🔐 Cyber Security. Подборка полезных источников.
• Сразу обозначу, что описывать каждый линк не буду. Ресурсы поделены на разделы и каждый источник будет на английском языке. Но это не помешает тебе нажать на одну кнопку в браузере и перевести страницу на нужный язык. Добавляйте в закладки и читайте свежую информацию одними из первых:
• Информационные бюллетени на различные темы (ИБ):
- SecPro;
- Risky.Biz;
- Zero Day;
- SecMoves;
- Vulnerable U;
- AdvisoryWeek;
- Security, Funded;
- This Week in 4n6;
- Bluepurple Pulse;
- Return on security;
- RTCSec Newsletter;
- Sources & Methods;
- tl;dr sec Newsletter;
- AWS Security Digest;
- Hive Five Newsletter;
- API Security Newsletter;
- Security Pills Newsletter;
- Threats Without Borders;
- Last Week in AWS Security;
- Full Disclosure Mailing List;
- Politico Weekly Cybersecurity;
- Detection Engineering Weekly;
- Blockchain Threat Intelligence;
- The Cloud Security Reading List;
- MEM and Windows Weekly Community Newsletter.
• Новостные рассылки:
- CyberWeekly;
- CyberSec Weekly;
- SANS Newsletters;
- This week in security;
- Last Week in Security;
- Securitynewsletter.co;
- CyberSecNewsWeekly;
- The CyberSecurity Club;
- IT Security Weekend Catch Up;
- Unsupervised Learning Community;
- U.S. Department of Homeland Security.
• Twitter (X):
- CERTs;
- Red Team;
- Pentest Tools;
- OWASP Projects;
- Malware Hunters;
- Test Security Labs;
- Vendor Research Labs;
- RastaMouse Twitter List;
- Phishing & Botnet Hunters.
• P.S. Как бы вы не относились к Twitter (X), зарубежное ИБ сообщество публикует ценную и актуальную информацию именно там. Для чтения такого материала попробуйте воспользоваться ботом, о котором я писал вот тут.
S.E. ▪️ infosec.work
🖖🏻 Приветствую тебя, user_name.• Помните, я составлял очень крутую подборку англоязычных блогов, которые освещают тему #ИБ на платформе YouTube? Этот пост является очень популярным (по статистике) и актуальным на сегодняшний день. И в этот раз я дополню этот список, только не каналами на YT, а первоисточниками новостей, исследований, событий и отчетов.
• Сразу обозначу, что описывать каждый линк не буду. Ресурсы поделены на разделы и каждый источник будет на английском языке. Но это не помешает тебе нажать на одну кнопку в браузере и перевести страницу на нужный язык. Добавляйте в закладки и читайте свежую информацию одними из первых:
• Информационные бюллетени на различные темы (ИБ):
- SecPro;
- Risky.Biz;
- Zero Day;
- SecMoves;
- Vulnerable U;
- AdvisoryWeek;
- Security, Funded;
- This Week in 4n6;
- Bluepurple Pulse;
- Return on security;
- RTCSec Newsletter;
- Sources & Methods;
- tl;dr sec Newsletter;
- AWS Security Digest;
- Hive Five Newsletter;
- API Security Newsletter;
- Security Pills Newsletter;
- Threats Without Borders;
- Last Week in AWS Security;
- Full Disclosure Mailing List;
- Politico Weekly Cybersecurity;
- Detection Engineering Weekly;
- Blockchain Threat Intelligence;
- The Cloud Security Reading List;
- MEM and Windows Weekly Community Newsletter.
• Новостные рассылки:
- CyberWeekly;
- CyberSec Weekly;
- SANS Newsletters;
- This week in security;
- Last Week in Security;
- Securitynewsletter.co;
- CyberSecNewsWeekly;
- The CyberSecurity Club;
- IT Security Weekend Catch Up;
- Unsupervised Learning Community;
- U.S. Department of Homeland Security.
• Twitter (X):
- CERTs;
- Red Team;
- Pentest Tools;
- OWASP Projects;
- Malware Hunters;
- Test Security Labs;
- Vendor Research Labs;
- RastaMouse Twitter List;
- Phishing & Botnet Hunters.
• P.S. Как бы вы не относились к Twitter (X), зарубежное ИБ сообщество публикует ценную и актуальную информацию именно там. Для чтения такого материала попробуйте воспользоваться ботом, о котором я писал вот тут.
