-
Главный архив с лучшими материалами со всего интернета по ИБ и этичному хакингу. Реклама/сотрудничество: @One_Daniil Владелец: @awenft Мы на бирже: https://telega.in/c/searchack
🎃 Инструмент автоматического тестирования на проникновение
Unicornscan – это бесплатный инструмент автоматического тестирования на проникновение с открытым исходным кодом, который полезен для сбора информации, тестирования безопасности веб-сайтов и веб-серверов
Unicornscan предоставляет множество интегрированных инструментов для выполнения тестирования на проникновение в целевой системе, а также может предоставить вам информацию о целевой операционной системе.
Особенности Unicornscan:
⏺может обнаруживать асинхронный TCP-баннер.
⏺может предоставить вам информацию об обнаружении операционной системы, приложений и системных служб на хосте.
⏺имеет возможность использовать пользовательские наборы данных для выполнения разведки.
⏺поддерживает реляционный вывод SQL из сетей.
⏺может выполнять асинхронное TCP– и UDP-сканирование на хостах
🗄 Официальная страница на Kali Linux – линк.
// Не хакинг, а ИБ
😂 От нуля до N: хакеры побили рекорд в скорости эксплуатации уязвимостей
Аналитики Google Mandiant предупреждают о новой тенденции: хакеры все чаще обнаруживают и используют уязвимости нулевого дня в программном обеспечении
Специалисты исследовали 138 уязвимостей, выявленных в 2023 году, которые активно использовались в реальных атаках
Эксперты отметили, что в 2023 году разрыв между использованием zero-day и n-day заметно увеличился, что подчеркивает растущую популярность 0Day-атак
Под руководством опытных кураторов вы поймете, как организовать мониторинг безопасности IT сегмента предприятия — какие процессы внедрить и как это сделать?
Старт: 28 октября
Вы изучите:
- Моделирование угроз безопасности информации
- Vulnerability Management, Threat Intelligence, Threat Hunting, Patch Management и Incident Response (IR) с помощью бесплатного ПО
- Администрирование СЗИ
Что вы получите?
🏆 Готовность к современным угрозам и способность предотвращать материальный и репутационный ущерб
✏️ Возможности трудоустройства/стажировки для лучших выпускников
📑 Сертификат/удостоверение о повышении квалификации
Пишите нам @Codeby_Academy
Подробнее о курсе
#реклама
О рекламодателе
😈 Утилита для сокрытия данных
Steghide – это бесплатная утилита для стеганографии, которая позволяет скрывать секретные файлы внутри других файлов
Steghide позволяет легко внедрять скрытую информацию и извлекать ее снова с помощью пароля
Это обеспечивает способ безопасной передачи сообщений или конфиденциальных данных по общедоступным сетям или любой системе, где требуется конфиденциальность
С помощью всего нескольких команд Steghide позволяет даже новичкам легко начать использовать базовые методы стеганографии в Kali Linux
🗄 Репозиторий на GitHub – линк.
// Не хакинг, а ИБ
👺 «In the World of Hackers, Be a Knight»: решаем задачи с CTF-турнира
В 2020 году cybersecurity-энтузиаст Md. Moniruzzaman Prodhan aka NomanProdhan собирает команду Knight Squad. С 2021 года они начинают проводить семинары по информационной безопасности.
Обеспечивай информационную безопасность топовой* компании на стажировке GPB.Level Up!
В новом сезоне Газпромбанк запускает программу стажировки по направлению информационная безопасность. Ты примешь участие в масштабных проектах Банка и его дочерних компаний. Наши опытные наставники не оставят тебя без внимания: познакомят с коллегами, помогут погрузиться в бизнес–процессы и корпоративную жизнь.
Вдобавок — приятные условия:
⭐ вознаграждение до 67 000 рублей gross при полной занятости;
⭐ работа от 30 часов в неделю в очном или гибридном формате;
⭐ возможность продолжения карьеры в Газпромбанке и его дочерних компаниях.
