#practice
Как создать домашнюю виртуальную лабораторию для белого хакинга: обзор четырех уровней сложности
Сначала вы создадите блок атаки и уязвимую машину для работы, затем объедините уязвимые машины в цепочку, чтобы у вас была виртуальная лабораторная сеть, в которой можно попрактиковаться. После чего вы добавите контроллер домена Active Directory и создадите собственную уязвимую сеть Active Directory с несколькими компьютерами, чтобы по-настоящему отточить навыки.
Читать
Как создать домашнюю виртуальную лабораторию для белого хакинга: обзор четырех уровней сложности
Сначала вы создадите блок атаки и уязвимую машину для работы, затем объедините уязвимые машины в цепочку, чтобы у вас была виртуальная лабораторная сеть, в которой можно попрактиковаться. После чего вы добавите контроллер домена Active Directory и создадите собственную уязвимую сеть Active Directory с несколькими компьютерами, чтобы по-настоящему отточить навыки.
Читать
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegraph
Как новая ChatGPT может помочь хакерам: деобфускация, уязвимости версий, раскрытие CVE
Недавно вышла GPT-4, новая нейронная сеть от создателей ChatGPT, которая стала еще умнее. Я тестировал эту модель с самого первого дня выхода в релиз и мне удалось найти несколько крутых применений, которые вас точно удивят. Мы проведем некоторые эксперименты…
📌 Если вы всегда хотите быть в курсе книжных новинок, обновлений и другой полезной информации, касающейся вашего языка или области программирования, вы можете начать читать один из наших каналов, где мы каждый день публикуем учебные материалы для разработчиков разного уровня.
😂 Канал с мемами: t.me/itmemlib
👨💻 Полезные материалы по всему, что может быть интересно любому программисту.
Библиотека программиста: t.me/proglibrary
Библиотека хакера: t.me/hackproglib
Go: t.me/goproglib
C\C++: t.me/cppproglib
PHP: t.me/phpproglib
Frontend: t.me/frontendproglib
Python: t.me/pyproglib
Mobile: t.me/mobileproglib
Data Science: t.me/dsproglib
Java: t.me/javaproglib
C#: t.me/csharpproglib
Devops: t.me/devopsslib
Тестирование: t.me/testerlib
Книги для программистов: t.me/progbook
Бот с IT-вакансиями: t.me/proglib_job_bot
🎓 Школа Proglib Academy: https://t.me/proglib_academy
📺 Канал на YouTube: https://www.youtube.com/c/Библиотекапрограммиста
📄 Лента в Дзен: https://zen.yandex.ru/proglib
🗺 Если вы хотите быть в курсе последних событий в мире разработки, подписывайтесь на нашего бота t.me/event_listener_bot. Там можно настроить бота под себя: указать интересующие города и темы.
Подписывайтесь: t.me/event_listener_bot
👨💻 Полезные материалы по всему, что может быть интересно любому программисту.
Библиотека программиста: t.me/proglibrary
Библиотека хакера: t.me/hackproglib
Go: t.me/goproglib
C\C++: t.me/cppproglib
PHP: t.me/phpproglib
Frontend: t.me/frontendproglib
Python: t.me/pyproglib
Mobile: t.me/mobileproglib
Data Science: t.me/dsproglib
Java: t.me/javaproglib
C#: t.me/csharpproglib
Devops: t.me/devopsslib
Тестирование: t.me/testerlib
Книги для программистов: t.me/progbook
Бот с IT-вакансиями: t.me/proglib_job_bot
📺 Канал на YouTube: https://www.youtube.com/c/Библиотекапрограммиста
📄 Лента в Дзен: https://zen.yandex.ru/proglib
🗺 Если вы хотите быть в курсе последних событий в мире разработки, подписывайтесь на нашего бота t.me/event_listener_bot. Там можно настроить бота под себя: указать интересующие города и темы.
Подписывайтесь: t.me/event_listener_bot
Please open Telegram to view this post
VIEW IN TELEGRAM
Media is too big
VIEW IN TELEGRAM
🔧 ScrapPY — инструмент на языке Python, который предназначен для скрейпинга руководств, документов и других PDF-файлов.
