🗺 Дорожная карта специалиста по кибербезопасности

Всего этот путь разделён на два этапа: обучение и получение необходимых сертификатов

В подборке есть ссылки на ресурсы, которые можно использовать для самообучения

⛓ https://tproger.ru/news/opublikovana-dorozhnaja-karta-specialista-po-kiberbezopasnosti

#Mindmap #CheatSheet ✈️ inf0

☁️ Настройка рабочего окружения PowerShell в Windows и Linux

— Знание PowerShell необходимы системным администраторам Windows, а также аудиторам безопасности, поскольку имеется достаточно много отличных и уникальных инструментов, написанных на PowerShell (в первую очередь направленных на пентест Windows)

Для продвинутых пользователей Windows знание PowerShell не будет лишним: с его помощью можно автоматизировать рутинные задачи и более тонко (или просто быстрее чем через графический интерфейс) настроить свою систему Windows

⛓ https://hackware.ru/?p=11232

#Linux #Windows #PowerShell ✈️ inf0

🕷 Ettercap: руководство по MITM-атакам в локальной сети

— В данной статье представлен краткий гайд по установке и применению Ettercap

Ettercap — это многофункциональный фреймворк для тестирования безопасности локальных сетей

Он предназначен для выполнения MITM атак , перехвата трафика, анализа протоколов и внедрения данных в сетевой поток

⛓ https://habr.com/ru/articles/934772/

#Ettercap #MITM #Guide ✈️ inf0

✔️ Фреймворк для удалённого контроля — Command and Control

PhpSploit — это инструмент постэксплуатации, способный поддерживать доступ к скомпрометированному веб-серверу для повышения привилегий.

— Он предназначен для обеспечения скрытого интерактивного (в стиле шелла) подключения через HTTP между клиентом и веб-сервером.

Особенности:
🔵Обфусцированное подключение с использованием HTTP-заголовков в рамках стандартных клиентских запросов и соответствующих ответов веб-сервера, туннелируемых через крошечный полиморфный бэкдор;
🔵Обход Safe-mode (безопасного режима) и многих ограничений безопасности PHP;
🔵Общение скрыто в HTTP-заголовках;
🔵Загружаемая полезная нагрузка обфусцируется для обхода NIDS.

⛓ https://github.com/nil0x42/phpsploit
⛓ Страница на Kali Tools
⛓ Как управлять сайтами (в том числе WordPress) с помощью бэкдора PhpSploit

#Tools #Control ✈️ inf0

🖥 Парсинг с помощью Python | Веб-скрапинг в действии (3-е издание)

— Это обновленное третье издание книги не только познакомит вас с веб-скрапингом, но и послужит исчерпывающим руководством по сбору практически любых видов данных в современном Интернете

В части I основное внимание уделено механике веб-скрапинга: как с помощью Python отправлять запросы веб-серверам, обрабатывать ответы и автоматизировать взаимодействие с сайтами;
В части II исследуются более конкретные инструменты и приложения, которые пригодятся при любом сценарии веб-скрапинга.

Книга покажет, как:
🔵анализировать сложные HTML-страницы;
🔵разрабатывать веб-сканеры с помощью фреймворка Scrapy;
🔵хранить данные, полученные с помощью скрапинга;
🔵читать и извлекать данные из документов;
🔵очищать и нормализовывать плохо отформатированные данные;
🔵читать и записывать информацию на естественных языках;
🔵выполнять поиск по формам и страницам входа;
🔵выполнять скрапинг jаvascript-кода и работать с API;
🔵писать и использовать программы для преобразования изображений в текст;
🔵обходить противоскрапинговые ловушки и блокаторы ботов;
🔵тестировать свои веб-сайты с помощью скрапинга.

