• Введение
• Что такое WireShark
• Немного о протоколах, IP и OSI
• Установка и настройка WireShark
• Разбор интерфейса
• Фильтры протоколов, IP, портов
• Анализ HTTP-пакетов
• Демонстрация кражи учетных данных
• WireShark и Linux файрвол
• Обнаружение неавторизованного трафика
• Обзор командной строки
• Аргументы командной строки
• Захват трафика в файл и его дальнейший анализ
• Ограничения захвата файлов
• Фильтры захвата и отображения
• Обзор режимов сетевых карт
• Режим мониторинга
• Расшифрование захваченного трафика
• Форматирование вывода в файл cls
• Извлечение реальной информации (видео, фото и т. д.)
• WireShark и Nmap: виды сканирования и количество трафика
• Скрытое сканирование
• SSH туннелирование и захват трафика через интернет: введение
• Настройка удаленной машины и SSH
• tcpdump: установка и настройка захвата трафика
• Захват трафика с удаленного хоста
• Установка сервера, админки и клиента
• Необходимый софт и ОС
• Установка ОС
• Установка гостевых дополнений, установка SSH соединения с сервером
• Настройка файрвола на пропуск трафика
• Захват трафика с машины клиента
• Запрещаем доступ к определенным ресурсам
#security #tools #wireshark
Please open Telegram to view this post
VIEW IN TELEGRAM
👍16👏2❤🔥1🔥1
Помимо специальных знаний в вашей ИБ-специализации, какие, по вашему мнению, знания не менее важны?
Anonymous Poll
29%
Программирование: знание конкретного языка
43%
Программирование: мыслить как разработчик, язык не так важен
36%
Сети: теория
45%
Сети: уметь настраивать и администрировать
30%
Операционные системы: теория
47%
Операционные системы: администрирование
43%
Английский язык
27%
Веб-технологии
18%
Математика
19%
Посмотреть результаты
👍7🔥1
🧑💻 Статьи для IT: как объяснять и распространять значимые идеи
Напоминаем, что у нас есть бесплатный курс для всех, кто хочет научиться интересно писать — о программировании и в целом.
Что: семь модулей, посвященных написанию, редактированию, иллюстрированию и распространению публикаций.
Для кого: для авторов, копирайтеров и просто программистов, которые хотят научиться интересно рассказывать о своих проектах.
👉Материалы регулярно дополняются, обновляются и корректируются. А еще мы отвечаем на все учебные вопросы в комментариях курса.
Напоминаем, что у нас есть бесплатный курс для всех, кто хочет научиться интересно писать — о программировании и в целом.
Что: семь модулей, посвященных написанию, редактированию, иллюстрированию и распространению публикаций.
Для кого: для авторов, копирайтеров и просто программистов, которые хотят научиться интересно рассказывать о своих проектах.
👉Материалы регулярно дополняются, обновляются и корректируются. А еще мы отвечаем на все учебные вопросы в комментариях курса.
👍4
👍6❤1🔥1
💳 Если вы участвуете в багбаунти-программах маркетплейсов и других торговых площадок, ловите простой совет, который может принести хороший профит💰
Некоторые сервисы поддерживают оплату при доставке или позволяют разместить дешевый заказ, а затем отменить его для возврата денег.
🤔 Предположим, что целевое приложение позволяет делать гостевые заказы без создания новой учетной записи или не требует подтверждения электронной почты для создания новой учетной записи (может быть вы нашли способ обхода проверки электронной почты при регистрации).
📌 Если вы столкнулись с одним из кейсов, то:
1️⃣ Размещаем заказ в качестве гостя и используем адрес электронной почты жертвы при оформлении заказа, например,
2️⃣ Жертва получает электронное письмо с квитанцией.
3️⃣ В качестве злоумышленника регистрируемся с использованием адреса электронной почты
4️⃣ Переходим на страницу истории заказов учетной записи -> видим ранее сделанные заказы -> получаем утечку истории заказов и личных данных -> сдаем отчет.
💡 Вывод: не стоит игнорировать рабочие процессы, связанные с платежами.
#tips #bugbounty
Некоторые сервисы поддерживают оплату при доставке или позволяют разместить дешевый заказ, а затем отменить его для возврата денег.
📌 Если вы столкнулись с одним из кейсов, то:
1️⃣ Размещаем заказ в качестве гостя и используем адрес электронной почты жертвы при оформлении заказа, например,
victim@example.com.2️⃣ Жертва получает электронное письмо с квитанцией.
