Итоги года
Я молодец, вы молодцы, год збс.
Пожелания на следующий год: желаю ебашить дальше, и чтобы вокруг нас было поменьше кислых ебальников.
Я молодец, вы молодцы, год збс.
Пожелания на следующий год: желаю ебашить дальше, и чтобы вокруг нас было поменьше кислых ебальников.
🔥124🎉20👍18🤯3
Зачем поздравлять с наступающим, если можно поздравить с наступившим?
Поздравляю, друзья! Поздравляю с тем, что в 2024 вы живы, у вас есть планы, есть богатое прошлое 2023-го и более богатое будущее 2024-го.
Под конец года у меня не было сил общаться, дарить энергию, слать искренние поздравления. 🥵 Конец года был сложный, напряженный, суетной и деятельный. Извините меня. Извините если не поздравил; если думаете, что я забыл; если не ответил так, как вы этого ждали. 🙏
Другое дело - начало года.
Сегодня у меня наконец-то есть силы, сказать вам, что я рад началу нового года; очередному чистому листу, в котором я жду от себя и от вас: амбиций, свершений, приятных моментов и просто времени на «пожить».
В 2024 году я желаю вам радоваться успехам, хорошим новостям, ценить время проведенное в удовольствие. Дарю вам эти пожелания, вместе с силами, которые наполняют нас в начале любого пути! 🎁
Поздравляю, друзья! Поздравляю с тем, что в 2024 вы живы, у вас есть планы, есть богатое прошлое 2023-го и более богатое будущее 2024-го.
Под конец года у меня не было сил общаться, дарить энергию, слать искренние поздравления. 🥵 Конец года был сложный, напряженный, суетной и деятельный. Извините меня. Извините если не поздравил; если думаете, что я забыл; если не ответил так, как вы этого ждали. 🙏
Другое дело - начало года.
Сегодня у меня наконец-то есть силы, сказать вам, что я рад началу нового года; очередному чистому листу, в котором я жду от себя и от вас: амбиций, свершений, приятных моментов и просто времени на «пожить».
В 2024 году я желаю вам радоваться успехам, хорошим новостям, ценить время проведенное в удовольствие. Дарю вам эти пожелания, вместе с силами, которые наполняют нас в начале любого пути! 🎁
🎉72🔥20👍6
Forwarded from CyberOK_news
Как защититься от «бестелесных» веб-шеллов? 🕷️
В новой статье эксперты Сайбер ОК проведут вас за руку по лабиринту хакерских уловок и на пальцах объяснят, что такое «бестелесные» веб-шеллы и как защитить с ними бороться 🕸️
Читайте материал по ссылке, чтобы оставаться на шаг впереди потенциальных угроз.
В новой статье эксперты Сайбер ОК проведут вас за руку по лабиринту хакерских уловок и на пальцах объяснят, что такое «бестелесные» веб-шеллы и как защитить с ними бороться 🕸️
Читайте материал по ссылке, чтобы оставаться на шаг впереди потенциальных угроз.
👍11🔥1
Уверен, что в этом году направление безопасности инфраструктуры разработки будет на хайпе;)
👍8
Forwarded from CyberED
😱 Еще не принимали участие в нашем практическом воркшопе «Ломаем CI/CD»?
У вас есть отличный шанс это сделать👍 Ведь мы снова проведем его уже 31 января!
Чем уникален данный воркшоп?
⚡️Только у нас вы сможете потренироваться на практике в поиске нестандартных уязвимостей компонентов CI/CD, изучить техники атак на них, которые обычно выходят за рамки стандартных пентестов.
Зачем?
Чтобы овладеть уникальными навыками от практикующего эксперта и быть на шаг впереди других🏆
👤 Воркшоп проведет для вас лично Павел Сорокин - эксперт в пентесте и Application Security с опытом работы в ведущих ИБ-компаниях, таких как “Информзащита”, BI.ZONE, Ozon и Яндекс.