⛓ https://t.me/tochkaseti/291

Райан Митчелл 2025

#Book #Python ✈️ inf0

😂 Кибератака на Jaguar Land Rover стала самой дорогой в истории Великобритании

— Jaguar Land Rover продолжает устранять последствия кибератаки, которая произошла в сентябре и парализовала производство, нарушила работу дилерской сети, а также поставила под угрозу цепочки поставок

⚠️ По оценке Cyber Monitoring Centre, общий ущерб может достигнуть 1,9 миллиарда фунтов стерлингов (2,5 млрд долларов) — это потенциально крупнейший цифровой инцидент в истории Великобритании

В зону воздействия попали более 5000 организаций, а сам случай отнесён к третьей категории системных событий, что указывает на значительное влияние на экономику

⛓ https://www.securitylab.ru/news/565033.php

#News #Attack ✈️ inf0

🗺 Mindmap по HTTP-кодам состояния

HTTP-коды состояния — это трёхзначные числовые ответы сервера на запрос клиента, например браузера

— Они показывают, как именно сервер обработал запрос: успешно или с ошибкой

Для разработчиков HTTP-коды — инструмент диагностики: по ним видно, как сервер обрабатывает запросы и где возникают сбои

#Mindmap #CheatSheet #HTTP ✈️ inf0

⬛️ DNSSEC и DNS: как доменные имена управляют интернетом + настройка BIND на Ubuntu

Эта статья для тех, кто хочет понять:
🔵как именно устроена и работает система доменных имён;
🔵её защита на уровне DNSSEC;
🔵и почему эта технология важна для безопасности интернета.

DNSSEC (Domain Name System Security Extensions) — это набор расширений протокола DNS, предназначенный для повышения безопасности системы доменных имён

⛓ https://habr.com/ru/companies/ruvds/articles/959230/

#DNSSEC #Domain #DNS #Ubuntu #BIND ✈️ inf0

✔️ Поиск адреса административных интерфейсов

Admin Page Finder — это скрипт на Python, который ищет на заданном сайте возможные адреса административных интерфейсов, перебирая большое количество вариантов

— Программа проста и не имеет дополнительных функций

⛓ https://packetstormsecurity.com/files/112855/Admin-Page-Finder-Script.html
⛓ Поиск админок (панелей управления) на сайтах

#Tools #Administration #Python ✈️ inf0

⚡ Кровь, пот и пиксели | Обратная сторона индустрии видеоигр

Лучшая книга об игровой индустрии от известного американского журналиста Джейсона Шрейера

— Автор собрал сотни уникальных и захватывающих историй создания лучших компьютерных игр десятилетия, рассказанных ему самими создателями

Джейсон Шрейер 2018

⛓ https://t.me/tochkaseti/293

#Book #GameDev ✈️ inf0

🧊 Расширения для Firefox обязали раскрывать, собирают ли они данные пользователей

— Mozilla будет требовать от создателей расширений для Firefox открыто указывать, какие пользовательские данные они собирают или передают третьим сторонам

Разработчики будут обязаны добавлять отдельный параметр, где перечисляется собираемая информация: имена, адреса электронной почты, поисковые запросы, а также данные о посещенных сайтах и активности в браузере

⚠️ Браузер будет автоматически считывать эти данные из манифеста и показывать пользователю при установке, вместе со списком запрашиваемых разрешений

⛓ https://xakep.ru/2025/10/28/firefox-addons-data/

#News #Surveillance #Firefox #Web #Confidentiality #Anonymity ✈️ inf0

📄 Шпаргалка SQLMap: флаги и команды для SQL-инъекции

SQLMap — инструмент с открытым исходным кодом для автоматизированного тестирования безопасности веб-приложений

— Он помогает тестировщикам безопасности находить уязвимости, связанные с SQL-инъекциями, и эксплуатировать их

⛓ https://highon.coffee/blog/sqlmap-cheat-sheet/

#CheatSheet #SQL #SQLMap #Injection ✈️ inf0

☁️ Безопасный доступ к внутренним сервисам: Keycloak, OAuth2 и немного Nginx‑магии

— В статье расскажем о нашем пути построения схемы обратного прокси с авторизацией через Keycloak: от поиска решения до создания стабильного и масштабируемого результата

Keycloak — это система идентификации и управления доступом с открытым исходным кодом

Она позволяет управлять идентификацией пользователей, контролировать доступ к приложениям и данным, обеспечивая единую точку входа (SSO)

⛓ https://habr.com/ru/companies/first/articles/960862/

#Tools #Keycloak ✈️ inf0

💸 Инструмент для мониторинга новых поддоменов

Sublert — это инструмент безопасности и разведки, написанный на Python

— Он используется для мониторинга новых поддоменов, развёрнутых конкретными организациями и выпущенного для этого нового субдомена сертификата TLS/SSL

