-
Главный архив с лучшими материалами со всего интернета по ИБ и этичному хакингу. Реклама/сотрудничество: @One_Daniil Владелец: @awenft Мы на бирже: https://telega.in/c/searchack
🪰 OWASP | Методология тестирования безопасности веб-приложений 2020
«Руководство по тестированию веб-безопасности» является основным ресурсом для тестирования кибербезопасности для разработчиков веб-приложений и специалистов по безопасности.
WSTG - это всеобъемлющее руководство по тестированию безопасности веб-приложений и веб-сервисов.
WSTG, созданный совместными усилиями профессионалов в области кибербезопасности и волонтеров, предоставляет набор лучших практик, используемых пентестерами и организациями по всему миру.
// Не хакинг, а ИБ
⚠️👁👁👁
💻 Хочешь быть в курсе всех новостей SKAM мира? - Встречай TalkTheNews.
⚠️ Пока 👮 👮 🕵️♂️ накрывают новую скам тиму, люди - дают нам интервью в которых ты можешь узнать ВСЁ из Скам-Мира.
🛡 Мы говорим о безопасности, и мы предостерегаем вас от скама - в нашем канале вы сможете найти Скам-Лист с людьми, не дайте обмануть себя.
🔈Нас слушают, начни слушать и ты.
🚀 Актуальная ссылка на канал: /channel/+JXFZVTitKbozMDli
✉️ Ссылка на чат с админами - /channel/+0I1WEFgp1XlkODYy
🌐 Путеводитель по Docker. От основ контейнеризации до создания собственного докера
Сегодня мы поговорим о контейнеризации, а именно о наиболее популярной на данный момент технологии её реализации - Docker.
Также вашему вниманию будут представлены уязвимости при реализации данной технологии.
Основные переменные компоненты включают в себя: Dockerfile (файл Docker), Docker image (образ Docker), Docker container (контейнер Docker).
🗄 Читать статью – линк.
// Не хакинг, а ИБ
👨🦳 «Лаборатория Касперского» обнаружила криптовалютную пирамиду в Telegram
Исследователи сообщают об актуальной мошеннической схеме, в рамках которой людям предлагают заработать на криптовалюте Toncoin (TON) через Telegram.
Схема работает по принципу пирамиды и нацелена, в том числе, на русскоговорящих пользователей.
По данным компании, сначала потенциальную жертву побуждают вложить деньги в TON, а потом пригласить в специальный чат в мессенджере своих знакомых и получать за это комиссию. Однако на деле человек лишь рискует потерять свои деньги.
Чтобы вовлечь людей, мошенники подготовили две подробные видеоинструкции – на русском и английском языках, а также текстовые материалы со скриншотами.
👺 Самые интересные задачи для безопасников
В статье порешаем задачи сразу двух CTF-турниров: Space Heroes и ThCon 2024
Рассматриваемые задачи:
1. Space Heroes: Slowly Downward
2. Space Heroes: GTFO Jabba's Palace
3. ThCon: Find me if you can
4. ThCon: Let us Phone Home
5. ThCon: SpaceNotes
Материал не обучает хакингу и не призывает к противозаконным действиям. Все описанное ниже лишь демонстрирует, какие пробелы в безопасности встречаются в реальных веб-приложениях. И предупреждает, на что нужно обратить внимание при разработке программного обеспечения.
🤖 Анализаторы трафика
1. tcpdump – сниффер с интерфейсом командной строки, с которым можно посмотреть, какие пакеты проходят через сетевую карту в данный момент.
💻 Чаще всего используется для отладки сети и в учебных целях, но возможности утилиты также позволяют проводить сетевые атаки и выявлять сканирование хоста.
2. mitmproxy – утилита для отладки, тестирования, оценки уровня конфиденциальности и тестирования на проникновение. С mitmproxy можно перехватывать, проверять, изменять и воспроизводить поток HTTP-трафика.
🎃 Благодаря такой функциональности утилита широко используется не только хакерами и пентестерами, но также разработчиками веб-приложений для их своевременной отладки
// Не хакинг, а ИБ
🤖 Исследователи нашли сайт, торгующий миллиардами сообщений из Discord
Журналисты издания 404 Media обнаружили сервис Spy Pet, создатель которого утверждает, что отслеживает и архивирует миллиарды сообщений на открытых серверах Discord
Сервис продает доступ к данным всего за 5 $, позволяя отслеживать более 600 млн пользователей более чем на 14.000 серверов
На фотографии пример работы Spy Pet:
показаны никнеймы пользователя, подключенные аккаунты, участие на серверах, а также собранные сервисом сообщения
❗️ Как взломать Telegram
В данном посте проведем полный обзор различных способов как взломать Телеграмм. Что и куда нужно установить, чтоб осуществить взлом Телеграмма.
