контроллеров поддерживали только два жестких диска. Питание HDD осуществлялось с помощью 4-контактного штекера Molex, который используется в системах и сегодня.
• В том же году Tandon представила конкурента в формате 5,25". В 1981 году еще десять производителей выпустили свои жесткие диски, в том числе Texas Instruments и Honeywell Bull по лицензии Seagate.
#Разное
👨💻 О UEFI.
• Статья сфокусирована на объяснении понятий и принципов, а также важных и интересных возможностях UEFI.
• О UEFI;
• BIOS;
• (U)EFI;
• Совместимость;
• ESP раздел;
• MBR и GPT;
• Что нужно для того что бы ОС грузилась через BIOS?
• Что нужно для установки ОС, что бы она грузилась через UEFI?
• Менеджер загрузки UEFI;
• Secure Boot;
• Ключи системы Secure Boot;
• Собственные ключи;
• Как Ubuntu загружается в режиме Secure Boot;
• Другие интересные возможности UEFI;
• UEFI Shell;
• Загрузка ядра Linux непосредственно из UEFI;
• Полезные утилиты для UEFI;
• :) Патч Бармина живе всех живых;
• Ссылки.
#UEFI #RU
Так выглядит 4,5 мегабайта данных, собранных в стопки из 62500 перфокарт. На одну перфокарту можно записать только 80 символов.
А теперь представьте, сколько перфокарт нужно для записи 1 гигабайта данных? Если рассчитать вес полученного кол-ва, то он составит всего 22 тонны.
#Разное
👩💻 Windows PowerShell 5. Часть 2.
• Вторая часть мини-курса, которая описывает и демонстрирует основы работы с оболочкой Windows PowerShell, на примере ее 5-ой версии в Windows 10.
• Расширенные возможности выражения switch;
• Командлет ForEach-Object;
• Командлет Where-Object;
• Основы функций;
• Параметры функций;
• Настройка параметров функций;
• Переключатели функций;
• Получение значений из функций;
• Использование функций в конвейере;
• Определение функций в сессии;
• Область действия переменных в функциях;
• Скрипты;
• Передача аргументов скриптам;
• Выход из скриптов;
• Область действия переменных в скриптах;
• Управление скриптами;
• Продвинутые функции и скрипты;
• Атрибут CmdletBinding в функциях и скриптах;
• Атрибут OutputType в функциях и скриптах;
• Атрибуты параметров в функциях и скриптах;
• Псевдонимы параметров в функциях и скриптах;
• Проверка параметров в функциях и скриптах;
• Динамические параметры в функциях и скриптах;
• Значение параметров по умолчанию;
• Документирование функций и скриптов;
• Основы модулей;
• Работа с модулями;
• Создание модулей скриптов.
#Курс #RU #Windows #PowerShell
👩💻 Windows PowerShell 5. Часть 1.
• Мини-курс описывает и демонстрирует основы работы с оболочкой Windows PowerShell, на примере ее 5-ой версии в Windows 10.
• Введение в Windows PowerShell 5;
• Инструменты Windows PowerShell 5;
• Команды и командлеты;
• Получение справки;
• Основы синтаксиса;
• Кавычки, экранирование и комментарии;
• Дополнительные сведения о синтаксисе;
• Конвейерная обработка;
• Форматирование вывода;
• Типы данных;
• Строки;
• Числа;
• Словари и хеш-таблицы;
• Массивы и последовательности;
• Литеральные типы;
• Конвертация типов;
• Арифметические операторы;
• Операторы присваивания;
• Операторы сравнения;
• Операторы сравнения и коллекции;
• Операторы сравнения шаблона;
• Регулярные выражения;
• Операторы управления текстом;
• Логические и побитовые операторы;
• Методы Where() и ForEach();
• Операторы для работы с типами;
• Унарные операторы;
• Операторы группировки и подвыражения;
• Операторы массивов;
• Многомерные массивы;
• Операторы вызова свойств;
• Операторы вызова методов;
• Оператор форматирования;
• Операторы перенаправления;
• Переменные;
• Синтаксис имен переменных;
• Командлеты для работы c переменными;
• Сплаттинг переменных;
• Условное выражение (if);
• Циклы while и do;
• Цикл for;
• Цикл foreach;
• Выражения break и continue;
• Выражение switch;
• Сложные сравнения внутри switch.
