-
Главный архив с лучшими материалами со всего интернета по ИБ и этичному хакингу. Реклама/сотрудничество: @One_Daniil Владелец: @awenft Мы на бирже: https://telega.in/c/searchack
😱 В 2023 году было зафиксировано 290 утечек персональных данных (ПД) россиян.
Подпишись на канал @indeed_company и читай материалы от экспертов по информационной безопасности о системах для защиты доступа.
Кроме того, внутри канала: различные экспертные материалы по ИБ, разбор систем для защиты доступа к ИТ-системам, новости с полей информационной безопасности и даже тематические мемы.
😉 Если вы работаете в ИБ или интересуетесь сферой, то этот канал для вас — @indeed_company
Реклама. ООО "ИНДИД". ИНН 7801540219. erid: LjN8KMFdp
🐱 APKHunt | Инструмент для анализа безопасности
APKHunt - это комплексный инструмент статического анализа кода для приложений Android, основанный на платформе OWASP MASVS.
Хотя APKHunt предназначен в первую очередь для разработчиков мобильных приложений и тестеров безопасности, он может быть использован любым для выявления и устранения потенциальных уязвимостей безопасности в их коде.
Особенности:
1. Охват сканирования: Охватывает большую часть тестовых случаев, связанных с SAST (Static Application Security Testing) фреймворка OWASP MASVS.
2. Многократное сканирование APK: Поддерживает сканирование нескольких файлов APK.
3. Оптимизированное сканирование: Конкретные правила предназначены для проверки безопасности, что приводит к точному процессу сканирования.
4. Низкий коэффициент отрицательных работ: Предназначен для определения и выделения точного местоположения потенциальных уязвимостей в исходном коде.
5. Формат вывода: Результаты предоставляются в формате файла TXT для удобства чтения пользователей.
🗄 Репозиторий на GitHub
// Не хакинг, а ИБ
Освойте DevOps с курсом Академии Кодебай и станьте экспертом в разработке и эксплуатации программного обеспечения
🔗 Программа рассчитана на 4 месяца обучения, в течение которых вы сможете изменить свою профессию или вырасти в должности. После каждого модуля уровень востребованности вас как специалиста будет повышаться.
💎 Вы освоите:
- Контейнеризацию и оркестрацию с использованием Docker и Kubernetes
- CI/CD
- Основы Linux и Git
- Компьютерные сети, базы данных и Bash-скрипты
- Мониторинг и управление жизненным циклом приложений
- Системы управления конфигурацией
👨💻 Для кого:
- Разработчиков, стремящихся к автоматизации и оптимизации процессов
- Системных администраторов
- Руководителей проектов, которые хотят повысить эффективность своей команды
📆 Старт курса: 19 февраля
📌 Узнать подробнее о курсе
📖 «Хакинг. Искусство эксплойта» 2-е издание
Каждый программист по сути своей — хакер. Ведь первоначально хакингом называли поиск искусного и неочевидного решения.
Понимание принципов программирования помогает находить уязвимости, а навыки обнаружения уязвимостей помогают создавать программы, поэтому многие хакеры занимаются тем и другим одновременно.
Интересные нестандартные ходы есть как в техниках написания элегантных программ, так и в техниках поиска слабых мест.
"Мир без хакеров — это мир без любопытства и новаторских решений" - Джон Эриксон
📲 Telegram показывает удаленные сообщения
Несколько дней назад я обнаружил, что Telegram приложение на Windows показывает давно удаленные чаты. При том, что их не было видно ни на телефоне, ни в Linux клиенте.
Я поделился этим с друзьями, которые увидели то же самое. Причем некоторые из этих чатов датировались аж 2016 годом.
Изначально не получалось найти закономерности, так как переписка сохранялась не полностью, и сам список чатов казался случайным.
Сейчас я смог разобраться в том, как это работает, какие чаты не удаляются полностью. А для этого пришлось немного углубится в устройство групп Telegram.
Читать статью - линк.
// Не хакинг, а ИБ
⚡️ Секреты эффективного написания кода уже здесь! Три лучших ИИ-инструмента для разработки! 🚀
👉 StableCode - пишет и дебажит код, а также объясняет, какие функции выполняют уже готовые блоки и как их можно улучшить
👉 CodeRabbit – сделает код-ревью, предложит улучшения и исправления
👉 GPT Pilot – ускорит процесс разработки приложения с нуля и напишет за тебя до 95% кода
Подпишись на канал, чтобы получить более 70 нейронок для разработки и не пропустить новые
✅ AI для разработчиков ⌨️
✅ AI для веб-мастера🖥
✅ AI для обучения и образования📖
✅ AI для дизайнеров🎨
✅ AI для обработки аудио и голоса 🎙
✅ АI склад 📚
Реклама.ООО "БЕТ ЭС-СИ-ПИ". ИНН 9718139622. ERID 2VtzqwfXiY3
Путь хакера к учеткам должен быть длинным и сложным 🧑💻
Но это только общая рекомендация. Что конкретно делать ИБ-специалисту на практике? И какие требования регуляторов учесть в первую очередь? Обо всем этом эксперты расскажут 6 февраля в 11.00.