Реально ли это сделать, и если «да», то как? Пошаговая инструкция взлома Telegram, а также способы, которые реально работают.
Взлом Telegram – это возможность без ведома хозяина, не зная логина и пароля, проникнуть на аккаунт и оттуда вести деятельность: читать переписку, отвечать на сообщений, просматривать и отсылать фото и делать всё тоже самое, что может делать хозяин данного аккаунта.
Перехват Telegram – это возможность, не заходя в аккаунт, дистанционно, на расстоянии читать переписку, видеть полученные и отосланные фото, прослушивать голосовые сообщения и звонки.
Рассматриваемые способы взлома:
1. Хакерский взлом Telegram канала
2. Взлом логина и пароля от конкретного аккаунта
3. Подбор пароля через радужные таблицы
4. Через подбор токена
5. Перехват трафика
6. DDoS атака
7. Перехват переписки, фото, голосовых
Телеграмм взлом – это не так сложно как кажется, нужно только правильно выбрать способ! Мы рассказали о самом лучшем и реально работающем! Удачи😈
❓ CyberINS — Авторский канал кибер-пентестера, рассказывает как тестировать на проникновение в доступной форме.
— OSINT, СИ, netstalking
— Инструкции по Nessus, Nmap, Metasploit
— Внешнее тестирование // Внутреннее тестирование
— Практика
/channel/cybersec_ins
🍏 Полная неуязвимость? Как устроены защитные механизмы macOS
Подход Apple к информационной безопасности приводит к тому, что некоторые пользователи Mac не обращают внимание на то, что происходит с их компьютерами.
В этом посте я старался разобраться в основных механизмах защиты macOS от вредоносных программ и выделить их недостатки, но в результате выяснилось, что «проблема» — это сама репутация macOS.
В 2006-2009 годах Apple провела рекламную кампанию, в которой сравнивала PC и Mac.
В одном из роликов явно простуженный Джон Ходжман (John Hodgman) в нескладном деловом костюме изображал PC.
На этом фоне Джастин Лонг (Justin Long) в роли Mac, напротив, смотрелся молодо и стильно.
☎️ OSINT: Поиск по номерам телефонов
1. Moriarty – утилита для реверсивного (обратного) поиска по телефонным номерам.
Позволяет найти владельца, получить ссылки, страницы социальных сетей и другую связанную с номером информацию.
2. Phomber – выполняет поиск по телефонным номерам в интернете и извлекает все доступные данные.
3. PhoneInfoga – известный инструмент для поиска международных телефонных номеров.
Сначала выдает стандартную информацию, такую как страна, регион, оператор связи по любому международному телефонному номеру, а затем ищет его следы в поисковых системах, чтобы помочь идентифицировать владельца
4. kovinevmv/getcontact –утилита для получения информации из баз приложения GetContact (не подходит для парсинга, позволяет выполнить только ограниченное число запросов).
// Не хакинг, а ИБ
📖 «Bug Bounty Decoded: Unraveling the Mysteries of Ethical Hacking Rewards»
Это познавательное и исчерпывающее руководство, в котором подробно рассматривается мир "Bug Bounty" и вознаграждений за этический хакинг.
В этой тщательно проработанной книге читателям предлагается отправиться в путешествие по захватывающему ландшафту кибербезопасности, где этичные хакеры и исследователи безопасности сотрудничают с целью выявления уязвимостей в цифровых системах до того, как ими воспользуются злоумышленники.
Автор: Vincent Curtis
Год выхода: 2023
🗄 Читать книгу – линк.
// Не хакинг, а ИБ
Эксклюзивное интервью с владельцем KILLNET и основателем Deanon Club
https://www.youtube.com/watch?v=Neq4ncA5LhY
Erid: 2VfnxxzdR92
💥💥💥 Резбез платит 100 000 ₽ за лучшую статью по результативной кибербезопасности
Весенний этап конкурса «Резбез Challenge» объявляется открытым! Напишите статью, в которой будут глубокий анализ проблемы и предложения, как ее решать. Авторы трех лучших текстов получат денежные призы, а их работы станут частью открытой методологии результативной кибербезопасности.
➡️ Переходите на канал, чтобы узнать подробности.
❗️ Атаки на домен
При проведении тестирований на проникновение мы довольно часто выявляем ошибки в конфигурации домена.
