• Прежде чем углубляться в особенности настройки браузера, важно понять его значение в данной сфере. Браузер — это больше, чем просто инструмент для просмотра веб-сайтов, это универсальный инструмент, посредством которого специалисты взаимодействуют с веб-приложениями, проверяют данные и выявляют уязвимости.
• Держите список полезных плагинов для Firefox. Описание каждого плагина можно найти по ссылке ниже:
• Wappalyzer;
• Foxyproxy;
• Hacktool;
• Hackbar;
• Tamper data;
• User-agent Switcher;
• Cookie editor;
• Built with.
• P.S. А вот тут есть очень объемная mindmap, которая содержит в себе множество других плагинов и их описание: https://github.com
#Пентест #ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
📦 Где хранить секретные файлы...?
• Всю информацию человека можно разделить по степени важности, примерно так:
- Системные бэкапы (важность 1/10);
- Текущие рабочие файлы (3/10);
- Личный архив: фотографии, видео (6/10);
- Копии бумажных документов (8/10);
- Секреты: ключи, пароли, кошельки (10/10).
• Терять файлы всегда неприятно. Поэтому мы делаем резервные копии. Но степень параноидальности усилий по защите информации зависит от важности. Есть категория файлов, которую нельзя терять ни при каких обстоятельствах, даже в случае апокалипсиса. Это наши главные секреты, то есть ключи, пароли и кошельки.
• Сегодня предлагаю ознакомиться с полезной статьей на хабре, которая описывает различные уровни защиты собственных файлов, способы сокрытия от чужих глаз и методы хранения:
➡️ https://habr.com/ru/post/656653/
#ИБ
• Всю информацию человека можно разделить по степени важности, примерно так:
- Системные бэкапы (важность 1/10);
- Текущие рабочие файлы (3/10);
- Личный архив: фотографии, видео (6/10);
- Копии бумажных документов (8/10);
- Секреты: ключи, пароли, кошельки (10/10).
• Терять файлы всегда неприятно. Поэтому мы делаем резервные копии. Но степень параноидальности усилий по защите информации зависит от важности. Есть категория файлов, которую нельзя терять ни при каких обстоятельствах, даже в случае апокалипсиса. Это наши главные секреты, то есть ключи, пароли и кошельки.
• Сегодня предлагаю ознакомиться с полезной статьей на хабре, которая описывает различные уровни защиты собственных файлов, способы сокрытия от чужих глаз и методы хранения:
#ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
• Пентестеры выявляют уязвимости в безопасности, атакуя сети точно так же, как это делают злоумышленники. Чтобы стать пентестером высокого уровня, нам необходимо освоить наступательные концепции безопасности, использовать проверенную методологию и постоянно тренироваться.
• В этой статье вас ждет база — те вещи, которые должен знать каждый начинающий пентестер, занимающийся аудитами внутренней инфраструктуры.
#Пентест #ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
• В продолжение поста про пентест Wi-Fi: материал включает в себя объемный список инструментов для анализа защищенности Wi-Fi.
• Список разбит на категории и содержит краткое описание ПО с необходимыми ссылками:
- Личный топ инструментов;
- Denial of Service (DoS) \ Deauthentication;
- Атаки на шифрование;
- WEP/WPA/WPA2 ;
- WPS ;
- Атаки на Enterprise;
- Инъекции;
- Evil twin / Fake AP / MITM ;
- Wardriving ;
- Различные иные инструменты;
- Сбор информации;
- Защита / Обнаружение;
- Мониторинг.
#Пентест #ИБ #Hack
Please open Telegram to view this post
VIEW IN TELEGRAM
• Децентрализация — отсутствие единого центра контроля и единой точки отказа. Одни из важных принципов которые используются в децентрализованных проектах — являются такие вещи как Zero-config и нулевое доверие.
• Другими словами — сервис можно считать полностью децентрализованным, если для его запуска достаточно просто запустить приложение без дальнейшего ввода каких-либо данных для подключения. Нулевое доверие означает, что атака типа MITM должна быть в принципе не осуществима из-за реализации протокола.
• По итогу, сервисы, которые расцениваются как полностью децентрализованные, отвечают следующим требованиям: открытый исходный код, Zero-Config, защита от MITM на уровне протокола и низкий порог входа. Примеры приводить не буду, просто загляните в эту коллекцию ресурсов, выбирайте нужную категорию и переходите по ссылке:
- Cloud and Storage;
- Collaborative web editors;
- Cryptocurrencies and markets;
- Developer tools and frameworks;
- Hosting and media;
- Identity;
- Messaging;
- Networking;
- Protocols;
- Search Engines;
- Social Networks;
- Telephony.
• В дополнение: "Почему нам нужна децентрализация интернета".
#Конфиденциальность #ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
• О токенах, используемых в операционных системах семейства Windows слышали многие, ведь они являются важным звеном, участвующим в контексте безопасности всей операционной системы.
