-
Главный архив с лучшими материалами со всего интернета по ИБ и этичному хакингу. Реклама/сотрудничество: @One_Daniil Владелец: @awenft Мы на бирже: https://telega.in/c/searchack
Специалисты по информационной безопасности тут? Вас уже ждут в Тинькофф!
Безопасность — часть нашего бизнеса, поэтому мы создаем продукты, следуя принципу Security by Design. Мы открыты и защищаем не только себя, но и партнеров. Наша команда болеет за безопасность, использует смелые решения и применяет нестандартные подходы. Если вы готовы добиваться результата с нами, ждем вас в команде!
Откликайтесь на вакансию, а компания не только обеспечит комфортные условия для работы, но и даст возможность воплотить свои идеи в больших ИТ-проектах
Реклама. АО «Тинькофф Банк», ИНН 7710140679
Ежегодная всероссийская независимая премия для пентестеров — Pentest award возвращается!
Раз в году у этичных хакеров появляется шанс громко заявить о своих достижениях, показать свой вклад в развитие российского рынка ИБ и обменяться лучшими историями из практики на церемонии награждения Pentest award.
В этот раз нас ждут 6 номинаций, по три призовых места в каждой:
— Пробив WEB
— Пробив инфраструктуры
— Девайс
— Hack the logic
— Раз bypass, два bypass
— Ловись рыбка
Главный приз — тяжеленная стеклянная именная статуэтка за первое место. Не менее главные призы: макбуки, айфоны, смарт-часы, умный колонки, а также бесценные подарки от партнеров проекта BI.ZONE Bug Bounty и VK Bug Bounty.
Сбор заявок уже открыт на сайте — https://award.awillix.ru/
Давайте покажем, на что способны этичные хакеры!
#pentestaward
Реклама. ООО «Авилликс». erid: 2Vtzqv2Eg5G
📖 Безопасность веб-приложений ASP.Net Core
Приложения ASP.NET Core подвержены риску атак. Существуют конкретные меры, которые помогут избежать взлома.
В книге показаны такие методы защиты веб-приложений ASP.NET Core, как безопасное взаимодействие с браузером, распознавание и предотвращение распространенных угроз, развертывание уникальных API безопасности этого фреймворка.
Приводятся способы написания безопасного кода и примеры с аннотациями, а также полное описание встроенных инструментов безопасности ASP.NET Core.
Рассматриваются реальные нарушения в системе безопасности, включая мошеннические расширения Firefox и кражу паролей в Adobe.
Вы научитесь:
- использовать инструменты и библиотеки для тестирования и сканирования;
- активировать встроенные механизмы безопасности браузеров из ASP.NET;
- пользоваться преимуществами API безопасности .NET и ASP.NET Core;
- управлять паролями, чтобы свести к минимуму ущерб от утечки данных;
- надежно хранить секретные данные приложения.
Автор: Кристиан Венц
Год выхода: 2023
// Не хакинг, а ИБ
😂 Хакер похитил данные 49 млн клиентов Dell
На прошлой неделе компания начала рассылать пользователям сообщения, в которых предупреждала, что портал Dell, содержащий информацию о покупках клиентов, был взломан.
«В настоящее время мы расследуем инцидент, связанный с порталом Dell, который содержит БД с ограниченными типами данных, связанных с покупками клиентов в Dell, – говорится в уведомлении. – Мы полагаем, что, учитывая тип информации, значительного риска для наших клиентов нет».
В компании подчеркнули, что похищенная информация
не содержит финансовых и платежных данных, адресов электронной почты или номеров телефонов
❗️ Сколько стоит пробить человека
В статье речь пойдет о том, как киберпреступники, за которыми закрепилось название «пробивщики» могут пробить человека по номеру телефона, банковским реквизитам, ФИО и даже по фотографии
«Пробив» – это противоправная услуга, с помощью которой злоумышленники получают из закрытых баз данных информацию о конкретном человеке или организации.
Существование такого предложения было бы невозможно без инсайдеров – сотрудников, у которых есть доступ к нужной информации для выполнения служебных обязанностей.
Всем привет! На связи админ.