#Курс #RU #Windows #PowerShell
🖥 Курс Cisco CCNA.
• CCNA ITN 1.2 Компоненты сети;
• CCNA ITN 1.3 Представление и топологии сетей;
• CCNA ITN 1.4 Основные типы сетей;
• CCNA ITN 1.5.1 Интернет подключения;
• CCNA ITN 1.5.2 Установка Cisco Packet Tracer;
• CCNA ITN 1.6 Надежные сети;
• CCNA ITN 1.8 Сетевая безопасность;
• CCNA ITN 1.9 Специалист в сфере ИТ;
• CCNA ITN 2.0 Базовая конфигурация коммутатора и оконечного устройства;
• CCNA ITN 2.1 Доступ к Cisco IOS;
• CCNA ITN 2.2 Навигация по IOS;
• CCNA ITN 2.3 Структура команд;
• CCNA ITN 2.4 Базовая настройка устройств;
• CCNA ITN 2.5 Сохранение конфигураций;
• CCNA ITN 2.6 Адреса и порты;
• CCNA ITN 3 0 Протоколы и модели;
• CCNA ITN 3.1 Правила;
• CCNA ITN 3.2 Протоколы;
• CCNA ITN 3.3 Наборы протоколов;
• CCNA ITN 3.4 Организации по стандартизации;
• CCNA ITN 3.5 Эталонные модели OSI TCP IP;
• CCNA ITN 3.6 Инкапсуляция данных;
• CCNA ITN 3.7 Доступ к данным;
• CCNA ITN 4.1 - Назначение физического уровня;
• CCNA ITN 4.2 - Характеристики физического уровня;
• CCNA ITN 4.3 Медные кабели;
• CCNA ITN 4.4 Кабели UTP;
• CCNA ITN 4.5 Оптоволоконные кабели;
• CCNA ITN 4.6 Беспроводная среда передачи данных;
• CCNA ITN 5.1 Двоичная система счисления;
• CCNA ITN 5.2 Шестнадцатеричная система счисления;
• CCNA ITN 6.0 Канальный уровень;
• CCNA ITN 7.1 Кадр Ethernet;
• CCNA ITN 7.2 Mac-адрес Ethernet;
• CCNA ITN 7.3 Таблица MAC-адресов;
• CCNA ITN 7.4 Способы пересылки на коммутаторах;
• CCNA ITN 8.1 Сетевой уровень Характеристики сетевого уровня;
• CCNA ITN 8.2 - 8.3 Сетевой уровень. Пакет ipv4 и ipv6.
#Сети #Cisco #Курс
📚 SQL Injection Strategies.
• Дата выхода: 2020.
• Рейтинг: ⭐⭐⭐⭐⭐ (5 out of 5)
• VT.
What you will learn:
• Focus on how to defend against SQL injection attacks;
• Understand web application security;
• Get up and running with a variety of SQL injection concepts;
• Become well-versed with different SQL injection scenarios;
• Discover SQL injection manual attack techniques;
• Delve into SQL injection automated techniques.
🧩 Софт для чтения.
#SQL #hack #eng
👋 Рубрика: Вакансии от Infosec.
• Компания OTUS открывает дополнительные места для поиска новых преподавателей онлайн-курсов:
- Реагирование на инциденты ИБ;
- Информационная безопасность. Professional;
- Инфраструктура открытых ключей PKI;
- Криптографическая защита информации.
• В чем преимущество? Работать можно полностью удаленно. Вы сами определяете нагрузку и выбираете, на какие темы преподавать. Занятия проходят в вечернее время. Ставка за 1 вебинар (полтора часа) – от 3000 до 6000 руб.
