-
Главный архив с лучшими материалами со всего интернета по ИБ и этичному хакингу. Реклама/сотрудничество: @One_Daniil Владелец: @awenft Мы на бирже: https://telega.in/c/searchack
🗂 Хранение, организация и поиск документов, связанных с киберугрозами
DocIntel - это централизованная база знаний с открытым исходным кодом для вашей информации об угрозах.
Это делает информацию доступной для всех членов команды, облегчает поиск и поощряет сотрудничество.
Организуйте свои отчеты об угрозах, используйте информацию и расширяйте возможности своей команды
🗄 Репозиторий на GitHub
// Не хакинг, а ИБ
🔎 Курс: Исследование с NMAP
Nmap — культовый сканер, без которого не может обойтись практически ни один хакер.
Это мощный и сложный инструмент, код которого вылизывался десятилетиями. Он быстрый, надежный и невероятно функциональный.
// Не хакинг, а ИБ
Чем больше в сети сервисов, тем больше ошибок при тестировании в ручном режиме.Но что поможет избавиться от ошибок?
Автоматизация.
🧑🎓 Об автоматизации тестирования уязвимостей, а точнее о скрипте nmap, и расскажут в Отусе на открытом онлайн-занятии «Nmap для тестирования уязвимостей». Занятие проведёт эксперт по комплексной защите объектов информатизации и опытный практик, руководитель курса по пентесту.
📍Будет интересно разработчикам, администраторам, девопс-инженерам, специалистам по ИБ.
Узнаете, как работает уязвимость CVE-2023-22527, напишете скрипт для тестирования уязвимости.
🐧Важно: вам понадобится Linux-машина на виртуальной платформе + docker-compose
🗓Вебинар пройдет 19 февраля и начнется в 20:00 (мск) и является открытой частью онлайн-курса в Отус.
👉Принять участие в вебинаре: https://otus.pw/uoTj/?erid=LjN8KPFza
📍После занятия можно записаться на онлайн-курс «Пентест. Практика тестирования на проникновение». Курс доступен для приобретения в рассрочку.
Реклама. ООО "ОТУС ОНЛАЙН-ОБРАЗОВАНИЕ". ИНН 9705100963.
Учитесь тому, что пригодится в работе и в жизни — бесплатно, с Яндекс Практикумом.
Тут на одной странице собраны курсы, которые помогут попробовать себя в разных IT-профессиях и получить практический навык. 17 разных курсов по программированию, аналитике данных, маркетингу, менеджменту и дизайну. Прохождение занимает от 2 до 20 часов.
Например, можно разобраться в основах Java, научиться искать и нанимать тестировщиков, задизайнить плакат для фестиваля еды и ещё много чего.
Выбирайте курс по душе и пробуйте себя в разных профессиях!
Работать и не уставать, достигать цели, но делать это в кайф - реально!
Как научиться делать дела и не выгорать?
Психолог взрослого человека - канал для айтишников, у которых периодически опускаются руки и отключается мозг, ибо переработки и постоянная тревожность не приводят к другим исходам.
▪️ Как научиться отвлекаться от работы и отдыхать?
▪️ Как совместить кучу рабочих задач и время с семьей?
▪️ Как справиться с прокрастинацией?
▪️ Как не растерять запал, даже если начальник и коллеги 💩 и кажется, что ничего не выходит?
Подписывайтесь на канал @vadimpetrov_psy и научитесь работать без упахивания, выгорания и ущерба для личной жизни!
👨🏻💻 Псс. Заходите в закреп канала - там много полезного, и даже бесплатный мини-курс.
erid: 2VtzquvoMya
📣 Друзья, CyberEd приглашает 20 февраля посетить практический воркшоп «Динамические методы поиска уязвимостей».
💡Воркшоп поможет специалистам Dev, Ops, AppSec, QA-направлений и начинающим пентестерам углубить знания технологий и владение инструментами ручного и автоматизированного поиска уязвимостей веб-приложений.
Вы сможете использовать полученные навыки для построения процесса динамического тестирования безопасности приложений (DAST) при реализации подходов DevSecOps.
👤 Спикер: Нияз Кашапов - эксперт по анализу защищенности мобильных и веб-приложений, Application Security BP, Сбермаркет.
💎Что будет ценного на воркшопе?
1️⃣ Тестирование веб-приложений и сервисов: вручную и с помощью утилит для облегчения процесса тестирования, типовые атаки в тестировании и способы их валидации.
