-
Главный архив с лучшими материалами со всего интернета по ИБ и этичному хакингу. Реклама/сотрудничество: @One_Daniil Владелец: @awenft Мы на бирже: https://telega.in/c/searchack
🐱 Анализ сценариев оболочки
ShellCheck – инструмент статического анализа сценариев оболочки
Инструмент GPLv3, который выдает предупреждения и предложения для сценариев оболочки bash/sh.
Цели ShellCheck:
⏺ Указать и прояснить типичные синтаксические проблемы новичка, которые вызывают оболочку для выдачи загадочных сообщений об ошибках.
⏺ Указать и прояснить типичные семантические проблемы промежуточного уровня, которые заставляют оболочку вести себя странно и нелогично.
⏺ Указать на тонкие предостережения, угловые случаи и подводные камни, которые могут вызвать, в противном случае сценарий продвинутого пользователя может выйти из строя при будущих обстоятельствах.
🗄 Репозиторий на GitHub – линк.
// Не хакинг, а ИБ
🔑 Вызов мастеру ключей
Инжектим шелл-код в память KeePass, обойдя антивирус
“Active Directory: пентест инфраструктуры - 2024". Успейте записаться на курс до 4 июля!
Это последний поток курса, который ведут его авторы: HackerRalf (Михаил Порываев) и BlackRabbit (Павел Никитин), 5-кратные победители the Standoff
Содержание курса:
- Архитектура AD и ее базис
- Компоненты AD Kerberos, Microsoft SQL Server и центр сертификации — как их взломать?
- Харденинг в AD, добыча критичной информации, развитие по инфраструктуре
- Как закрепиться внутри? Техники и эксплоиты
На 100% прикладной курс:
практическая лаборатория AD содержит 16 виртуальных машин, позволяя участникам отточить свои навыки на практике в 100+ рабочих тасках
🏆 Трудоустройство для лучших выпускников
🏆 Сертификат / удостоверение о повышении квалификации
Пишите нам @Codeby_Academy
или звоните +74994441750
Подробнее о курсе
🥷 Анонимность и безопасность | За тобой не придут с болгаркой
Содержание курса:
~ Поймете, что такое Анонимность, а что Конфиденциальность
~ Научитесь применять стратегии личностей
~ Определять свои активы и защищать их
~ Песочницы windows
~ Анонимные операционные системы Linux
~ Создавать Hardened Browser для улучшенной приватности и анонимности
~ Работать с менеджерами паролей
~ Дисковое шифрование
~ Шифрование в облаке
~ Безопасное удаление файлов
~ Технологии VPN
~ Самоуничтожение данных
~ Что делать если уже пришли с болгаркой
~ Анонимная экономика
~ Биохакинг
~ План отхода
🗄 Смотреть курс – линк.
// Не хакинг, а ИБ
❗️ Более 100 000 сайтов пострадали от использования домена Polyfill[.]io
Исследователи предупредили об атаке на цепочку поставок, затронувшей более 100 000 сайтов, использующих cdn.polyfill[.]io.
Термином polyfill («полифил») обозначают код, реализующий какую-либо функциональность, которая не поддерживается в некоторых версиях браузеров.
Например, полифил может добавлять JavaScript-функциональность, которая недоступна для старых браузеров, но уже присутствует в современных.
🥷 Тестирование черного ящика
Технологии функционального тестирования программного обеспечения и систем
💻 Сканер большого диапазона IP-адресов и портов
Masscan – быстрый сетевой сканер, который хорошо подходит для сканирования большого диапазона IP-адресов и портов
Он может сканировать весь Интернет менее чем за 5 минут, передавая 10 миллионов пакетов в секунду с одной машины
☁️ Пробив по Email и другим сетям OSINT
OSINT (Open Source INTelligence) – это разведка по открытым источникам, то есть поиск информации о человеке или организации по базам данных, которые доступны всем.