• Вот основные обязанности:
- проводить онлайн вебинары и работать с аудиторией;
- предоставлять обратную связь студентам.
• Дополнительные плюшки:
- проходить курсы OTUS со скидкой;
- набирать себе команду из лучших студентов;
- совмещать с текущей фулл-тайм загрузкой.
➡ Если заинтересовались, то откликнуться можно сюда.
P.S. В команде уже есть 600+ экспертов с уникальными компетенциями из различных компаний, которые учатся друг у друга, советуются, помогают, делятся опытом, обсуждают новости как в преподавании, так и по проектам.
#Вакансия #Разное
📚 Практический хакинг интернета вещей.
• Дата выхода: 2022.
• Рейтинг: ⭐⭐⭐⭐⭐ (5 out of 5)
• VT.
• Из этой книги вы узнаете, как тестировать системы, устройства и протоколы интернета вещей (IoT) на безопасность и предотвращать атаки злоумышленников. Вы научитесь моделировать угрозы, испытаете на практике различные методы проверки безопасности, откроете для себя искусство пассивной разведки и оцените уровень защиты своей IoT-системы.
🧩 Софт для чтения.
#IoT #ИБ #RU
👨💻 DevOps и Поиск Работы в IT.
• Как написать Резюме, что писать если нету опыта? Как пройти HR, что отвечать и что НЕ говорить? Дурацкие вопросы HR. Как пройти Техническое интервью и что говорить если НЕ знаешь ответ. Что не забыть спросить и когда послать интервьювера? Как поднять свой Job Offer и не только лишь денежно. Поиск работы DevOps и IT в целом, в Канаде, США и Израиле. Как стать DevOps Инженером с Нуля, что учить и в каком порядке? Junior, Middle, Senior Девопс Инженер - Настоящие Примеры Задач.
• Собеседование в IT - Часть 1 - Как написать Резюме, что писать если нету опыта;
• Собеседование в IT - Часть 2 - Как пройти HR, Что отвечать и что НЕ Говорить. Дурацкие вопросы HR;
• Собеседование в IT - Часть 3 - Как пройти Техническое интервью и что говорить если НЕ знаешь ответ;
• Собеседование в IT - Часть 4 - Что не забыть спросить и Когда послать интервьювера;
• Собеседование в IT - Часть 5 - Как поднять свой Job Offer и не только лишь денежно;
• Поиск работы DevOps и IT в целом, в Канаде, США и Израиле;
• Как стать DevOps Инженером с Нуля, что учить и в каком порядке;
• Junior, Middle, Senior Девопс Инженер - Настоящие Примеры Задач;
• Чем пользуется DevOps Инженер на Работе: Tools, Software, Hardware;
• DevOps Т-1000: как стать незаменимым специалистом - Подкаст;
• PaaS SaaS IaaS - Что это такое и в чём разница - За 5 Минут - Вопросы с Интервью DevOps;
• RPO и RTO - Что это такое и в чём разница - За 5 Минут - Вопросы с Интервью SysAdmin DevOps.
#DevOps #Работа
🐥 Linux с двойным дном.
• В этой статье ты узнаешь как сделать так, чтобы твоя линуксовая тачка выглядела невинной игрушкой, но при вводе нескольких команд превращалась в настоящую боевую единицу.
• На самом деле, тема достаточно интересная и безусловно полезная для людей, которых интересует анонимность и безопасность своих данных.
➡️ https://habr.com/ru/articles/749830/
#Linux #Анонимность #Безопасность
👨💻 Компьютерные сети.
• Общие сведения:
- Классификация сетей;
- Топологии компьютерных сетей;
- Стандарты компьютерных сетей;
- Основы организации компьютерных сетей;
- Модель OSI;
- Модель и стек протоколов TCP/IP;
- Анализатор сети Wireshark.