На бесплатном вебинаре от Nubes и MFASOFT вы узнаете:
⚡️ Какие требования к защите учеток предъявляют PCI DSS, NIST, ГОСТ 57580, приказы ФСТЭК №17 и №21, а также другие документы регуляторов.
⚡️Как выяснить, что в компании уже есть скомпрометированные учетные данные. С чего начать аудит и разведку.
⚡️ Может ли многофакторная аутентификация закрыть требования сразу нескольких стандартов. Как выглядит достаточная и эффективная MFA в реальности.
↘️Участие бесплатное. Регистрируйтесь.
В 2021 году Яндекс пережил мощнейшую DDoS-атаку в истории интернета на тот момент — почти 22 млн запросов в секунду. Раньше организовать подобное было трудно и дорого. Сегодня злоумышленники способны делать это без существенных затрат. В 2024 году вывести из строя любой сервис, не имеющий профессиональной защиты, не составляет особого труда.
Базовая защита от DDoS должна быть у любого веб-ресурса. Мы нашли выгодное предложение у международного провайдера DDoS-Guard: до конца января действуют скидки до 50% на все услуги: защиту сайта и сети, хостинг, а также VDS и выделенные серверы. Сервис подходит для проектов любого масштаба.
Провайдер гарантирует 99.95%+ доступность по SLA и дает бесплатный CDN. При этом нет никаких дополнительных доплат за отраженные атаки, а пропускная способность оборудования позволяет отражать атаки любого масштаба.
Успейте подключить нужную услугу, пока действуют сниженные цены: https://clck.ru/38A8ow?erid=LjN8K8oyp
Реклама. ООО "ДДОС-ГВАРД". ИНН 9204005780.
🛡 AIL | Платформа для анализа утечек информации
AIL - это модульная структура для анализа потенциальных утечек информации из неструктурированных источников данных.
Платформа AIL является гибкой и может быть расширена для поддержки других функциональных возможностей для майнинга или обработки конфиденциальной информации (например, предотвращения утечки данных).
Репозиторий на GitHub
// Не хакинг, а ИБ
no system is safe — один из древнейших ресурсов по информационной безопасности в рунете. Книги, курсы, полезные тулсы, уроки по Linux, новости клирнета и даркнета.
Data security is our top priority!
7 лучших систем чтобы «пробить» человека в интернете
Найти людей в Интернете несложно, если у вас есть нужные инструменты.
⏺ TruePeopleSearch - позволяет находить людей по имени, номеру телефона или адресу. Это одна из лучших поисковых систем, потому что бесплатные результаты намного более подробные, чем те, что вы найдете на некоторых других сайтах.
⏺ TruthFinder - отлично справляется с поиском людей, и поиск более тщательный, чем у большинства поисковых систем. Однако единственная информация, которую вы можете увидеть бесплатно, - это полное имя человека.
⏺ BeenVerified - еще один гигант системы поиска людей. Подобно TruthFinder, перечисленному выше, этот сайт собирает огромное количество информации о человеке, которого вы пытаетесь найти, используя миллионы точек данных и десятки источников данных.
⏺ Zabasearch - это бесплатная система поиска людей, которая просматривает общедоступную информацию и записи, находящиеся в свободном доступе, такие как судебные протоколы и телефонные справочники. Вы можете выполнять поиск по номеру телефона человека или его имени.
⏺ LinkedIn - это сайт для поиска людей, на котором вы можете увидеть, где человек работает, с кем он работает, его прежние должности, нынешних или бывших руководителей, любые рекомендации, которые он мог получить, и многое другое.
⏺ PeekYou - он позволяет вам искать имена пользователей в различных сообществах социальных сетей.
⏺ PeopleFinders - это еще одна система поиска людей, которая бесплатно предоставляет некоторые данные, такие как псевдонимы человека, возраст, членов семьи, а иногда и первые несколько цифр его телефонного номера.
// Не хакинг, а ИБ
🗄Подборка каналов для каждого безопасника и хакера
🛡ZeroDay - уроки по кибербезопасности и хакингу от нуля до профи, вирусы, взломы, osint, криптография и свежие новости
🌐 Серверная Админа - большое количество уроков и статей по устройству компьютерных сетей. Кладезь информации для безопасника
📖 «Хакинг на Linux»
Данная книга расскажет, как использовать Linux для несанкционированного доступа к информационным системам, или, попросту говоря, для взлома.