Заполняй анкету до 4 ноября – https://vk.cc/cvU3L3?erid=LjN8KJS3D
* Хабр: «Лучший IT–работодатель» Топ–10 в 2023 году
hh.ru: «Рейтинг работодателей России» ТОП–3 среди банков в 2023 году
HR–премия «Талантист»: Лучший работодатель в финансовой сфере в 2023 году
🛡 10 бесплатных инструментов диагностики SSL/TLS
SSL (secure sockets layer –уровень защищённых cокетов) – это криптографический протокол для безопасной связи
С версии 3.0 SSL заменили на TLS (transport layer security – безопасность транспортного уровня), но название предыдущей версии прижилось, поэтому сегодня под SSL чаще всего подразумевают TLS
Цель протокола – обеспечить защищённую передачу данных
Для аутентификации используются асимметричные алгоритмы шифрования (пара открытый – закрытый ключ), а для сохранения конфиденциальности – симметричные (секретный ключ)
Инструменты с открытым кодом для устранения проблем с SSL/TLS:
⏺DeepViolet
⏺SSL Diagnos
⏺SSLyze
⏺OpenSSL
⏺SSL Labs Scan
⏺SSL Scan
⏺Test SSL
⏺TLS Scan
⏺Cipher Scan
⏺SSL Audit
🗄 Читать статью – линк.
// Не хакинг, а ИБ
⚠️ CVE-2024-47191: ошибка в OATH Toolkit поставила под удар безопасность миллионов устройств
Благодаря недавно обнаруженной уязвимости в OATH Toolkit, которая получила идентификатор CVE-2024-47191, злоумышленники могут повысить свои привилегии до уровня суперпользователя
Данная уязвимость найдена в модуле «Pluggable Authentication Module» (PAM), используемом для интеграции OTP-аутентификации в системы входа
🔎 Социальная инженерия и этичный хакинг на практике
Эта книга поможет вам лучше понять методы, лежащие в основе атак социальной инженерии, и узнать, как помешать киберпреступникам и злоумышленникам, которые используют человеческие слабости в своих целях
🎩 Джо Грей, отмеченный наградами эксперт в области социальной инженерии, делится примерами из практики, передовым опытом, инструментами аналитики с открытым исходным кодом (OSINT), заготовками для организации атак и шаблонами отчетов, чтобы компании могли лучше защитить себя
Он описывает творческие методы, позволяющие обманным путем выманить у пользователей их учетные данные: использование сценариев Python и редактирование файлов HTML для клонирования легального веб-сайта
Автор: Джо Грэй
Год выхода: 2023
// Не хакинг, а ИБ
💳 5 полезных советов для эффективной разведки по открытым источникам
Любая информация, даже в закрытом аккаунте, может привести к множеству разнообразных зацепок, если использовать более продвинутые методы и инструменты поиска, в том числе недоступных обычным гражданским лицам
💰 UniShadowTrade: глобальная афера оставила пользователей без сбережений
Group-IB раскрывает схему обмана, которой мошенники успешно пользовались с прошлого года
🦈 Wireshark | Как находить утечки данных с помощью анализатора сетевых пакетов | CyberYozh
В данном видео будет показано два варианта использования анализатора трафика:
⏺ Для простого люда, чтобы можно было защитить свой bitcoin.txt
⏺ Со стороны хакера, который получает пароль от облака, где этот файл хранится
// Не хакинг, а ИБ
🔒 Форензик кейс взлома серверов под управлением Linux
Содержание статьи:
1. Предыстория инцидента
2. Поиск артефактов
• Извлекаем данные из оперативной памяти
• Анализ образа жесткого диска
• Поиск артефактов в PCAP-дампе
• Анализ артефактов, собранных с живых систем
• Дополнительные инструменты поиска артефактов
3. Как это было на самом деле
• Враг внутри
• Веб под прицелом
• Майнеры поневоле
• Зомби-апокалипсис
В этой статье мы детально разбираем большой кейс с атакой на целую ферму машин под управлением Linux
🎃 Нас ждет взлом веб-сервера, заражение майнером, эскалация root из виртуального контейнера и создание ячейки ботнета, которая рассылала спам
🗄 Читать статью – линк.
