-
Главный архив с лучшими материалами со всего интернета по ИБ и этичному хакингу. Реклама/сотрудничество: @One_Daniil Владелец: @awenft Мы на бирже: https://telega.in/c/searchack
🌐 Как превратить умную колонку Google в «жучок» и получить за это $100 тысяч
Недавно компания Google выплатила мне награду в $107500 за ответственное раскрытие проблем безопасности в умной колонке Google Home.
Эти уязвимости позволяли нападающему, находящемуся в пределах беспроводного доступа, создать на устройстве бэкдор-аккаунт и удалённо отправлять команды через Интернет, получать доступ к микрофону и выполнять произвольные HTTP-запросы в локальной сети жертвы.
Читать статью - линк.
// Не хакинг, а ИБ
⚠️ VulunHub | Платформа для практики в области информационной безопасности
Vulnhub - это платформа, которая предоставляет уязвимые приложения/машины для получения практического опыта в области информационной безопасности.
VulunHub полностью бесплатный источник, откуда любой желающий может загрузить понравившуюся ему виртуалку и приступить к поиску флагов.
Репозиторий на GitHub
// Не хакинг, а ИБ
Дискуссия "Автоматизация процессов экономической безопасности: OnCloud, SaaS и On-Premise-решения"
Приглашаем вас к дискуссии 23 января в 16.00 в прямом эфире.
Что вас ждет:
— Обзор трендов: последние тенденции в автоматизации процессов экономической безопасности;
— OnCloud vs SaaS vs On-Premise: плюсы и минусы облачных, сервисных и локальных решений;
— Практические кейсы: реальные примеры успешной интеграции систем;
— Интерактивная сессия: вопросы и ответы ведущим экспертам в области ИБ.
Спикеры:
Алексей Соколов - директор продукта Гарда Аналитика, группа компаний Гарда
Сергей Оганесов, директор по корпоративной защите ГПМ Проекты
Ксения Трохимец, эксперт по Human Capital
Виктор Ивлев, директор по ИБ Града Технологии
До встречи в эфире🛡
Регистрируйтесь!
Реклама. ООО "ГАРДА ТЕХНОЛОГИИ". ИНН 5260443081. erid: LjN8Jzf25
Дискуссия "Автоматизация процессов экономической безопасности: OnCloud, SaaS и On-Premise-решения"
Приглашаем вас к дискуссии 23 января в 16.00 в прямом эфире.
Что вас ждет:
— Обзор трендов: последние тенденции в автоматизации процессов экономической безопасности;
— OnCloud vs SaaS vs On-Premise: плюсы и минусы облачных, сервисных и локальных решений;
— Практические кейсы: реальные примеры успешной интеграции систем;
— Интерактивная сессия: вопросы и ответы ведущим экспертам в области ИБ.
Спикеры:
Алексей Соколов - директор продукта Гарда Аналитика, группа компаний Гарда
Сергей Оганесов, директор по корпоративной защите ГПМ Проекты
Ксения Трохимец, эксперт по Human Capital
Виктор Ивлев, директор по ИБ Града Технологии
До встречи в эфире🛡
Регистрируйтесь!
Реклама. ООО "ГАРДА ТЕХНОЛОГИИ". ИНН 5260443081. erid: LjN8JzKY9
Можно годами мечтать о том, чтобы стать белым хакером, не зная, с чего начать.
А можно просто прийти на бесплатный онлайн-интенсив «Профессия пентестер. Как стать хакером и не попасть в розыск Интерпола».
С 22 по 24 января потрогаете профессию руками — в прямом смысле, ведь будет очень много практики.
Всего три дня, а сколько полезного:
– погружение в специфику работы белого хакера;
– самостоятельный взлом сервера;
– подарки и индивидуальная обратная связь от эксперта.
Поэтому хватит мечтать — взломайте, наконец, свою рутину: https://go.skillfactory.ru/&erid=2Vtzqw6w1AM
Реклама. ООО «Скилфэктори», ИНН 9702009530
📚 Джентльменский набор для новичка из 4 книг по хакингу.
1. Занимайся хакингом с ловкостью порнозвезды.
2. Занимайся хакингом с ловкостью Бога.
3. Занимайся расследованием киберпреступлений как рок-звезда.
4. Занимайся хакингом как легенда.
