Привет, друзья! 🌟
Рад приветствовать вас на своем канале! 🎉
Здесь я буду делиться с вами разнообразным контентом о кодинге 💻 и кибербезопасности 🔒, а также рассказывать о своем увлекательном пути в этих направлениях. 🚀
Вы увидите не только полезные советы и обучающие материалы, но и мои проекты 🛠, которые я создаю.
Будут фотографии моего рабочего места 📸, процесс разработки и многое другое! ✨
Если вам интересно пройти этот путь со мной, то жду Вас! ❤️
Рад приветствовать вас на своем канале! 🎉
Здесь я буду делиться с вами разнообразным контентом о кодинге 💻 и кибербезопасности 🔒, а также рассказывать о своем увлекательном пути в этих направлениях. 🚀
Вы увидите не только полезные советы и обучающие материалы, но и мои проекты 🛠, которые я создаю.
Будут фотографии моего рабочего места 📸, процесс разработки и многое другое! ✨
Если вам интересно пройти этот путь со мной, то жду Вас! ❤️
«Вам придется сказать «нет» многим хорошим вещам, чтобы иметь возможность сказать «да» многим великим вещам». — Стив Джобс
❤9⚡6🔥4❤🔥2✍1👍1
Чтение кода вручную — это трудоемкий процесс. Он также подвержен ошибкам, поскольку легко упустить важные детали. Как разработчики и тестировщики на проникновение, мы должны найти способ автоматизировать этот процесс. SAST — это метод, который может помочь нам в этой задаче.
SAST — это не серебряная пуля. Он применим только для случаев использования с доступом к исходному коду для проектов с открытым исходным кодом или тестирования на проникновение методом белого ящика. Однако он может помочь вам найти некоторые легкие пути и сэкономить время.
Я бы разделил свой подход к SAST на три категории:
Обнаружение уязвимостей: я использую такие инструменты, как Semgrep , Bandit , Nodejsscan , чтобы находить векторы атак в коде. Обычно можно найти легкие фрукты, такие как несанкционированные входные данные, плохую криптографию или уязвимые библиотеки. Кстати, в версии Semgrep PRO больше правил; она бесплатна, если в проекте не более 10 разработчиков.
Обнаружение секретов: Gitleaks , Trufflehog или Grep могут помочь вам найти секреты в коде. Это важно, поскольку секреты могут использоваться для повышения привилегий или доступа к конфиденциальным данным. Обычно строки подключения к базе данных, ключи API или пароли хранятся в коде.
Неправильные конфигурации: такие инструменты, как Checkov или Trivy, могут помочь вам найти неправильные конфигурации. Неправильные конфигурации обычно находятся в файлах "инфраструктура как код" (IaC), но могут быть и в самом коде. Примером может служить неправильно настроенный файл docker-compose, который выставляет базу данных в Интернет. Для сканирования Dockerfiles я рекомендую комбинацию hadolint и grype
Дополнительная информация: https://dkb-zh.gitlab-pages.ics.muni.cz/vulnerability-management/web-guides-external/docs/guide_iac_sast/#docker
Рекомендации гидов:
1. Как начать секретное обнаружение.
2. Как автоматизировать обнаружение секретов
3. Как начать работу с конвейерами SAST
4. Как начать работу с IaC SAST
Источник - тут
SAST — это не серебряная пуля. Он применим только для случаев использования с доступом к исходному коду для проектов с открытым исходным кодом или тестирования на проникновение методом белого ящика. Однако он может помочь вам найти некоторые легкие пути и сэкономить время.
Статическое тестирование безопасности приложений (SAST) — это подмножество статического анализа кода, используемое для повышения безопасности и надежности кода. SAST обнаруживает старые зависимости, обнаружение секретов, логические ошибки, которые приводят к уязвимостям, и многое другое. SAST включает тестирование, которое влияет на кибербезопасность вторично, например, визуальную сложность кода, неоднозначность кода и неинтуитивные практики, которые могут привести к уязвимостям.
