-
Главный архив с лучшими материалами со всего интернета по ИБ и этичному хакингу. Реклама/сотрудничество: @One_Daniil Владелец: @awenft Мы на бирже: https://telega.in/c/searchack
🔎 Видеокурс: Взлом серверов и сетей | Международная сертификация OSCP
OSCP (Offensive Security Certified Professional) – это сертификация в области этичного хакинга, предоставляемая организацией Offensive Security
Она ориентирована на практическое применение навыков в этой области и считается одной из самых сложных и престижных сертификаций в этой области
🔒 Аудит безопасности сервера и клиента SSH
ssh-audit – инструмент для аудита безопасности сервера и клиента SSH (сбор баннеров, получение информации об обмене ключами, поддерживаемых алгоритмах шифрования, mac, сжатие, совместимость, безопасность и т. д.)
Характеристики:
⏺поддержка серверных протоколов SSH1 и SSH2;
⏺анализ конфигурации клиента SSH;
⏺захват баннера, распознавание устройства или программного обеспечения и операционной системы, обнаружение сжатия;
⏺собирание алгоритмов обмена ключами, ключа хоста, шифрования и кода аутентификации сообщений;
⏺вывод информации о безопасности каждого алгоритма (доступно с, удалено/отключено, небезопасно/слабо/устаревшее и т. д.);
⏺вывод рекомендаций по алгоритму (добавление или удаление на основе распознанной версии программного обеспечения);
⏺анализ совместимости версии SSH на основе информации об алгоритме;
⏺историческая информация из OpenSSH, Dropbear SSH и libssh;
⏺сканирование политик для обеспечения соблюдения усиленной/стандартной конфигурации;
⏺работает на Linux и Windows;
⏺поддерживает Python 3.8 - 3.13;
⏺нет зависимостей
🗄 Репозиторий на GitHub – линк.
// Не хакинг, а ИБ
🚰 Замаскированная мавларь c GitHub и npm привела к краже 390 000 учетных данных
⚠️ Эксперты Checkmarx и Datadog Security Labs выявили сложную атаку на цепочку поставок, которая длится уже более года
Злоумышленники размещают на GitHub фальшивые PoC-эксплоиты и инструменты для проверки учетных записей, заражая машины исследователей и других хакеров бэкдором для кражи приватных ключей SSH, ключей AWS и другой конфиденциальной информации
Также на машины жертв устанавливался майнер для добычи криптовалюты Monero
🗄 Источник – линк.
// Не хакинг, а ИБ
На фоне роста ипотечной ставки и изменения курса $ россияне по рассрочке скупают объекты в ОАЭ.
Рассрочка беспроцентная, дается на срок от 2 до 8 лет с первым взносом в 10% от стоимости.
Например, можно взять квартиру у моря с террасой и бассейном, чтобы жить или сдавать в аренду. Доход здесь в валюте и не облагается налогом.
Подписывайтесь на самый большой канал о рынке недвижимости Эмиратов от аналитика Андрея Негинского (он на фото) и скачивайте в закрепе каталог из 20 таких проектов с описанием и ценами.
🔵 Автоматизация сбора информации и перечисления служб
Reconnoitre — инструмент разведки для автоматизации сбора информации и перечисления служб
Под каждый хост создаёт структуру директорий для сохранения результатов, находов и эксплойтов
Генерирует рекомендуемые команды для дальнейшего сбора информации
🗄 Репозиторий на GitHub – линк.
// Не хакинг, а ИБ
Создайте мультиоблако со скидкой 50% от VK Cloud
До 20 декабря можно выгодно перейти в VK Cloud. Переходите в отказоустойчивое облако VK Cloud и используйте его как основную платформу для размещения сервисов. Или создайте себе резервную площадку для аварийного восстановления. Миграция по методу Lift-and-Shift будет бесплатной.
Оставляйте заявку на участие в программе «Облачный старт» от VK Cloud.
Бонусы
🔹 Скидка 50% на сервисы VK Cloud в течение трех месяцев. Максимальный размер поддержки для одного нового клиента VK Cloud — 2 000 000 рублей.
🔹 Бесплатная консультация архитектора VK Cloud.
Как стать участником программы
🔹 Подайте заявку до 20 декабря 2024.
🔹 Убедитесь, что ваш бизнес зарегистрирован как ИП или российское юридическое лицо не менее 1 года назад.
🔹 Пройдите короткое интервью для оценки потребностей вашего бизнеса.
🔹 Начните использовать облако VK Cloud по акции до 1 января 2025.
Предложение распространяется на новых клиентов VK Cloud или не использующих платформу на коммерческой основе с 1 января 2024 года по настоящее время.
