-
Главный архив с лучшими материалами со всего интернета по ИБ и этичному хакингу. Реклама/сотрудничество: @One_Daniil Владелец: @awenft Мы на бирже: https://telega.in/c/searchack
🌐 Путеводитель по Docker. От основ контейнеризации до создания собственного докера
Сегодня мы поговорим о контейнеризации, а именно о наиболее популярной на данный момент технологии её реализации - Docker.
Также вашему вниманию будут представлены уязвимости при реализации данной технологии.
Основные переменные компоненты включают в себя: Dockerfile (файл Docker), Docker image (образ Docker), Docker container (контейнер Docker).
🗄 Читать статью – линк.
// Не хакинг, а ИБ
👨🦳 «Лаборатория Касперского» обнаружила криптовалютную пирамиду в Telegram
Исследователи сообщают об актуальной мошеннической схеме, в рамках которой людям предлагают заработать на криптовалюте Toncoin (TON) через Telegram.
Схема работает по принципу пирамиды и нацелена, в том числе, на русскоговорящих пользователей.
По данным компании, сначала потенциальную жертву побуждают вложить деньги в TON, а потом пригласить в специальный чат в мессенджере своих знакомых и получать за это комиссию. Однако на деле человек лишь рискует потерять свои деньги.
Чтобы вовлечь людей, мошенники подготовили две подробные видеоинструкции – на русском и английском языках, а также текстовые материалы со скриншотами.
👺 Самые интересные задачи для безопасников
В статье порешаем задачи сразу двух CTF-турниров: Space Heroes и ThCon 2024
Рассматриваемые задачи:
1. Space Heroes: Slowly Downward
2. Space Heroes: GTFO Jabba's Palace
3. ThCon: Find me if you can
4. ThCon: Let us Phone Home
5. ThCon: SpaceNotes
Материал не обучает хакингу и не призывает к противозаконным действиям. Все описанное ниже лишь демонстрирует, какие пробелы в безопасности встречаются в реальных веб-приложениях. И предупреждает, на что нужно обратить внимание при разработке программного обеспечения.
🤖 Анализаторы трафика
1. tcpdump – сниффер с интерфейсом командной строки, с которым можно посмотреть, какие пакеты проходят через сетевую карту в данный момент.
💻 Чаще всего используется для отладки сети и в учебных целях, но возможности утилиты также позволяют проводить сетевые атаки и выявлять сканирование хоста.
2. mitmproxy – утилита для отладки, тестирования, оценки уровня конфиденциальности и тестирования на проникновение. С mitmproxy можно перехватывать, проверять, изменять и воспроизводить поток HTTP-трафика.
🎃 Благодаря такой функциональности утилита широко используется не только хакерами и пентестерами, но также разработчиками веб-приложений для их своевременной отладки
// Не хакинг, а ИБ
🤖 Исследователи нашли сайт, торгующий миллиардами сообщений из Discord
Журналисты издания 404 Media обнаружили сервис Spy Pet, создатель которого утверждает, что отслеживает и архивирует миллиарды сообщений на открытых серверах Discord
Сервис продает доступ к данным всего за 5 $, позволяя отслеживать более 600 млн пользователей более чем на 14.000 серверов
На фотографии пример работы Spy Pet:
показаны никнеймы пользователя, подключенные аккаунты, участие на серверах, а также собранные сервисом сообщения
❗️ Как взломать Telegram
В данном посте проведем полный обзор различных способов как взломать Телеграмм. Что и куда нужно установить, чтоб осуществить взлом Телеграмма.
Реально ли это сделать, и если «да», то как? Пошаговая инструкция взлома Telegram, а также способы, которые реально работают.
Взлом Telegram – это возможность без ведома хозяина, не зная логина и пароля, проникнуть на аккаунт и оттуда вести деятельность: читать переписку, отвечать на сообщений, просматривать и отсылать фото и делать всё тоже самое, что может делать хозяин данного аккаунта.
Перехват Telegram – это возможность, не заходя в аккаунт, дистанционно, на расстоянии читать переписку, видеть полученные и отосланные фото, прослушивать голосовые сообщения и звонки.
Рассматриваемые способы взлома:
1. Хакерский взлом Telegram канала
2. Взлом логина и пароля от конкретного аккаунта
3. Подбор пароля через радужные таблицы
4. Через подбор токена
5. Перехват трафика
6. DDoS атака
7. Перехват переписки, фото, голосовых
Телеграмм взлом – это не так сложно как кажется, нужно только правильно выбрать способ! Мы рассказали о самом лучшем и реально работающем! Удачи😈
❓ CyberINS — Авторский канал кибер-пентестера, рассказывает как тестировать на проникновение в доступной форме.
