Ликбез часть 5.
На этой неделе мы будем изучать одну из самых значимых в сфере безопасностей технологий - OSINT. Давайте разберемся с общими понятиями этой технологии.
▫️OSINT (Open Source Intelligence) — технология поиска, аккумулирования и анализа данных, собранных из доступных источников в интернете.
◾️Google Dorks или Google Hacking — техника, используемая СМИ, следственными органами, инженерами по безопасности и любыми пользователями для создания запросов в поисковых системах, чтобы обнаружить скрытую информацию и уязвимости, которые можно найти на общедоступных серверах.
Это метод, в котором обычные запросы на поиск веб-сайтов используются в полную меру для определения информации, скрытой на поверхности.
Больше информации
В данном направлении достаточно мало терминов, но даже на данном этапе мы можем разобрать алгоритм работы в системе, который очень прост и предполагает соблюдение последовательности шагов. Данную систему тестировали на эффективность в течение многих лет.
Алгоритм:
Соберите всю исходную информацию о цели, которая есть в открытом доступе (личные данные, адреса почты, фотографии, контакты и т. д.).
Обозначьте себе задачи: какие вопросы необходимо решить, какой информации не хватает для формирования целостной картинки.
Определитесь с инструментами OSINT, которые эффективно работают именно с вашими задачами.
Настройте поиск, после чего проанализируйте все собранные данные.
Запустите повторный поиск на основе новой полученной информации.
Подтвердите или опровергните свои догадки.
Помните, все, что попало в интернет остается в нем навсегда.
На этой неделе мы будем изучать одну из самых значимых в сфере безопасностей технологий - OSINT. Давайте разберемся с общими понятиями этой технологии.
▫️OSINT (Open Source Intelligence) — технология поиска, аккумулирования и анализа данных, собранных из доступных источников в интернете.
◾️Google Dorks или Google Hacking — техника, используемая СМИ, следственными органами, инженерами по безопасности и любыми пользователями для создания запросов в поисковых системах, чтобы обнаружить скрытую информацию и уязвимости, которые можно найти на общедоступных серверах.
Это метод, в котором обычные запросы на поиск веб-сайтов используются в полную меру для определения информации, скрытой на поверхности.
Больше информации
В данном направлении достаточно мало терминов, но даже на данном этапе мы можем разобрать алгоритм работы в системе, который очень прост и предполагает соблюдение последовательности шагов. Данную систему тестировали на эффективность в течение многих лет.
Алгоритм:
Соберите всю исходную информацию о цели, которая есть в открытом доступе (личные данные, адреса почты, фотографии, контакты и т. д.).
Обозначьте себе задачи: какие вопросы необходимо решить, какой информации не хватает для формирования целостной картинки.
Определитесь с инструментами OSINT, которые эффективно работают именно с вашими задачами.
Настройте поиск, после чего проанализируйте все собранные данные.
Запустите повторный поиск на основе новой полученной информации.
Подтвердите или опровергните свои догадки.
Помните, все, что попало в интернет остается в нем навсегда.
Exploit-Db
OffSec’s Exploit Database Archive
The GHDB is an index of search queries (we call them dorks) used to find publicly available information, intended for pentesters and security researchers.
Инструменты OSINT
Для поиска необходимой информации в интернете существуют поисковые системы. Однако что делать, если нам нужно узнать больше информации, нежели предоставляют нам гугл или яндекс? Ответ на этот вопрос вы найдете в этой статье.
Для поиска необходимой информации в интернете существуют поисковые системы. Однако что делать, если нам нужно узнать больше информации, нежели предоставляют нам гугл или яндекс? Ответ на этот вопрос вы найдете в этой статье.
Teletype
Инструменты OSINT
Для поиска необходимой информации в интернете существуют поисковые системы. Однако что делать, если нам нужно узнать больше информации...
Osintgram
OSINT развивается семимильными шагами, так что лучшее, что мы можем сделать, это выбрать инструменты, которые лучше других справляются со своими функциями.
Сегодняшний наш гость - Osintgram. Мощный инструмент, который позволяет получить максимум информации из страницы пользователя в Instagram. Читайте о нем в нашей статье
OSINT развивается семимильными шагами, так что лучшее, что мы можем сделать, это выбрать инструменты, которые лучше других справляются со своими функциями.
Сегодняшний наш гость - Osintgram. Мощный инструмент, который позволяет получить максимум информации из страницы пользователя в Instagram. Читайте о нем в нашей статье
Teletype
Osintgram
OSINT развивается семимильными шагами, так что лучшее, что мы можем сделать, это выбрать инструменты, которые лучше других справляются...
Взлом стандартных паролей с помощью баз
Различные устройства по дефолту имеют стандартный логин / пароль, пароль обычно напечатан на наклейке корпуса или указан в инструкции. Нежелание людей менять пароли "по умолчанию" часто создает угрозу безопасности не только для роутеров, но и для видеонаблюдения, умных колонок, холодильников, принтеров, пожарной безопасности или даже систем промышленного контроля. Несколько лет назад журнал Asmag опубликовал статью, в которой было указано, что около 15% процентов всех IoT-устройств в мире имеют стандартные пароли.
