https://www.udemy.com/course/soft-skills-i/#instructor-1

https://cloud.mail.ru/public/AVWC/j3NuVdPWA/

Soft skills в переводе с английского — «гибкие навыки». Иногда переводят буквально — «мягкие навыки», это одно и то же. Они не связаны с конкретной профессией, но помогают хорошо выполнять свою работу и важны для карьеры.
Сейчас почти никто не работает в одиночку. Каждый работник общается с коллегами, а иногда ещё и с клиентами, партнёрами. Он должен уметь договариваться с ними, аргументировать свою позицию и доносить её до других людей. Кроме того, гибкие навыки помогают работать с информацией, не отстать от жизни и уверенно чувствовать себя в профессии.
То есть soft skills важны и для дизайнера, и для менеджера по продажам, для программиста и руководителя, маркетолога и преподавателя. Предприниматели, фрилансеры, научные сотрудники не исключение. Soft skills нужны всем.

Nuclei and DevSecOps

Если вы сидите в чатиках, посвященных пентестам / уязвимостям веба, то наверняка могли слышать про инструмент Nuclei. Nuclei позиционируется как быстрый сканер уязвимостей в вебе, в котором можно определять шаблоны отправки запросов на базе yaml. Похожий подход используется, как мы знаем, современными SAST (Checkmarx, CodeQL, semgrep). Также, как и в CodeQL, предполагается, что эти же заполненные шаблоны могут быть переданы исследователями безопасности в рамках Bug Bounty. В дальнейшем Nuclei вместе со всеми шаблонами встраивается в CI/CD. У инструмента также есть отдельное репо с готовыми шаблонами на разные случаи жизни (от фаззинга до IoT).

Прилагаю также дополнительный полезный материал на тему Nuclei:

- Exploiting Race conditions with Nuclei

- How to Scan Continuously with Nuclei?

- Nuclei - Fuzz all the things

#dev #ops #attack #dast

​​Cоздаем туннель для безопасной передачи файлов

Когда мы загружаем файл во всемирную паутину, мы автоматически даем доступ к нему различным сервисам, компаниям, людям. Если вы пользуетесь почтовыми сервисами для отправки важных файлов, то вы на самом деле довольно сильно рискуете, ведь если произойдет очередной слив, ваши файлы откажутся в открытом доступе.

WebWormHole — это сервис, которой создает туннель для отправки файлов. Файлы передаются с компьютера на компьютер без сторонней обработки данных.

Настройка

Чтобы наладить туннель, необходимо нажать кнопку New Wormhole — и получить код для входа. Человек с другой стороны введет такой же код или URL — и между вами установится эфемерный туннель, по которому напрямую передадутся файлы.

Безопасности пост ✌️

​Form Pilot Office - программа для создания и заполнения различных бумажных бланков и анкет, например, при получении загранпаспорта или виз в посольстве, при заполнении сертификатов, грамот, дипломов, налоговых форм и электронных бланков (PDF, DOC, XLS, TXT...).

ОБ ЭТОЙ ВЕРСИИ
📁 Категория: #Офисные
🆚 Версия: v2.78.1
🖥 ОС: Windows
📀 Разрядность: x86/x64
🇷🇺 Язык интерфейса: Русский
🔑 Лечение: Не требуется
#️⃣ #FormPilotOffice @portablik

#FormPilotOffice @portablik

RustDesk | Your Remote Desktop Software (отличный скелет малвари)

https://github.com/rustdesk/rustdesk

#скрипт #слив

Фишинг Instagram стоимостью 1500₽

Очередная фишинговая страница на php с отправкой логов в Telegram.

Продажник
Пароль на архив: @mamontyatina

​​Топ поисковики для пробива

Продолжаем пополнять нашу коллекцию OSINT ресурсов, благодаря котором можно получить интересующую для нас информацию о человеке. Сегодня пройдемся по поиску в соц. сетях, форумах, репозиториях и в поисковиках сети Tor.

Поиск в любой социальной сети:
• kribrum.io — поиск в ВК, Facebook, ОК, Instagram, YouTube, Twitter, LiveJournal, ответы mailru, Telegram;
• go.mail.ru — поиск в ВК, ОК, Facebook, Instagram;
• recruitin.net — составляет Google дорки для поиска в LinkedIn, Dribbble, GitHub, Xing, Stack Overflow, Twitter
• social-searcher.com — поиск в ВК, Vimeo, Facebook, Instagram, Reddit, Flickr, YouTube, Twitter, Tumblr, Dailymotion
• https://cse.google.com/cse?cx=006976128084956795641:ad1xj14zfap — есть фильтр по дате, поиск в Facebook, Youtube, Twitter, Telegram, 4chan, 8Chan, Dailymotion, Reddit, VK, Linked, Instagram, Gab.