Все о безопасности пайплайнов CI/CD - на практическом воркшопе CyberEd🔥
👉 Оставить заявку на участие в воркшопе
Реклама
ОАНО ДПО «ВЫШТЕХ»
ИНН: 7703434727
У вас есть отличный шанс это сделать👍 Ведь мы снова проведем его уже 31 января!
Чем уникален данный воркшоп?
⚡️Только у нас вы сможете потренироваться на практике в поиске нестандартных уязвимостей компонентов CI/CD, изучить техники атак на них, которые обычно выходят за рамки стандартных пентестов.
Зачем?
Чтобы овладеть уникальными навыками от практикующего эксперта и быть на шаг впереди других🏆
👤 Воркшоп проведет для вас лично Павел Сорокин - эксперт в пентесте и Application Security с опытом работы в ведущих ИБ-компаниях, таких как “Информзащита”, BI.ZONE, Ozon и Яндекс.
Все о безопасности пайплайнов CI/CD - на практическом воркшопе CyberEd🔥
👉 Оставить заявку на участие в воркшопе
Реклама
ОАНО ДПО «ВЫШТЕХ»
ИНН: 7703434727
👍9
CyberED
😱 Еще не принимали участие в нашем практическом воркшопе «Ломаем CI/CD»? У вас есть отличный шанс это сделать👍 Ведь мы снова проведем его уже 31 января! Чем уникален данный воркшоп? ⚡️Только у нас вы сможете потренироваться на практике в поиске нестандартных…
Там скидос для Пашиных подписчиков: https://t.me/naryl_sec
Telegram
Нарыл
Канал о практической информационной безопасности. Автор - https://t.me/sorokinpf
Сорян, bettercap не по той сетке пульнул, скоро раздуплится...
🔥35👏6🤯6🎉5
Друзья, пользуясь служебным положением, хочу попросить вас помочь найти хороших педагогов в области программирования и информатики для детей школьного возраста.
Предпочтительно референсы на тех кого вы лично знаете, с кем работали.
P.S. ищу для своих детей в школу (не в Cybered)
Предпочтительно референсы на тех кого вы лично знаете, с кем работали.
P.S. ищу для своих детей в школу (не в Cybered)
🔥18👍1
Forwarded from Standoff 365
🏟 Всегда мечтали собрать стадион? Открываем Call For Papers на киберфестиваль Positive Hack Days 2 — в этом году он пройдет с 23 по 26 мая в «Лужниках»!
Подать заявку на выступление и узнать все подробности можно на сайте PHDays. А тут расскажем о главном:
• Заявки принимаются до 15 марта
• Два формата выступления: доклад (на 50 минут) и Fast Track (на 15 минут)
• Заявку могут подать как профи, так и новички. Главное — свежий взгляд на проблемы ИБ и пути их решения.
Ждем ваших крутых выступлений! До встречи в мае 🤟
Подать заявку на выступление и узнать все подробности можно на сайте PHDays. А тут расскажем о главном:
• Заявки принимаются до 15 марта
• Два формата выступления: доклад (на 50 минут) и Fast Track (на 15 минут)
• Заявку могут подать как профи, так и новички. Главное — свежий взгляд на проблемы ИБ и пути их решения.
Ждем ваших крутых выступлений! До встречи в мае 🤟
🔥11
Крутой разбор новой угрозы от Юры по ссылочке: https://habr.com/ru/companies/swordfish_security/articles/790544/
Хабр
Разбираемся с MavenGate, новой атакой на цепочку поставок для Java и Android-приложений
Всем привет! Сегодня с вами Юрий Шабалин, генеральный директор «Стингрей Технолоджиз», и я хотел бы разобрать в этой статье новый тип атаки на цепочку поставок под названием «MavenGate». А что в ней,...
👏4
Forwarded from Mobile AppSec World (Yury Shabalin)
Новая атака на цепочку поставок: Java и Android под ударом!