Это на 100% практический курс по пентесту, где вы попробуете изученные техники взлома. Курс содержит 65 рабочих и 16 экзаменационных тасков в лаборатории
Запись до 12 декабря! 🎄
Получите практические навыки как в рабочих задачах, так и в Bug Bounty. Промодоступ 7 дней бесплатно!
Программа курса:
- эксплуатация всех актуальных типов уязвимостей, активный / пассивный фаззинг
- SQL Injection и CMD Injection, Cross Site Scripting, PHP injection, Server Side Template injection
- техники повышения привилегий, Client-side атаки (XSS, CSRF)
@Codeby_Academy
Узнать подробнее о курсе
💻 Инструмент сканирования IP-сетей
NBTscan – это программа для сканирования IP-сетей на наличие информации об именах NetBIOS
Она отправляет запрос состояния NetBIOS на каждый адрес в предоставленном диапазоне и перечисляет полученную информацию в удобочитаемой форме
Для каждого ответившего хоста в нем перечислены IP-адрес, имя компьютера NetBIOS, имя пользователя, вошедшего в систему, и MAC-адрес (такой как Ethernet)
🗄 Репозиторий на GitHub – линк.
// Не хакинг, а ИБ
🎄 В преддверии Нового Года разыгрываем годовую подписку на журнал «Хакер».
• Целых 30 (!) призовых мест, а итоги подведем ровно через неделю (14 декабря, в 11:30 по московскому времени) с помощью бота, который рандомно выберет победителя.
• Напоминаю, что участники сообщества Xakep.ru получают несколько материалов в неделю: мануалы по кодингу и взлому, гайды по новым возможностям и эксплойтам, подборки хакерского софта и обзоры веб-сервисов. Не упусти возможность вступить в сообщество и выигрывать 1 из 30 призов.
Для участия нужно:
1. Быть подписанным на наш канал: Mr. Robot.
2. Подписаться на каналы наших друзей: infosec.
3. Нажать на кнопку «Участвовать»;
4. Profit...
Бот может немного подвиснуть — не переживайте! В таком случае просто нажмите еще раз на кнопку «Участвовать».
🤨 Smbtakeover | Захват порта 445 TCP на Windows при атаке NTLM Relay
NTLM Relay – это тип атаки, при котором злоумышленник перехватывает аутентификационные данные, использующие протокол NTLM, и перенаправляет их на другой сервер или сервис с целью получения несанкционированного доступа
Атака основана на уязвимости протокола NTLM, которая позволяет перенаправлять аутентификационные данные без их изменения
Эта техника значительно облегчает эксплуатацию NTLM relay через SMB
, особенно в условиях работы с C2 (сервер для управления скомпрометированными устройствами)
Курс для BlueTeam “Реагирование на компьютерные инциденты” — запись до 12 декабря!
Программа курса:
- Сбор необходимых материалов с Linux и Windows систем, в том числе дампов памяти
- Анализ журналов безопасности и артефактов ВПО, написание правил для его обнаружения
- Реагирование на основе данных из SIEM
- Анализ вредоносных программ и оптимизация процесса реагирования на инциденты
- Threat Intelligence & Threat Hunting
🏆 Сертификат / удостоверение о повышении квалификации
🏆 Возможности трудоустройства / стажировки
@Codeby_Academy
Узнать подробнее о курсе
👴 Видеокурс: Как взломать сети Wi-Fi
⏺Вы изучите различные угрозы, слабости и методы атак на беспроводные сети Wi-Fi;
⏺Будут рассмотрены такие темы, как: работа беспроводных сетей, настройки маршрутизатора, установка Kali Linux в VMware Player, полезные команды Linux, проведение атаки «отказ в обслуживании», взлом сетей Wi-Fi с использованием инструментов Aircrack-ng, Wifite, Crunch, Cowpatty, Pyrit, Reaver и другие методы взлома;
⏺Кроме того, вы научитесь создавать точку доступа «злой двойник»;
⏺Научитесь взламывать различные типы сетей Wi-Fi, включая WEP, WPA и WPA2;
⏺Изучите полезные команды Linux, создадите свой список слов с помощью Crunch и использование функции WPS для взлома WPA/WPA2 без списка слов;
⏺Познакомитесь с несколькими методами взлома Wi-Fi, созданием фальшивой сети Wi-Fi и другими аспектами безопасности беспроводных сетей
// Не хакинг, а ИБ
👁🗨 фреймворк для определения местоположения
HoneyBadger – это крутой веб-ориентированный фреймворк, предназначенный для определения географического местоположения цели
При помощи HTML5 и Java-апплетов заставляет браузер пользователя выдать свое реальное местоположение, даже если пользователь использует прокси
🗄 Читать статью – линк.