S.E. ▪️ infosec.work
• Как стало понятно из названия, сегодня я подготовил для тебя интересную подборку форумов, которые будут полезны специалистам в области #ИБ и социальным инженерам. Однако, прежде чем переходить по ссылкам, хочу отметить несколько нюансов:
- Список не является исчерпывающим;
- Некоторые ресурсы открываются только через VPN;
- Используйте информацию в ознакомительных целях;
- Если Вы совершаете сделку, используйте гаранта;
- Список не включает в себя формы сегмента onion.
🧷 Список форумов (100+)
• Особое внимание уделите следующим ресурсам:
- XSS.is;
- Exploit.in;
- Antichat;
- Codeby;
- cyberforum.
S.E. ▪️ infosec.work
Please open Telegram to view this post
VIEW IN TELEGRAM
🖖🏻 Приветствую тебя, user_name.
• В настоящее время на Земле миллионы камер, которые доступны из интернета. Они являются очень полезным инструментом #OSINT и могут сыграть ключевую роль при подготовке к пентесту, если ты сумеешь найти нужную камеру поблизости с объектом тестирования.• Помимо вышеперечисленных направлений, с помощью камер можно решать GEOINT кейсы, сопоставлять информацию о человеке из социальных сетей и собирать другую необходимую информацию. В общем и целом - одни плюсы, которые пригодятся социальным инженерам, #ИБ и OSINT специалистам.
• Предлагаю изучить полезный материал от Netlas, где указаны различные варианты поиска камер через их поисковую систему:
• Ну а если этого мало, то обязательно ознакомься с дополнительным материалом: Аудит безопасности IP камер.
S.E. ▪️ infosec.work
Please open Telegram to view this post
VIEW IN TELEGRAM
• Хотите всегда владеть информацией о самых актуальных и востребованных инструментах ИБ специалиста? Сервис "ossinsight" ежемесячно публикует список репозиториев по популярности, запросам и присваивает место в рейтинге. Соответственно, Вы всегда сможете понять, какой инструмент находится в топе и пользуется особой популярностью в определенных аспектах #ИБ на сегодняшний день.
• Материал представлен в красивом и понятном виде, с диаграммами и табличками. Ссылка на ресурс: https://ossinsight.io/collections/security-tool/
• Дополнительно:
- #tools;
- 150+ хакерских поисковых систем и инструментов;
- 99+ бесплатных инструментов для анализа зловредов;
- 70+ бесплатных инструментов для компьютерной криминалистики.
S.E. ▪️ infosec.work
Please open Telegram to view this post
VIEW IN TELEGRAM
• NetCat — утилита Unix, позволяющая устанавливать соединения TCP и UDP, принимать оттуда данные и передавать их. Утилита является настоящим швейцарским ножом для пентестеров и #ИБ специалистов, с помощью которой мы можем следующее:
- Сканировать порты;
- Перенаправлять порты;
- Производить сбор баннеров сервисов;
- Слушать порт (биндить для обратного соединения);
- Скачивать и закачивать файлы;
- Выводить содержимое raw HTTP;
- Создать мини-чат.
• Вообще с помощью netcat можно заменить часть unix утилит, поэтому этот инструмент можно считать неким комбайном для выполнения тех или иных задач.
• Для изучения netcat, держите ссылку на полезный cheatsheet и руководство для пентестеров.
• Дополнительный материал:
• Для чего Netcat;
• Версии Netcat;
• Ncat: ваш универсальный сетевой коннектор;
• Принципы работы Ncat;
• Подключение к HTTP в Ncat;
• Подключение через SSL (HTTPS) в Ncat;
• Режим прослушивания Ncat;
• Запуск команд через ncat;
• Подключение к Ncat если удалённая машина находиться за NAT;
• Как сделать так, чтобы при закрытии клиента Ncat, не отключался сервер Ncat;
• Как передать файлы на удалённый компьютер;
• Как загрузить файл с удалённого компьютера;
• Как сделать веб-сервер с Ncat;
• Как с помощью Ncat получить доступ к службам, доступным только в локальной сети;
• Использование SSH через туннель Ncat;
• Как Ncat превратить в прокси;
• Как разрешить подключение к Ncat с определённых IP;
• Отправка почты;
• Создание цепей последовательной передачи трафика между нескольких Ncat;
• Очистка от SSL;
• Ncat как SSL сервер;
• Сканирование портов;
• Закрепление на удалённой машине;
• Эмуляция диагностических служб;
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
• Отойдем немного от темы #ИБ и окунемся в тематику нейросетей: Хауди Хо выкатил очень крутую нейросетку для Counter Strike 2 с открытым исходным кодом, которая сейчас является единственной в своем роде. Внутри архива Вы найдете исходный код с детекторами, скриптами симуляции мыши, тулзами, пример детекции и авто-стрельбы.