Поиск в форумах:
• boardreader.com — фильтры по домену, дате, языку, времени и типу;
• 4chansearch.com — поиск через Google CSE;
• 4plebs.org — архив 4chan, есть расширенный поиск.

Поиск в Pastebin через URL:
• https://psbdmp.ws/api/v3/search/ANYTHING — сайт даст ID записи pastebin где был найден фрагмент текста, замените ANYTHING на любые данные

Поиск в репозиториях с кодом:
• grep.app — есть поддержка регулярных выражений, поиск в GitHub;
• searchcode.com — 11 источников поиска;
• codefinder.org — фильтры по расширению файла.

Поиск IoT и не только:
• www.zoomeye.org — найдет IP, открытые порты, номер автономной системы, и т.д.
• viz.greynoise.io;
• onyphe.io;
• fofa.so;
• maltiverse.com;
• insecam.org — найдет камеры видеонаблюдения.

Поиск в файлообменниках:
• www.4shared.com — фильтр по размеру, алфавиту и дате загрузки;
• filechef.com — создает дорки для Google;
• filesearch.link — поиск в google по доменам более 30 файлообменников;
• osint.sh — файлы в общедоступных серверах AWS S3;
• buckets.grayhatwarfare.com — файлы в общедоступных серверах AWS S3.

Поисковики в сети Tor:
• QUO • tordex • OSS • EvoSearch • SearchDemon • Phobos • Tor66 (mirror) • Tornet Global Search • Torgle • Submarine • Ahmia Search • ExcavaTOR • Raklet • Kilos Search • Recon • Tormax • SeИtoЯ • haystak • Torch • Our Realm • OnionLand Search •

Magic Wormhole — бесплатная утилита, которая помогает отправлять файлы с одного устройства на другое, обходя посредников в виде мессенджеров, файлообменников, социальных сетей, облачных хранилищ и т.д.

Использует SPAKE2 – это протокол обмена ключами аутентификации с паролем (PAKE), который позволяет сторонам использовать один и тот же пароль для согласования и аутентификации общего ключа или ключа сеанса («обмен ключами»).

Можно настроить передачу файлов через Tor, инструкция здесь.

#софт #анонимность

​🔎 Поиск информации о цели, имея данные о транспорте.

🖖🏻 Приветствую тебя user_name.

• Продолжаем пополнять нашу коллекцию #OSINT ресурсов. Каким образом используется полученная информация в сфере #СИ ты можешь узнать в нашем канале если воспользуешься поиском по словам или хештегу. Сегодня я собрал для тебя подборку полезных сервисов и инструментов, благодаря которым ты сможешь найти полезную информацию о цели, зная информацию о различном транспорте:

По российскому гос. номеру или VIN авто:
• @av100_bot — дает крупный отчет с данными влядельца, историей авто и фото, получить бесплатный отчет возможно только если вы пригласите другой аккаунт в бот
• vin01.ru — найдет VIN и по нему покажет историю регистраций, историю ДТП, пробег, ОСАГО и многое другое
• vinformer.su — проверка ПТС, поиск по VIN
• shtrafometr.ru — найдет штрафы, поиск по ТС (VIN) или номера кузова или шасси
• dkbm-web.autoins.ru — дает сведения о договоре ОСАГО, поиск по VIN и по номеру авто, а так же можно искать по номеру кузова или шасси, необходимо знать дату, на которую запрашиваются сведения договора ОСАГО
• @AntiParkonBot — найдет номер телефона владельца, маловероятно что результат будет
• @smart_search_3_bot — находит ФИО, VIN, телефон, марку автомобиля
• nomerogram.ru — найдет фото автомобиля, поиск по гос. номеру
• @Quick_OSINT_bot — дает данные владельца, ФИО, дату рождения, паспорт, номер телефона, адреса, объявления и парковки
• checkvehicle.sfri.ru — сервис проверки управляемых инвалидом авто или используемых для перевозки инвалида
• eaisto.info — поиск по гос.номеру, VIN, номеру кузова, номеру ДК, выдаст актуальную информацию о тех.осмотре, и историю прохождения
• @ru_auto_bot — находит VIN, модель, марку и СТС
• @clerkinfobot — находит ФИО, VIN, CNC, марку, ОСАГО