— OSINT, СИ, netstalking
— Инструкции по Nessus, Nmap, Metasploit
— Внешнее тестирование // Внутреннее тестирование
— Практика
/channel/cybersec_ins
🍏 Полная неуязвимость? Как устроены защитные механизмы macOS
Подход Apple к информационной безопасности приводит к тому, что некоторые пользователи Mac не обращают внимание на то, что происходит с их компьютерами.
В этом посте я старался разобраться в основных механизмах защиты macOS от вредоносных программ и выделить их недостатки, но в результате выяснилось, что «проблема» — это сама репутация macOS.
В 2006-2009 годах Apple провела рекламную кампанию, в которой сравнивала PC и Mac.
В одном из роликов явно простуженный Джон Ходжман (John Hodgman) в нескладном деловом костюме изображал PC.
На этом фоне Джастин Лонг (Justin Long) в роли Mac, напротив, смотрелся молодо и стильно.
☎️ OSINT: Поиск по номерам телефонов
1. Moriarty – утилита для реверсивного (обратного) поиска по телефонным номерам.
Позволяет найти владельца, получить ссылки, страницы социальных сетей и другую связанную с номером информацию.
2. Phomber – выполняет поиск по телефонным номерам в интернете и извлекает все доступные данные.
3. PhoneInfoga – известный инструмент для поиска международных телефонных номеров.
Сначала выдает стандартную информацию, такую как страна, регион, оператор связи по любому международному телефонному номеру, а затем ищет его следы в поисковых системах, чтобы помочь идентифицировать владельца
4. kovinevmv/getcontact –утилита для получения информации из баз приложения GetContact (не подходит для парсинга, позволяет выполнить только ограниченное число запросов).
// Не хакинг, а ИБ
📖 «Bug Bounty Decoded: Unraveling the Mysteries of Ethical Hacking Rewards»
Это познавательное и исчерпывающее руководство, в котором подробно рассматривается мир "Bug Bounty" и вознаграждений за этический хакинг.
В этой тщательно проработанной книге читателям предлагается отправиться в путешествие по захватывающему ландшафту кибербезопасности, где этичные хакеры и исследователи безопасности сотрудничают с целью выявления уязвимостей в цифровых системах до того, как ими воспользуются злоумышленники.
Автор: Vincent Curtis
Год выхода: 2023
🗄 Читать книгу – линк.
// Не хакинг, а ИБ
Эксклюзивное интервью с владельцем KILLNET и основателем Deanon Club
https://www.youtube.com/watch?v=Neq4ncA5LhY
Erid: 2VfnxxzdR92
💥💥💥 Резбез платит 100 000 ₽ за лучшую статью по результативной кибербезопасности
Весенний этап конкурса «Резбез Challenge» объявляется открытым! Напишите статью, в которой будут глубокий анализ проблемы и предложения, как ее решать. Авторы трех лучших текстов получат денежные призы, а их работы станут частью открытой методологии результативной кибербезопасности.
➡️ Переходите на канал, чтобы узнать подробности.
❗️ Атаки на домен
При проведении тестирований на проникновение мы довольно часто выявляем ошибки в конфигурации домена.
Хотя многим это не кажется критичным, в реальности же такие неточности могут стать причиной компрометации всего домена.
💻 В этой статье мы рассмотрим несколько видов атак на Active Directory, которые мы проводили в рамках пентестов, а также используемые инструменты.
Это ни в коем случае нельзя считать полным пособием по всем видам атак и инструментам, их действительно очень много, и это тяжело уместить в рамках одной статьи.
Как обнаружить SQL-уязвимость?
Освойте методы атаки и защиты на курсе SQL Injection Master! Аналогов по объему практики в СНГ и EN-cегменте нет.
На курсе подробно разберём эксплуатацию SQL-инъекций, одну из наиболее опасных и эксплуатируемых видов атак на веб-приложения. Вы освоите базовый синтаксис языка запросов SQL, внедрение SQL-кода в уязвимые приложения, раскрутку SQL-инъекций вручную и софтом, а также способы защиты своих веб-приложений.
Cтарт: 15 апреля
Продолжительность: 3 месяца
🏆 Выдаём УПК/сертификат
Получите промодоступ к обучению - 7 дней бесплатно!
@Codeby_Academy
84994441750
Бесплатный курс: старт в кибербезопасности
В прошлом году число кибератак в России взлетело на 80%. Поэтому информационная безопасность становится ключевым приоритетом для многих компаний — спрос на специалистов по кибербезопасности резко вырос.
На бесплатном курсе вы попробуете себя в качестве такого специалиста и решите его настоящие задачи — найдёте уязвимости в веб-сервисах и настроите компоненты операционной системы для обеспечения безопасности.