• Физический уровень;
• Канальный уровень;
• Сетевой уровень;
• Транспортный уровень;
• Прикладной уровень.
• Защищенные сетевые протоколы:
- Протоколы TLS/SSL;
- Шифрование в TLS/SSL;
- Целостность данных в TLS/SSL;
- Инфраструктура открытых ключей в TLS/SSL;
- Протокол TLS;
- Установка соединения в TLS;
- Анализируем протокол TLS в Wireshark;
- Расшифровка TLS в WireShark;
- Протокол TLS 1.3;
- Протокол TLS 1.3 в WireShark;
- Протокол HTTPS;
- Протокол HTTPS в WireShark.
• Продвинутые темы:
- Протокол IPv6;
- Адреса IPv6;
- Автоматическое назначение IPv6 адресов;
- Протокол NDP;
- Протоколы маршрутизации;
- Протокол RIP;
- Протокол OSPF;
- Иерархическая маршрутизация;
- Протокол BGP;
- Web сокеты.
• Рекомендуемая литература:
- Э.Таненбаум, Д.Уэзеролл. Компьютерные сети;
- В. Г. Олифер, Н. А. Олифер. Компьютерные сети. Принципы, технологии, протоколы;
- Д. Ф. Куроуз, К. В. Росс. Компьютерные сети. Нисходящий подход.
#Сети #RU
🗞 Inception 7.
• Очередной подгон наших коллег с форума XSS.IS. На этот раз с нами делятся журналом, в котором содержится авторский и платный материал форума (описание в файле выше или на скриншотах).
• Скачивайте, делитесь с друзьями и не забывайте прожать свой царский лайк. Ребята очень старались 👍
➡ Топик на форуме с обсуждением выпуска: https://xss.is/threads/99403/
• VT.
#RU #XSS
🦠 Michelangelo.
• Michelangelo — первое вредоносное ПО, которое получило широкую огласку в новостных СМИ. Одним из первых его заметил владелец компьютерного магазина в австралийском Мельбурне. После установки нескольких программ на мониторе появилось большое количество странных символов. Дальнейшее расследование показало, что он невольно загрузил вирус в систему. 6 марта 1992 года вирус активировался, перезаписав данные на жёстком диске компьютеров, которые были заражены.
• Исследователи выяснили, что Michelangelo заражал загрузочные сектора гибких дискет и жёстких дисков. Интересно, что весь год DOS-вирус вёл себя пассивно, вредя людям только 6 марта. Если компьютер в этот день был выключен, с ним ничего не происходило. Каждый год в этот день при загрузке инфицированной системы «Микеланджело» записывал произвольные данные в случайном порядке на диск и тем самым выводил компьютер из строя. Поскольку 6 марта — день рождения великого художника эпохи Возрождения Микеланджело, вирус был назван в его честь. Другие его названия: Stoned.March6.a и Stoned.Michelangelo• Никто так и не узнал, кто написал вирус. Предполагается, что он появился где-то на Тайване, но убедительных доказательств этому так и не было. Выяснилось, что Michelangelo уничтожает загрузочные сектора дисков, что, в свою очередь, приводит к уничтожению данных на дискетах и жёстком диске компьютера.
• До «дня X» Michelangelo поразил 1300 компьютеров в ФРГ, но эксперты считают, что реальное число в 10 раз больше. Никто не знает, сколько ПК пострадало во всем мире. 6 марта 1992 г. утренние новости в Германии сообщили о первых инцидентах с вирусом в Уругвае. Системное время на некоторых военных компьютерах было установлено неправильно, поэтому полезная нагрузка Микеланджело сработала преждевременно. Также известно, что вирус вызвал потерю данных примерно на 1500 компьютерах в Германии. Сообщается, что в Великобритании пострадали 117 ПК. В Соединённых Штатах, где истерия была самой большой, зафиксировано около 7000 жалоб. McAfee сообщила о почти 10 000. В Южной Африке обнаружили около 1000 заражённых компьютеров в аптеках, который получали прейскуранты в электронном виде. Оптовик как обычно отправил им дискеты, которые оказались заражены вирусом.