Открываю свой блог на день, для всех желающих. Рассказываю про бизнес в телеграм, делюсь инсайдами, показываю цифры и статистику.
/channel/+0kUt3eLhENo1YThi
🥷 Web-сервер глазами хакера
В книге "Web-сервер глазами хакера" рассмотрена система безопасности web-серверов и типичные ошибки, совершаемые web-разработчиками при написании сценариев на языках PHP, ASP и Perl.
// Не хакинг, а ИБ
🌐 Создание анонимного канала связи с помощью IRC и Tor
IRC расшифровывается как Internet Relay Chat и представляет собой систему текстового чата для обмена мгновенными сообщениями. IRC основан на сетевой модели клиент-сервер.
Для анонимного общения нам понадобится:
⏺ Tor
⏺ IRC-сервер
⏺ IRC-клиент
Для этого примера, в качестве виртуальной машины для IRC-сервера, буду использовать сервер Ubuntu.
🗄 Читать статью – линк.
// Не хакинг, а ИБ
🔎 Инструмент хешированя паролей
John the Ripper (досл. «Джон-потрошитель») – свободная программа, предназначенная для восстановления паролей по их хешам.
Основное назначение программы – аудит слабых паролей в UNIX-системах путём перебора возможных вариантов.
Программа способна создавать словари любой сложности, а также извлекать хеш из файла.
Также она может выполнять аудит NTLM-хешей, Kerberos и других.
Программа популярна благодаря поддержке большого количества хешей, автораспознавания хеша и настраиваемого взломщика
🗄 Репозиторий на GitHub – линк.
// Не хакинг, а ИБ
💻 Искусство тестирования на проникновение в сеть
Как захватить власть в любой компании мира
👺 Образцы вредоносных программ
В этом посте собраны ссылки на опасные вредоносные программы.
Они не деактивированы и представляют реальную угрозу. Не скачивайте их, если не уверены в том, что делаете.
Используйте для исследований только изолированные программные среды. В этих коллекциях много червей, которые заразят все, до чего смогут дотянуться.
⏺ theZoo – активно пополняемая коллекция вредоносных программ, собранная специально для исследователей и специалистов по кибербезопасности.
⏺ Malware-Feed – коллекция вредоносных программ от virussamples.com.
⏺ Malware samples – пополняемый github-репозиторий с вредоносами, к которым прилагаются упражнения по анализу вредоносного ПО.
⏺ vx-underground – еще одна обширная и постоянно растущая коллекция бесплатных образцов вредоносных программ.
⏺ Malshare – репозиторий, который помимо образцов малвари предлагает дополнительные данные для YARA.
⏺ MalwareBazaar – проект, целью которого является обмен образцами вредоносного ПО с поставщиками антивирусных программ и сообществом экспертов по информационной безопасности. Поддерживает собственное API.
⏺ Virusbay – онлайн-платформа для совместной работы, которая связывает специалистов из центров мониторинга информационной безопасности с исследователями вредоносных программ. Представляет собой специализированную социальную сеть.
⏺ VirusShare – большой репозиторий вредоносных программ с обязательной регистрацией.
⏺ The Malware Museum – вирусы, распространявшиеся в 1980-х и 1990-х годах. Практически безобидны на фоне остальных ссылок из этого раздела и представляют скорее историческую ценность.
Ссылки предоставляются исключительно в научных и образовательных целях
// Не хакинг, а ИБ
😈 STEIN: ИБ, OSINT — авторский канал от известного OSINT-расследователя. В нём множество обучающих материалов по кибер-разведке и профайлингу с массой полезных инструментов:
· OSINT-разведка: идентификация пользователя по заданной местности
· GEOINT: поиск местоположения по фото
· OSINT: Нахождение секретной техники ВВС США по фото
· OSINT: Применение разведки в военных целях
📨 Подписывайся и осваивай искусство поиска, оно откроет перед тобой массу возможностей!
Новый курс по Linux форензике (DFIR Linux) с задачами, основанными на реальной практике, начинается 27 мая
ЧТО БУДЕТ НА КУРСЕ?