Буквально на днях компания Oversecured выпустила потрясающую статью про новую атаку на цепочку поставок. В этот раз под ударом оказались Java-пакеты и, конечно, под раздачу попал и Android...
Способ атаки крайне прост и изящен. Для того, чтобы загрузить новую версию или измененную старую в репозиторий, например, MavenCentral необходимо подтвердить, что ты это ты. Как это сделать? Перевернуть имя пакета и на указанном домене разместить dns-запись.
К примеру, пакет
Но как правило, при смене имени пакета случается так, что про старый домен забывают.. Или вообще домен уже давно разделегирован.
Суть атаки в покупке домена, регистрации себя, как собственника библиотеки и заливанию новой/обновленной версии с зловредной нагрузкой в репозиторий. Вуаля, и все проекты использующие эту зависимость или выкачивающие ее как транзитивную получают к себе бомбу замедленного действия...
Идеальный план и более того, ребята провели исследование всех библиотек в нескольких репозиториях и получили крайне интересные цифры по уязвимым либам:
1. По доменам: 3,710 or 14.18%
2. На основании приватных github-репо: 291 or 3.86%
Крайне интересные цифры.
Снимаю шляпу перед исследователями такого уровня :)
Я думаю, что скоро нас ждет интересное продолжение :)
#oversecured #supplychain #android
Буквально на днях компания Oversecured выпустила потрясающую статью про новую атаку на цепочку поставок. В этот раз под ударом оказались Java-пакеты и, конечно, под раздачу попал и Android...
Способ атаки крайне прост и изящен. Для того, чтобы загрузить новую версию или измененную старую в репозиторий, например, MavenCentral необходимо подтвердить, что ты это ты. Как это сделать? Перевернуть имя пакета и на указанном домене разместить dns-запись.
К примеру, пакет
com.stingray.mobile превращается в домен mobile.stingray.com. И, добавив несколько полей в TXT-запись мы получаем верифицированный аккаунт, который может загружать новые и обновлять существующие версии. Но как правило, при смене имени пакета случается так, что про старый домен забывают.. Или вообще домен уже давно разделегирован.
Суть атаки в покупке домена, регистрации себя, как собственника библиотеки и заливанию новой/обновленной версии с зловредной нагрузкой в репозиторий. Вуаля, и все проекты использующие эту зависимость или выкачивающие ее как транзитивную получают к себе бомбу замедленного действия...
Идеальный план и более того, ребята провели исследование всех библиотек в нескольких репозиториях и получили крайне интересные цифры по уязвимым либам:
1. По доменам: 3,710 or 14.18%
2. На основании приватных github-репо: 291 or 3.86%
Крайне интересные цифры.
Снимаю шляпу перед исследователями такого уровня :)
Я думаю, что скоро нас ждет интересное продолжение :)
#oversecured #supplychain #android
News, Techniques & Guides
Introducing MavenGate: a supply chain attack method for Java and Android applications
More recently, the cybersecurity community has seen numerous studies of supply chain attacks on Web apps.
👍11🔥2🤯2
Forwarded from Кавычка (Bo0oM)
Быстро и дешево брутим хэши
Короч, есть чуваки такие, immers.cloud
По сути это хостинг с арендой видеокарт. А так как я занимался проектом passleak.ru, иногда нужно было разгадывать хэшики, решил не покупать под это оборудование. Вышло круто.
Тут есть два варианта развития событий.
Арендуем видеокарту (какую - по желанию, они там выкатили какие-то ультра-модные H100, но мне и 2080 часто хватает), грузим туда наши хэши, делаем что-то типа:
Устанавливаем hashcat и играемся с этим всем.
Но если нам нужно побрутить пароли по словарям, способ еще круче. Берем готовый образ Ubuntu + Hashcat + Weakpass 3, на диске будет лежать архив с Weakpass V3. Запускаем и прогоняем хэши, забираем то что сбрутилось, вырубаем машину.