// Не хакинг, а ИБ
❗️ OSINT на грани: мощный инструмент поиска по нику, телефону и IP-адресу
Gideon – это многофункциональный инструмент для выполнения узкоспециализированных OSINT-запросов
Основной задачей программы является автоматизация поиска информации из открытых источников
Основные возможности включают:
⏺ Поиск информации по телефонным номерам;
⏺ Анализ данных по автомобильным госномерам;
⏺ Поиск профилей по никнеймам;
⏺ Анализ торрент-загрузок по IP-адресам
🗄 Репозиторий на GitHub – линк.
🗄 Читать статью – линк.
// Не хакинг, а ИБ
😁 Взломы и настройка Linux | 100 профессиональных советов и
инструментов
Книга представляет собой сборник профессиональных советов, позволяющий повысить эффективность работы серверов под управлением ОС Linux
Рассматриваются следующие темы: основы серверов, контроль версий управляющих файлов и их резервное копирование, работа в сети, мониторинг работы сервера, вопросы защиты информации, написание сценариев на языке Perl, а также три наиболее важных программы под ОС Linux – Bind 9, MySQL и Apache.
Автор: Фликенгер Р.
Год выхода: 2006
// Не хакинг, а ИБ
😷 Как я получил 50000 + 0 долларов за уязвимость в Zendesk
Zendesk – это веб-сервис с рядом приложений для поддержки клиентов и посетителей, используемый одними из самых богатых компаний мира
Сервис оснащён инструментами для оперативной обработки заявок клиентов, которые поступают в службу поддержки, систематизируются и поступают напрямую оператору для обработки и ответа
Он прост в настройке:
достаточно указать ссылку на электронную почту технической поддержки компании (вида support@company.com), и Zendesk сразу начнёт обрабатывать входящие письма и создавать тикеты
❗️ Физические атаки с использованием хакерских устройств
Книга посвящена физическим атакам на беспроводные сети и компьютеры с использованием самодельных хакерских устройств и защите от них
Содержание книги:
⏺Показан способ дампа памяти компьютера при помощи обычной флешки, метод перехвата сетевого трафика посредством зажимов-«крокодилов»
⏺Подробно освещены различные атаки BadUSB, продемонстрирован метод организации несанкционированного доступа к компьютеру при помощи 4G-модема и подключения к локальной сети через хакерское устройство на базе одноплатного компьютера
⏺Описаны атаки на беспроводные сети и уличные IP-камеры с помощью самодельного устройства Wi-Fi Pineapple
⏺Продемонстрирован способ атаки на сеть и устройства с использованием дрона, оборудованного одноплатным компьютером
⏺Описана конструкция защищенного от помех квадрокоптера с управлением по мобильной сотовой сети
⏺Рассказано о том, как превратить обычный мобильный телефон в «трекер» или хакерское устройство, позволяющее управлять гаражными воротами или шлагбаумами
Автор: А. Жуков
Год выхода: 2023
// Не хакинг, а ИБ
🔎 Темная сторона open-source: что скрывается за бесплатным кодом?
Число вредоносных пакетов в экосистеме open-source за последний год значительно возросло, о чем свидетельствует новый отчет компании Sonatype
Open-source
– это программное обеспечение, которое основывается на прозрачном процессе разработки с возможностью для любого желающего вносить свой вклад, является основой большинства современных цифровых технологий
👩💻 Web-сервер глазами хакера, 3-е издание
Рассмотрена система безопасности web-серверов и типичные ошибки, совершаемые web-разработчиками при написании сценариев на языках PHP, ASP и Perl
Приведены примеры взлома реальных web-сайтов, имеющих уязвимости, в том числе и популярных
В теории и на практике рассмотрены распространенные хакерские атаки: DoS, Include, SQL-инъекции, межсайтовый скриптинг, обход аутентификации и др.
