Forwarded from Библиотека пхпшника | PHP, Laravel, Symfony, CodeIgniter
💻 20 лучших ноутбуков для программиста в 2023 году
Выбираем самые легкие, автономные и производительные ноутбуки для кодинга.
На карточках перечислили самые производительные. Но для кодинга есть и другие важные параметры — остальные подборки смотрите в нашей статье.
Выбираем самые легкие, автономные и производительные ноутбуки для кодинга.
На карточках перечислили самые производительные. Но для кодинга есть и другие важные параметры — остальные подборки смотрите в нашей статье.
ИБ-эксперт Денис Батранков рассказывает о том, cколько займет времени получить знания по темам, которые требуются в вакансиях по ИБ на hh.ru.
🕐Таймкоды:
00:00:46 SANS Top 20 Cybersecurity Professions
00:01:21 Вакансии на hh.ru и почему студенты могут им соответствовать
00:02:07 Вакансия стажера в КРОК
00:03:40 Вакансия, где требуется анализ кода
00:04:17 Рекомендую изучать Kubernetes
00:06:37 Курсы PT START в edu.ptsecurity.com у Positive Technologies
00:08:08 Вакансия, где надо знать SAST/DAST/IAST/RASP
00:12:56 Вакансия, где нужно знать уязвимости OWASP Top10 и реверс-инжиниринг
00:17:21 Вакансия, где нужно заниматься документами и законами
00:20:05 А сколько просить денег за свою работу?
00:20:52 Вакансия, где надо знать SaaS, IaaS, PaaS, FaaS, SecaaS
00:23:37 Что такое семиуровневая модель OSI ISO
00:30:20 Вакансия где надо знать SIEM и SOC
00:35:50 Вакансия SecDevOps и зачем вам Ansible и AWS
00:39:20 IPSEC стоит изучить всем
00:40:40 PKI стоит знать всем
00:42:58 Identity Management важная часть знаний
00:46:08 Вакансия в Read Team и про экзамен OSCP
00:47:12 Что такое Kill Chain, MITRE ATT&CK и TTP
00:49:08 Почему популярен DFIR
00:49:39 Что такое OSINT
00:51:04 Можно пойти в отдел маркетинга рассказывать про безопасность
00:51:38 Вакансия на 500000 рублей или почему стоит стать reverse инженером и что изучать
00:53:23 Можно стать пресейлом и там нужно уметь выступать
📌Материалы по теме:
🛤 Дорожная карта для специалиста по кибербезопасности
🛤 Дорожная карта для пентестеров и инженеров appsec
🕵 20 лучших ресурсов для обучения этичному хакингу в 2021 году
#career
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Хабр
HackTheBox Authority writeup- получаем права админа через PassTheCert
Приветствую вас, кулхацкеры. Сегодняшний райт будет посвящен прохождению машины с HackTheBox под названием Authority . Дисклеймер: все утилиты и техники, продемонстрированные в статье, приведены в...
hash_crack_2023_ru.pdf
952.7 KB
Вольный перевод на русский язык расширенного справочного руководства по методам и инструментам восстановления (взлома) паролей.
Руководство содержит синтаксис и примеры наиболее популярных инструментов для взлома хешей и сэкономит вам часы исследований в этом направлении.
#pentest #redteam
Please open Telegram to view this post
VIEW IN TELEGRAM
💬В чем разница между Web Cache Deception и Web Cache Poisoning?
📌Оба метода являются атаками на веб-кеш, однако в первом случае мы манипулируем путями URL-адресов, чтобы сбить с толку сервер кеширования и заставить его классифицировать конфиденциальные HTTP-ответы как общедоступные кешируемые документы. Другими словами, мы заставляем сохранить в кеше некоторые конфиденциальные данные других пользователей, после чего извлекаем эти данные из кеша.
📌Во втором случае мы используем поведение веб-сервера и кеша, чтобы передать вредоносный HTTP-ответ другим пользователям. Мы заставляем приложение сохранять в кеше некоторый вредоносный контент, который передается из кеша другим пользователям приложения.
👉 Подробнее
#вопросы_с_собесов
📌Оба метода являются атаками на веб-кеш, однако в первом случае мы манипулируем путями URL-адресов, чтобы сбить с толку сервер кеширования и заставить его классифицировать конфиденциальные HTTP-ответы как общедоступные кешируемые документы. Другими словами, мы заставляем сохранить в кеше некоторые конфиденциальные данные других пользователей, после чего извлекаем эти данные из кеша.
📌Во втором случае мы используем поведение веб-сервера и кеша, чтобы передать вредоносный HTTP-ответ другим пользователям. Мы заставляем приложение сохранять в кеше некоторый вредоносный контент, который передается из кеша другим пользователям приложения.