• В целом, панические настроения не оправдались, всё прошло относительно спокойно. Symantec AntiVirus Research Center утверждает, что после 6 марта 1992 года известно всего о двух случаях заражения компьютеров Michelangelo. По другим данным, в Германии зафиксировали 50 инцидентов с вирусом в 1993 году и менее 20 — в 1994 году.
• «Микеланджело» не был первым компьютерным вирусом. Но стал первым, кто заставил широкую общественность узнать о хаосе, который могут вызвать вредоносные программы. Это событие стало мощным толчком к зарождению полноценной антивирусной индустрии. Например, компания McAfee привлекла инвестиции в размере 42 млн долларов, а владельцы компьютеров по всему миру бросились скупать антивирусные продукты McAfee.
• P.S. Возможно, вы заметили, что в фильме "Хакеры" 1995 фигурирует вирус "Да Винчи" — название явно было отсылкой к Michelangelo.
#Разное
📝 Подборка шпаргалок для DevOps, инженеров, ИБ и ИТ-специалистов.
• Jenkins;
• Kubernetes;
• Nmap;
• PostgreSQL;
• Powershell;
• ajax;
• ansible;
• awk;
• aws cost;
• aws services;
• cheatsheet python grok;
• cron;
• curl;
• docker security;
• docker;
• find;
• github;
• go;
• grep;
• kubectl;
• linux bash terminal;
• linux bash;
• linux networing tools;
• linux commands;
• netcat;
• nginx;
• ngrep;
• openssl;
• puppet;
• redis;
• regex;
• rsync;
• sed;
• slack;
• ssh;
• tar;
• terraform;
• vim;
• wireshark;
• xargs.
➡️ https://github.com/sk3pp3r/cheat-sheet-pdf/tree/master/pdf
#CheatSheet
📚 Переведено на RU: Hash Crack. v3.
• На форуме XSS.IS (ex DaMaGeLaB) был опубликован перевод книги Hash Crack. (v3) на русский язык.
• Книга является справочным руководством по инструментам для взлома и сопутствующим утилитам, которые помогают специалистам по защите сетей и пентестерам в восстановлении (взломе) паролей. Давайте поддержим автора лайком 👍
• VT.
➡️ https://xss.is/threads/82201/
👤 Автор: @handersen
#RU #Hack
💉 SQL Injection Master - самый полный курс по SQL инъекциям
Старт: 9 октября
Продолжительность: 3 месяца
На курсе подробно разберём эксплуатацию SQL-инъекций, одного из наиболее распространенных и опасных видов атак на веб-приложения. Вы узнаете не только о том, как обнаруживать и эксплуатировать SQL-инъекции, но и как защитить свои веб-приложения от подобных атак.
Курс будет полезен как новичкам в сфере информационной безопасности, так и продвинутым специалистам.
🎓 В ходе обучения вы научитесь:
- Базовым навыкам работы с SQL
- Поиску уязвимостей в базах данных
- Внедрению произвольного SQL-кода в уязвимые приложения
У данного курса нет аналогов в СНГ и англоязычном пространстве.
🏆 Выдаём УПК/сертификат при успешной сдаче экзамена. Возможна оплата в рассрочку
📌 Узнать подробнее о курсе
Реклама. ООО "АКАДЕМИЯ КОДЕБАЙ". ИНН 9706020333. erid: LjN8KYfPo
📚 Хакинг на примерах. 2-е издание.
• Дата выхода: 2023.
• Рейтинг: ⭐⭐⭐⭐⭐ (5 out of 5)
• VT.
• Будут рассмотрены самые популярные инструменты хакеров: Kali Linux, которая содержит несколько сотен (более 600) инструментов, ориентированных на различные задачи информационной безопасности; и инструмент для поиска уязвимостей и взлома информационных систем - Metasploit.