- Решение задач, основанных на APT-отчетах
- Работа с opensource инструментами на протяжении полного цикла реагирования на инциденты
- Поиск и анализ артефактов, оставленных хакерами и их вредоносным ПО
ДЛЯ КОГО СОЗДАН ЭТОТ КУРС?
- для аналитиков 1, 2 и 3 линий SOC
- для для начинающих DFIR специалистов
- для специалистов Red Team
- для организаций, планово повышающих квалификацию сотрудников в сфере реагирования на КИ и форензики ОС семейства UNIX
О НАС
The Codeby, команда-чемпион по этичному хакингу в 2019-2023
Преподаватели: DFIR специалисты SOC L3
Академия Кодебай
образовательный центр по обучению информационной безопасности
для профессионалов
@Codeby_Academy
+74994441750
🪰 OWASP | Методология тестирования безопасности веб-приложений 2020
«Руководство по тестированию веб-безопасности» является основным ресурсом для тестирования кибербезопасности для разработчиков веб-приложений и специалистов по безопасности.
WSTG - это всеобъемлющее руководство по тестированию безопасности веб-приложений и веб-сервисов.
WSTG, созданный совместными усилиями профессионалов в области кибербезопасности и волонтеров, предоставляет набор лучших практик, используемых пентестерами и организациями по всему миру.
// Не хакинг, а ИБ
⚠️👁👁👁
💻 Хочешь быть в курсе всех новостей SKAM мира? - Встречай TalkTheNews.
⚠️ Пока 👮 👮 🕵️♂️ накрывают новую скам тиму, люди - дают нам интервью в которых ты можешь узнать ВСЁ из Скам-Мира.
🛡 Мы говорим о безопасности, и мы предостерегаем вас от скама - в нашем канале вы сможете найти Скам-Лист с людьми, не дайте обмануть себя.
🔈Нас слушают, начни слушать и ты.
🚀 Актуальная ссылка на канал: /channel/+JXFZVTitKbozMDli
✉️ Ссылка на чат с админами - /channel/+0I1WEFgp1XlkODYy
🤖 Инструменты и техники пассивного сбора информации
Какими сервисами и программами пользуется жертва? На каких протоколах и портах у нее есть открытые подключения? С кем, как, и когда она общается? Почти все это можно получить из открытых источников
В статье мы рассмотрим популярные инструменты и техники пассивного сбора информации.
В статье будет рассмотрено:
⏺ Определение почтовых адресов
⏺ Поиск по метаданным
⏺ Получение данных о домене
⏺ Получение записи DNS
~ Поиск почтовых серверов
~ Получение адреса NS
~ Передача зоны DNS
⏺ Поиск поддоменов
~ Брутфорс субдоменов
~ DNSMap
⏺ Анализ информации
🗄 Читать статью – линк.
// Не хакинг, а ИБ
😂 Повышаем свою анонимность
Anonsurf – это инструмент, который поможет вам оставаться анонимным, маршрутизируя каждый пакет через ретранслятор TOR.
Когда вы используете Anonsurf для этического взлома, весь трафик вашей системы проходит через прокси-сервер TOR, из-за которого ваш IP-адрес изменяется.
Разработкой Anonsurf занималась команда Parrot Sec (разработчики Parrot OS), это дает ему определенный кредит доверия.
🗄 Репозиторий на GitHub – линк.
// Не хакинг, а ИБ
Курс для BlueTeam “Реагирование на компьютерные инциденты” стартует 3 июня.
🛡Куратор курса — специалист по РКИ с 5-летним стажем.
ЧТО ВНУТРИ:
- Сбор необходимых материалов с Linux и Windows систем, в том числе дампов памяти
- Анализ записей журналов безопасности и артефактов ВПО
- Реагирование на основе данных из SIEM
- Анализ вредоносных программ
- Оптимизация процесса реагирования на инциденты
- Написание правил для обнаружения ВПО
- Threat Intelligence & Threat Hunting
ВЫ ПОЛУЧИТЕ:
- практические навыки в рабочих задачах РКИ
- уверенность в штатном функционировании систем
- сопровождение и поддержку Академии Кодебай
- сертификат/удостоверение о повышении квалификации
- возможности трудоустройства/стажировки
ЧТО ЗА АКАДЕМИЯ КОДЕБАЙ?