👉 Подробнее
#вопросы_с_собесов
book.hacktricks.xyz
Cache Poisoning and Cache Deception | HackTricks
Please open Telegram to view this post
VIEW IN TELEGRAM
Когда знаешь техники защиты, кругозор в ходе пентеста значительно расширяется 👇
This media is not supported in your browser
VIEW IN TELEGRAM
🎓 Топ 12 советов по обеспечению безопасности API от ByteByteGo (Alex Xu)
🔐 Использование HTTPS
🔐 Использование OAuth2
🔐 Использование WebAuthn
🔐 Использование Leveled API Keys
🔐 Использование авторизации
🔐 Ограничение скорости обработки запросов
🔐 Версионирование API
🔐 Использование белых списков
🔐 Проверка рисков безопасности OWASP API
🔐 Использование API Gateway
🔐 Обработка ошибок
🔐 Валидация ввода
#инфографика
🔐 Использование HTTPS
🔐 Использование OAuth2
🔐 Использование WebAuthn
🔐 Использование Leveled API Keys
🔐 Использование авторизации
🔐 Ограничение скорости обработки запросов
🔐 Версионирование API
🔐 Использование белых списков
🔐 Проверка рисков безопасности OWASP API
🔐 Использование API Gateway
🔐 Обработка ошибок
🔐 Валидация ввода
#инфографика
🛠Обратите внимание на инструмент TruffleHog, который активно поддерживается, обновляется и имеет несколько преимуществ по сравнению с другими подобными инструментами:
☑️Написан на Go
☑️Большая поддержка различных систем
☑️Встраивание в процессы CI/CD
☑️Высокая скорость работы и многое другое
👉 Читать обзор на русском
#tools #pentest #bugbounty #redteam
Please open Telegram to view this post
VIEW IN TELEGRAM
🎃Собрали для вас несколько страшных историй по случаю Хэллоуина. Ждем ваши истории в комментариях👇
Для кого-то это может звучать странно, но с помощью файла favicon.ico можно открыть для себя много интересного.
Но для этого есть полезные инструменты вроде favirecon, о которых вы могли не знать.
Расширяем наш однострочник👇
$
#tips #recon
Но для этого есть полезные инструменты вроде favirecon, о которых вы могли не знать.
Расширяем наш однострочник👇
$
subfinder -d ubisoft.com -silent -all | httpx -silent | favirecon | grep -i Amazon
👉 favirecon быстро обнаружит технологии, WAF, открытые панели и известные сервисы.#tips #recon
💡Шпаргалка по кодам состояния HTTP: на заметку этичному хакеру
Стоило бы добавить 101 Switching Protocols, который используется сервером для указания того, что TCP-соединение будет использоваться для другого протокола.
#cheatsheet
Стоило бы добавить 101 Switching Protocols, который используется сервером для указания того, что TCP-соединение будет использоваться для другого протокола.
#cheatsheet
🧰Hackvertor — еще один инструмент в вашу копилку, который выведет работу с Burp Suit на новый уровень.
👉 Он выполняет преобразование на основе тегов, которое поддерживает различные escape-коды и кодировки, включая объекты HTML5, шестнадцатеричное, восьмеричное, юникод, кодировку URL-адресов и т. д.
☑️Он использует XML-подобные теги для указания типа используемого кодирования/преобразования.
☑️Вы можете использовать несколько вложенных тегов для выполнения преобразований.
☑️Теги также могут иметь аргументы, позволяющие им вести себя как функции.
☑️Он имеет функцию автоматического декодирования, позволяющую угадать тип требуемого преобразования и автоматически декодировать его несколько раз.
☑️И многое другое.
👉 Подробный гайд по работе с инструментом
#tools #bugbounty #pentest
👉 Он выполняет преобразование на основе тегов, которое поддерживает различные escape-коды и кодировки, включая объекты HTML5, шестнадцатеричное, восьмеричное, юникод, кодировку URL-адресов и т. д.
☑️Он использует XML-подобные теги для указания типа используемого кодирования/преобразования.
☑️Вы можете использовать несколько вложенных тегов для выполнения преобразований.
☑️Теги также могут иметь аргументы, позволяющие им вести себя как функции.
☑️Он имеет функцию автоматического декодирования, позволяющую угадать тип требуемого преобразования и автоматически декодировать его несколько раз.
☑️И многое другое.
👉 Подробный гайд по работе с инструментом
#tools #bugbounty #pentest
This media is not supported in your browser
VIEW IN TELEGRAM
💻🍏Apple представила новый MacBook Pro с процессорами семейства M3, которые делают один из лучших в мире профессиональных ноутбуков еще лучше. 14- и 16-дюймовые модели с M3 Pro и M3 Max доступны в новом цвете «черный космос». Хотите узнать подробнее? Смотрите презентацию Apple Scary Fast на русском и всего за 6 минут.
💡А мы недавно делали небольшую подборку ноутбуков для разрабов, где перечислили самые легкие, автономные и производительные. Скажем честно, не всем она понравилась. Так или иначе, поделитесь своим опытом 🔽
💬Какие характеристики для вас наиболее важны? Накидайте свой топ ноутбуков в комментарии👇
#холивар
💡А мы недавно делали небольшую подборку ноутбуков для разрабов, где перечислили самые легкие, автономные и производительные. Скажем честно, не всем она понравилась. Так или иначе, поделитесь своим опытом 🔽
💬Какие характеристики для вас наиболее важны? Накидайте свой топ ноутбуков в комментарии👇
#холивар
Please open Telegram to view this post
VIEW IN TELEGRAM
Хабр
«Мамкины хакеры» на официальной работе: чем занимаются пентестеры
«Пентестер» — слово вообще-то не русское, заимствованное. Что приходит на ум людям не из ИТ, боюсь представить. Поэтому мы себя «на Руси» гордо зовём «специалисты по тестированию на проникновение»....