🧩 Софт для чтения.
#Hack #RU
🌍 WAP: первые игры через Интернет.
• В самом конце 1990-х мобильные устройства получили первый, слабый и кривой, но всё же канал выхода в сеть. Протокол WAP позволял запускать на устройствах игры из внешней сети — лишь бы они были размещены в соответствующих внешних библиотеках. Эта схема имела массу подводных камней. Связь была очень медленной, однако без неё играть в WAP-игры было невозможно: тогдашние телефоны имели слишком мало памяти, и сама игра протекала на внешнем сервере. Поэтому игрушки могли быть только весьма упрощёнными и неспешными.
• Activision и Ubisoft попытались зайти на рынок, казавшийся перспективным, — но на Западе эпоха WAP-игр окончилась, едва начавшись. Аудитория не слишком оценила возможности нового формата, зато прониклась неудобствами. Ну а разработчики игр погрязли в разборках с создателями мобильных платформ по поводу того, как делить и без того небольшой рынок. Не спасла даже возможность мультиплеера, содержавшаяся в части игр под WAP. Лишь в одной стране WAP-игры получили огромную популярность: в Японии.
• Дело в том, что развитие японских мобильных сетей и цифровых устройств пошло не совсем типичным для Запада и остального мира путём, довольно странным и местами спорным. Японские компании развили WAP в свой, более совершенный формат i-mode от крупнейшего национального оператора NTT DoCoMo. В 1999 году с поддерживавшего i-mode телефона Fujitsu F501i HYPER в стране началась эпоха мобильного интернета — и многие разработчики игр буквально бросились делать игры для телефонов. Это наложилось на вкусы местного сообщества геймеров: формат позволял играть во всевозможные квесты и ролевые игры в японском стиле.
• Ну а в 2001-2 годах в мире мобильных игр случилась подлинная революция: появилась Java 2 Micro Edition (J2ME) и началось массовое распространение цветных экранов, а память устройств стала позволять размещать куда более серьёзные объёмы данных.
#Разное
👺Все самое полезное для пентестера, баг-хантера и безопасника в одном месте
Хотите зарабатывать на Bug Bounty, прокачиваться в пентесте и получать только свежую информацию из мира инфосека? Подписывайтесь на «Библиотеку хакера» — канал, в котором нет никакой воды, только хардкорная польза для специалистов в инфобезе.
Топ свежих постов:
📰Главные новости в мире инфобеза
🗺Дорожная карта для пентестеров
🧑💻Серия статей с обучением тестирования безопасности веб-приложений
🔐Пишем однострочник для генерации пароля
🛠Подборка инструментов для поиска SQL-инъекций
👉Подписаться👈
👩💻 Коллекция примеров пошаговых сценариев администрирования систем с помощью PowerShell.
• Работа с объектами;
• Управление компьютерами;
• Управление процессами и службами;
• Управление дисками и файлами;
• Работа с выходными данными;
• Создание элементов пользовательского интерфейса.
➡️ https://learn.microsoft.com/
#PowerShell
👩💻 Курс Системного Администратора Linux для новичков.
• Курс предназначен для людей без опыта с Линукс. Информация подается детально, с объяснением всех технических нюансов.
• Вступление в курс по Системному Администрированию Линукс;
• Как установить Линукс/Linux;
• Базовые навыки и знакомство с консолью Линукс;
• Краткий обзор стандартных директорий Линукс;
• Базовые команды Линукс;
• Базовые команды Линукс, часть 2, текстовый редактор vi;
• Настройка ssh соединения к серверу, понятие айпи адреса;
• Пользователи и группы в Линукс;
• Права доступа в Линукс;
• Расширенные права доступа - SUID, SGID, Sticky bit;
• Работа с ACL;
• Установка и управление пакетами в CentOS;
• Стандартные потоки ввода/вывода в Linux;
• Установка веб-сервера Apache;
• Стадии инициализации системы в Linux.