// Не хакинг, а ИБ
🥷 Сертифицированная Blackhat: Методология неэтичного взлома
Благодаря этой книге вы сможете узнать о:
⏺современной структуре тестирования на проникновение
⏺новейших инструментах и методах
⏺обнаружении уязвимостей, исправлении уязвимостей
Эта книга поможет читателям раскрыть подход и психологию черных хакеров
Автор: Abhishek karmakar
Год выхода: 2020
// Не хакинг, а ИБ
Друзья!
Создатели 😍Ideco NGFW дарят нашим 50 подписчикам календарь с прекрасными девушками на 2025 год.
Заполняйте заявку тут: https://ideco.ru/zayavka-kalendar-2025 промокод для поля Лицензия ИБ
Успейте стать одним из 50 счастливчиков!
Это абсолютно бесплатно, нужно только заполнить форму.
Стать этичным хакером за 4 месяца: попробуйте техники взлома на практике и зарабатывайте на Bug Bounty
Используйте промокод [Название этого канала]+10 и получите скидку 10%! Пишите нам @Codeby_Academy
Запись до 20 декабря! 🎄
Программа курса:
- эксплуатация всех актуальных типов уязвимостей, активный / пассивный фаззинг
- SQL Injection и CMD Injection, Cross Site Scripting, PHP injection, Server Side Template injection
- техники повышения привилегий, Client-side атаки (XSS, CSRF)
Записаться на курс
🔎 Захват аккаунта: Как я нашел способ получить доступ к любому аккаунту благодаря простой ошибке в регистрации
Сегодня в статье автор поделится уникальным случаем, с которым он столкнулся при проверке безопасности приложения в рамках одной программы
⚠️ Эта уязвимость позволила обойти проверку электронной почты и завладеть учетной записью любого пользователя благодаря ошибке в регистрации
В этой статье мы пошагово разберем процесс, который привел к этому открытию, исследуем работу сайта и выясним, как каждая упущенная из виду деталь способствовала возникновению серьёзной уязвимости в системе безопасности
Мы рассмотрим методы, использованные для обхода проверки электронной почты, захвата учетных записей и, в конечном счете, раскроем возможные риски
🗄 Читать статью – линк.
// Не хакинг, а ИБ
❔ Мифы и заблуждения о кибербезопасности
Авторы помогут вам обнаружить скрытые опасности, предотвратить ошибки, которых можно избежать, устранить ошибочные предположения и противостоять глубоко человеческим когнитивным предубеждениям.
На протяжении всей книги вы найдете примеры, взятые из реальных событий кибербезопасности, подробные методы распознавания и устранения ошибок безопасности, а также рекомендуемые меры по их устранению для создания более безопасных продуктов и бизнеса.
Авторы: Eugene Spafford, Josiah Dykstra, Leigh Metcalf
Год выхода: 2023
// Не хакинг, а ИБ
🤠 15 миллионов блокировок: Telegram представил результаты модерации
Мессенджер Telegram опубликовал данные о блокировке групп и каналов, нарушающих политику платформы и законодательство, вкладка со статистикой появилась на официальном сайте компании
В 2024 году было заблокировано 15,3 млн групп и каналов: почти 702 тыс. сообществ, связанных с распространением материалов о сексуальном насилии над детьми, и около 129 тыс. групп и каналов с террористической направленностью. Помимо этого, было удалено более 100 млн фрагментов террористического контента
Павла Дурова впервые допросили 6 декабря в суде Парижа по делу о недостаточной модерации в мессенджере Telegram, писал 20Minutes со ссылкой на AFP
💻 Ошибка в Windows Registry: как получить права администратора домена
Пошаговый разбор процесса исследования и эксплуатации уязвимости в клиенте WinReg. Раскрываем механизм работы RPC, методы обнаружения уязвимых систем и способы защиты
🎃 Взлом компьютерных сетей
Цель книги – обобщить для пользователя основные темы взлома компьютерных сетей
Книга состоит из следующих частей:
Часть 1: Лабораторная установка.
Часть 2: Отпечаток стопы и разведка.
Часть 3: Методология сканирования.
Часть 4: Перечисление.
Часть 5: Взлом системы.
Часть 6: Трояны, бэкдоры и вирусы.
Часть 7: Взлом снифферов и фишинга.
Часть 8: Взлом веб-серверов.
Часть 9: Взлом систем Windows и Linux.
Часть 10: Взлом беспроводных сетей.
Часть 11: Взлом мобильных приложений.
