-
Главный архив с лучшими материалами со всего интернета по ИБ и этичному хакингу. Реклама/сотрудничество: @One_Daniil Владелец: @awenft Мы на бирже: https://telega.in/c/searchack
⚠️ Как поддерживать себя в кибербезопасной форме | Инструкция по самообразованию в IT на примере ИБ.
Повышение своих компетенций и самообучение — это то, что нужно делать перманентно, подстраиваясь под запросы рынка и изучая вечные перемены в сфере.
Читать статью - линк.
// Не хакинг, а ИБ
⚠️ NIST SP 800 | Библиотека по информационной безопасности.
NIST – National Institute of Standards and Technology – американский национальный институт стандартизации, аналог отечественного ГосСтандарта.
В его составе функционирует компетентный и имеющий серьезный вес в США центр по компьютерной безопасности – CSRC, объединяющий специалистов федеральных служб, университетов, крупнейших ИТ-компаний США.
Читать статью - линк.
// Не хакинг, а ИБ
⚠️ Как выбрать безопасный VPN.
VPN или Virtual Private Network в переводе с английского – Виртуальная частная сеть – обобщённое название технологий, позволяющих обеспечить сетевое соединение поверх другой сети. В нашем случае – это сеть Интернет.
Читать статью - линк.
// Не хакинг, а ИБ
👾 Как устроен пентест мобильных приложений
Мобильные приложения нуждаются в безопасности не меньше, чем «полноценные» приложения для десктопов или веб-приложения. Для проверки их защищенности используется тестирование на проникновение (пентест).
Несмотря на относительную новизну, в этом направлении ИБ уже сформированы свои методики и своды правил, а также используются специализированные программные инструменты.
Читать статью — линк.
// Не хакинг, а ИБ
💥 Ethical Hacking Labs
Сборник учебных пособий и лабораторных работ, предназначенных для студентов, изучающих этичный хакинг, кибербезопасность, сетевых и системных администраторов.
Исследовать сборник — линк.
// Не хакинг, а ИБ
⚙️ Личный сервер shadowsocks за 10 минут без затрат
shadowsocks — это шифрованный сетевой туннель, клиентская часть которого предоставляет доступ приложениям к сети как SOCKS-прокси, запущенный на этом же устройстве.
В этом руководстве описано развёртывание сервера shadowsocks с плагином v2ray на облачном провайдере Heroku.
Читать статью — линк.
// Не хакинг, а ИБ
🔐 Firejail
Программа-песочница SUID, которая снижает риск нарушений безопасности, ограничивая среду запуска ненадежных приложений, используя пространства имен Linux, seccomp-bpf и возможности Linux.
Изучить инструмент — линк.
// Не хакинг, а ИБ
⚙️ cSploit: набор для тестирования на проникновение в сети Android
Пакет с открытым исходным кодом для анализа и проникновения в сети Android, который призван стать наиболее полным и передовым профессиональным инструментарием экспертов по ИТ-безопасности/гиков для выполнения оценки сетевой безопасности на мобильных устройствах.
Изучить инструмент — линк.
// Не хакинг, а ИБ
🔎 XSStrike
Набор для обнаружения межсайтовых сценариев, оснащенный четырьмя парсерами, интеллектуальным генератором полезной нагрузки, мощным механизмом фаззинга и невероятно быстрым сканером.
Изучить инструмент — линк.
// Не хакинг, а ИБ
🐍 BlackMamba
Система управления и контроля (C2), которая работает с несколькими соединениями одновременно.
Она была разработана с помощью Python и Qt Framework и имеет несколько функций для этапа постэксплуатации.
Изучить инструмент — линк.
// Не хакинг, а ИБ
🦈 BruteShark
Инструмент сетевого криминалистического анализа (NFAT), который выполняет глубокую обработку и проверку сетевого трафика (в основном файлов PCAP, но он также способен напрямую захватывать данные в реальном времени из сетевого интерфейса).
Изучить инструмент — линк.
// Не хакинг, а ИБ
👾 NekoBot
Инструмент автоматического эксплойта для облегчения проникновения на один или несколько веб-сайтов (Wordpress, Joomla, Drupal, Magento, Opencart и т.д.).
Изучить инструмент — линк.
// Не хакинг, а ИБ
💡 Zero Trust: новый подход к информационной безопасности
Традиционные методы защиты данных уже не могут гарантировать безопасность, поэтому компании все чаще обращаются к новой модели информационной безопасности – Zero Trust.
Суть этой модели заключается в том, что никому нельзя доверять априори, а каждый запрос на доступ может происходить только через проверку подлинности и авторизацию.
Читать статью — линк.
// Не хакинг, а ИБ
👾 pisshoff
Простой SSH-сервер, который действует как приманка для хакеров. Все действия, предпринимаемые клиентом при подключении, записываются в формате JSON в файл журнала аудита.
Изучить проект — линк.
// Не хакинг, а ИБ
🔎 Awesome OSINT
Тщательно подобранный список аналитических инструментов и ресурсов с открытым исходным кодом для OSINT.
Изучить список — линк.
// Не хакинг, а ИБ
⚠️ Лаборатория Касперского.
«Лаборатория Касперского» запустила регуляторный хаб знаний в области информационной безопасности (ИБ).