2️⃣ Тестирование приложений с помощью ZAP - opensourse-решения для тестирования веб-приложений и поиска уязвимостей. Настройки ZAP.
3️⃣ Тестирование приложений в автоматизированном режиме. Знакомство с механизмами scope, context, session, способы улучшения эффективности сканирования.
4️⃣ Автоматизация тестирования. Основные методы автоматизации сканирования уже известных приложений. Способы автоматизации ZAP: daemoin + API, python code, Authomation framework.
🎁 Бонус: тестирование gRPC сервисов с помощью стандартного ZAP/Burp.
🔼Также воркшоп познакомит слушателей со способами ускорения тестирования безопасности микросервисов и интеграции тестирования в CI/CD пайплайнах ♾
Научитесь выполнять эффективные тесты безопасности руками Security Champions всего за 4 академических часа!
👉 Оставить заявку на участие в воркшопе
Реклама.
ОАНО ДПО «ВЫШТЕХ»
ИНН: 7703434727
🚀 Академия Codeby запускает новый поток курса WAPT: "Тестирование WEB-приложений на проникновение"
📚 На курсе WAPT изучаются методы сбора информации, активный фаззинг, эксплуатация уязвимостей, повышение привилегий и социальная инженерия.
📅 Старт: 1 марта
🌐 Кому полезен курс:
- Специалистам в сфере информационной безопасности
- Пентестерам с опытом и без
- Разработчикам веб-приложений
- Аудитории CTF-соревнований
👨💻 За 4 месяца вы:
- Научитесь анализировать защиту веб-сервисов от популярных видов атак и находить уязвимости в веб-приложениях
- Получите навыки в таких атаках как SQL-injection и CMD injection
- Освоите Cross Site Scripting, PHP injection, Server Side Template injection
🚀 Готовы взламывать и защищать веб-приложения? Присоединяйтесь к курсу от Codeby – одной из сильнейших команд по пентесту!
📌 Узнать подробнее о курсе
👺 «In the World of Hackers, Be a Knight»: решаем задачи с CTF-турнира
В 2020 году cybersecurity-энтузиаст Md. Moniruzzaman Prodhan aka NomanProdhan собирает команду Knight Squad. С 2021 года они начинают проводить семинары по информационной безопасности.
В 2022 организовывают первый международный CTF-турнир (Capture the flag, захват флага) — KnightCTF. И вот уже третий год специалисты со всего мира участвуют в масштабном соревновании от этих парней
🗄 Читать статью - линк.
// Не хакинг, а ИБ
🐱 novahot | Веб-фреймворк для тестирования на проникновения
novahot - это веб-фреймворк для тестировщиков проникновения.
Он реализует API на основе JSON, который может взаимодействовать с троянами, написанными на любом языке. По умолчанию он поставляется с троянами, написанными на PHP, ruby и python.
Помимо выполнения системных команд, novahot способен эмулировать интерактивные терминалы, включая mysql, sqlite3 и psql.
В нем дополнительно реализованы "виртуальные команды", которые позволяют загружать, скачивать, редактировать и просматривать удаленные файлы локально, используя предпочитаемые вами приложения.
🗄 Репозиторий на GitHub
// Не хакинг, а ИБ
😱 В 2023 году было зафиксировано 290 утечек персональных данных (ПД) россиян.
Подпишись на канал @indeed_company и читай материалы от экспертов по информационной безопасности о системах для защиты доступа.
Кроме того, внутри канала: различные экспертные материалы по ИБ, разбор систем для защиты доступа к ИТ-системам, новости с полей информационной безопасности и даже тематические мемы.
😉 Если вы работаете в ИБ или интересуетесь сферой, то этот канал для вас — @indeed_company
Реклама. ООО "ИНДИД". ИНН 7801540219. erid: LjN8KMFdp
🐱 APKHunt | Инструмент для анализа безопасности
APKHunt - это комплексный инструмент статического анализа кода для приложений Android, основанный на платформе OWASP MASVS.
Хотя APKHunt предназначен в первую очередь для разработчиков мобильных приложений и тестеров безопасности, он может быть использован любым для выявления и устранения потенциальных уязвимостей безопасности в их коде.
Особенности:
1. Охват сканирования: Охватывает большую часть тестовых случаев, связанных с SAST (Static Application Security Testing) фреймворка OWASP MASVS.
2. Многократное сканирование APK: Поддерживает сканирование нескольких файлов APK.
3. Оптимизированное сканирование: Конкретные правила предназначены для проверки безопасности, что приводит к точному процессу сканирования.