#Linux
Доброе утро... С долгожданной пятницей. Пусть она пройдет легко и непринужденно ))
Читать полностью…
⚠️ Чем рискуют пентестеры, пытаясь взломать вашу компанию. Часть 2.
• Когда появился полицейский, они рассказали ему, кто они такие и кем наняты. Наняты они были заказчиками штата Айова, приехавшие полицейские были окружного подчинения, а потому пентестеры решили не откладывать и сразу достали свою страховку от ареста – секретный список контактов. Двое из трех не взяли трубку. Третий сказал, что сможет все уладить утром. В компании-работодателе Coalfire из-за позднего часа никто не отвечал.
• Затем история приняла решительный оборот – появился шериф. Он сказал, что у пентестеров не было разрешения на испытания, так как заказчики – не собственники здания суда.
• Провести час-два в камере до выяснения обстоятельств – худший сценарий для пентестеров. Но оказалось, что все еще хуже. Шериф заявил, что Гари и Джастин должны быть арестованы за кражу со взломом. Их допросили в разных комнатах, никакие документы, которые должны были их обезопасить, не сработали. Все имеющиеся у них инструменты, нужные для работы, казались полиции орудиями преступления. Таким образом пентестерам грозил срок не только за проникновение, но и за хранение незаконных приспособлений.
• Еще несколько минут – и пентестерам уже надели оранжевые комбинезоны как настоящим заключенным и поместили в камеру.• На утро у Гари и Джастина была назначена встреча с судьей. По иронии судьбы – в том же самом здании суда, которое они штурмовали ночью. Только теперь их сопровождали полицейские.
• Пентестеры оказались совершенно незащищенными – человек из секретного списка, который должен был разъяснить в суде ситуацию, не пришел. Два остальных контакта так и не ответили, а представители работодателя просто не успели ко времени судебного заседания.
• Судья не поверила ни единому слову, сказанному Гари. Более того, ее возмущало, что такие вещи, как пентестинг, вообще существуют, тем более в госучреждениях. Она назначила залог в 5000 долларов.
• Но прокурор округа посчитал эту сумму недостаточной. Как только судья узнала, что «грабители» орудовали не где-то, а в ее здании суда, то рьяно поддержала прокурора. Так сумма залога выросла до 50 000 долларов. Плюс впереди маячил срок в семь лет тюрьмы!
• Работодатель заплатил залог, Гари и Джастин вышли из заключения. Они наняли по юристу и тогда выяснилось, что участники судебного разбирательства только сами пентестеры, следствие не принимало в рассмотрение участие какой-то третьей стороны в виде заказчика. Все оборачивалось более страшными последствиями, чем казалось сначала.
• Расследование завершилось тем, что суд признал право штата на найм пентестеров. Так тяжкие обвинения были сняты, но остались обвинения в мелких правонарушениях. Это нельзя было назвать хорошим исходом для пентестеров и они продолжили борьбу за то, чтобы обелить свои честные имена.
• Расследование длилось несколько месяцев. В местных новостях утверждали, что суд нанимал пентестеров только для проверки информационной безопасности, а не физического взлома. На этом стоял заказчик, который демонстрировал контракт, где было сказано, что взлом был согласован. Так стороны перебрасывались аргументами, оспаривая пункты, казалось, идеально составленного договора.
• Эти препирательства наконец выявили важное разногласие. Тест на проникновение заказали представители штата. А шериф, судья и прокурор, будучи служащими округа о решении штата не знали и поэтому имели полное право принять пентестеров за преступников.
• В итоге 30 января 2020 года обвинения с пентестеров были сняты, Гари и Джастин стали свободными людьми. Кроме вымотанных нервов, потерянного времени они понесли и другой ощутимый ущерб – репутационный. Ведь в глазах заказчиков они теперь навсегда остались теми, кто вызвал подозрение правоохранителей. Но главное, они стали знамениты на все штаты. А известность – совсем не нужный спутник в работе пентестеров.
#Разное