🥇 The Codeby, топ-1 команда по этичному хакингу, пятикратный чемпион the Standoff 2019 — 2023
🤝 Крупнейшее сообщество и форум по информационной безопасности с 2003
Пишите нам @Codeby_Academy
или звоните +74994441750
Можно вечно смотреть, как горит огонь, как течет вода и как у кого-то в 487395 раз не получается взломать ваш сервер.
Skillfactory приглашает на бесплатный интенсив «Профессия пентестер. Как стать хакером и не попасть в розыск Интерпола» с 20 по 22 мая в 20:00 мск.
Три дня практики с погружением в профессию:
▪️установите и настроите виртуальный полигон
▪️познакомитесь с инструментами этичного хакера
▪️взломаете свой первый сервер
▪️поймете, как развиваться в этом направлении дальше
Зарегистрироваться бесплатно: https://go.skillfactory.ru/&erid=2VtzqxUx2NV
Реклама. ООО «Скилфэктори», ИНН: 9702009530
❗️ Поисковики по чатам и каналам Telegram
1. TGstat – позволяет искать по чатам и каналам, но для использования просит авторизацию на сайте. Кроме поиска по Telegram, предоставляет много интересной аналитической информации.
2. Telegago – не требует авторизации и выглядит для пользователей поиска Google очень понятно. Может находить картинки, голосовые сообщения, контакты и многое другое
3. Kribrum – бесплатный продукт от крупного сервиса для мониторинга СМИ и медиа. Может использоваться не только для поиска по Телеграм, но и для поиска по другим платформам и социальным сетям.
// Не хакинг, а ИБ
📝 Утилиты для работы с дорками
1. pagodo – автоматизирует поиск потенциально уязвимых веб-страниц при помощи дорков из вышеупомянутой Google Hacking Database.
2. Grawler – PHP-утилита с веб-интерфейсом для автоматизации использования Google Dorks, очистки и сохранения результатов поисковой выдачи.
3. DorkScout – еще один инструмент для автоматизации поиска с использованием дорков. Написан на Golang.
4. oxDork – утилита для поиска уязвимостей и неправильных конфигураций веб-серверов.
5. ATSCAN SCANNER – предназначен для поиска с использованием дорков и массового сканирования веб-ресурсов на уязвимости.
// Не хакинг, а ИБ
Бесплатный курс: старт в кибербезопасности
В прошлом году число кибератак в России взлетело на 80%. Поэтому информационная безопасность становится ключевым приоритетом для многих компаний — спрос на специалистов по кибербезопасности резко вырос.
На бесплатном курсе вы попробуете себя в качестве такого специалиста и решите его настоящие задачи — найдёте уязвимости в веб-сервисах и настроите компоненты операционной системы для обеспечения безопасности.
Узнайте, с чего начать карьеру в перспективном направлении
Реклама. ООО "Нетология". Erid 2VSb5yydGN4
Всего за 5 минут определите подходящую вам IT-профессию.
Онлайн-школа Skillfactory разработала уникальный профориентационный тест из 18 вопросов. Ответив на них, узнаете наиболее подходящую вам специальность.
Работайте в российских или зарубежных компаниях, в офисе или удаленно. Для айтишников — сниженная ставка по ипотеке, высокая зарплата, комфортные условия и гибкий график.
Переходите по специальной ссылке, чтобы пройти тест, получить карьерный гайд по профессии и скидку 50% на обучение.
Реклама. Информация о рекламодателе по ссылкам в посте.
🏴☠️ Предприниматель получил 6,5 лет тюрьмы за продажу фальшивых устройств Cisco
Онур Аксой, глава группы компаний, контролировавшей множество интернет-магазинов, был приговорен к 6,5 годам тюремного заключения за продажу поддельного сетевого оборудования Cisco на сумму 100 млн долларов правительственным, медицинским, образовательным и военным организациям по всему миру
Согласно судебным документам, Аксой импортировал десятки тысяч модифицированных низкокачественных сетевых устройств из Гонконга и Китая, которые стоили на 98% дешевле, чем реальные продукты Cisco.