• В данной статье последовательно изложены теоретическая и практическая части, позволяющие понять важность токенов в операционных системах семейства Windows.
#AD #ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
#Разное #ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
• Универсальных инструментов не существует, и сканеры уязвимостей не стали исключением из этого правила.• Проект Scanners Box (scanbox) собрал в себе актуальный и полезный набор различных сканеров, который включает в себя более 10 различных категорий: от стандартных сканеров для #Red_Team и #Blue_Team специалистов, до сканеров анализа кода в мобильных приложениях:
- Large Language Model Security;
- Smart Contracts Security;
- Red Team vs Blue Team;
- Mobile App Packages Analysis;
- Binary Executables Analysis;
- Privacy Compliance;
- Subdomain Enumeration or Takeover;
- Database SQL Injection Vulnerability or Brute Force;
- Weak Usernames or Passwords Enumeration For Web;
- Authorization Brute Force or Vulnerability Scan For IoT;
- Mutiple types of Cross-site scripting Detection;
- Enterprise sensitive information Leak Scan;
- Malicious Scripts Detection;
- Vulnerability Assessment for Middleware;
- Special Targets Scan;
- Dynamic or Static Code Analysis;
- Modular Design Scanners or Vulnerability Detecting Framework;
- Advanced Persistent Threat Detect.
#ИБ #Пентест #Tools
Please open Telegram to view this post
VIEW IN TELEGRAM
🔪 Sharpening Techniques with Impacket.
• При аудите Windows - инфраструктур Impacket является швейцарским ножом, позволяя активно взаимодействовать с устройствами по сети, для которых проприетарным (родным) инструментом, конечно же, является, #PowerShell.
• Impacket — это набор классов Python для работы с сетевыми протоколами, и в первую очередь с Active Directory. Предустановлен в #Kali и аналогичных ему специализированных дистрибутивах.
• Пакет Impacket включает впечатляющий набор скриптов, название которых зачастую говорит само за себя. Например, mimikatz.py – python реализация одноимённого инструмента, являющего де-факто стандартным в наборе программ аудита Windows.
• По ссылке ниже Вы найдете краткое описание, необходимые ссылки и полный список скриптов, которые включает в себя Impacket:
➡ https://redteamrecipe.com/sharping-techniques-with-impacket/
#Пентест #ИБ #Impacket
• При аудите Windows - инфраструктур Impacket является швейцарским ножом, позволяя активно взаимодействовать с устройствами по сети, для которых проприетарным (родным) инструментом, конечно же, является, #PowerShell.
• Impacket — это набор классов Python для работы с сетевыми протоколами, и в первую очередь с Active Directory. Предустановлен в #Kali и аналогичных ему специализированных дистрибутивах.
• Пакет Impacket включает впечатляющий набор скриптов, название которых зачастую говорит само за себя. Например, mimikatz.py – python реализация одноимённого инструмента, являющего де-факто стандартным в наборе программ аудита Windows.
• По ссылке ниже Вы найдете краткое описание, необходимые ссылки и полный список скриптов, которые включает в себя Impacket:
#Пентест #ИБ #Impacket
Please open Telegram to view this post
VIEW IN TELEGRAM
• История обнаружения XSS-уязвимости на крупнейшем шахматном сайте интернета со 100 миллионами участников – Chess.com
#ИБ #web
Please open Telegram to view this post
VIEW IN TELEGRAM
• В этой статье мы рассмотрим популярные способы атак на AD, рассмотрим актуальные инструменты, рекомендации и ознакомимся с другими полезными ресурсами, которые актуальны в 2024 году.
#AD #Пентест #ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
• https://dfedorov.spb.ru/edu/ — очень объемная "дорожная карта", которая поможет Вам определить необходимый пул требований \ знаний для различных специальностей в сфере ИБ. Схема составлена на основе анализа текущих вакансий.
#ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
• Огромная коллекция различного материала на тему усиления безопасности. От подробных гайдов до необходимых инструментов и бенчмарков:
• Security Hardening Guides and Best Practices;
— Hardening Guide Collections;
— GNU/Linux;
- Red Hat Enterprise Linux - RHEL;
- CentOS;
- SUSE;
- Ubuntu;
— Windows;
— macOS;
— Network Devices;
- Switches;
- Routers;
- IPv6;
- Firewalls;
— Virtualization - VMware;
— Containers - Docker - Kubernetes;
— Services;
- SSH;
- TLS/SSL;
- Web Servers;
- Mail Servers;
- FTP Servers;
- Database Servers;
- Active Directory;
- ADFS;
- Kerberos;
- LDAP;
- DNS;
- NTP;
- NFS;
- CUPS;
— Authentication - Passwords;
— Hardware - CPU - BIOS - UEFI;
— Cloud;
• Tools;
— Tools to check security hardening;
- GNU/Linux;
- Windows;
- Network Devices;
- TLS/SSL;
- SSH;
- Hardware - CPU - BIOS - UEFI;
- Docker;
- Cloud;
— Tools to apply security hardening;
- GNU/Linux;
- Windows;
- TLS/SSL;
- Cloud;
— Password Generators;
• Books;
• Other Awesome Lists;
— Other Awesome Security Lists.
#ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
• Полезный и нужный рейтинг из 100 самых популярных инструментов с открытым исходным кодом для #ИБ специалистов и пентестеров: https://opensourcesecurityindex.io• В удобной таблице можно найти ссылку на проект, кол-во звезд, краткое описание инструмента, автора, кол-во форков и другую полезную информацию.
#ИБ #Пентест #Tools
Please open Telegram to view this post
VIEW IN TELEGRAM
• Жизнь обычных людей складывается из мелочей. Жизнь линуксоида складывается из множества маленьких полезных трюков, накапливаемых за годы работы в системе. Ценность таких трюков многим выше, если они не только удобны в использовании, но и способны повысить информационную безопасность.
• Эта статья описывает полезные методы и рекомендации по усилению безопасности серверов linux: https://www.cyberciti.biz/tips/linux-security.html
#Linux #ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
• Репозиторий с различным материалом и инструментами по информационной безопасности. Можно найти полезную информацию на любой вкус и цвет:
• Adversary Simulation & Emulation;
• Application Security;
• Binary Analysis;
• Cloud Security;
• Courses;
• Cryptography;
• Data Sets;
• Digital Forensics and Incident Response;
• Exploits;
• Hardening;
• Hardware;
• Malware Analysis;
• Mobile Security;
• Network Security;
• Open-source Intelligence (OSINT);
• Password Cracking and Wordlists;
• Social Engineering;
• Smart Contract;
• Vulnerable.
#ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
• Тема повышения привилегий далеко не нова, но тем не менее всегда актуальна. Стоит понимать, что универсального рецепта в этой теме не существует, однако есть множество вариантов которые следует применять в зависимости от ситуации.• Поделюсь с Вами полезными ресурсами, где можно найти очень много полезной информации и прокачать свои знания по данной теме:
- adsecurity — отличный ресурс с полезной информацией. Можно найти много материала по повышению привилегий.
- book.hacktricks — чеклист по повышению привилегий. Тонна уникальной информации.
- Windows - Privilege Escalation.md — шпаргалка по сегодняшней теме.
#Пентест #ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
🗞 Paged Out!
• Очень ламповый журнал по информационной безопасности и этичному хакингу. Публикуется в формате: 1 страница - 1 статья. На данный момент опубликовано 4 выпуска, которые вы можете скачать тут: https://pagedout.institute
#ИБ
• Очень ламповый журнал по информационной безопасности и этичному хакингу. Публикуется в формате: 1 страница - 1 статья. На данный момент опубликовано 4 выпуска, которые вы можете скачать тут: https://pagedout.institute
#ИБ
• Полезная шпаргалка по #nmap, которая поможет автоматизировать свою работу и сократить время на выполнение определенных задач: https://www.stationx.net/nmap-cheat-sheet/
• В качестве дополнения предлагаю ознакомиться с материалом по ссылкам ниже, где Вы найдете необходимую информацию для изучения этого инструмента:
• Host Discovery;
• Output Format Scan;
• Understanding Nmap Packet Trace;
• Nmap Scan with Timing Parameters;
• Nmap Scans using Hex Value of Flags;
• Forensic Investigation of Nmap Scan using Wireshark;
• Understanding Guide for Nmap Timing Scan (Firewall Bypass);
• Understanding Guide for Nmap Ping Scan (Firewall Bypass);
• Comprehensive Guide on Nmap Port Status;
• How to Detect NMAP Scan Using Snort;
• Understanding Guide to Nmap Firewall Scan (Part 2);
• Understanding Guide to Nmap Firewall Scan (Part 1);
• Understanding Nmap Scan with Wireshark;
• Password Cracking using Nmap;
• Vulnerability Scan;
• Network Scanning using NMAP (Beginner Guide);
• MSSQL Penetration Testing using Nmap;
• MySQL Penetration Testing with Nmap.
#ИБ #Eng #Nmap
Please open Telegram to view this post
VIEW IN TELEGRAM
• Автор репозитория собрал большую коллекцию рабочих и проверенных методов по MITM атакам. Самое красивое: атака через физическое подключение к кабелю крокодильчиками. Посмотрите на это сами: https://github.com/MITMonster
• Другие методы:
• Link Layer Attacks:
- ARP Cache Poisoning;
- LLMNR/NBT-NS/mDNS Poisoning;
- STP Root Spoofing;
- DHCPv4 Spoofing;
- DHCPv6 Spoofing.
• Network Layer Attacks:
- Evil Twin against Dynamic Routing;
- FHRP Spoofing.
#ИБ #Пентест
Please open Telegram to view this post
VIEW IN TELEGRAM