Он анализирует файлы для создания списков ключевых слов (словарей), которые могут использоваться для выполнения брутфорс-атак, атак по словарю и т. д.
https://github.com/RoseSecurity/ScrapPY
Он анализирует файлы для создания списков ключевых слов (словарей), которые могут использоваться для выполнения брутфорс-атак, атак по словарю и т. д.
https://github.com/RoseSecurity/ScrapPY
#redteam #blueteam #pentest #security
SNMP (англ.security not my problem Simple Network Management Protocol) — незаменимый протокол для мониторинга оборудования и сервисов (по умолчанию использует UDP-порты 161 и 162).
Какие угрозы несет его неправильная настройка и, самое главное, как свести их до минимума?
SNMP (англ.
Какие угрозы несет его неправильная настройка и, самое главное, как свести их до минимума?
Хабр
Проблемы безопасности SNMP на практике: имитация атак и меры профилактики
Уже больше 30 лет для мониторинга оборудования и сервисов используют протокол SNMP. За это время он прошел закономерную эволюцию, получив несколько версий протокола с особенностями безопасной передачи...
#news
Очередная подборка новостей для этичного хакера:
🌐 Любовь. Смерть. Хакерский форум, флешки-БОМБЫ (есть жертва), 1000000$ за голову хакера!: Security-новости от главреда секлаб
🔎 Security week от «Лаборатории Касперского»
🔐 GitHub меняет ключ RSA SSH, так как он случайно попал в открытый доступ
🔐 Вредоносный пакет из PyPI использовал Unicode, чтобы избежать обнаружения
🔐 OpenAI: утечка данных пользователей ChatGPT произошла из-за ошибки Redis
Очередная подборка новостей для этичного хакера:
Please open Telegram to view this post
VIEW IN TELEGRAM
YouTube
Любовь. Смерть. Хакерский форум | Флешки-БОМБЫ (есть жертва) |1000000$ за голову хакера! |95|12+
— Искусственная интеллектуальная собственность. Времена меняются и власти США идут на уступки: созданные ИИ работы могут быть защищены авторским правом, но только если человек сможет обосновать свой творческий вклад в конечный результат.
— Не поминай всуе.…
— Не поминай всуе.…
🏄 Хочешь устроиться в зарубежную IT-компанию?
30 марта в 19:00 Библиотека программиста проводит вебинар «Стратегии трудоустройства в международную IT-компанию».
Специалисты из крупнейших международных BigTech компаний расскажут о своем опыте трудоустройства в IT-корпорации и поделятся советами по поиску вакансий, составлению резюме и прохождению технических собеседований.
👉 Регистрация по ссылке: https://proglib.io/w/a7f45971
На вебинаре вы узнаете
🔹Стоит ли работать из России на международную компанию или сразу искать вариант с релокацией
🔹Плохой английский: что делать
🔹Куда ни ногой: «красные флаги» зарубежных компаний
🔹Как составить резюме и выделиться среди других кандидатов
🔹Как пройти собеседование: общение с рекрутером
🔹Какие документы и сколько денег потребуются для переезда
🎁 После регистрации вы получите гайд по поиску вакансий за рубежом, который поможет вам получить оффер в компанию мечты
30 марта в 19:00 Библиотека программиста проводит вебинар «Стратегии трудоустройства в международную IT-компанию».
Специалисты из крупнейших международных BigTech компаний расскажут о своем опыте трудоустройства в IT-корпорации и поделятся советами по поиску вакансий, составлению резюме и прохождению технических собеседований.