Автор: Dr. Hidaia Mahmood Alassouli
Год выхода: 2021
// Не хакинг, а ИБ
На канале Project Omega выложили курсы по хакингу и кибербезопасности
— Инструкции по взлому, деанону и социальной инженерии
— OSINT
— Видеокурсы популярных хакеров
Весь материал на канале в общем доступе! — /channel/+OSMD7WSv6yRhMmMy
🧑🎓 Руководства по тестированию безопасности
⏺ OWASP Mobile Security Testing Guide – тестинг гайд от OWASP по мобильным приложениям
⏺ OWASP Web Security Testing Guide – тестинг гайд от OWASP по веб-приложениям
⏺ HowToHunt – туториал и рекомендации по поиску уязвимостей
⏺ Pentest Book – полезная база знаний по пентесту, сценариям проникновения и многом другом
⏺ HackTricks – база знаний CTF-игрока, где он делится хакерскими приемами, техниками и всем, что узнал на CTF, а также последними исследованиями и новостями
// Не хакинг, а ИБ
💰 Серверы вместо шахт: раскрыта афера на миллионы с роскошным финалом
Чарльз О. Паркс III, также известный как «CP3O», признал вину в организации масштабной схемы криптоджекинга, в которой он использовал облачные вычислительные ресурсы для майнинга криптовалюты
В период с января по август 2021 года Паркс создавал фиктивные компании и использовал подставные имена, чтобы регистрировать множество аккаунтов у облачных провайдеров
Используя полученные ресурсы, Паркс организовал майнинг Ether, Litecoin и Monero с помощью специализированного ПО
Для максимизации производительности применялись инструменты, позволяющие контролировать процесс майнинга и распределять вычислительные мощности между пулами
😁 Linux. Книга рецептов. Все необходимое для администраторов и пользователей. 2-е издание
Книга рецептов обучит начинающих пользователей и администраторов Linux управлять системой, используя как графические инструменты, так и командную строку
Цель книги – помочь вам быстро приступить
к работе на простых и наглядных примерах
Карла Шрёдер приводит рецепты с объяснениями
для конкретных ситуаций, а также ссылки для дополнительного изучения
Автор: Карла Штрейкер и Трент Хейнс
Год выхода: 2022
// Не хакинг, а ИБ
😈 Перехват SSH подключений
SSH MITM – это инструмент тестера на проникновения, который позволяет аудитору перехватывать SSH подключения
В качестве основы инструмента взят исходный код OpenSSH v7.5p1, который пропатчен особым образом, что превращает его в прокси между жертвой и SSH сервером, к которому она пытается подключиться
Все пароли, передаваемые в виде простого текста и сессии перехватываются и сохраняются на диск атакующего
🎄 Новогодний CTF от S.E. x Codeby! 🎄
Уже на днях стартует CTF от @Social_Engineering и Академии Кодебай при поддержке codeby.games
Решайте CTF-таски и получайте ключи до 29 декабря! Каждый ключ — шанс получить главный приз! Всего 10 заданий!
Какие призы? 🎁
- Курс «Боевой OSINT»
- Курс «Специалист Security Operation Center»
- Flipper Zero
- x10 Telegram Premium
- х10 подписок на Codeby Games
Как участвовать?
1️⃣ Подпишитесь на @Social_Engineering и Codeby
2️⃣ Переходите в наш бот для решения заданий @codeby_se_bot
3️⃣ Следите за анонсами новых заданий в нашем канале!
Розыгрыш пройдет 30 декабря — не упустите свой приз!
📁🕵️ В Windows есть папка, которая собирает на вас компромат!
IT ВЕДОМСТВО опять предупредило своих подписчиков, как разгрузить компьютер от слежки и лагов системы.
А ещё они рассказывает о признаках майнеров, как удалить трояны и порно-баннеры за 5 минут
Почему греется проц без запущенных приложений и загружен HDD или SSD.
💻 Подпишитесь на IT ВЕДОМСТВО — залог цифровой гигиены и компьютерной грамотности
Спойлерим программу конференции ICEBREAKER 2024!
Уже 4 декабря в 11:00 пройдет IV ежегодная онлайн-конференция о веб-безопасности ICEBREAKER 2024. Участие бесплатное.
Узнать о конференции больше - /channel/ru_websecurity
Спикеры мероприятия — эксперты NGENIX и приглашенные гости из СОЛАР, Positive Technologies, Jet, Вэбмониторэкс и других известных компаний в мире ИБ.
В программе ICEBREAKER 2024:
- пленарная секция — дискуссия об импортозамещении, актуальных вопросах и трендах в области кибербезопасности, а также презентация новых сервисов и продуктов NGENIX;
- защита веба от киберугроз — практические советы, стратегии и инструменты для борьбы с продвинутыми ботами, атаками на API и другими угрозами;
- доступность веб-ресурсов — сервисы и технологии для обеспечения бесперебойной работы сайтов и приложений.
Присоединяйтесь к нам на NGENIX ICEBREAKER 2024 -
https://clck.ru/3EZCkW