Я бы разделил свой подход к SAST на три категории:
Обнаружение уязвимостей: я использую такие инструменты, как Semgrep , Bandit , Nodejsscan , чтобы находить векторы атак в коде. Обычно можно найти легкие фрукты, такие как несанкционированные входные данные, плохую криптографию или уязвимые библиотеки. Кстати, в версии Semgrep PRO больше правил; она бесплатна, если в проекте не более 10 разработчиков.
Обнаружение секретов: Gitleaks , Trufflehog или Grep могут помочь вам найти секреты в коде. Это важно, поскольку секреты могут использоваться для повышения привилегий или доступа к конфиденциальным данным. Обычно строки подключения к базе данных, ключи API или пароли хранятся в коде.
Неправильные конфигурации: такие инструменты, как Checkov или Trivy, могут помочь вам найти неправильные конфигурации. Неправильные конфигурации обычно находятся в файлах "инфраструктура как код" (IaC), но могут быть и в самом коде. Примером может служить неправильно настроенный файл docker-compose, который выставляет базу данных в Интернет. Для сканирования Dockerfiles я рекомендую комбинацию hadolint и grype
Дополнительная информация: https://dkb-zh.gitlab-pages.ics.muni.cz/vulnerability-management/web-guides-external/docs/guide_iac_sast/#docker
Рекомендации гидов:
1. Как начать секретное обнаружение.
2. Как автоматизировать обнаружение секретов
3. Как начать работу с конвейерами SAST
4. Как начать работу с IaC SAST
Источник - тут
❤9⚡4🔥3🍓2
🚨 Новая угроза для пользователей macOS
Исследователи из Elastic Security Labs выявили новую малварь под названием Banshee, которая атакует устройства на macOS. Этот стилер, продающийся в даркнете за $3000 в месяц, нацелен на архитектуры x86_64 и ARM64.
⏺️ Banshee крадет данные из популярных браузеров и криптовалютных кошельков, включая Safari, Chrome, Firefox, Brave, и другие. Он вытаскивает файлы cookie, учетные данные, историю посещений, а также системную информацию, данные из iCloud Keychain и Notes.
#cybersecurity
Исследователи из Elastic Security Labs выявили новую малварь под названием Banshee, которая атакует устройства на macOS. Этот стилер, продающийся в даркнете за $3000 в месяц, нацелен на архитектуры x86_64 и ARM64.
⏺️ Banshee крадет данные из популярных браузеров и криптовалютных кошельков, включая Safari, Chrome, Firefox, Brave, и другие. Он вытаскивает файлы cookie, учетные данные, историю посещений, а также системную информацию, данные из iCloud Keychain и Notes.
🌚 Стилер оснащен антиотладочными мерами, что позволяет ему избегать обнаружения и работать более эффективно. Владельцам "яблочной" техники стоит быть начеку.
#cybersecurity
⚡5❤5❤🔥3🔥2🤯2💋1
🚀 Nebul
Nebula - это передовой инструмент для этического хакинга на основе ИИ, созданный для ускорения процесса обнаружения уязвимостей.
Он отличается революционной функцией обработки естественного языка, которая позволяет пользователям вводить команды в свободной форме, что значительно упрощает перевод намерений в действия.
Nebula в настоящее время поддерживает интеграцию с ведущими инструментами этического хакинга, включая:
- NMAP
- OWASP ZAP
- Crackmapexec
- Nuclei
Обширная дорожная карта Nebula предусматривает непрерывное добавление новых инструментов, охватывая весь спектр технологий, используемых этичными хакерами во всем мире.
▪ Github
Источник - тут
#cybersecurity
Nebula - это передовой инструмент для этического хакинга на основе ИИ, созданный для ускорения процесса обнаружения уязвимостей.
Он отличается революционной функцией обработки естественного языка, которая позволяет пользователям вводить команды в свободной форме, что значительно упрощает перевод намерений в действия.
Nebula в настоящее время поддерживает интеграцию с ведущими инструментами этического хакинга, включая:
- NMAP
- OWASP ZAP
- Crackmapexec
- Nuclei
Обширная дорожная карта Nebula предусматривает непрерывное добавление новых инструментов, охватывая весь спектр технологий, используемых этичными хакерами во всем мире.