4. Низкий коэффициент отрицательных работ: Предназначен для определения и выделения точного местоположения потенциальных уязвимостей в исходном коде.
5. Формат вывода: Результаты предоставляются в формате файла TXT для удобства чтения пользователей.
🗄 Репозиторий на GitHub
// Не хакинг, а ИБ
Освойте DevOps с курсом Академии Кодебай и станьте экспертом в разработке и эксплуатации программного обеспечения
🔗 Программа рассчитана на 4 месяца обучения, в течение которых вы сможете изменить свою профессию или вырасти в должности. После каждого модуля уровень востребованности вас как специалиста будет повышаться.
💎 Вы освоите:
- Контейнеризацию и оркестрацию с использованием Docker и Kubernetes
- CI/CD
- Основы Linux и Git
- Компьютерные сети, базы данных и Bash-скрипты
- Мониторинг и управление жизненным циклом приложений
- Системы управления конфигурацией
👨💻 Для кого:
- Разработчиков, стремящихся к автоматизации и оптимизации процессов
- Системных администраторов
- Руководителей проектов, которые хотят повысить эффективность своей команды
📆 Старт курса: 19 февраля
📌 Узнать подробнее о курсе
📖 «Хакинг. Искусство эксплойта» 2-е издание
Каждый программист по сути своей — хакер. Ведь первоначально хакингом называли поиск искусного и неочевидного решения.
Понимание принципов программирования помогает находить уязвимости, а навыки обнаружения уязвимостей помогают создавать программы, поэтому многие хакеры занимаются тем и другим одновременно.
Интересные нестандартные ходы есть как в техниках написания элегантных программ, так и в техниках поиска слабых мест.
"Мир без хакеров — это мир без любопытства и новаторских решений" - Джон Эриксон
📲 Telegram показывает удаленные сообщения
Несколько дней назад я обнаружил, что Telegram приложение на Windows показывает давно удаленные чаты. При том, что их не было видно ни на телефоне, ни в Linux клиенте.
Я поделился этим с друзьями, которые увидели то же самое. Причем некоторые из этих чатов датировались аж 2016 годом.
Изначально не получалось найти закономерности, так как переписка сохранялась не полностью, и сам список чатов казался случайным.
Сейчас я смог разобраться в том, как это работает, какие чаты не удаляются полностью. А для этого пришлось немного углубится в устройство групп Telegram.
Читать статью - линк.
// Не хакинг, а ИБ
😒 OSINT HUNT — достаю информацию из мест, скрытых от глаз обывателя, и делюсь этими знаниями с вами.
В закрепе бесплатный курс по мобильному хакингу.
Всегда рада гостям 😈 Подписывайся!
🎙 Offensive Security | О чем говорили на круглом столе AM Life
Offensive Security — американская международная компания, работающая в области информационной безопасности, тестирования на проникновение и цифровой криминалистики.
На конференции были рассмотрены вопросы:
⏺ Для чего нужен Offensive Security?
⏺ Чему уделить внимание при обращении к подрядчикам за мероприятиями Offensive Security?
⏺ Как выбрать подрядчика по Offensive Security и проверить его компетенции?
⏺ Всегда ли бизнесу нужен Offensive Security?
⏺ Как строится взаимодействие при пентестах и Read Teaming?
⏺ Какие эпичные и курьезные случаи происходят во время мероприятий по Offensive Security?
⏺ Как часто нужно проводить мероприятия по Offensive Security?
⏺ Насколько быстро устраняются выявленные у заказчиков проблемы на практике и как это проверяется?
⏺ Имеет ли значение объем отчета по итогам мероприятий Offensive Security?
⏺ Как не нужно проводить пентест или Read Teaming?
⏺ Можно ли в рамках пентестов использовать разработанное подрядчиком ПО для обхода систем защиты?
⏺ Как оценить проделанную работу по Offensive Security
⏺ Занимаются ли специалисты по Offensive Security только одним или сразу несколькими проектами в моменте?
⏺ Приведите примеры случаев, когда заказчик был недоволен результатами проделанной работы по Offensive Security
⏺ Как проходит процесс изучения и развития уязвимостей и эксплойтов?
⏺ Как будет развиваться Offensive Security в течение ближайшего года?
В обсуждении принимали участие: Дмитрий Калинин, Егор Зайцев, Сергей Куприн, Юлия Воронова, Александр Борисов, Сергей Рысин.
📲 Смотреть на YouTube - линк.
🗄 Читать статью - линк.