• Версия нейросети: 1.0 beta. Чуть позже также выйдет версия 2.0 beta, в которой будут готовые функции, открытый датасет и доступный каждому вариант запуска. Ссылку на вторую версию опубликую в этом канале в момент релиза.
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
• Совместно с Хауди Хо подготовили для Вас полезный гайд, который поможет защитить свою работу на фрилансе и, самое главное, не потерять свои денежные средства.
• P.S. Дополнительный материал можно найти по хэштегу #ИБ. Всем безопасности!
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
• Официальный YT-канал пока не опубликовал видео с выступлений, но за то были опубликованы презентации в одном из репозиториев:
• А ещё обязательно посмотрите выступления с предыдущих ивентов, где можно подчеркнуть для себя много нового и полезного:
- Видео Black Hat Europe 2023;
- Видео Black Hat USA 2023;
- Видео Black Hat Asia 2023.
- Видео Black Hat Europe 2022;
- Видео Black Hat USA 2022;
- Видео Black Hat Asia 2022.
- Презентации Black Hat Europe 2023;
- Презентации Black Hat USA 2023;
- Презентации Black Hat Asia 2023.
- Презентации Black Hat Europe 2022;
- Презентации Black Hat USA 2022;
- Презентации Black Hat Asia 2022.
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
• Облака — прекрасный инструмент, чтобы создать удобную инфраструктуру для приложений и сервисов. Компании и независимые разработчики переносят свои проекты в AWS или Azure, часто не задумываясь о безопасности. А зря.
• Поделюсь с Вами некоторыми ресурсами (заведомо уязвимыми лабораториями), которые помогут пентестерам, #ИБ специалистам или энтузиастам, получить практический опыт в поиске уязвимостей облачных приложений, развернутых в Google Cloud, AWS или Azure. Ресурсы содержат практический и теоретический материал:
• FLAWS;
• FLAWS2;
• CONVEX;
• Sadcloud;
• GCP Goat;
• Lambhack;
• caponeme;
• CloudGoat;
• Thunder CTF;
• CloudFoxable;
• IAM Vulnerable;
• AWS Detonation Lab;
• OWASP WrongSecrets;
• OWASP ServerlessGoat;
• AWS S3 CTF Challenges;
• The Big IAM Challenge by Wiz;
• AWS Well Architected Security Labs;
• Damn Vulnerable Cloud Application;
• CdkGoat - Vulnerable AWS CDK Infrastructure;
• Cfngoat - Vulnerable Cloudformation Template;
• TerraGoat - Vulnerable Terraform Infrastructure;
• AWSGoat - A Damn Vulnerable AWS Infrastructure;
• AzureGoat - A Damn Vulnerable Azure Infrastructure;
• Breaking and Pwning Apps and Servers on AWS and Azure.
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
👨🏻💻 Безопасность сетей.
• Держите полезное руководство, которое содержит информацию о видах компьютерных атак и о том, как они воздействуют на организацию; приводятся сведения о базовых службах безопасности, используемых для защиты информации и систем, а также о том, как разработать полноценную программу политики безопасности, о состоянии законодательных норм в области #ИБ, об управлении рисками и системой безопасности.
• Помимо вышеперечисленных направлений, в руководстве представлены пошаговые инструкции по установке и использованию межсетевых экранов, сведения о безопасности беспроводных соединений, о биометрических методах аутентификации и других способах защиты.
☁️ Руководство можно скачать бесплатно в нашем облаке.
S.E. ▪️ infosec.work ▪️ VT
• Держите полезное руководство, которое содержит информацию о видах компьютерных атак и о том, как они воздействуют на организацию; приводятся сведения о базовых службах безопасности, используемых для защиты информации и систем, а также о том, как разработать полноценную программу политики безопасности, о состоянии законодательных норм в области #ИБ, об управлении рисками и системой безопасности.
• Помимо вышеперечисленных направлений, в руководстве представлены пошаговые инструкции по установке и использованию межсетевых экранов, сведения о безопасности беспроводных соединений, о биометрических методах аутентификации и других способах защиты.
☁️ Руководство можно скачать бесплатно в нашем облаке.
S.E. ▪️ infosec.work ▪️ VT