🏠 Лучшие сервисы для поиска человека по фотографии
Содержание статьи:
1. Поиск по фотографии
2. Лучшие сервисы для поиска одинаковых фотографии
2.1 Поиск по фото с помощью Google
2.2 Поиск по фотографии Яндексом
2.3 Сервис для поиска по фото TinEye
2.4 Поисковик Bing для поиска по фотографии
2.5 Поиск по фотографии с помощью PimEyes
2.6 Другие сервисы для поиска по фото
Поиск по фото можно условно разделить на две категории:
⏺ Поиск одинаковых фотографий — это когда берется фотография и осуществляется поиск идентичных фото.
⏺ Использование искусственного интеллекта, которое распознает лицо человека и ищет его на фотографиях в сети Интернет.
Если вас интересует где использовался
определенная фотография, тогда вам поможет первый способ. Если необходимо
найти человека по фотографии, тогда второй.
😈 Распространенные атаки, связанные с JWT
1. Подделка токена (Token Forgery): Злоумышленник может попытаться создать или подделать JWT-токен, чтобы получить несанкционированный доступ к приложению или его ресурсам.
Это может произойти, если приложение не проверяет подлинность токена, использует слабые алгоритмы шифрования или не уделяет достаточного внимания проверке подписи.
2. Внедрение токена (Token Injection): Злоумышленник может попытаться внедрить свои данные или изменить содержимое токена, чтобы получить дополнительные привилегии или изменить свои права доступа.
Это может произойти, если приложение неправильно проверяет и обрабатывает данные внутри токена.
3. Брут подписи (Signature Brute-Force): JWT-токены обычно содержат цифровую подпись, которая гарантирует их подлинность.
Однако, слабые алгоритмы подписи или недостаточно длинные ключи могут сделать подпись уязвимой для брута подписи.
Злоумышленник может попытаться перебрать все возможные комбинации ключа для подписи, чтобы создать поддельный токен.
4. Перебор токенов (Token Enumeration): Если приложение предоставляет разные ответы или ошибки для существующих и неверных токенов.
// Не хакинг, а ИБ
❗️ Инструменты для автоматизации атак на JWT
JWT (JSON Web Token) – это стандарт для создания токенов доступа, которые используются для аутентификации и авторизации в веб-приложениях
Однако, некорректная реализация и использование JWT может привести к различным уязвимостям и атакам
🔥
– и мы рассмотрим распространенные атаки, связанные с JWT
☁️ Эксперты обезвредили сервер малвари PlugX, связанной с 2,5 млн IP-адресов
Заброшенный USB-червь PlugX, который бэкдорил подключаемые устройства, продолжал самовоспроизводиться в течение многих лет, хотя его создатели давно потеряли над ним контроль
Малварь оставалась активной на тысячах или даже миллионах машин, но эксперты Sekoia сумели осуществить sinkhole управляющего сервера
В целом ИБ-экспертам было известно о существовании PlugX с 2008 года. Считается, что этот вредонос был создан в Китае и
использовался различными «правительственными» хак-группами
😂 Так выглядят настоящие эксперты информационной безопасности
// Не хакинг, а ИБ
👀 OSINT: Утилиты для поиска по электронной почте и логинам
⏺ Sherlock – инструмент для поиска аккаунтов в социальных сетях по логину пользователя.
⏺ Snoop Project – инструмент для поиска по логинам. По уверениям разработчика охватывает более двух с половиной тысяч сайтов.
⏺ Maigret – собирает досье на человека логину, проверяя аккаунты на двух с половиной тысячах сайтов и собирая всю доступную информацию с веб-страниц. Ключи API не требуются. Форк Sherlock.
⏺ Social Analyzer – API, интерфейс командной строки и веб-приложение для анализа и поиска профилей человека на более чем 1 тыс. сайтов.
⏺ NExfil – python-утилита для поиска профилей по имени пользователя на 350 веб-сайтах.
// Не хакинг, а ИБ