// Не хакинг, а ИБ
🎙 200+ подкастов про информационную безопасность и хакерские атаки
Мы решили сделать для вас подборку ИБ-подкастов.
Это аудиоконтент с различными шоу и экспертными интервью, которые помогут прокачать профессиональные навыки, узнать последние новости, сориентироваться в индустрии и заодно прокачать английский язык.
Читать статью - линк.
// Не хакинг, а ИБ
📱 Так ли безопасен ваш iPhone? Обзор уязвимостей и тайных ходов в iOS
Компания Apple потратила значительные усилия для того, чтобы заслужить себе репутацию, стойко отбиваясь от ФБР и прочих представителей силовых структур, ищущих возможность произвольного сбора данных владельцев iPhone.
В 2016 г. Apple отказалась ослабить защиту iOS для того, чтобы ФБР могла разблокировать iPhone стрелка из Сан-Бернардино.
Читать статью - линк.
// Не хакинг, а ИБ
⚠️ Обзор бесплатных инструментов для аудита web-ресурсов
Краткий обзор и типовые примеры использования бесплатных утилит, которые помогут белым хакерам, администраторам, разработчикам, тестировщикам проверить свои ресурсы в автоматизированном режиме.
Читать статью - линк.
// Не хакинг, а ИБ
⚠️ Взаимодействие ИТ и ИБ: средства защиты.
Важно понимать основные точки противоречий между ИТ и ИБ подразделениями и принять ряд организационных решений.
Одной из основных проблем является недостаток взаимопонимания между ИТ и ИБ специалистами.
Читать статью - линк.
// Не хакинг, а ИБ
👀 25+1 лучших OSINT расширений для Google Chrome.
Сегодня мы разберем расширения для Google Chrome которые помогут нам собирать и анализировать данные из открытых источников, ну и в целом улучшат наш опыт проведения расследований.
Читать статью - линк.
// Не хакинг, а ИБ
⚠️ Современные технологии обхода блокировок: V2Ray, XRay, XTLS, Hysteria, Cloak.
В этой статье я проведу обзор самых передовых протоколов и технологий, которые:
⏺ позволяют делать передаваемый трафик не похожим вообще ни на один существующий стандартный протокол, делая его полностью неразличимым для цензоров;
⏺ либо наоборот, позволяют максимально достоверно маскироваться под безобидный HTTPS-трафик, включая защиту сервера от детектирования методом active probing с помощью фейкового веб-сайта, маскировку TLS fingerprint клиента под обычный браузер, и защиту от выявления туннеля нейросетями (детектирования TLS-inside-TLS);
⏺ позволяют работать в условиях жесткого шейпинга канала и потерь пакетов;
⏺ позволяют создавать цепочки из серверов и настраивать маршруты (например, фильтровать трафик до российских адресов).
Читать статью - линк.
// Не хакинг, а ИБ
Бэкап — канал с исходниками популярных проектов.
Здесь вы найдёте исходные коды нейросетей, ботов, сайтов и других интересных проектов, которые вдохновят вас, дадут дополнительные знания и готовые решения для ваших проектов.
➡️ Подписывайся
🛡 Исследование 400 сайтов государственных организаций с помощью инструментов OSINT.
Компания Angara Security провела исследование 400 сайтов государственных организаций в 80 регионах России.
Специалисты ИБ‑компании анализировали онлайн‑ресурсы правительств субъектов РФ, экономических ведомств, министерств здравоохранения и образования.
По словам экспертов по кибербезопасности, чаще всего на региональных сайтах используется небезопасный протокол HTTP, передающий конфиденциальную информацию в открытом виде.
Читать статью - линк.
// Не хакинг, а ИБ
👩💻 OVERLOAD - это мощная и полуавтоматическая экосистема, созданная для упрощения сложных процессов анализа безопасности, сбора информации, социальной инженерии, мониторинга утечек данных и поиска уязвимостей.
🌐 В боте собраны 50 инструментов, которые помогут вам защититься от киберугроз и деанонимизации, а гибкие тарифы помогут выбрать оптимальный вариант работы с ботом:
1️⃣ Freelancer - для начинающих специалистов.
2️⃣ Leak Explorer - мониторинг утечек данных.
3️⃣ Pentest - для пентестеров, аудит безопасности.
4️⃣ Parser - анализ больших данных и SMM.