Примечание. Материал носит информационный характер и каждый сам решает, как его использовать.
Автор: Денис Колисниченко
Год выхода: 2022
Читать книгу - линк.
// Не хакинг, а ИБ
erid: 2VtzqumUZ8J
🔥 31 января CyberEd снова проводит практический воркшоп «Ломаем CI/CD»!
Трехчасовой авторский интенсив по уязвимостям компонентов CI/CD для вас проведет Павел Сорокин, ведущий инженер по ИБ в Ozon, специалист в пентесте и AppSec.
🖥 Вы изучите: особенности безопасности компонентов CI/CD и техники атак на них, оцените безопасность GitLab, изучите различные экзекьютеры и узнаете, как проводить атаки на них, включая shell, docker, k8s и dind.
🛠 Вы научитесь: проводить атаки из Gitlab CI на shared runner, изучать доступное окружение раннеров, выходить из контейнеров, поднимать свои привилегии в kubernetes.
💁♂️ Вам будут предоставлены: доступ к тестовой инфраструктуре, методические рекомендации по выполнению атак, карты атак на системы CI/CD, которые помогут изучить нестандартные пути атак, демонстрируемые на воркшопе.
Когда: 31 января в 19.00 по МСК
👉 Подробная программа и регистрация на воркшоп
Реклама
ОАНО ДПО «ВЫШТЕХ»
ИНН: 7703434727
📖 «Хакинг на примерах. Уязвимости, взлом, защита» 2-е издание
Из этой книги вы узнаете об основных принципах взлома сайтов (а чтобы теория не расходилась с практикой, будет рассмотрен реальный пример взлома)
Отдельная глава будет посвящена ’’угону” почтового ящика (мы покажем, как взламывается почтовый ящик - будут рассмотрены различные способы).
Также будет рассказано: как устроено анонимное общение в сети посредством
электронной почты и всякого рода мессенджеров; как анонимно посещать
сайты; как создать анонимный почтовый ящик и какой мессенджер позволяет
зарегистрироваться без привязки к номеру телефона.
Автор: Ярошенко А.А.
Год выхода: 2023
🗄 Читать книгу - линк.
// Не хакинг, а ИБ
Merlion открывает новый сезон мультивендорных онлайн-конференций, которые пройдут совместно с ведущими отечественными ИТ-разработчиками и производителями ПО.
Каждая онлайн-конференция – разбор конъюнктуры ИТ-рынка в определённом сегменте, тренды и перспективы, знакомство с новейшими разработками вендоров, обзор продуктов и решений, успешные кейсы, обсуждение актуальных вопросов сотрудничества.
Станьте участником первой в этом сезоне онлайн-конференции, которая пройдет 7 февраля в онлайн-формате. Успех неизбежен!
Регистрируйтесь по ссылке
🔒 Privacy Day 2024: ИИ, приватность и защита ПД
29 января в формате онлайн, с подключением экспертной площадки из Казахстана, состоялась конференция Privacy Day 2024.
Мероприятие было приурочено к Международному дню защиты данных. В первом треке гости обсудили проблемы приватности в бизнесе и госрегулировании.
Сначала состоялась большая панельная дискуссия с экспертами из разных стран, которые поделились национальным опытом. Далее прошёл круглый стол с участием регуляторов из стран Евразийского региона.
Читать статью - линк.
// Не хакинг, а ИБ
📺 Курс: Тестирование на проникновение сайта
Комплексный курс по взлому веб-сайтов и веб-приложений от Зайда Сабиха, в русской озвучке! Материал подойдёт как для специалистов, так и для начинающих, которые лишь начинают свой путь в тестировании на проникновение и хакинге.
#Course
Файлы будут прикреплены ниже, ожидайте, курс большой👇
😷 Краткое руководство инъекций XML/XXE
В этом репозитории вы найдете:
⏺ Что такое инъекция внешних сущностей XML, опишем некоторые общие примеры
⏺ Как найти и использовать различные виды инъекций XXE
⏺ Как предотвратить атаки инъекций XXE
Внешняя инъекция XML (также известная как XXE) - это уязвимость веб-безопасности, которая позволяет злоумышленнику вмешиваться в обработку XML-данных приложения.
Это позволяет злоумышленнику просматривать файлы в файловой системе сервера приложений и взаимодействовать с любыми серверными или внешними системами, к которым может получить доступ само приложение.