В компании пояснили, что вся информация на этом профильном ресурсе по ИБ актуальна и постоянно дополняется.
Читать статью - линк.
// Не хакинг, а ИБ
⚠️ Фундаментальные законы информационной безопасности.
Все мы знаем о фундаментальных законах физики, открытые Ньютоном и Галилеем. Наверное хотя бы немного со школьных парт слышали об аксиоматике Евклида и так далее.
А что с Информационной Безопасностью?
Есть ли у нас, ИБ-шников свои фундаментальные законы?
Да — есть! И в этой статье о них пойдет речь.
Читать статью - линк.
// Не хакинг, а ИБ
⚠️ Использование XSS в скрытых входных данных и мета-тегах.
В этой статье показали, как мы можем использовать новую функциональность всплывающих окон HTML в Chrome для использования XSS в мета-тегах и скрытых входных данных.
Читать статью — линк.
// Не хакинг, а ИБ
🐝 Bluepot: Bluetooth Honeypot
Программное обеспечение, предназначенное для приема и хранения любого вредоносного ПО, отправленного на него, и взаимодействия с распространенными атаками Bluetooth, такими как «BlueBugging?» и «BlueSnarfing?».
Система также позволяет отслеживать атаки с помощью графического пользовательского интерфейса, который предоставляет графики, списки, дашборд и дальнейший детальный анализ из лог-файлов.
Изучить инструмент — линк.
// Не хакинг, а ИБ
🔐 FragAttacks
Инструмент, который тестирует Wi-Fi-клиенты и точки доступа на предмет фрагнации и атаки с использованием aggregation.
Изучить инструмент — линк.
// Не хакинг, а ИБ
🔎 ntopng
Веб-мониторинг безопасности сетевого трафика.
Это новое воплощение оригинального ntop, написанного в 1998 году, и теперь обновленного с точки зрения производительности, удобства использования и функций.
Изучить инструмент — линк.
// Не хакинг, а ИБ
👾 Antivmdetection
Инструмент, помогающий создавать шаблоны, которые можно использовать с VirtualBox для усложнения обнаружения виртуальных машин.
Изучить инструмент — линк.
// Не хакинг, а ИБ
🔐 Sshwatch
Система предотвращения вторжений (IPS) для Secure Shell (SSH).
Система реагирует на подозрительную активность, настраивая брандмауэр Linux (iptables) на блокировку сетевого трафика от предполагаемого вредоносного источника.
Подозрительная активность определяется с помощью журналов проверки подлинности или безопасности.
Изучить инструмент — линк.
// Не хакинг, а ИБ
🛠 Ghauri
Продвинутый кроссплатформенный инструмент, автоматизирующий процесс обнаружения и эксплуатации уязвимостей безопасности SQL-инъекций.
Изучить инструмент — линк.
// Не хакинг, а ИБ
🤖 Простой Telegram бот для логирования
Из этой статьи вы узнаете, как создать Telegram бота, который будет отправлять вам сообщения о ходе выполнения вашего кода.
Это удобно, когда вы запускаете скрипты, которые будут работать довольно долго: вам не придется постоянно проверять, отработал уже скрипт или еще нет.
Читать статью — линк.
// Не хакинг, а ИБ
👨💻 Несанкционированный доступ: понятие, типы и первоисточники проблем
Несанкционированный доступ к информации — проблема, которую не стоит недооценивать. Если к данным получает доступ кто-то кроме ответственных за работу с ними сотрудников, компанию обычно ждут весьма печальные последствия.
Читать статью — линк.
// Не хакинг, а ИБ
📍 Ибэшников на всех не хватает! Спасет ли аутсорсинг?
Кому и когда пора идти за аутсорсом? Стоит ли доверять «арендованному» персоналу и как не ошибиться с выбором подрядчика? Какие задачи подходят для аутсорса, а какие – нет? Ответы на эти и другие вопросы – в этой статье.
Читать статью — линк.
// Не хакинг, а ИБ
🔐AnXray
Универсальный набор инструментов прокси/VPN для Android.
Поддерживаемые протоколы:
— SOCKS
— HTTP(S)
— SSH
— Shadowsocks
— WireGuard ( wireguard-plugin ) и другие
Изучить набор — линк.
// Не хакинг, а ИБ
💉 Внедрение кода
Внедрение кода это серьезная и распространенная уязвимость, которая может позволить злоумышленникам выполнять вредоносный код в системе или приложении. Его можно использовать различными способами, включая внедрение SQL, межсайтовый скриптинг (XSS) и внедрение команд. Внедрение кода может привести к краже данных, повреждению систем и приложений и другим угрозам безопасности.
В статье вы познакомитесь с этой уязвимостью подробнее.
Читать статью — линк.
// Не хакинг, а ИБ
👾 Курсы кибергигиены: основа информационной безопасности компании
Курсы по информационно безопасности нужны не только сотрудникам ИБ-отдела и даже не только определенным сотрудникам компании, а абсолютно всем. Обучение информационной безопасности в современном мире, где практически все сферы жизни оцифровались, должно быть на ровне с пожарной безопасностью и другими фундаментальными правилами, которые сотрудникам предписано соблюдать на рабочем месте.
Читать статью — линк.
// Не хакинг, а ИБ