3️⃣ В качестве злоумышленника регистрируемся с использованием адреса электронной почты
victim@example.com, при условии, что проверка электронной почты не осуществляется.4️⃣ Переходим на страницу истории заказов учетной записи -> видим ранее сделанные заказы -> получаем утечку истории заказов и личных данных -> сдаем отчет.
#tips #bugbounty
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1
До Нового года осталось 10 дней, и все традиционно подводят итоги. Пока мы с командой обсуждаем планы на 2024, захотели узнать, улучшилась ли ваша жизнь за 2023 год? Что в ней поменялось? А что осталось прежним?
Anonymous Poll
26%
Жизнь стала лучше (получил(-а) новую работу, переехал(-а))
19%
Это был тяжелый год (потерял(-а) работу, стал(-а) жить хуже)
12%
Ничего не поменялось, из года в год всё стабильно
27%
Я за этот год в своем познании несколько преисполнился(-ась)...
1%
Свой вариант (напишу в комментариях)
15%
Посмотреть результаты
👍1🔥1
👨🎓Race Condition в деталях: пошаговое прохождение лаборатории от PortSwigger
Механизм входа в лабораторию использует ограничение скорости для защиты от атак методом брута.
Для ее успешного решения необходимо использовать race condition, чтобы обойти ограничение скорости, успешно подобрать пароль и войти в панель администратора.
📺 Смотреть
#pentest #practice #bugbounty
Механизм входа в лабораторию использует ограничение скорости для защиты от атак методом брута.
Для ее успешного решения необходимо использовать race condition, чтобы обойти ограничение скорости, успешно подобрать пароль и войти в панель администратора.
📺 Смотреть
#pentest #practice #bugbounty
👍1🔥1
Любопытный опыт участия в багбаунти программе «Группы Астра» и их «защищенной» ОС Astra Linux.
Читать
#writeup #bugbounty
Читать
#writeup #bugbounty
Хабр
БагБаунти с АстраЛинус или то, что нужно знать о защищённости защищённой ОС
Хочу поделиться своим опытом участия в программе баг-хантинга ГК Астра (да, да - именно той, которая недавно совершила каминг‑аут IPO ) на платформе BI.ZONE Bug Bounty . Опыта участия в публичных...
😁6
Docker — тот самый инструмент, который упрощает жизнь этичным хакерам. Раньше для стендирования определенной версии конкретного приложения необходимо было станцевать с бубном. Сейчас это можно сделать одной командой. Пользуйтесь!
#cheatsheet #tools
Please open Telegram to view this post
VIEW IN TELEGRAM
Dockercheatsheet
Docker Cheat Sheet & Quick Reference
Latest shortcuts, quick reference, examples for docker, docker-compose etc...
👍3
🗄СУБД Microsoft SQL можно часто встретить в ходе пентеста внутренней инфраструктуры Windows, поэтому под рукой важно иметь качественный тулчейн. Ловите два инструмента, которые позволяют выполнять следующие атаки.
1. Enumeration Techniques
2. Authentication Providers
3. Using Standard Modules
4. Using Linked Modules
5. Using Impersonation Modules
6. Using SCCM Modules
7. Contributing and Extending SQLRecon
8. Hardening your SQL Server Environment
SQLRecon написан на C#, а PySQLRecon — на Python.
#tools #pentest #redteam
1. Enumeration Techniques
2. Authentication Providers
3. Using Standard Modules
4. Using Linked Modules
5. Using Impersonation Modules
6. Using SCCM Modules
7. Contributing and Extending SQLRecon
8. Hardening your SQL Server Environment
SQLRecon написан на C#, а PySQLRecon — на Python.
#tools #pentest #redteam
👍7🔥2
1️⃣ Открытые файлы бэкапов: просто возьмите словарь с расширениями вроде .bak/.zip и просканируйте с помощью Burp, ffuf или других инструментов. Для поиска бэкапов используйте также:
🔸Google-дорки
🔸Wayback Machine
🔸Robots.txt
🔸Directory listings
2️⃣ Открытые порталы/панели, через которые можно повысить привилегии
3️⃣ Уязвимые версии сервера
#tips #bugbounty
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥4👍3❤1
cat, если grep может напрямую читать файлы, уменьшая тем самым ненужное использование ресурсов и повышая эффективность? Скорее, это дело вкуса.А на сомом деле у
grep огромный функционал, который упрощает жизнь этичному хакеру. Читайте обновленный исчерпывающий гайд по работе с grep и используйте её эффективно👇👉 Читать
#linux #guide
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6🔥2❤1