Исследователи безопасности и хакеры регулярно сканируют сеть на предмет нахождения уязвимых IoT устройств при помощи Shodan, Censys, ZoomEye, поэтому для всех кому небезразлична безопасность - рекомендация сменить стандартный пароль, иначе ваше устройство может стать легкой мишенью недобросовестных людей в черных шляпах.
Как защитить свои устройства от брутфорса?
Большинство пользователей безответственно относятся к смене дефолтного пароля, по этому достаточно часто можно войти в вебморду устройства используя дефолтные наборы логин\пасс.
Стандартные пароли к IoT можно найти на сайтах производителей или помощи специализированных веб-ресурсов.
Подборка ресурсов с базой стандартных паролей
1. defpass.com
2. many-passwords.github.io
3. fortypoundhead.com
4. cirt.net
5. datarecovery.com
6. passwordsdatabase.com
7. default-password.info
8. www.routerpasswords.com
Различные устройства по дефолту имеют стандартный логин / пароль, пароль обычно напечатан на наклейке корпуса или указан в инструкции. Нежелание людей менять пароли "по умолчанию" часто создает угрозу безопасности не только для роутеров, но и для видеонаблюдения, умных колонок, холодильников, принтеров, пожарной безопасности или даже систем промышленного контроля. Несколько лет назад журнал Asmag опубликовал статью, в которой было указано, что около 15% процентов всех IoT-устройств в мире имеют стандартные пароли.
Исследователи безопасности и хакеры регулярно сканируют сеть на предмет нахождения уязвимых IoT устройств при помощи Shodan, Censys, ZoomEye, поэтому для всех кому небезразлична безопасность - рекомендация сменить стандартный пароль, иначе ваше устройство может стать легкой мишенью недобросовестных людей в черных шляпах.
Как защитить свои устройства от брутфорса?
Большинство пользователей безответственно относятся к смене дефолтного пароля, по этому достаточно часто можно войти в вебморду устройства используя дефолтные наборы логин\пасс.
Стандартные пароли к IoT можно найти на сайтах производителей или помощи специализированных веб-ресурсов.
Подборка ресурсов с базой стандартных паролей
1. defpass.com
2. many-passwords.github.io
3. fortypoundhead.com
4. cirt.net
5. datarecovery.com
6. passwordsdatabase.com
7. default-password.info
8. www.routerpasswords.com
Поиск человека по фотографии.
Иногда, задаваясь вопросом про то, как же найти человека имея только фото и обращаясь к десяткам платных\бесплатных сайтов, мы рискуем найти ровным счетом НИЧЕГО.
Однако, хочется напомнить про одну маленькую хитрость - отзеракаливание фотографии.
Вспомните, сколько раз вы, делая селфи, замечали, что руки находятся не естесственно? Большинство фронтальных камер по-умолчанию зеркалит фото.
Проведите обратное действие, и, быть может - вам повезет найти то, что нужно.
Успехов!
Отзеркалить
Найти
Иногда, задаваясь вопросом про то, как же найти человека имея только фото и обращаясь к десяткам платных\бесплатных сайтов, мы рискуем найти ровным счетом НИЧЕГО.
Однако, хочется напомнить про одну маленькую хитрость - отзеракаливание фотографии.
Вспомните, сколько раз вы, делая селфи, замечали, что руки находятся не естесственно? Большинство фронтальных камер по-умолчанию зеркалит фото.
Проведите обратное действие, и, быть может - вам повезет найти то, что нужно.
Успехов!
Отзеркалить
Найти
Resizepixel
ResizePixel - онлайн редактор изображений
Бесплатный редактор изображений для обрезки, изменения размера, отражения, поворота, конвертирования и сжатия изображения онлайн
Синтаксический анализ Python кода
Как часто бывало такое, что вы скачиваете чей-то GitHub репозиторий, он не работает, выдавая ошибки?
Данный инструмент позволяет проверить python код ( в том числе и свой) на наличие синтаксических ошибок онлайн и совершенно бесплатно.
ТЫК
Как часто бывало такое, что вы скачиваете чей-то GitHub репозиторий, он не работает, выдавая ошибки?
Данный инструмент позволяет проверить python код ( в том числе и свой) на наличие синтаксических ошибок онлайн и совершенно бесплатно.
ТЫК
Тестирование NodeJS кода
В большинстве случаев NodeJS используется именно для backend разработки(серверной части).
А соответственно, и устойчивость кода к различным уже известным уязвимостям позволит уменьшить риски быть атакованными ради развлечения.
Данный инструмент возможно установить с помощью Docker контейнера, или же самостоятельно загрузить и сконфигурировать.
Полные инструкции Вы можете получить на страницы проекта на GitHub
В большинстве случаев NodeJS используется именно для backend разработки(серверной части).