Этим занимаются как специальные организации и службы, так и компании (чтобы проверить сотрудников или узнать больше о конкурентах) и просто люди, когда хотят получше узнать, с кем они общаются
Мы собрали список сервисов, которые помогут в этом. Упор сделан на сайты, ориентированные на РФ, поскольку в разных странах форматы данных отличаются и это затрудняет поиск
🎉 Результаты розыгрыша:
Победители:
1. Алексей (@ashuum)
2. Ser (@user_sert)
3. Леонид (@leo_sad_das)
4. vz (@armus7)
5. Антон (@Anton_Gavr)
6. D00M7R41N (@FR34K3N5731N)
7. Евгений (@Moncwari)
8. Dim
9. Николай
10. Igor (@ashanazazan)
11. Ступор (@dkondr1)
12. Namsoyoo (@namsoyoo)
13. Дмитрий (@iamshpagindk)
14. Roman (@Roman514)
15. 4u (@FromSpbWithLov3)
Проверить результаты
😂 Хакинг: искусство эксплойта. 2-е изд.
Каждый программист по сути своей – хакер. Ведь первоначально хакингом называли поиск искусного и неочевидного решения
😂 Заказчик: протестируйте устойчивость моего ресурса к DDoS без применения защиты.
Исполнитель: Хорошо, устраивайтесь поудобнее...
// Не хакинг, а ИБ
😁 Linux глазами хакера
В ходе прочтения книги вы научитесь:
⏺ Основам операционной системы Linux и её архитектуре;
⏺ Работе в командной строке Linux и основным командам для управления файлами и процессами;
⏺ Основам безопасности Linux и методам защиты от атак;
⏺ Применению различных инструментов и техник для анализа и тестирования безопасности Linux-систем;
⏺ Разработке собственных скриптов и инструментов для работы с Linux-системами.
Этот курс предназначен для специалистов по информационной безопасности, системных администраторов и всех, кто хочет изучить Linux с точки зрения хакера.
🥷 Курс по этичному взлому
Рассмотрите вопросы взлома Wi-Fi, сканирование уязвимостей, анализа вредоносного программного обеспечения и эксплуатации, тестирования на проникновение и этического хакерства.
🗄 Смотреть курс – линк.
// Не хакинг, а ИБ
🔥Совместный вебинар-дискуссия «КРЕДО-С» и F.A.C.C.T. | Зрелость ИБ: сверяем вектор развития кибербезопасности с мнением экспертов
Когда: 20 июня, 11:00
📝 Регистрация
Киберугрозы растут, атаки хакеров становятся более изощренными.
Вектор развития ИБ приходится корректировать даже зрелым компаниям. Иначе слишком велик риск потерять цифровые активы, клиентские базы, деньги и репутацию.
Но как понять, что вы развиваете ИБ правильно? С кем сверить курс развития? Все ли этапы построения ИБ-системы учтены? Разбираемся на вебинаре 20 июня в 11:00.
Вы узнаете:
👉Первые шаги в ИБ: какие нормативно-правовые акты следует учитывать при построении правильной системы киберзащиты
👉Какой вектор развития ИБ в компании рекомендуют эксперты
👉Какие этапы в ИБ должен пройти любой бизнес и почему нельзя пропускать любой из них
Программа вебинара состоит из двух частей: теоретической и дискуссионно-практической. Участие бесплатное.
Задать вопрос спикерам и получить экспертный ответ вы сможете в прямом эфире.
📝 Регистрация
Реклама. ООО "КРЕДО-С" ИНН: 7106014366, erid: 2VtzqvttfvF
————————————
Категория — Кибербез, Хакинг и OSINT
————————————
На конференциях по кибербезу теперь можно найти работу
CyberYozh выкатил новый формат онлайн-конференции, где можно не только послушать умных дядек из отделов безопасности, но и получить оффер от крупной компании.
Мероприятие под названием «Войти_в_IT» пройдет с 20 по 28 июня. Выступать будут руководители направлений из VK, СберТех, HH, RuTube и других компаний.
😎Основной уклон мероприятия на кибербез и защиту от мошенничества, но фишка здесь в другом: каждый участник может оставить заявку на стажировку или работу.