Хотя многим это не кажется критичным, в реальности же такие неточности могут стать причиной компрометации всего домена.
💻 В этой статье мы рассмотрим несколько видов атак на Active Directory, которые мы проводили в рамках пентестов, а также используемые инструменты.
Это ни в коем случае нельзя считать полным пособием по всем видам атак и инструментам, их действительно очень много, и это тяжело уместить в рамках одной статьи.
😂 Так выглядят настоящие эксперты информационной безопасности
// Не хакинг, а ИБ
👀 OSINT: Утилиты для поиска по электронной почте и логинам
⏺ Sherlock – инструмент для поиска аккаунтов в социальных сетях по логину пользователя.
⏺ Snoop Project – инструмент для поиска по логинам. По уверениям разработчика охватывает более двух с половиной тысяч сайтов.
⏺ Maigret – собирает досье на человека логину, проверяя аккаунты на двух с половиной тысячах сайтов и собирая всю доступную информацию с веб-страниц. Ключи API не требуются. Форк Sherlock.
⏺ Social Analyzer – API, интерфейс командной строки и веб-приложение для анализа и поиска профилей человека на более чем 1 тыс. сайтов.
⏺ NExfil – python-утилита для поиска профилей по имени пользователя на 350 веб-сайтах.
// Не хакинг, а ИБ
🦻Перехват данных путем подслушивания
Ettercap – это комплексный набор инструментов для атак «человек посередине».
«Человек посередине» (Man in the middle (MITM)) – это вид атаки в криптографии и компьютерной безопасности, при котором злоумышленник тайно ретранслирует и при необходимости изменяет связь между двумя сторонами, которые считают, что они непосредственно общаются друг с другом.
Среди возможностей набора Ettercap:
— sniffing живых соединений;
— фильтрация контента на лету;
— поддержка активного и пассивного анализа протоколов;
— множество функций для анализа сети и хоста.
Ettercap также имеет возможность обнаруживать коммутируемую локальную сеть и использовать отпечатки пальцев операционной системы (активные или пассивные) для определения геометрии локальной сети.
🗄 Репозиторий на GitHub – линк.
// Не хакинг, а ИБ
😁 Взлом с помощью беспроводного проникновения Kali Linux
Это исчерпывающее руководство по освоению тонкостей беспроводной безопасности и проведению тестов на проникновение в беспроводные сети с использованием мощных инструментов и методологий Kali Linux.
Независимо от того, являетесь ли вы профессионалом в области кибербезопасности, сетевым администратором или начинающим этичным хакером, эта книга предоставляет практический подход к пониманию и использованию уязвимостей беспроводных сетей.
Автор: Eddie Arnold
Год выхода: 2024
🗄 Читать книгу – линк.
// Не хакинг, а ИБ
🤖 Нейросеть для анализа безопасности
Snyk Code – это нейросеть для быстрого анализа кода на уязвимости.
Она может проверять не только написанный вами код, но и обнаруживать проблемы в безопасности в сторонних библиотеках и фреймворках.
Это может быть особенно полезно для больших проектов, где используется много внешних библиотек.
Открытый исходный код Snyk не только указывает на уязвимости, но и предлагает практические рекомендации по устранению.
В нем предлагаются возможные решения для устранения уязвимостей, такие как обновление до безопасной версии или применение исправлений.
// Не хакинг, а ИБ
Курс по лучшим практикам OSINT от команды-чемпиона по этичному хакингу, the Codeby
Курс "Боевой OSINT" состоит из 112 ак. часов, экзамена на сертификат и консультаций с практикующими специалистами.
Старт потока: 6 мая
Вы научитесь:
- Обеспечивать свою безопасность при поиске (Counter-OSINT)
- Находить информацию в СlearNet и DarkNet
- Автоматизировать сбор аналитики
- Находить информацию о юридических или физических лицах как в RU-сегменте, так и за его пределами
Курс полезен:
- Сотрудникам и руководителям СБ
- Пентестерам
- HR и коммерческим отделам
- Специалистам по бизнес-разведке
Академия Кодебай
образовательный центр по информационной безопасности
для профессионалов
@Codeby_Academy
+74994441750
Выберите высокооплачиваемую IT-профессию и участвуйте в розыгрыше 200 000 рублей на обучение.
IT-рентген от онлайн-школы Skillfactory — это бесплатный вебинар, на котором вы пройдете тест на профориентацию, получите 6 гайдов по IT-направлениям. А еще встретитесь с экспертами, которые проведут карьерную консультацию.