Например, чтоб раскукожить пароли из дампа Linkedin - мне потребовалось рублей... 20?
В общем, круто держать под рукой чтобы быстро сбрутить какой-то хэшик.
>
Короч, есть чуваки такие, immers.cloud
По сути это хостинг с арендой видеокарт. А так как я занимался проектом passleak.ru, иногда нужно было разгадывать хэшики, решил не покупать под это оборудование. Вышло круто.
Тут есть два варианта развития событий.
Арендуем видеокарту (какую - по желанию, они там выкатили какие-то ультра-модные H100, но мне и 2080 часто хватает), грузим туда наши хэши, делаем что-то типа:
sudo apt-get update
sudo apt-get install gcc make tmux git mesa-common-dev cmake nvidia-cuda-toolkit build-essential unzip -y
https://ru.download.nvidia.com/XFree86/Linux-x86_64/470.63.01/NVIDIA-Linux-x86_64-470.63.01.run
chmod +x NVIDIA-Linux-x86_64-470.63.01.run
sudo ./NVIDIA-Linux-x86_64-470.63.01.run
Устанавливаем hashcat и играемся с этим всем.
Но если нам нужно побрутить пароли по словарям, способ еще круче. Берем готовый образ Ubuntu + Hashcat + Weakpass 3, на диске будет лежать архив с Weakpass V3. Запускаем и прогоняем хэши, забираем то что сбрутилось, вырубаем машину.
Например, чтоб раскукожить пароли из дампа Linkedin - мне потребовалось рублей... 20?
В общем, круто держать под рукой чтобы быстро сбрутить какой-то хэшик.
>
👍16🔥10
Forwarded from PT SWARM
PortSwigger's Top 10 web hacking techniques of 2023!
Welcome to the Top 10 Web Hacking Techniques of 2023, community-powered effort to identify the most important and innovative web security research published in the last year.
🥇 Smashing the state machine: the true potential of web race conditions
🥈 Exploiting Hardened .NET Deserialization
🥉 SMTP Smuggling - Spoofing E-Mails Worldwide
4️⃣ PHP filter chains: file read from error-based oracle
5️⃣ Exploiting HTTP Parsers Inconsistencies
6️⃣ HTTP Request Splitting vulnerabilities exploitation
7️⃣ How I Hacked Microsoft Teams and got $150,000 in Pwn2Own
8️⃣ From Akamai to F5 to NTLM... with love
9️⃣ Cookie Crumbles: Breaking and Fixing Web Session Integrity
🔟 can I speak to your manager? hacking root EPP servers to take control of zones
The entire nomination list you can find here: https://portswigger.net/research/top-10-web-hacking-techniques-of-2023-nominations-open
Welcome to the Top 10 Web Hacking Techniques of 2023, community-powered effort to identify the most important and innovative web security research published in the last year.
🥇 Smashing the state machine: the true potential of web race conditions
🥈 Exploiting Hardened .NET Deserialization
🥉 SMTP Smuggling - Spoofing E-Mails Worldwide
4️⃣ PHP filter chains: file read from error-based oracle
5️⃣ Exploiting HTTP Parsers Inconsistencies
6️⃣ HTTP Request Splitting vulnerabilities exploitation
7️⃣ How I Hacked Microsoft Teams and got $150,000 in Pwn2Own
8️⃣ From Akamai to F5 to NTLM... with love
9️⃣ Cookie Crumbles: Breaking and Fixing Web Session Integrity
🔟 can I speak to your manager? hacking root EPP servers to take control of zones
The entire nomination list you can find here: https://portswigger.net/research/top-10-web-hacking-techniques-of-2023-nominations-open
👍13
Forwarded from CyberED
🏆 Друзья, с радостью рассказываем вам про нашу новую активность! Встречайте турнир One Task of the Month🚩
Теперь каждый месяц мы будем запускать по одной задаче на разные темы в режиме🚩 🚩 🚩 и предлагать вам их решить на скорость⏱
❓ Для чего?