Участие полностью бесплатное, а расписание можно посмотреть здесь.
————————————
🤖 Фишинговые боты крадут Telegram-аккаунты и криптовалюту у русскоязычных пользователей
Специалисты «Лаборатории Касперского» обнаружили схему кражи Telegram-аккаунтов и криптовалюты.
При помощи фишинговых ботов злоумышленники атакуют владельцев цифровых активов, которые совершают P2P-сделки внутри мессенджера
В самом начале потенциальной жертве сообщают, что для повышения уровня безопасности и соблюдения требований регуляторов якобы необходимо пройти KYC-верификацию, иначе криптокошелек будет заморожен.
Сделать это предлагают через специальный сервис авторизации, ссылку на который присылают сами мошенники.
Разумеется, никакой KYC-проверки нет, и мошенники просто заманивают человека в фишингового бота
👩💻 Фреймворк для поиска уязвимостей
Sudomy – это мощный Bash-скрипт, который включает в себя множество инструментов для анализа, перебора, поиска поддоменов. Сбор информации может делать пассивно или активно
Функции:
⏺ проверяет, возможно ли легко захватить поддомен;
⏺ идентифицирует технологии, используемые сайтом;
⏺ обнаруживает порты, урлы, заголовки, длину содержимого, код состояния HTTP;
⏺ проверяет принадлежность IP к Cloudflare;
⏺ может отправлять уведомления в Slack;
⏺ сканирует порты с собранных IP-адресов, поддоменов, виртуальных хостов
Для активного метода скрипт использует gobuster из‑за его высокой скорости брутфорса. При бруте поддоменов применяется словарь из SecLists (Discover/DNS), который содержит около трех миллионов записей
🗄 Репозиторий на GitHub – линк.
// Не хакинг, а ИБ
❗️ Как найти человека по нику
В статье рассмотрим сервисы, позволяющие «в одном окне» провести поиск ника, в социальных сетях и крупных порталах.
Сайты о которых пойдет речь могут найти человека в блогах, соцсетях, социальных закладках, бизнес-сервисах, сообществах, новостях т.д.
⏺ NameChk – данный сайт позволяет провести поиск ника в социальных сетях и других крупных сайтах, таких как: Vkontakte, Facebook, Twitter, Youtube, Ebay, Paypal, Steam и т.д.
⏺ Pipl – сайт умеет искать людей по прозвищу, имени и фамилии. Вместе с поиском по нику можно также искать по местоположению
⏺ Spokeo – это еще один поиск по нику в социальных сетях и на крупных сайтах. Умеет сканировать 61 сайт. Ищет по имени, нику, телефонному номеру и адресу. Полученные данные группирует по категориям
⏺ Where-You – еще один, но на этот раз уже бесплатный сервис который позволяет найти человека по нику, фамилии, городу, стране, дате рождения и даже отчеству
🗄 Читать статью – линк.
// Не хакинг, а ИБ
❗️ Реальный пример проведения пентеста
Сегодня мы рассмотрим интересный пример пентеста, в котором покажем, как неправильная настройка сервера STUN позволила мне проникнуть в локальную сеть, обойти защиту и проэксплуатировать Log4Shell, захватить виртуальную инфраструктуру при помощи SAML-аутентификации, продвинуться во внутренней сети и с помощью атаки Pass the Hash получить доменного администратора
🔥 – чтобы подобные истории выходили чаще
🗄 Читать статью – линк.
// Не хакинг, а ИБ
👨💻Готовы стать джедаем визуализации событий безопасности? 9 июля в 20:00 мск открывается дверь в мир виртуозных дашбордов и отчётов в SIEM!
✔️Что ждет вас на открытом уроке:
- разработка интуитивно понятных дашбордов и отчётов в области информационной безопасности с использованием Python, JavaScript и ресурсов SIEM;
- погружение в мир визуализации данных в SIEM: отчёты, графики, аналитика;
- применение знаний на практике.
🚩Кому будет полезен вебинар:- специалистам по информационной безопасности, желающим выйти на новый уровень экспертизы;- действующим аналитикам и администраторам SIEM, стремящимся улучшить качество своей работы.
