#standoff #hackbase

🖥 Компрометация учетной записи специалиста службы поддержки Commercial Bank of Standoff

Автор: @m0nr0e21

Ссылка на задание [клак]

Ссылка на райтап [клик] 🖱

💬 Канал & Чат | 📺 RUTUBE | 📺 YouTube

Как обрушить банк формой обратной связи ⚠️

Это тебе легко расскажет m0nr0e21 в своем разборе атаки на банковский сегмент на Standoff Hackbase.

Вспомним, что в нем было:

По легенде, в Государстве F действуют два коммерческих банка:
— Commercial Bank of Standoff, где можно отправлять и получать международные переводы через SWIFT.
— First Partner Bank, который обеспечивает дистанционное банковское обслуживание физических и юридических лиц.

У банков есть сайты, а в них — безобидные на первый взгляд элементы (например, та самая форма обратной связи), через которые хакеры могут проникнуть в инфраструктуру 🛡

Все подробности взлома — в статье на Хабре, из которой ты узнаешь:
— какие векторы атак сработали и почему защита дала трещину;
— список типичных проблем, обнаруженных в ходе атаки;
— важные выводы для тех, кто строит безопасность в финансовом секторе.

➡️ Читать на Хабре

Что бесит в современных джунах

Я нанимаю людей. Я встретила много джунов - разных, умных и не очень, амбициозных и скромных, наглых и забитых. И знаете, что я заметила? С каждым годом джуны становятся…страннее. У них выросли ожидания, но упала готовность вкалывать. Они хотят всё и сразу, но не готовы к тому, что придется начинать с нуля.

И так, поехали. Мой личный список того, что бесит в джунах:

1️⃣"Я прошел курсы, теперь я спец"

Самое больное. Человек купил курс за 50 тысяч, посмотрел 20 часов записей, пощелкал демо-стенд и считает, что готов к реальной работе.
Ребята, явасумаляю, курсы - это даже не база. Это введение в базу. Это как посмотреть видео "Как плавать" и сразу прыгнуть в океан.

Что с этим делать: Курсы - это старт, а не финиш. Дальше вам придется учиться годами. Если вы не готовы - идите в продажи.

2️⃣"А почему у вас так мало платят?"

Джун без опыта, без реальных проектов, без портфолио смотрит зарплату мидла и возмущается.

Я понимаю, деньги важны. Но рынок - жестокая штука. Вам платят не за то, что вы прошли курс, а за то, что вы можете сделать. А сделать вы пока можете немного. Это нормально. Вырастете - будет больше.

Что с этим делать: Смотрите на рынок трезво. Начинайте с того, что есть. Деньги придут за опытом, а не за наглостью.

3️⃣"А меня будут учить?"

Приходит такой, садится и ждет, что ему сейчас всё покажут, расскажут, за ручку отведут. А когда выясняется, что учиться придется самому - обижается.

В ИБ никто не будет жевать вам и в рот класть. У нас у всех есть задачи, дедлайны, инциденты. Мы можем показать, направить, подсказать. Но учиться вы будете сами. Сами гуглить, сами читать, сами разбираться.

Что с этим делать: Прокачивайте навык самообучения и самодисциплины.

4️⃣"Я хочу только пентест, администрирование — это не мое"

О, это отдельная песня. Все хотят быть хакерами. Никто не хочет настраивать политики, писать отчеты, общаться с пользователями.

Реальность: в безопасности немалое количество времени - это рутина. Администрирование, документация, согласования, отчеты.

Что с этим делать: Смириться. Или искать другую профессию.

5️⃣"А у меня идея! Давайте я сразу буду стратегом"

Джун без опыта хочет участвовать в стратегических сессиях, предлагать гениальные идеи и влиять на политику компании.

Стратегия - это когда ты понимаешь, как бизнес зарабатывает деньги, какие у него боли и куда он движется. А ты не знаешь. Ты даже не понимаешь, почему пароль надо менять каждые 90 дней. Посиди сначала в поддержке, настрой пару систем, пообщайся с пользователями. Потом приходи со стратегией.

Что с этим делать: Нарабатывать базу. Стратегия без опыта - это фантазии.

При всем этом бешенстве я беру джунов. И некоторые становятся звездами.

Кого я беру:

✔️ Тех, кто умеет гуглить, а потом приходит и говорит: "Я попробовал сам, не получилось, вот что я делал, можете подсказать?". Это золото.

✔️ Тех, кто не ноет. Тяжело? Да. Но все через это прошли. Если человек не жалуется каждые пять минут, а просто делает - он вырастет.

✔️ Тех, кто задает умные вопросы. Не "а сколько платят", а "как выстроен процесс", "какие технологии используете", "что почитать".

✔️ Тех, кто готов к рутине и понимает, что сначала будет скучно, а потом интересно. И согласен на это.

✔️ Тех, кто не боится признавать, что чего-то не знает. Но готов учиться.

Итог для джунов, которые дочитали до конца

ИБ - это классно. Это сложно, интересно, денежно. Но это не хакерские будни из сериала. Это работа. Иногда скучная, иногда нервная, иногда дурацкая.

Если вы готовы - приходите. Будем учить, гонять, бесить друг друга. А через пару лет вы сами будете писать такие же посты про следующих джунов.

👨‍💻 База для входа в кибербез

Впереди (относительно) длинные выходные – а значит можно уделить время планированию карьеры и обучению. Ловите подборку полезного:

Запись эфира с разбором профессий в ИБ

🎥 День 1 — Структура направлений и самые востребованные роли в Blue Team и InfraSec

🎥 День 2 — Ключевые специальности Red Team, AppSec, DevSecOps и GRC

Карьерные чек-листы и база компетенций

✔️ Чек-лист по старту в ИБ с перечнем базовых знаний и блоков для развития

✔️ Чек-лист по развитию пентестера: набор необходимых навыков и знаний

✔️ Чек-лист по развитию SOC аналитика

✔️ Чек-лист по развитию AppSec

Полезные материалы про старт карьеры

📖 Варианты старта в ИБ в статье от CISO

📖 Как новичку найти работу в пентесте и что включать в резюме – советы Егора Богомолова

📖 Лучшие типсы для багхантинга

Сохраняйте подборку 👆🏻