Чтобы вы могли потренироваться и отработать свои навыки в практической кибербезопасности⚒, а еще выиграли классные призы (среди них будут бесплатные проходки на знаковые ИБ-мероприятия – OFFZONE, PHD и не только🔥).
Задачи будут из следующих категорий (список может расширяться):
🔻web
🔻pwn
🔻crypto
🔻reverse
🔻misc,
и они будут очень сложными!
Боритесь, чтобы занять🥇первые места, попасть в Зал Славы и получить свои призы!
Призы будем вручать в течение всего года, а по итогам будем чествовать и награждать победителей за первые места и за количество решенных тасок.
⌛ Старт первой задачи 9 марта, не пропустите!
Добавляйтесь в чат Телеграм, чтобы точно не пропустить: https://t.me/CyberEd_CTF_chat.
🤗 Будет очень интересно!
Теперь каждый месяц мы будем запускать по одной задаче на разные темы в режиме
Чтобы вы могли потренироваться и отработать свои навыки в практической кибербезопасности⚒, а еще выиграли классные призы (среди них будут бесплатные проходки на знаковые ИБ-мероприятия – OFFZONE, PHD и не только🔥).
Задачи будут из следующих категорий (список может расширяться):
🔻web
🔻pwn
🔻crypto
🔻reverse
🔻misc,
и они будут очень сложными!
Боритесь, чтобы занять🥇первые места, попасть в Зал Славы и получить свои призы!
Призы будем вручать в течение всего года, а по итогам будем чествовать и награждать победителей за первые места и за количество решенных тасок.
Добавляйтесь в чат Телеграм, чтобы точно не пропустить: https://t.me/CyberEd_CTF_chat.
🤗 Будет очень интересно!
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8👍1
Всем привет! Как и обещал многим из вас, задающим вопрос: «Хочу у вас работать, как к вам попасть?» мы открыли набор младших специалистов! Уточню, что это специалисты уже имеющие некоторый опыт в прокачивании хакерских скиллов.
P.S. Чуть позднее также объявим стажировки для помощи в росте совсем начинающим хакерочкам.
Вакансия
Команда Singleton в поисках начинающих специалистов!
ООО “Синглтон Секьюрити” (singleton-security.ru)
Контакт: @I_rina_shirshova
ЗП 80-120 т.р. на руки + квартальная премия ~100-250 т.р.
Младший специалист по тестированию на проникновение ИТ инфраструктуры
Задачи, которые необходимо решать:
- Участие в пентестах в группе со старшими и ведущими специалистами
- Организация социотехнических тестирований с применением методов соц. инженерии
- Формирование отчетности по уязвимостям в системе трекинга багов
- Активное участие в мероприятиях компании и турнирах PHDays Standoff/пр. CTF
Требования:
- Понимание основ проведения социальной инженерии, подготовка инфраструктуры для фишинга (Подготвка доменов, зеркал, нагрузок, настройка GoPhish);
- Знание методов повышения привилегий для Windows и Linux;
- Понимание основных атак на AD (kerberoast,asreproast,sysvol и gpp,password spraying)
- Умение пользоваться MSF DB, responder, mimikatz, impacket, crackmapexec,bloodhound;
- Уверенное владение bash, powershell, cmd, навыки автоматизации атак;
- Знание типовых веб-уязвимостей
- Гражданство РФ
Будет плюсом:
- Опыт работы на аналогичных позициях
- Опыт работы в ИТ/ИБ (разработка, администрирование, blue-team)
- Знание английского языка (B1+)
- Высшее техническое образование
Плюшки:
- Гибридный или полностью удаленный формат работы (важно проживание в РФ) - можно смешивать удаленную работу и работу в офисе. (Офис: БЦ Суперметалл, м. Бауманская)
* Совмещение с учебой возможно, если вы готовы к загрузке 40 часов в неделю, не важно в какое время.