Встречаемся в преддверии старта курса «Специалист по внедрению SIEM». Все участники вебинара получат специальную цену на обучение и несколько открытых уроков курса. Регистрируйтесь тут: https://clck.ru/3BVLrp
Реклама. ООО "ОТУС ОНЛАЙН-ОБРАЗОВАНИЕ". ИНН 9705100963.
Спец по инфобезу: защищает 1 компанию
Автор курса по инфобезу: защищает десятки/сотни компаний
Яндекс Практикум — сервис современного онлайн-образования, где обучают актуальным цифровым профессиям. Сейчас есть возможность присоединиться к команде и разработать курс «Специалист по информационной безопасности».
Автор готовит тексты уроков, тесты, памятки и прочие материалы, упаковывает свой опыт в учебные кейсы и в буквальном смысле влияет на развитие индустрии. Это достойная задача для мидлов и для сеньоров.
В Практикуме понимают уровень загрузки экспертов, поэтому сделали условия максимально комфортными: удалёнка, гибкий график и частичная занятость от 10 часов в неделю — не помешает ни основной работе, ни отдыху. Свежий взгляд на профессию и вдохновение входят в welcome pack 👌
Подробности >>
Как расследуют киберпреступления в облаках? 🕵️
Предотвращать инциденты ИБ с каждым годом становится труднее. То же самое можно сказать об их расследовании. Особенно если речь идет об атаках на инфраструктуру, которая развернута в стороннем облаке. В этом случае в расследовании появляется третье лицо — облачный провайдер.
Что именно он должен делать и какую ответственность несет? На бесплатном вебинаре об этом расскажут эксперты Nubes (НУБЕС) и Angara Security.
Подключайтесь 27 июня в 11.00, чтобы узнать:
🔸 как проводятся расследования инцидентов ИБ, если они связаны с инфраструктурой в сторонних облаках?
🔸 чем облачный провайдер может помочь криминалистам: какие логи, где именно и в каком виде он должен хранить?
🔸 как грамотно сформировать матрицу разграничения зон ответственности с провайдером облачных услуг: какие вопросы ИБ должны лежать в его плоскости?
Регистрация бесплатная, присоединяйтесь >>
🤨 Сетевая разведка и перехват трафика с помощью ARP
При пентесте канального уровня важной частью является сетевая разведка
В сегодняшней статье поговорим о технике сетевой разведке (ARP Harvesting) и перехвате трафика с помощью ARP (ARP Cache Poisoning).
Сканирование ARP позволяет провести перечисление активных хостов и имеет небольшое преимущество перед ICMP-сканированием, поскольку трафик ICMP в корпоративной сети может быть ограничен, а то и вовсе выключен
🗄 Читать статью – линк.
// Не хакинг, а ИБ
🍏 Хакер заявляет, что похитил у Apple исходные коды внутренних инструментов
Хакер под ником IntelBroker заявил на BreachForums, что похитил у компании Apple исходный код нескольких внутренних инструментов
Согласно опубликованному злоумышленником сообщению, «в июне 2024 года у Apple.com произошла утечка данных» (к которой хакер, вероятно, был причастен), что и привело к раскрытию информации.
IntelBroker утверждает, что в результате он заполучил исходный код для следующих внутренних инструментов компании: AppleConnect-SSO, Apple-HWE-Confluence-Advanced и AppleMacroPlugin.
Напомним, что в последнее время IntelBroker регулярно сливает данные, похищенные у целого ряда правительственных учреждений США, включая Госдеп, Министерство обороны и армии США, а также Иммиграционную и таможенную полицию (ICE) и Службу гражданства и иммиграции США (USCIS).
👀 OSINT: Сбор информации из открытых источников
TheHarvester – бесплатный инструмент OSINT с открытым исходным кодом на Python.
Он был разработан для сбора информации из различных источников, таких как поисковые системы, база данных Shodan, Hunter, Baidu и т.д.