Узнайте, с чего начать карьеру в перспективном направлении
Реклама. ООО "Нетология". Erid LatgBak9w
🦻Перехват данных путем подслушивания
Ettercap – это комплексный набор инструментов для атак «человек посередине».
«Человек посередине» (Man in the middle (MITM)) – это вид атаки в криптографии и компьютерной безопасности, при котором злоумышленник тайно ретранслирует и при необходимости изменяет связь между двумя сторонами, которые считают, что они непосредственно общаются друг с другом.
Среди возможностей набора Ettercap:
— sniffing живых соединений;
— фильтрация контента на лету;
— поддержка активного и пассивного анализа протоколов;
— множество функций для анализа сети и хоста.
Ettercap также имеет возможность обнаруживать коммутируемую локальную сеть и использовать отпечатки пальцев операционной системы (активные или пассивные) для определения геометрии локальной сети.
🗄 Репозиторий на GitHub – линк.
// Не хакинг, а ИБ
😁 Взлом с помощью беспроводного проникновения Kali Linux
Это исчерпывающее руководство по освоению тонкостей беспроводной безопасности и проведению тестов на проникновение в беспроводные сети с использованием мощных инструментов и методологий Kali Linux.
Независимо от того, являетесь ли вы профессионалом в области кибербезопасности, сетевым администратором или начинающим этичным хакером, эта книга предоставляет практический подход к пониманию и использованию уязвимостей беспроводных сетей.
Автор: Eddie Arnold
Год выхода: 2024
🗄 Читать книгу – линк.
// Не хакинг, а ИБ
🤖 Нейросеть для анализа безопасности
Snyk Code – это нейросеть для быстрого анализа кода на уязвимости.
Она может проверять не только написанный вами код, но и обнаруживать проблемы в безопасности в сторонних библиотеках и фреймворках.
Это может быть особенно полезно для больших проектов, где используется много внешних библиотек.
Открытый исходный код Snyk не только указывает на уязвимости, но и предлагает практические рекомендации по устранению.
В нем предлагаются возможные решения для устранения уязвимостей, такие как обновление до безопасной версии или применение исправлений.
// Не хакинг, а ИБ
Курс по лучшим практикам OSINT от команды-чемпиона по этичному хакингу, the Codeby
Курс "Боевой OSINT" состоит из 112 ак. часов, экзамена на сертификат и консультаций с практикующими специалистами.
Старт потока: 6 мая
Вы научитесь:
- Обеспечивать свою безопасность при поиске (Counter-OSINT)
- Находить информацию в СlearNet и DarkNet
- Автоматизировать сбор аналитики
- Находить информацию о юридических или физических лицах как в RU-сегменте, так и за его пределами
Курс полезен:
- Сотрудникам и руководителям СБ
- Пентестерам
- HR и коммерческим отделам
- Специалистам по бизнес-разведке
Академия Кодебай
образовательный центр по информационной безопасности
для профессионалов
@Codeby_Academy
+74994441750
Выберите высокооплачиваемую IT-профессию и участвуйте в розыгрыше 200 000 рублей на обучение.
IT-рентген от онлайн-школы Skillfactory — это бесплатный вебинар, на котором вы пройдете тест на профориентацию, получите 6 гайдов по IT-направлениям. А еще встретитесь с экспертами, которые проведут карьерную консультацию.
В итоге определитесь с профессией и попадете в закрытое сообщество специалистов из индустрии.
Регистрируйтесь на бесплатный вебинар прямо сейчас и станьте участником розыгрыша 200 000 рублей на обучение.
🦠 Образцы вредоносных программ
Malware samples – пополняемый github-репозиторий с вредоносными вирусами, к которым прилагаются упражнения по анализу вредоносного ПО.
Эти упражнения охватывают широкий спектр тем анализа вредоносных программ и поставляются с подробными решениями и пошаговыми руководствами.
«Я люблю исследовать вредоносные программы, вирусы и другие типы вредоносных файлов» – Mr. Malware
Авторский канал лучшего хакера!
- Владеет ПО Pegasus
- Выкупил KILLNET
- Расскажет про Darknet изнутри, в отличии от других
Ну и конечно, это не паблик - а потому, сторонней рекламы там нет!
/channel/+mxT-9RPa-lA2NjFk
⚡️Тема криптографии с открытым ключом и шифрования RSA остаётся актуальной из-за важности обеспечения безопасности в цифровой среде.