Поиск по позывному самолета
• de.flightaware.com — найдет историю перелетов, даст общую информацию о воздушном судне
• globe.adsbexchange.com — найдет на карте все самолеты в воздухе с таким позывным, есть военные воздушные судна
• planespotters.net — находит историю самолета, тех. состояние, авиакомпании
• avherald.com — история инцидентов самолета
• sanctionssearch.ofac.treas.gov — поиск в санкционном списке США

Поиск по модели самолета:
• rzjets.net/aircraft — база моделей джетов, найдет владельца, регистрационный номер и многое другое
• radarbox.com — найдет все самолеты в небе
• globe.adsbexchange.com — найдет на карте все самолеты в воздухе такой модели, есть военные воздушные судна
• seatguru.com — схема сидений самолета, есть номера мест
• planespotters.net — находит историю самолета, позывные, тех. состояние, авиакомпании
• avherald.com — история инцидентов самолета

Поиск по номеру поезда в Европе
• pass.rzd.ru — показывает график следования, необходимо указать станцию прибытия на территории России
• www.sncf.com — показывает расписание движения поезда в конкретную дату на территории Франции
• bahn.de — расписание движения поезда в конкретную дату на территории Германии
• junatkartalla.vr.fi — фактическое движение поезда на карте в реальном времени, есть расписание остановок на территории Финляндии

Поиск по номеру вагона:
• gdevagon.ru (r) — проверит действительность номера

Поиск по имени судна:
• marinetraffic.com — найдет позывной, MMSI, IMO, рейсы и историю имени судна
• maritime-connector.com — найдет базовую информацию и данные о владельце
• www.vesselfinder.com — найдет судно на карте в реальном времени
• sanctionssearch.ofac.treas.gov — поиск в санкционном списке США

‼️ Другую дополнительную информацию ты можешь найти по хештегам #OSINT и #СИ. Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E.

GoFindWho - находите людей бесплатно по телефону, имени, электронной почте и имени пользователя на Facebook и в публичных записях. Проведите онлайн-проверку конфиденциальности, чтобы узнать, что веб-сайты знают о вас.

♾ gofindwho.com

Сегодня изучим открытые источники данных, которые позволяют дать оценку благонадежности для того или иного криптовалютного кошелька.

Скоринговая оценка криптокошелька:
bitrankverified.com
@CryptoSearch_bot

Отзывы о криптокошельках (скам):
bitcoinabuse.com
bitcoinwhoswho.com
checkbitcoinaddress.com
scam-alert.io

#находкадня

Помните историю про противостояние Signal и Celebrite (мы писали об этом тут: t.me/penetrationtestshow/524 ) ?

Разработчик Matt Bergin, создал проект для Android устройств, позволяющий отслеживать попытку взлома при помощи Cellebrite UFED и сбрасывать смартфон до заводских настроек. Но пока, проект LockUp ( github.com/mbkore/lockup ) находится в настоящий момент на стадии раннего концепта (поэтому, будьте аккуратнее если решите поиграть с ним)

Ну и полностью, с исследованием автора можно ознакомиться из презентации с конференции Blackhat Asia 2021

📓 Идентификация цифровых активов в судебно-экспертной практике

📔 МЕЖДУНАРОДНЫЙ ОПЫТ ПРОТИВОДЕЙСТВИЯ ПРЕСТУПНОЙ ДЕЯТЕЛЬНОСТИ С ИСПОЛЬЗОВАНИЕМ КРИПТОВАЛЮТЫ

Настольные версии браузеров Tor Browser, Safari, Chrome и Firefox оказались уязвимы для нового способа снятия электронно-цифрового отпечатка. Теперь у веб-сайтов появляется возможность идентифицировать ваше устройство, даже если вы используете несколько различных браузеров для выхода в сеть. Делается это при помощи выявление уникального портрета пользователя, основанного на установленных приложениях.

♾ https://fingerprintjs.com/blog/external-protocol-flooding/
🤞протестировать уязвимость: https://schemeflood.com/

Основы раскрытия и расследования мошеннических действий, совершенных с использованием средств сотовой связи и сети интернет