Может находить информацию о доменах, поддоменах, IP-адресах, учетных записях электронной почты, именах сотрудников и многое другое. Позволяет использовать модули с API, такие как bingapi, gitHub и другие.
🗄 Репозиторий на GitHub – линк.
// Не хакинг, а ИБ
🔐 КапибарыCTF: IT и кибербезопасность для детей!
Виртуальные миры, безумное "тапание хомяка" и бесполезные игры отвлекают наших детей от поистине больших возможностей!
КапибарыCTF - это отличный способ разжечь интерес детей к миру IT, главное, заинтересовать детей, для чего наше сообщество и создано, мы учим детей основам IT и кибербезопасности через увлекательные CTF соревнования.
🏆 Присоединяйтесь к нам и будем вместе вдохновлять, учить и побеждать!
“Active Directory: пентест инфраструктуры - 2024" стартует 24 июня.
Это последний поток курса, который ведут его авторы: HackerRalf (Михаил Порываев) и BlackRabbit (Павел Никитин), 5-кратные победители the Standoff
Содержание курса:
- Архитектура AD и ее базис
- Компоненты AD Kerberos, Microsoft SQL Server и центр сертификации — как их взломать?
- Харденинг в AD, добыча критичной информации, развитие по инфраструктуре
- Как закрепиться внутри? Техники и эксплоиты
На 100% прикладной курс:
практическая лаборатория AD содержит 16 виртуальных машин, позволяя участникам отточить свои навыки на практике в 100+ рабочих тасках
🏆 Трудоустройство для лучших выпускников
🏆 Сертификат / удостоверение о повышении квалификации
Пишите нам @Codeby_Academy
или звоните +74994441750
Подробнее о курсе
По данным сайта hh.ru, профессия специалиста по кибербезопасности находится на первом месте по востребованности в 2024 году.
Если вы хотите защищать бизнес и госсектор от хакерских атак и бороться со злоумышленниками в цифровой среде, получите востребованную профессию в онлайн-магистратуре НИУ ВШЭ и Нетологии «Кибербезопасность». Диплом ведущего вуза и актуальные знания от экспертов-практиков откроют вам дорогу на руководящие позиции в сфере кибербезопасности.
За 2 года вы освоите современные инструменты и технологии информационной безопасности, научитесь программировать на Python, пройдёте практику у партнёров и наполните своё портфолио.
Во время обучения вы примете участие в киберучениях на учебном полигоне компании «Инфосистемы Джет», выполните лабораторные работы на серверах ВШЭ и проведёте пентест реальной компании. По окончании программы получите диплом магистра по направлению «10.04.01 Информационная безопасность».
Узнать подробности о программе 👉 https://netolo.gy/deWQ
Реклама. ООО "Нетология". Erid: 2VSb5yZo6YQ
🤖 Многопоточный сетевой сканер разведки
Сегодня мы рассмотрим программу AutoRecon, цель которой – автоматизировать методы разведки сети и перечисления служб
Преимущество AutoRecon перед другими инструментами сбора информации и интернет-сканирования заключается в том, что он позволяет обрабатывать собранную информацию непосредственно в AutoRecon и действовать на ее основе.
Это включает в себя выполнение таких действий, как Nmap, а также прогон собранных данных через другие инструменты сканирования, такие как feroxbuster, sslscan, nbtscan, Nikto и другие
🗄 Читать статью – линк.
// Не хакинг, а ИБ
🖥 Баг в IDE IntelliJ компании JetBrains сливает токены GitHub
Компания JetBrains предупредила клиентов об исправлении критической уязвимости, которая затрагивает пользователей IDE IntelliJ и позволяет получить доступ к токенам GitHub.
Уязвимость отслеживается под идентификатором CVE-2024-37051 и затрагивает все IDE на базе IntelliJ, начиная с версии 2023.1, в которых включен, настроен или используется плагин JetBrains GitHub
JetBrains уже выпустила патчи, устраняющие критическую проблему в версии 2023.1 или более поздних.
🗄 Источник – линк.
// Не хакинг, а ИБ