Узнайте больше об RSA на бесплатном вебинаре онлайн-курса «Криптографическая защита информации» - «Шифрование RSA и криптография с открытым ключом»: регистрация
На уроке рассмотрим:
- основы шифрования с открытым ключом
- концепцию асимметричного шифрования
- обсудим работу алгоритма RSA и его применение для защиты данных.
Занятие будет полезно:
- специалистам по ИБ, начинающим специалистам по криптографической защите информации, системным администраторам, разработчикам,
🤝Понравится вебинар — продолжите обучение на курсе по специальной цене и даже в рассрочку!
erid: LjN8KXDYS
Как защитить сервер от кибератак? Что такое протоколы безопасности и как их правильно применить? Как не оказаться под прицелом хакера? На эти и другие вопросы ответим на мини-курсе Skillbox по кибербезопасности и защите серверов.
Регистрация: https://epic.st/Bbcw0?erid=2VtzqvWjsAN
Мини-курс подходит новичкам. Вам не нужно знать код, чтобы вникнуть в основы и понять принципы кибербезопасности.
Вас ждут 4 интенсивных занятия, на которых вы сможете примерить на себя обе роли — хакера и кибербезопасника. А в финале будет прямой эфир с экспертом, где он разберёт практические работы, ответит на вопросы и поделится профессиональными секретами.
Спикер — Сергей Кручинин, проверяющий эксперт в Skillbox. Руководил проектами в Mail.ru Group, работал в WEBINAR.RU, ГК Astra Linux, МИФИ, МГТУ им. Н. Э. Баумана, разрабатывал образовательные проекты по информационной безопасности.
Всех участников ждут бонусы: 5 полезных материалов о приёмах взлома, методах защиты и тестирования серверов, персональная карьерная консультация, сертификат на скидку 10 000 рублей и год бесплатного изучения английского языка.
Определитесь на практике, подходит ли вам сфера кибербезопасности.
Реклама. ЧОУ ДПО «Образовательные технологии «Скилбокс (Коробка навыков)», ИНН: 9704088880
📲 В Telegram для Windows исправлена 0-day уязвимость
В десктопном приложении Telegram для Windows устранили уязвимость нулевого дня, которая могла использоваться для обхода предупреждений безопасности и автоматического запуска Python-скриптов.
Издание Bleeping Computer сообщает, что на прошлой неделе в социальных сетях и на хакерских форумах появились слухи о некой уязвимости в Telegram, которая позволяет выполнять произвольный код на машине жертвы.
🖥 6 бесплатных курсов по ИБ от Microsoft
⏺ Все курсы бесплатные;
⏺ 6/6 на русском языке;
⏺ По окончании вы получите бейдж об успешном прохождении обучения.
🔥
– чтобы курсы выходили чаще
🐱 Сканер уязвимостей
W9scan – это бесплатный консольный сканер уязвимостей сайта с более чем 1200 встроенными плагинами, которые могут определять отпечатки веб-страниц, портов, проводить анализ структуры веб-сайта, находить различные популярные уязвимости, сканировать на SQL Injection, XSS и т. д.
W9scan автоматически генерирует отчеты о результатах сканирования в формате HTML.
Для запуска сканирования требуется только указать URL сайта и плагины, которые будут использоваться. Можно выбрать сразу все, дописав «all».
🗄 Репозиторий на GitHub – линк.
// Не хакинг, а ИБ
☁️ Выдать себя за другого человека
Кража личности – преступление, при котором незаконно используются персональные данные человека для получения материальной выгоды.
Злоумышленники используют собранные данные для:
⏺ проведения атак;
⏺ мошенничества;
⏺ рассылки спама;
⏺ создания двойников известных личностей и других людей для нанесения урона репутации жертвы.
Так сисадмин более 30 лет выдавал себя за другого человека, похитив личность знакомого
Издание
The Register
обратило внимание на жуткую историю, ярко иллюстрирующую худший вариант развития событий в случае кражи личности, о которой изначально
сообщил
Минюст США.
👺 Онлайн-сервисы для поиска данных по интернету вещей, IP, доменам и поддоменам
1. CIRT, Default Password Lookup, Router Password, Open Sez Me – поиск по базам данных паролей, установленных по умолчанию на различных устройствах.
2. sitereport.netcraft – выдает комплексную сводку по регистрационным данным и технологиям, используемым на веб-сайте.
3. IPVoid – набор инструментов для исследования IP-адресов: проверка по черным спискам, Whois, поиск по DNS, пинг.
4. who.is, DomainDossier, whois.domaintools – поиск по регистрационным данным и Whois.
5. DNSDumpster – инструмент для исследования доменов, который может обнаруживать хосты, связанные с доменом.
❤️ – если хотите пост про угон личности
👏 – лучше подборки инструментов
// Не хакинг, а ИБ