// Не хакинг, а ИБ
📖 «Black Hat Go. Программирование для хакеров и пентестеров»
Black Hat Go исследует темные стороны Go – популярного языка программирования, который высоко ценится хакерами за его простоту, эффективность и надежность.
Эта книга – арсенал практических приемов для специалистов по безопасности и хакеров – поможет вам в тестировании систем, создании и автоматизации инструментов, а также улучшении навыков противодействия угрозам.
Авторы: Стил Том, Паттен Крис, Коттманн Дэн
Год выхода: 2022
🗄 Читать книгу – линк.
// Не хакинг, а ИБ
🐱 BoobSnail | Генерация макросов
BoobSnail позволяет генерировать макрос XLM (Excel 4.0).
Его главная цель – поддерживать RedTeam и BlueTeam в генерации макросов XLM.
Особенности:
⏺ различные методы заражения;
⏺ различные методы запутывания;
⏺ перевод формул на разные языки;
⏺ может использоваться как библиотека - вы можете легко написать свой собственный генератор.
🗄 Репозиторий на GitHub
// Не хакинг, а ИБ
😂 Как я Хабр взломал
В статье рассказывается про то, как через медиаэлемент можно вставлять iframe, указывая на url ресурса и тем самым взломать сайт.
IFrame – это компонент HTML-элемента, который позволяет встраивать документы, видео и интерактивные медиафайлы на страницу.
Навскидку несколько сценариев использования уязвимости:
⏺ Втихую повышаем себе карму и плюсуем свои посты.
⏺ «Мониторим» тех, кто минусует твои посты, и минусуем их самих.
⏺ От имени пользователей создаём посты с уязвимостями, которые создают такие же посты с уязвимостями (рекурсивно).
🗄 Читать статью - линк.
Ставь ❤️, если нравится читать такие истории
// Не хакинг, а ИБ
📖 «Компьютер глазами хакера»
Эта книга - сборник лучших, тщательно отобранных статей из легендарного журнала «Хакер».
Рассмотрены операционные системы Windows 11 и Linux с точки зрения организации эффективной работы на ПК.
Рассказано о программах для стеганографии - скрытия полезных данных в графических изображениях.
Подробно описаны различные настройки Linux для безопасной работы и многое другое.
Автор: журнал «Хакер»
Год выхода: 2022
Читать книгу - линк.
// Не хакинг, а ИБ
🐱 Wireshark | Анализатор сетевого трафика
Wireshark – это широко распространённый инструмент для захвата и анализа сетевого трафика, который активно используется как для образовательных целей, так и для устранения неполадок на компьютере или в сети.
Wireshark работает практически со всеми протоколами модели OSI, обладает понятным для обычного пользователя интерфейсом и удобной системой фильтрации данных.
Помимо всего этого, программа является кроссплатформенной и поддерживает следующие операционные системы: Windows, Linux, Mac OS X, Solaris, FreeBSD, NetBSD, OpenBSD.
🗄 Репозиторий на GitHub
// Не хакинг, а ИБ
📖 «Аппаратный хакинг: взлом реальных вещей»
Книга по аппаратному взлому поможет вам проникнуть внутрь устройств, чтобы показать, как работают различные виды атак, а затем проведет вас через каждый взлом на реальном оборудовании.
Написанное с остроумием и снабженное практическими лабораторными экспериментами, это руководство ставит вас в роль злоумышленника, заинтересованного в нарушении безопасности для достижения благих целей.
Авторы: Вуденберг Джаспер ван, О’Флинн Колин
Год выхода: 2023
🗄 Читать книгу - линк.
// Не хакинг, а ИБ
🦠 Самые интересные CVE за январь 2024 года
В этой подборке представлены самые интересные уязвимости за январь 2024 года:
⏺ CVE-2024-23897
⏺ CVE-2024-0402 - Оценка уязвимости по шкале CVSS 3.1 — 9.9 баллов.
⏺ CVE-2024-0204 - Оценка уязвимости по шкале CVSS 3.1 — 9.8 баллов.
⏺ CVE-2024-0230 - Оценка уязвимости по шкале CVSS 3.1 — 2.4 балла.
⏺ CVE-2024-20253 - Оценка уязвимости по шкале CVSS 3.1 — 9.9 балла.
⏺ CVE-2024-20272 - Оценка уязвимости по шкале CVSS 3.1 — 7.3 балла.
⏺ CVE-2024-21591 - Оценка уязвимости по шкале CVSS 3.1 — 9.8 баллов.
⏺ CVE-2024-0200 - Оценка уязвимости по шкале CVSS 3.1 — 9.8 баллов.