👉 Регистрация по ссылке: https://proglib.io/w/a7f45971
На вебинаре вы узнаете
🔹Стоит ли работать из России на международную компанию или сразу искать вариант с релокацией
🔹Плохой английский: что делать
🔹Куда ни ногой: «красные флаги» зарубежных компаний
🔹Как составить резюме и выделиться среди других кандидатов
🔹Как пройти собеседование: общение с рекрутером
🔹Какие документы и сколько денег потребуются для переезда
🎁 После регистрации вы получите гайд по поиску вакансий за рубежом, который поможет вам получить оффер в компанию мечты
#tools #recon #bugbounty #pentest
🔧 DalFox — сканер XSS, ориентированный на автоматизацию, что делает его идеальным для быстрого сканирования на наличие XSS и анализа параметров. Выше показан пример использования данного инструмента в связке с другими. Кстати, недавно вышла версия 2.9.
https://github.com/hahwul/dalfox
🔧 DalFox — сканер XSS, ориентированный на автоматизацию, что делает его идеальным для быстрого сканирования на наличие XSS и анализа параметров. Выше показан пример использования данного инструмента в связке с другими. Кстати, недавно вышла версия 2.9.
https://github.com/hahwul/dalfox
#news #secevent
Теслой все не обошлось и участники Pwn2Own доломали Windows 11, Ubuntu Desktop и VMware Workstation.👇
Читать
Теслой все не обошлось и участники Pwn2Own доломали Windows 11, Ubuntu Desktop и VMware Workstation.
Читать
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegram
Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность
#news #secevent
Прошли хакерские соревнования Pwn2Own Vancouver 2023. В лучших традициях белые хакеры продемонстрировали 0-day эксплоиты и смогли скомпрометировать Tesla Model 3, Windows 11, macOS и Ubuntu.
В первый день состязания участники уже заработали…
Прошли хакерские соревнования Pwn2Own Vancouver 2023. В лучших традициях белые хакеры продемонстрировали 0-day эксплоиты и смогли скомпрометировать Tesla Model 3, Windows 11, macOS и Ubuntu.
В первый день состязания участники уже заработали…
#devsecops
CTO в Spectr Олег Казаков делится опытом и наработками внедрения DevSecOps в процесс разработки:
🗄 Часть 1. Теории DevSecOps и подробно рассмотрим Pre-commit Checks
CTO в Spectr Олег Казаков делится опытом и наработками внедрения DevSecOps в процесс разработки:
Please open Telegram to view this post
VIEW IN TELEGRAM
Хабр
Внедряем DevSecOps в процесс разработки. Часть 1. Обзор инструментов, Pre-commit Checks
Привет! На связи Олег Казаков из Spectr . Вопросы безопасности разрабатываемого софта последнее время стоят очень остро, и внедрение практик безопасной разработки в существующие процессы...
Please open Telegram to view this post
VIEW IN TELEGRAM
Хабр
В начале был принтер. Как получить привилегии администратора домена, начав с принтера
Еще в прошлом году мы c командой решили поделиться несколькими интересными векторами получения привилегий администратора домена. По отзывам, первая статья оказалась полезной и интересной. Настало...
#tools #OSINT
HIVE — автоматизированный многофункциональный инструмент, который обеспечивает эффективный сбор данных из различных источников в ходе OSINT.
https://github.com/Shad0w-ops/H.I.V.E
HIVE — автоматизированный многофункциональный инструмент, который обеспечивает эффективный сбор данных из различных источников в ходе OSINT.
https://github.com/Shad0w-ops/H.I.V.E
#research #pentest #bugbounty
Новая техника эксплуатации Server-Side Prototype Pollution в Node.js.
Читать
Новая техника эксплуатации Server-Side Prototype Pollution в Node.js.
Читать
DNS_Sec_Guide.pdf
3 MB
#security
DNS Security Guide, 2023
Руководство от испанского института INTECO, в котором представлен обзор службы DNS, описываются основные атаки на протокол DNS, и предоставляются рекомендации по практике его безопасного применения.
DNS Security Guide, 2023
Руководство от испанского института INTECO, в котором представлен обзор службы DNS, описываются основные атаки на протокол DNS, и предоставляются рекомендации по практике его безопасного применения.
#security #redteam #blueteam
🤖 Два тимлида из «Лаборатории Касперского» — Lead Data Scientist Владислав Тушканов и Incident Response Team Lead Виктор Сергеев (stvetro) — показывают, что GPT способна подсказать злоумышленникам, а что сможет рассказать ИБ-специалистам, а также как она изменит (и уже меняет!) нашу с вами отрасль.