Представлены:
⏺основные приемы защиты от атак
⏺рекомендации по написанию безопасного программного кода
⏺настройка и способы обхода каптчи
В третьем издании рассмотрены новые примеры реальных ошибок, приведены описания наиболее актуальных хакерских атак и методов защиты от них
Автор: Фленов М. Е.
Год выхода: 2021
// Не хакинг, а ИБ
❗️ Отображения сетевых поверхностей атаки
OWASP Amass – инструмент, помогающий выполнять сетевое отображение поверхностей атак и выполнять внешнее обнаружение активов с использованием сбора информации с открытым исходным кодом и методов активной разведки
Используемые методы сбора информации:
⏺ DNS: базовое перечисление, грубое принуждение (по запросу)
⏺ Обратная развертка DNS
⏺ Изменение/перестановки имен доменов поддоменов
🗄 Репозиторий на GitHub – линк.
// Не хакинг, а ИБ
Кибербезопасность и защита информации — важный вопрос в эпоху цифровой модернизации. Как защитить сервер от кибератак и эффективно противостоять им? Как понять механизмы шифрования, если нет опыта в программировании? Skillbox открывает бесплатный доступ к мини-курсу по кибербезопасности.
Регистрация: https://epic.st/I_3eB?erid=2Vtzqw18qvZ
В программе мини-курса вы узнаете реальные техники взлома и защиты серверов, научитесь фильтровать трафик, а также поймёте, интересна ли вам профессия специалиста по кибербезопасности.
Спикер — Сергей Кручинин, проверяющий эксперт в Skillbox. Руководил проектами в Mail.ru Group, работал в WEBINAR.RU, ГК Astra Linux, МИФИ, МГТУ им. Н. Э. Баумана, разрабатывал образовательные проекты по информационной безопасности.
Всех участников ждут бонусы и приятные подарки во время прохождения курса.
Получите доступ к знаниям в пару кликов!
Реклама. ЧОУ ДПО «Образовательные технологии «Скилбокс (Коробка навыков)», ИНН: 9704088880
✊Подготовьтесь к интервью на Cloud Solution Architect и узнайте, как уверенно пройти все его этапы!
👉На бесплатном вебинаре онлайн-курса «Cloud Solution Architecture» - «Mock интервью на позицию Cloud Solution Architect»: https://vk.cc/cC5oKm
На вебинаре вы узнаете:
1. Как преодолеть страх перед интервью и подойти к нему с уверенностью
2. Этапы карьерного роста от Solution Architect до руководящих позиций
3. Основные этапы интервью для Cloud Solution Architect и их содержание
4. Методики эффективного ответа на вопросы интервьюеров
5. Важность Soft и Hard skills в процессе отбора
6. Симуляция интервью с разбором технических вопросов
🤝Понравится урок — продолжите обучение на курсе по спеццене и даже в рассрочку!
Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576
Бесплатный мини-курс с практикой по пентесту.
Спикер - специалист по кибербезопасности, независимый исследователь Гамид Джафаров.
Вы узнаете:
• как проводить аудит веб-ресурса;
• как находить уязвимости в ОС;
• как повышать привилегии на сервере;
• какие навыки нужны для трудоустройства.
За лучшее решение домашнего задания - курс “Алгоритмы и структуры данных” в подарок.
Записаться: https://go.skillfactory.ru/&erid=2VtzqwRseGJ
Реклама ООО «Скилфэктори», ИНН 9702009530
😒 Подборка каналов для каждого безопасника и хакера
⏺No system is safe — ИБ-медиа об актуальном.