5️⃣ Social Engineering - социальная инженерия, OSINT.
6️⃣ Leak Engineering - СИ, OSINT и работа с утечками.
7️⃣ Deluxe - комплексный доступ, все инструменты.
🔐 Защитите свои ресурсы, обезопасьте свою информацию, распознайте слабые места в сети - всё это возможно с OVERLOAD
С 25 по 30 января пройдёт леденящий душу марафон о самом устрашающем языке программирования — JavaScript. Марафон отлично подойдёт для всех, кто давно хотел научиться новому, но боялся начать.
На 6 дней вы получите бесплатный доступ к тренажерам и полезным материалам HTML Academy.
Выполняйте задания, знакомьтесь с JavaScript и побеждайте все страшные баги на своём пути. Ну или просто знакомьтесь с JavaScript, так тоже можно. На каждом этапе помощь наставника, а в конце марафона разбор всех вопросов и сложностей в прямом эфире.
Среди участников мы проведем розыгрыш крутых подарков и предоставим скидки на наши лучшие продукты.
Узнать подробнее.
Реклама. ООО "ИНТЕРАКТИВНЫЕ ОБУЧАЮЩИЕ ТЕХНОЛОГИИ". ИНН 7807382880.
«Black Hat Python: программирование для хакеров и пентестеров» 2-е
Во втором издании бестселлера Black Hat Python вы исследуете темную сторону возможностей Python — все от написания сетевых снифферов, похищения учетных данных электронной почты до разработки анализа виртуальных машин и создания скрытых троянов.
Автор: Зейтц Д., Арнольд Т.
Год выхода: 2022
// Не хакинг, а ИБ
🖥 IT-системы крупных компаний может взломать даже начинающий хакер
Хотя проблемы информационной безопасности довольно широко обсуждаются в последние годы и все больше людей узнает об их важности, корпоративные системы многих компаний до сих пор недостаточно защищены.
Более того, как показало статистическое исследование, проведенное специалистами Positive Technologies, эти системы зачастую может взломать даже не особенно квалифицированный киберпреступник.
Читать статью - линк.
// Не хакинг, а ИБ
🛡 Aquatone: Инструмент визуального осмотра поверхности для атаки на основе HTTP
Aquatone – это бесплатный проект с открытым исходным кодом, целью которого является облегчение визуальной проверки веб-сайтов.
Этот ценный инструмент также поддерживает поиск веб-сайтов в большом количестве, что может сделать задачу сбора информации о поверхности атаки вашего веб-сайта удивительно простой.
Репозиторий на GitHub
Хотите чтобы выходили книги?
👍 - да
👎 - нет
// Не хакинг, а ИБ
🔎 99+ бесплатных инструментов для анализа зловредов
Существуют сотни инструментов, которые помогают исследовать вредоносное ПО. К счастью, многие из них бесплатны и имеют открытый исходный код.
Собрали онлайн-сканеры подозрительных файлов, инструменты для статического и динамического анализа, системы для описания и классификации угроз и, конечно, репозитории с малварью, которую можно исследовать.
Читать статью - линк.
// Не хакинг, а ИБ
⚠️ 20+ open source утилит для шифрования файлов на (почти) любой случай жизни
Мы собрали тулкит из популярных программ (преимущественно с симметричным шифрованием), которые помогут защитить личные данные от несанкционированного доступа и попросили исследователя криптографии из компании «Криптонит» прокомментировать наш выбор.
Читать статью - линк.
// Не хакинг, а ИБ
ZeroDay - это про безопасность с нуля
🟢Вирусы и вредоносное ПО
🟢Атаки и взлом сетей
🟢OSINT и киберразведка
🟢Криптография
🟢Новости и события мира ИБ
И многое другое...
👴 Атака на Wi-Fi встроенными средствами macOS
TL;DR Встроенные средства macOS позволяют выполнить некоторые атаки на Wi-Fi-сети.
В статье описывается, как с помощью встроенного в Macbook Wi-Fi адаптера AirPort и macOS похекать Wi-Fi.
Читать статью - линк.
// Не хакинг, а ИБ
Врываемся в 2024 год с двойными выплатами от «СберАвто» на BI.ZONE Bug Bounty
Начало года — самое время дать старт новым увлечениям или по-другому взглянуть на старые дела.