▪ Github
Источник - тут
#cybersecurity
❤7⚡5🔥4👍1👌1
Открытые инструменты для превентивной защиты и ИБ-аудита
Есть два ключевых подхода к защите ИТ-систем:
⏺ Реактивный – это реагирование на атаки и реализованные ИБ-риски, в том числе восстановление данных, установка патчей и обновлений, прочие активности.
⏺ Превентивный подход - подразумевает обнаружение и минимизацию возможных угроз
Так же в данной статье раскрыты инструменты для выявления уязвимостей, такие как:
1. Trivy
2. Kube-bench
3. Docker Bench for Security
4. Kube-hunter
5. Kubescape
6. Open-appsec
7. APIClarity
Источник - тут
#cybersecurity
Есть два ключевых подхода к защите ИТ-систем:
⏺ Реактивный – это реагирование на атаки и реализованные ИБ-риски, в том числе восстановление данных, установка патчей и обновлений, прочие активности.
⏺ Превентивный подход - подразумевает обнаружение и минимизацию возможных угроз
Так же в данной статье раскрыты инструменты для выявления уязвимостей, такие как:
1. Trivy
2. Kube-bench
3. Docker Bench for Security
4. Kube-hunter
5. Kubescape
6. Open-appsec
7. APIClarity
Источник - тут
#cybersecurity
❤7⚡5🔥5👌2
Конец Notion в России!
Все российские аккаунты отрубят уже 9 сентября — рассылка компании.
Все записи надо выгрузить до 8-го числа — иначе их попросту сотрут
Выгружаем все данные, пока способ ещё работает:
1️⃣ Зайти в Настройки.
2️⃣ Зайти ещё раз в Настройки.
3️⃣ Вкладка Export Content — скачивание всего контента.
Все российские аккаунты отрубят уже 9 сентября — рассылка компании.
Все записи надо выгрузить до 8-го числа — иначе их попросту сотрут
Выгружаем все данные, пока способ ещё работает:
1️⃣ Зайти в Настройки.
2️⃣ Зайти ещё раз в Настройки.
3️⃣ Вкладка Export Content — скачивание всего контента.
😭6❤4⚡4👍1🔥1
🖥 Инструменты обнаружения вторжений и защиты от них
1. badkarma – Простой сценарий Python, используемый для обнаружения и блокировки злонамеренных точек доступа и ловушек с использованием атаки Karma, таких как Wi-Fi Pineapple.
2. EvilAP_Defender – Защита беспроводной сети от фальшивых точек доступа.
3. huntpineapples – Инструмент для поиска и обнаружения Wi-Fi Pineapple в сети.
4. kismetclient – Python-клиент для взаимодействия с сервером Kismet.
5. kismet – Обнаружитель беспроводных сетей, сниффер и система обнаружения вторжений.
#cybersecurity
1. badkarma – Простой сценарий Python, используемый для обнаружения и блокировки злонамеренных точек доступа и ловушек с использованием атаки Karma, таких как Wi-Fi Pineapple.
2. EvilAP_Defender – Защита беспроводной сети от фальшивых точек доступа.
3. huntpineapples – Инструмент для поиска и обнаружения Wi-Fi Pineapple в сети.
4. kismetclient – Python-клиент для взаимодействия с сервером Kismet.
5. kismet – Обнаружитель беспроводных сетей, сниффер и система обнаружения вторжений.
#cybersecurity
⚡5🔥5❤🔥4❤2👍1🤝1
▪️Мастхэв утилита, если у вас Windows — WinUtil позволит настроить ОС под себя и даже сделать свою сборку системы.
Оцените сами: она позволяет удалить из Windows весь мусор, быстро установить нужные приложения, а самое главное — создать уникальный образ ОС, в котором сразу после установки будет всё необходимое.
Запускаем в PowerShell от имени администратора командой:
Теперь ваш компьютер действительно принадлежит вам.
Оцените сами: она позволяет удалить из Windows весь мусор, быстро установить нужные приложения, а самое главное — создать уникальный образ ОС, в котором сразу после установки будет всё необходимое.
Запускаем в PowerShell от имени администратора командой:
irm https://christitus.com/win | iex
Теперь ваш компьютер действительно принадлежит вам.