⏺Бэкап — канал с исходниками популярных проектов. Здесь вы найдёте инструменты по ИБ, исходные коды нейросетей, ботов, сайтов.
🍯 Медовый горшок Cowrie
Cowrie – инструмент honeypot для взаимодействия со средой SSH и Telnet, предназначенный для регистрации атак грубой силы, методом перебора и взаимодействия с оболочкой, выполняемых злоумышленником
Telnet (от англ. Teletype Network
) – сетевой протокол для реализации текстового терминального интерфейса по сети
Со скоростью света
☀️Именно так стремительно Solar NGFW в виртуальном исполнении ворвался на рынок в 2023 году, став одним из первых российских межсетевых экранов нового поколения для сегмента enterprise
☀️Уже через год Solar NGFW обрел форму в «железе»
☀️А спустя всего лишь 5 месяцев ПАК Solar NGFW стал обладателем сертификата соответствия требованиям ФСТЭК России
Теперь Solar NGFW соответствует требованиям к межсетевым экранам по профилю защиты типа «А» четвертого класса и к системам обнаружения вторжений четвертого класса защиты уровня сети
Его смогут использовать заказчики, стремящиеся заменить иностранные СЗИ, в том числе для обеспечения безопасности значимых объектов КИИ, государственных информационных систем и АСУ ТП
☀️Скорость реализации – это то, что ждет рынок от российских провайдеров. И «Солар» готов доказывать это на деле
Реклама. ООО «Эр Ай Коммуникейшн, ИНН: 7707083893, erid:2VtzqwMjwGm
😱 Взлом веб-аналитики
Книга покажет вам, как копаться в Интернете и находить информацию, о существовании которой многие даже не подозревают
В книге используется целостный подход, который заключается не только в использовании инструментов для поиска информации в Интернете, но и в том, как связать всю информацию и преобразовать ее в презентабельную и полезную информацию
Автор: Chauhan, Sudhanshu, Panda, Nutan Kumar
Год выхода: 2019
// Не хакинг, а ИБ
📚 Коллекция книг для ИБ специалистов.
• В нашем втором канале проходит небольшой розыгрыш, где победители смогут получить коллекцию актуальных и полезных книг для ИБ специалистов:
- Сети глазами хакера;
- Контролируемый взлом. Библия социальной инженерии;
- Хакерство. Секреты мастерства;
- Тестирование на проникновение с Kali Linux;
- Хакерство. Физические атаки с использованием хакерских устройств.
• Каждый победитель получит сразу весь пул книг в бумажном варианте, которые перечислены выше. Принять участие можно тут: /channel/it_secur/2235
S.E. ▪️ infosec.work ▪️ VT
💻 Киберугрозы стали неотъемлемой частью современного мира. Многие ИТ-специалисты вынуждены противостоять угрозам и защищать свои компании, не имея специальных знаний в кибербезопасности.
Новый бесплатный курс «Специалист по противодействию кибератакам» CyberED – ваш шанс изучить основы защиты ИТ-инфраструктур.
На курсе вы:
➖ Познакомитесь с основами ИБ, типами хакеров и основными угрозами
➖ Узнаете, как как защитить компьютерные системы, данные и сети, настраивать SIEM
➖ Научитесь обнаруживать злоумышленников в основных сегментах сети и реагировать на инциденты на разных стадиях атак и в реальном времени.
▶️ Курс полностью в записи. Он включает видео, текстовые материалы и практические задания. Рассчитан на 3-4 недели.
➡️ Узнать подробнее
📌 Предыдущий бесплатный курс CyberED «Профессия Белый Хакер» по основам этичного хакинга проходят более 20 тыс. человек. Попробуйте противоположное направление – изучите сторону защиты!
Давайте вместе сделаем страну и бизнес защищеннее!
Реклама. ОАНО ДПО «ВЫШТЕХ» ИНН: 7703434727, erid: 2Vtzqumha3b