Читать
Читать
Please open Telegram to view this post
VIEW IN TELEGRAM
Хабр
Не шути с ChatGPT. Как хайповая нейросеть может применяться в кибератаках и изменить ИБ
Пожалуй, все уже набаловались с ChatGPT, так что пришла пора поговорить о ней максимально серьезно. Технологии искусственного интеллекта влияют на все сферы нашей жизни, включая кибербезопасность – а...
#security #pentest #bugbounty
Погружение в безопасность Kubernetes на примере
Автор сначала создает намеренно уязвимое приложение и показывает, как злоумышленник может воспользоваться такой уязвимостью, а затем использует различные функции kubernetes, чтобы либо обезопасить слабые точки, либо уменьшить влияние уязвимостей.
Читать
Погружение в безопасность Kubernetes на примере
Автор сначала создает намеренно уязвимое приложение и показывает, как злоумышленник может воспользоваться такой уязвимостью, а затем использует различные функции kubernetes, чтобы либо обезопасить слабые точки, либо уменьшить влияние уязвимостей.
Читать
Shishir's Blog
Kubernetes Security Part 1 - Security Contexts
#tip #recon
Команда tee в Linux считывает стандартный ввод и записывает его одновременно в стандартный вывод и в один или несколько подготовленных файлов.
Этот с одной стороны простой, а с другой максимально полезный функционал можно использовать для наших целей, в том числе для перебора поддоменов.
Команда tee в Linux считывает стандартный ввод и записывает его одновременно в стандартный вывод и в один или несколько подготовленных файлов.
Этот с одной стороны простой, а с другой максимально полезный функционал можно использовать для наших целей, в том числе для перебора поддоменов.
Думали Телеграм останется в стороне, и ничего не сделает к 1 апреля, но нет, новая анимация при нажатии лайка — прекрасная! Круто придумали, молодцы! Видимо сам Дуров приложил к этому руку 👍
Please open Telegram to view this post
VIEW IN TELEGRAM
#recon #tools
⚡️ Пошаговая разработка скрипта для автоматизации и повышения эффективности разведки
Автор руководства подробно объясняет предпосылки тех или иных действий, которые автоматизирует скрипт. В итоге получаем своего рода шпаргалку, на которую можно ориентироваться при разработке своего инструмента.
Читать
Автор руководства подробно объясняет предпосылки тех или иных действий, которые автоматизирует скрипт. В итоге получаем своего рода шпаргалку, на которую можно ориентироваться при разработке своего инструмента.
Читать
Please open Telegram to view this post
VIEW IN TELEGRAM
ProjectDiscovery
Building a Fast One-Shot Recon Script for Bug Bounty — ProjectDiscovery Blog
Introduction
In this article we are going to build a fast one-shot recon script to collect the bulk of the information we need to serve as a starting point for our bug bounty testing. This blog post is complementary to the article on building an attack surface…
In this article we are going to build a fast one-shot recon script to collect the bulk of the information we need to serve as a starting point for our bug bounty testing. This blog post is complementary to the article on building an attack surface…
#tip #bugbounty
Если у вас есть JSON-зарос, который вы «контролируете», протестировать слепую SQL-инъекцию можно как на рисунке выше. Ну а потом:
sqlmap -u 'target.com' --data '{"User":"abcdefg","Pwd":"Abc@123"}' --random-agent --ignore-code=403 --dbs --hex
Если у вас есть JSON-зарос, который вы «контролируете», протестировать слепую SQL-инъекцию можно как на рисунке выше. Ну а потом:
sqlmap -u 'target.com' --data '{"User":"abcdefg","Pwd":"Abc@123"}' --random-agent --ignore-code=403 --dbs --hex
#recon #tools
hakrevdns — легковесный инструмент для обратного поиска по DNS. Это отличный способ обнаружить домены/поддомены, принадлежащие компании, когда вы знаете закрепленные диапазоны IP-адресов.
https://github.com/hakluke/hakrevdns
hakrevdns — легковесный инструмент для обратного поиска по DNS. Это отличный способ обнаружить домены/поддомены, принадлежащие компании, когда вы знаете закрепленные диапазоны IP-адресов.
https://github.com/hakluke/hakrevdns