А соответственно, и устойчивость кода к различным уже известным уязвимостям позволит уменьшить риски быть атакованными ради развлечения.
Данный инструмент возможно установить с помощью Docker контейнера, или же самостоятельно загрузить и сконфигурировать.
Полные инструкции Вы можете получить на страницы проекта на GitHub
Как узнать CMS сайта и используемые версии плагинов?
Достаточно часто проводя разведку на объект атаки является полезным узнать, на чем сделан сайт. Может, он самописный, или собран с помощью различных CMS. Последнее, в наше время? встречается гораздо чаще. Если, конечно, мы не смотрим на достаточно крупные проекты.
Что нам даст эта информация? Достаточно часто можно найти пиратские(а соответственно не обновляемые) и попросту не обновляемые версии плагинов(по принципу "Лишь бы не сломать"). И, вполне вероятно, в них уже найдены уязвимости и выложены инструменты для их эксплуатации.
Данный инструмент позволит просканировать сайт на наличие признаков CMS(больше 170 штук), а так же получить доп.информацию
GitHub проекта.
Достаточно часто проводя разведку на объект атаки является полезным узнать, на чем сделан сайт. Может, он самописный, или собран с помощью различных CMS. Последнее, в наше время? встречается гораздо чаще. Если, конечно, мы не смотрим на достаточно крупные проекты.
Что нам даст эта информация? Достаточно часто можно найти пиратские(а соответственно не обновляемые) и попросту не обновляемые версии плагинов(по принципу "Лишь бы не сломать"). И, вполне вероятно, в них уже найдены уязвимости и выложены инструменты для их эксплуатации.
Данный инструмент позволит просканировать сайт на наличие признаков CMS(больше 170 штук), а так же получить доп.информацию
GitHub проекта.
Какие темы Вам хотелось видеть у нас на канале больше всего?
Anonymous Poll
34%
OSINT
30%
Pentest
31%
Новости сферы ИБ
30%
Кодинг
31%
Вирусология
30%
Интересные инструменты с GitHub
28%
Мошенничество
10%
Другое
Интеграция Git с IDE
Поскольку лидирующие позиции занял GitHub и кодинг - логично предположить, что вы будете активно использовать Git у себя на рабочем ПК.
ВАЖНОЕ ПРИМЕЧЕНИЕ : Если у вас не установлен Git или появляются различные ошибки при интеграции - переустановите Git с оф.сайта.
Таким образом, мы интегрируем Git в PyCharm:
1. Заходим в File-Settings-Version Control-GitHub
2. Кликаем Create API Token, вводим логин и пароль с GitHub’a
3. Заходим VCS-Enable Version Control Systems. Если не всплывает ошибка, то переходим к п. 4, иначе см. примечание.
4. Выбираем Git.
5. Выбираем VCS-Import into Version Control-Share Project on GitHub.
6. После этого всплывет окно, где нужно указать имя для папки, потом выбираете файлы для отправки и готово.
Использование Git VSCode
Использование GIT Visual Studio
Полезная статья с примерами
Поскольку лидирующие позиции занял GitHub и кодинг - логично предположить, что вы будете активно использовать Git у себя на рабочем ПК.
ВАЖНОЕ ПРИМЕЧЕНИЕ : Если у вас не установлен Git или появляются различные ошибки при интеграции - переустановите Git с оф.сайта.
Таким образом, мы интегрируем Git в PyCharm:
1. Заходим в File-Settings-Version Control-GitHub
2. Кликаем Create API Token, вводим логин и пароль с GitHub’a
3. Заходим VCS-Enable Version Control Systems. Если не всплывает ошибка, то переходим к п. 4, иначе см. примечание.
4. Выбираем Git.
5. Выбираем VCS-Import into Version Control-Share Project on GitHub.
6. После этого всплывет окно, где нужно указать имя для папки, потом выбираете файлы для отправки и готово.
Использование Git VSCode
Использование GIT Visual Studio
Полезная статья с примерами
Основы_информационной_безопасности.pdf
6.7 MB
Пока готовятся более масштабные статьи, держите книгу, которую уже мало где возможно найти в продаже, а очень жаль.
Автор: Нестеров С.А.
Кандидат Технических Наук
Название: Основы информационной безопасности
Книга позволит Вам ознакомиться с моделями безопасности, основами криптографии, протоколами, и многое другое.
!!!Авторы канала категорически не приветствуют пиратство, и уважают авторские права. Книга предоставлена в ознакомительных целях. Если она вам понравится - приобретите ее, поддержите автора!!!
Автор: Нестеров С.А.
Кандидат Технических Наук
Название: Основы информационной безопасности
Книга позволит Вам ознакомиться с моделями безопасности, основами криптографии, протоколами, и многое другое.
!!!Авторы канала категорически не приветствуют пиратство, и уважают авторские права. Книга предоставлена в ознакомительных целях. Если она вам понравится - приобретите ее, поддержите автора!!!