- Молодой коллектив и титулованная компания, принимающая активное участие в рынке ИБ в России
- Активное участие в жизни сообщества экспертов по кибербезопасности в России
- Бесплатный доступ к любым курсам компании CyberEd (cyber-ed.ru)
- Корпоративный ноутбук (MacBook / Dell XPS)
- Офис: Метро Бауманская (БЦ Суперметалл)
Условия для соискателей:
- Либо предоставить резюме с хорошим треком, отражающим ваш опыт: соревновательные площадки, образование, опыт работы, исследования, статьи и пр.
- Либо написать отчеты по компрометации следующих виртуальных машин (тщательность и аккуратность отчета идет в зачет): https://disk.yandex.ru/d/EKhZsntxnUtbsQ, https://disk.yandex.ru/d/83NdLd3Vjp_VNA, https://disk.yandex.ru/d/8XT1oaMmqpCGjQ (Пароль от архивов: xpdK$LP1?&)
P.S. Чуть позднее также объявим стажировки для помощи в росте совсем начинающим хакерочкам.
Вакансия
Команда Singleton в поисках начинающих специалистов!
ООО “Синглтон Секьюрити” (singleton-security.ru)
Контакт: @I_rina_shirshova
ЗП 80-120 т.р. на руки + квартальная премия ~100-250 т.р.
Младший специалист по тестированию на проникновение ИТ инфраструктуры
Задачи, которые необходимо решать:
- Участие в пентестах в группе со старшими и ведущими специалистами
- Организация социотехнических тестирований с применением методов соц. инженерии
- Формирование отчетности по уязвимостям в системе трекинга багов
- Активное участие в мероприятиях компании и турнирах PHDays Standoff/пр. CTF
Требования:
- Понимание основ проведения социальной инженерии, подготовка инфраструктуры для фишинга (Подготвка доменов, зеркал, нагрузок, настройка GoPhish);
- Знание методов повышения привилегий для Windows и Linux;
- Понимание основных атак на AD (kerberoast,asreproast,sysvol и gpp,password spraying)
- Умение пользоваться MSF DB, responder, mimikatz, impacket, crackmapexec,bloodhound;
- Уверенное владение bash, powershell, cmd, навыки автоматизации атак;
- Знание типовых веб-уязвимостей
- Гражданство РФ
Будет плюсом:
- Опыт работы на аналогичных позициях
- Опыт работы в ИТ/ИБ (разработка, администрирование, blue-team)
- Знание английского языка (B1+)
- Высшее техническое образование
Плюшки:
- Гибридный или полностью удаленный формат работы (важно проживание в РФ) - можно смешивать удаленную работу и работу в офисе. (Офис: БЦ Суперметалл, м. Бауманская)
* Совмещение с учебой возможно, если вы готовы к загрузке 40 часов в неделю, не важно в какое время.
- Молодой коллектив и титулованная компания, принимающая активное участие в рынке ИБ в России
- Активное участие в жизни сообщества экспертов по кибербезопасности в России
- Бесплатный доступ к любым курсам компании CyberEd (cyber-ed.ru)
- Корпоративный ноутбук (MacBook / Dell XPS)
- Офис: Метро Бауманская (БЦ Суперметалл)
Условия для соискателей:
- Либо предоставить резюме с хорошим треком, отражающим ваш опыт: соревновательные площадки, образование, опыт работы, исследования, статьи и пр.
- Либо написать отчеты по компрометации следующих виртуальных машин (тщательность и аккуратность отчета идет в зачет): https://disk.yandex.ru/d/EKhZsntxnUtbsQ, https://disk.yandex.ru/d/83NdLd3Vjp_VNA, https://disk.yandex.ru/d/8XT1oaMmqpCGjQ (Пароль от архивов: xpdK$LP1?&)
Яндекс Диск
1.rar
Посмотреть и скачать с Яндекс Диска
👍29🔥10