Репозиторий на GitHub
// Не хакинг, а ИБ
📖 «Подпольный интернет»
Большинство людей используют Интернет для поиска информации, общения в социальных сетях и покупок в онлайн-магазинах, но, кроме светлой стороны, у Всемирной паутины есть и темная зона, так называемый Даркнет.
Автор непредвзято рассказывает о деятельности Даркнета и о царящих там законах. В книге есть и личные истории, и факты, и интересные выводы.
Автор: Джейми Бартлетт
Год выхода: 2017
Читать книгу - линк.
// Не хакинг, а ИБ
🛡 Acunetix | Сканер веб-уязвимостей
Acunetix — сканер веб-уязвимостей, автоматизирующий процесс проверки безопасности веб-приложений.
Тестирует приложение на наличие SQL-инъекций, XSS, XXE, SSRF и многих других веб-уязвимостей.
Репозиторий на GitHub
// Не хакинг, а ИБ
🧊 История одной уязвимости в Google Chrome
Эта статья посвящена уязвимости, которую мне удалось обнаружить в браузере Google Chrome в конце прошлого года, а также рассказывает об истории её возникновения. Уязвимость существовала в течение продолжительного периода и была устранена 31 октября 2023 года.
Компания Google оценила её в 16000$
В данной статье в начале будет описан ряд современных технологий, применяемых в веб-разработке, что является необходимым для полного понимания контекста появления выявленной уязвимости.
Читать статью - линк.
// Не хакинг, а ИБ
📖 «Лаборатория хакера»
Автор описал методы и средства, которые применяют хакеры, и как им противодействовать.
Книга написана в виде очерков, представляющих практические эксперименты, при этом особое внимание уделено использованию смартфонов.
Автор: Бабин С. А.
Год выхода: 2016
Читать книгу - линк.
// Не хакинг, а ИБ
🛡 Эксперты Kaspersky DFI обнаружили в даркнете почти 3000 постов об использовании чат-ботов в кибератаках
Специалисты Kaspersky Digital Footprint Intelligence (DFI) опубликовали результаты исследования того, как в даркнете обсуждается использование чат-ботов для кибератак. В 2023 году было обнаружено 2890 таких сообщений, с пиком в более 500 сообщений в апреле.
Использовать чат-боты с искусственным интеллектом злоумышленники предлагают разными способами. В частности, для генерации полиморфного вредоносного кода — ВПО, которое способно менять свой код, сохраняя базовый функционал.
Читать статью - линк.
// Не хакинг, а ИБ
📖 «Взломать всё. Как сильные мира сего используют
уязвимости систем в своих интересах»
В своей книге легендарный криптограф, специалист по кибербезопасности
и преподаватель Гарварда Брюс Шнайер рассказывает о том, как могущественные,
но неизвестные публике хакеры помогают богатым и влиятельным людям становиться еще
богаче и манипулировать сознанием людей.
Кроме того, он приводит огромное количество
примеров хаков социальных систем: взломов тарифных планов для междугородних звонков,
банкоматов, программ лояльности пассажиров, манипуляций на рынке элитной
недвижимости и многих других.
Прочитав ее, вы узнаете, как замечать взломы, и уже
не сможете смотреть на мир по-прежнему.
Автор: Брюс Шнайер
Год выхода: 2023
Читать книгу - линк.
// Не хакинг, а ИБ
🛠 Scapy
Программа и библиотека интерактивного манипулирования пакетами на основе Python. Поддерживает Python 2 и Python 3.
Опробовать инструмент — линк.
// Не хакинг, а ИБ
🥷 A - значит Anonymous
Иллюстрированная история хакерской группировки в виде комикса.
Этот комикс – результат потрясающего творческого союза Кушнера и Корена Шадми, американского художника, вошедшего в список Топ-100 лучших иллюстраторов современности.
Автор: Кушнер Дэвид, Шадми Корен
Год выхода: 2021
// Не хакинг, а ИБ
🔒 Suricata | Система обнаружения и предотвращения вторжений
Suricata - это система обнаружения вторжений в сети, система предотвращения вторжений и механизм мониторинга сетевой безопасности.
Проект и код Suricata принадлежат и поддерживаются Open Information Security Foundation (OISF), некоммерческой организацией, которая стремится навсегда сохранить Suricata с открытым исходным кодом.
Репозиторий на GitHub
// Не хакинг, а ИБ
Список бесплатных обучающих курсов на ИБ-тематику:
- Полный курс по этичному взлому - от начального до продвинутого уровня
- Тестирование на проникновение веб-сайта
- Cisco CCNA 200-301 (ч.1)
- Cisco CCNA 200-301 (ч.2)
- Comp TIA A+/Helpdesk/IT Essentials
- Linux Essentials
- Курс по SQL для начинающих
Список будет дополняться!
// Не хакинг, а ИБ