Вот вам идея: исследуйте скоуп «СберАвто». Все баги в нем стали в 2 раза дороже, и теперь за репорт можно получить до 500 000 рублей.
Прогнозы сулят благоприятную неделю для поиска уязвимостей: повышенные выплаты будут до 21 января.
Заходите на платформу, чтобы узнать все условия.
💉 SQL Injection Master - самый полный курс по SQL инъекциям
Старт: 15 января
Продолжительность: 3 месяца
На курсе подробно разберём эксплуатацию SQL-инъекций, одного из наиболее опасных и эксплуатируемых видов атак на веб-приложения. Вы узнаете не только о том, как обнаруживать и эксплуатировать SQL-инъекции, но и как защитить свои веб-приложения от подобных атак.
Курс будет полезен как новичкам в сфере информационной безопасности, так и продвинутым специалистам.
🎓 В ходе обучения вы научитесь:
- Базовым навыкам работы с SQL- Поиску уязвимостей в базах данных
- Эксплуатировать SQL уязвимости и загружать полезную нагрузку
У курса нет аналогов в СНГ и англоязычном пространстве.
🏆 Выдаём УПК/сертификат при успешной сдаче экзамена. Возможна оплата в рассрочку
📌 Узнать подробнее о курсе
😁 CSI Linux | linux-дистрибутив для кибер-расследований и OSINT.
CSI Linux Investigator представляет собой сборку линукс-дистрибутивов, базирующихся на операционной системе Ubuntu, с предустановлеными пакетами специализированного программного обеспечения.
Распространяется сборка в виде OVA-файла, который без проблем импортируется в Oracle VM Virtual Box.
Читать статью - линк.
// Не хакинг, а ИБ
🏴☠️ REST API | 10 уязвимостей API 2023
REST API(Representational State Transfer) — это архитектурный стиль для разработки веб-сервисов, основанный на стандартных HTTP-методах и ресурсоориентированном подходе.
На схемах представлена современная архитектура клиент-сервера и обобщенный REST API запрос с потенциальными угрозами безопасности.
Уязвимости API по версии OWASP:
⏺ Нарушенная авторизация на уровне объекта
⏺ Нарушенная аутентификация
⏺ Нарушенная авторизация на уровне свойств объекта
⏺ Неограниченное потребление ресурсов
⏺ Нарушена авторизация на функциональном уровне
⏺ Неограниченный доступ к конфиденциальным деловым потокам
⏺ Подделка запросов на стороне сервера
⏺ Неправильная настройка системы безопасности
⏺ Неправильное управление запасами
⏺ Небезопасное использование API
// Не хакинг, а ИБ
💻 Пентест-лаборатория «Pentestit Test lab v.11» — полное прохождение.
Сегодня поговорим о пентест лаборатории компании Pentestit, уже много лет эти лаборатории дают возможность проверить себя в роли пентестера в виртуальной компании со своими бизнес-процессами, серверами, сотрудниками и проблемами, узнать и опробовать современные уязвимости и отточить свои навыки в аудитах приложений и пентесте, максимально приближенном к реальному.
Эта статья описывает все этапы прохождения пентест-лаборатории Test.Lab 11 для всех, кому интересно погрузиться в область пентеста или узнать, как решалась конкретная задача.
Читать стаю - линк.
// Не хакинг, а ИБ
❗️ Как «пробить» человека в интернете.
В очередной статье нашего цикла публикаций, посвященного интернет-разведке, рассмотрим, как операторы продвинутого поиска Google (advanced search operators) позволяют быстро находить необходимую информацию о конкретном человеке.
Прежде чем заниматься сбором и анализом информации о конкретном человеке необходимо представить всю картину того, какие данные о человеке существуют ☝️
Читать статью - линк.
// Не хакинг, а ИБ
⚠️ Рекомендации по информационной безопасности для малого и среднего бизнеса (SMB).
Утечки информации о кредитных картах, кража персональных данных, программы-вымогатели (например, WannaCry), кража интеллектуальной собственности, нарушение конфиденциальности, отказ в обслуживании — эти инциденты информационной безопасности стали обычными новостями.
Среди пострадавших попадаются крупнейшие, наиболее состоятельные и наиболее защищенные предприятия: правительственные учреждения, крупные розничные сети, финансовые структуры, даже производители решений по информационной безопасности.
Читать статью - линк.
// Не хакинг, а ИБ