❤5⚡4🔥4✍3🤩1🏆1🤝1
This media is not supported in your browser
VIEW IN TELEGRAM
⚡7❤4🥰4🏆2✍1👍1🎉1
Voqal — это помощник по программированию, созданный для разработчиков программного обеспечения, которые хотят повысить свою производительность с помощью естественного речевого программирования.
Используя Voqal, вы можете перемещаться, писать, запускать и отлаживать программное обеспечение в IDE JetBrains с помощью голоса.
#code
Используя Voqal, вы можете перемещаться, писать, запускать и отлаживать программное обеспечение в IDE JetBrains с помощью голоса.
#code
⚡8❤4🔥4✍1🤩1🏆1🤓1
Интересные и познавательные статьи от BI.ZONE:
1. Стилер White Snake - Раскрывается работа данного стилера, что нужно для его приобретения и тд
2. Атаки с применением Cobalt Strike - Говорится про возможности данного инструмента
3. Sticky Werewolf атакуют государственные организации России и Беларуси - Объясняется как злоумышленникам удается проводить атаки без сложных инструментов
4. «Давайте сверимся»: как Fluffy Wolf использует акты сверки в атаках - В данной статье говорится, что помимо сбором информации, данная группировка умудряется в взломанные инфраструктуры установить майнер
5. Mysterious Werewolf атакует ВПК с помощью нового бэкдора RingSpy - Здесь освещается о том, что злоумышленники с помощью исполняемого файла загружают оригинальный бэкдор RingSpy для получения удаленного доступа
6. Rare Wolf охотится за приватными данными с помощью фальшивых накладных «1С:Предприятие» - Здесь раскрывается о том, что хакерская группировка больше нацелена на мессенджер "Telegram" и все данные пользователей у Rare Wolf
7. SEO poisoning: обзор атаки Watch Wolf на бухгалтеров - Внедрение в систему благодаря SEO стало настоящей гениальностью от Watch Wolf."
Безусловно, у BI.ZONE есть и другие отличные статьи, но лично для себя я выделил эти. Также на их сайте доступны исследования в формате PDF, и любой желающий может ознакомиться с ними. Я предпочту не раскрывать их в данном посте, но, возможно, поделюсь ими в будущем.
#cybersecurity
1. Стилер White Snake - Раскрывается работа данного стилера, что нужно для его приобретения и тд
2. Атаки с применением Cobalt Strike - Говорится про возможности данного инструмента
3. Sticky Werewolf атакуют государственные организации России и Беларуси - Объясняется как злоумышленникам удается проводить атаки без сложных инструментов
4. «Давайте сверимся»: как Fluffy Wolf использует акты сверки в атаках - В данной статье говорится, что помимо сбором информации, данная группировка умудряется в взломанные инфраструктуры установить майнер
5. Mysterious Werewolf атакует ВПК с помощью нового бэкдора RingSpy - Здесь освещается о том, что злоумышленники с помощью исполняемого файла загружают оригинальный бэкдор RingSpy для получения удаленного доступа
6. Rare Wolf охотится за приватными данными с помощью фальшивых накладных «1С:Предприятие» - Здесь раскрывается о том, что хакерская группировка больше нацелена на мессенджер "Telegram" и все данные пользователей у Rare Wolf
7. SEO poisoning: обзор атаки Watch Wolf на бухгалтеров - Внедрение в систему благодаря SEO стало настоящей гениальностью от Watch Wolf."
Безусловно, у BI.ZONE есть и другие отличные статьи, но лично для себя я выделил эти. Также на их сайте доступны исследования в формате PDF, и любой желающий может ознакомиться с ними. Я предпочту не раскрывать их в данном посте, но, возможно, поделюсь ими в будущем.
#cybersecurity
Я хочу подчеркнуть, что любые материалы, которые я предоставил, предназначены исключительно для образовательных целей. Я не поддерживаю и не одобряю незаконные действия, а также не побуждаю никого к их совершению. Моя цель — информировать и повысить осведомленность о вопросах информационной безопасности, а не способствовать нарушениям закона.
🥰41🔥18👏16❤13⚡4🤯3😱1🤝1