⏺ CVE-2024-0507 - Оценка уязвимости по шкале CVSS 3.1 — 8.8 баллов.
⏺ CVE-2024-21737 - Оценка уязвимости по шкале CVSS 3.1 — 9.1 балла.
⏺ CVE-2024-21672 - Оценка уязвимости по шкале CVSS 3.1 — 8.8 баллов.
⏺ CVE-2024-21673 - Оценка уязвимости по шкале CVSS 3.1 — 8.8 баллов.
⏺ CVE-2024-21674 - Оценка уязвимости по шкале CVSS 3.1 — 7.5 баллов.
⏺ CVE-2024-22197 - Оценка уязвимости по шкале CVSS 3.1 — 8.8 баллов.
⏺ CVE-2024-22198 - Оценка уязвимости по шкале CVSS 3.1 — 8.8 баллов.
Читать статью - линк.
// Не хакинг, а ИБ
📖 «Хакинг на примерах. Уязвимости, взлом, защита» 2-е издание
Из этой книги вы узнаете об основных принципах взлома сайтов (а чтобы теория не расходилась с практикой, будет рассмотрен реальный пример взлома)
Отдельная глава будет посвящена ’’угону” почтового ящика (мы покажем, как взламывается почтовый ящик - будут рассмотрены различные способы).
Также будет рассказано: как устроено анонимное общение в сети посредством
электронной почты и всякого рода мессенджеров; как анонимно посещать
сайты; как создать анонимный почтовый ящик и какой мессенджер позволяет
зарегистрироваться без привязки к номеру телефона.
Автор: Ярошенко А.А.
Год выхода: 2023
🗄 Читать книгу - линк.
// Не хакинг, а ИБ
Merlion открывает новый сезон мультивендорных онлайн-конференций, которые пройдут совместно с ведущими отечественными ИТ-разработчиками и производителями ПО.
Каждая онлайн-конференция – разбор конъюнктуры ИТ-рынка в определённом сегменте, тренды и перспективы, знакомство с новейшими разработками вендоров, обзор продуктов и решений, успешные кейсы, обсуждение актуальных вопросов сотрудничества.
Станьте участником первой в этом сезоне онлайн-конференции, которая пройдет 7 февраля в онлайн-формате. Успех неизбежен!
Регистрируйтесь по ссылке
🔒 Privacy Day 2024: ИИ, приватность и защита ПД
29 января в формате онлайн, с подключением экспертной площадки из Казахстана, состоялась конференция Privacy Day 2024.
Мероприятие было приурочено к Международному дню защиты данных. В первом треке гости обсудили проблемы приватности в бизнесе и госрегулировании.
Сначала состоялась большая панельная дискуссия с экспертами из разных стран, которые поделились национальным опытом. Далее прошёл круглый стол с участием регуляторов из стран Евразийского региона.
Читать статью - линк.
// Не хакинг, а ИБ
📺 Курс: Тестирование на проникновение сайта
Комплексный курс по взлому веб-сайтов и веб-приложений от Зайда Сабиха, в русской озвучке! Материал подойдёт как для специалистов, так и для начинающих, которые лишь начинают свой путь в тестировании на проникновение и хакинге.
#Course
Файлы будут прикреплены ниже, ожидайте, курс большой👇
😷 Краткое руководство инъекций XML/XXE
В этом репозитории вы найдете:
⏺ Что такое инъекция внешних сущностей XML, опишем некоторые общие примеры
⏺ Как найти и использовать различные виды инъекций XXE
⏺ Как предотвратить атаки инъекций XXE
Внешняя инъекция XML (также известная как XXE) - это уязвимость веб-безопасности, которая позволяет злоумышленнику вмешиваться в обработку XML-данных приложения.
Это позволяет злоумышленнику просматривать файлы в файловой системе сервера приложений и взаимодействовать с любыми серверными или внешними системами, к которым может получить доступ само приложение.
Репозиторий на GitHub
// Не хакинг, а ИБ
📖 «Подпольный интернет»
Большинство людей используют Интернет для поиска информации, общения в социальных сетях и покупок в онлайн-магазинах, но, кроме светлой стороны, у Всемирной паутины есть и темная зона, так называемый Даркнет.
Автор непредвзято рассказывает о деятельности Даркнета и о царящих там законах. В книге есть и личные истории, и факты, и интересные выводы.
Автор: Джейми Бартлетт
Год выхода: 2017
Читать книгу - линк.
// Не хакинг, а ИБ