В итоге определитесь с профессией и попадете в закрытое сообщество специалистов из индустрии.
Регистрируйтесь на бесплатный вебинар прямо сейчас и станьте участником розыгрыша 200 000 рублей на обучение.
🦠 Образцы вредоносных программ
Malware samples – пополняемый github-репозиторий с вредоносными вирусами, к которым прилагаются упражнения по анализу вредоносного ПО.
Эти упражнения охватывают широкий спектр тем анализа вредоносных программ и поставляются с подробными решениями и пошаговыми руководствами.
«Я люблю исследовать вредоносные программы, вирусы и другие типы вредоносных файлов» – Mr. Malware
Авторский канал лучшего хакера!
- Владеет ПО Pegasus
- Выкупил KILLNET
- Расскажет про Darknet изнутри, в отличии от других
Ну и конечно, это не паблик - а потому, сторонней рекламы там нет!
/channel/+mxT-9RPa-lA2NjFk
⚡️Тема криптографии с открытым ключом и шифрования RSA остаётся актуальной из-за важности обеспечения безопасности в цифровой среде.
Узнайте больше об RSA на бесплатном вебинаре онлайн-курса «Криптографическая защита информации» - «Шифрование RSA и криптография с открытым ключом»: регистрация
На уроке рассмотрим:
- основы шифрования с открытым ключом
- концепцию асимметричного шифрования
- обсудим работу алгоритма RSA и его применение для защиты данных.
Занятие будет полезно:
- специалистам по ИБ, начинающим специалистам по криптографической защите информации, системным администраторам, разработчикам,
🤝Понравится вебинар — продолжите обучение на курсе по специальной цене и даже в рассрочку!
erid: LjN8KXDYS
Как защитить сервер от кибератак? Что такое протоколы безопасности и как их правильно применить? Как не оказаться под прицелом хакера? На эти и другие вопросы ответим на мини-курсе Skillbox по кибербезопасности и защите серверов.
Регистрация: https://epic.st/Bbcw0?erid=2VtzqvWjsAN
Мини-курс подходит новичкам. Вам не нужно знать код, чтобы вникнуть в основы и понять принципы кибербезопасности.
Вас ждут 4 интенсивных занятия, на которых вы сможете примерить на себя обе роли — хакера и кибербезопасника. А в финале будет прямой эфир с экспертом, где он разберёт практические работы, ответит на вопросы и поделится профессиональными секретами.
Спикер — Сергей Кручинин, проверяющий эксперт в Skillbox. Руководил проектами в Mail.ru Group, работал в WEBINAR.RU, ГК Astra Linux, МИФИ, МГТУ им. Н. Э. Баумана, разрабатывал образовательные проекты по информационной безопасности.
Всех участников ждут бонусы: 5 полезных материалов о приёмах взлома, методах защиты и тестирования серверов, персональная карьерная консультация, сертификат на скидку 10 000 рублей и год бесплатного изучения английского языка.
Определитесь на практике, подходит ли вам сфера кибербезопасности.
Реклама. ЧОУ ДПО «Образовательные технологии «Скилбокс (Коробка навыков)», ИНН: 9704088880
📲 В Telegram для Windows исправлена 0-day уязвимость
В десктопном приложении Telegram для Windows устранили уязвимость нулевого дня, которая могла использоваться для обхода предупреждений безопасности и автоматического запуска Python-скриптов.
Издание Bleeping Computer сообщает, что на прошлой неделе в социальных сетях и на хакерских форумах появились слухи о некой уязвимости в Telegram, которая позволяет выполнять произвольный код на машине жертвы.
🖥 6 бесплатных курсов по ИБ от Microsoft
⏺ Все курсы бесплатные;
⏺ 6/6 на русском языке;
⏺ По окончании вы получите бейдж об успешном прохождении обучения.
🔥
– чтобы курсы выходили чаще
🐱 Сканер уязвимостей
W9scan – это бесплатный консольный сканер уязвимостей сайта с более чем 1200 встроенными плагинами, которые могут определять отпечатки веб-страниц, портов, проводить анализ структуры веб-сайта, находить различные популярные уязвимости, сканировать на SQL Injection, XSS и т. д.
W9scan автоматически генерирует отчеты о результатах сканирования в формате HTML.
Для запуска сканирования требуется только указать URL сайта и плагины, которые будут использоваться. Можно выбрать сразу все, дописав «all».
🗄 Репозиторий на GitHub – линк.
// Не хакинг, а ИБ