Кроме того, Sublert выполняет разрешение DNS для определения рабочих поддоменов

⛓ https://github.com/yassineaboukir/sublert
⛓ Мониторинг появления новых субдоменов в реальном времени

#Tools #Python #Recon ✈️ inf0

🔵 Алиса и Боб учатся безопасному кодированию

— В книге вы найдете полезные аналогии, истории из жизни вымышленных персонажей Алисы и Боба, примеры реальных ситуаций, технические объяснения и диаграммы, благодаря которым запутанные идеи и понятия безопасности приобретают легко усваиваемую форму, позволяющую начать применять их немедленно

Научитесь создавать безопасный код популярных языках: Python, Java, jаvascript и получите опыт защиты таких каркасов, как Angular, .Net и React.

Янца Т. 2025

⛓ https://t.me/tochkaseti/294

#Book #Programming ✈️ inf0

😂 Москвичку обманули на 28 миллионов — через «кодировку ключей» и видеозвонок с «полицией»

⚠️ В Москве мошенники обманули пожилую женщину, представившись сотрудниками разных ведомств, и похитили у нее более 28 миллионов рублей

Схема проста: коды из SMS, взлом Госуслуг, звонок от лжесотрудницы Роскомнадзора, правоохранители, которые вышли с женщиной на видеосвязь и забирайка

⛓ https://www.securitylab.ru/news/565639.php

#News #Phishing ✈️ inf0

🖥 Оболочка Bash — шпаргалка для начинающих

— В данной шпаргалке затрагиваются следующие темы: введение в оболочку, навигация, основные команды, переменные окружения, коннекторы, конвейеры, перенаправление ввода/вывода, права доступа и комбинации клавиш

⛓ https://tproger.ru/translations/bash-cheatsheet

#Programming #Shell #CheatSheet #Bash ✈️ inf0

🔎 Разбираем V8 | Заглядываем под капот Chrome на виртуалке с Hack The Box

— В этой статье мы погово­рим о Google V8 Engine – движ­ке JS, который сто­ит в Chromium и Android

Вер­нее, мы будем ломать его на самой слож­ной в рей­тин­ге сооб­щес­тва Hack The Box тач­ке RopeTwo

Ты узна­ешь:
🔵Какие типы дан­ных есть в движ­ке;
🔵Как мож­но ими манипу­лиро­вать, что­бы заг­рузить в память свой экс­пло­ит;
🔵Научишь­ся исполь­зовать механиз­мы отладки V8;
🔵Что такое WebAssembly;
🔵И как про­ник­нуть бла­года­ря это­му в шелл RopeTwo.

⛓ https://xakep.ru/2021/01/20/htb-ropetwo-v8/

#HackTheBox #Web #Chrome #Practice ✈️ inf0

☁️ Продвинутые техники создания словарей

Содержание статьи:
1. Азы генерации словарей
2. Атака на основе правил
3. Генерация словарей на основе информации о человеке
4. Составление списков слов и списков имён пользователей на основе веб-сайта
5. Как создать словарь по маске с переменной длиной
6. Когда о пароле ничего не известно (все символы)
7. Создание словарей, в которых обязательно используется определённые символы или строки
8. Как создавать комбинированные словари
9. Как комбинировать более двух словарей
10. Как создать все возможные комбинации для короткого списка строк
11. Комбинирование по алгоритму PRINCE
12. Гибридная атака - объединение комбинаторной атаки и атаки по маске
13. Как создать комбинированный словарь, содержащий имя пользователя и пароль, разделённые символом
14. Как извлечь имена пользователей и пароли из комбинированного словаря в обычные словари
15. Как при помощи Hashcat можно сгенерировать словарь хешей MD5 всех шестизначных чисел от 000000 до 999999
16. Удвоение слов
17. Как создать словарь со списком дат
18. Как разбить генерируемые словари на части

Словари в пентесте – это наборы слов, фраз, символов или других данных, которые используются для перебора возможных значений при выполнении различных видов атак, таких как брутфорс, инъекции, перечисление и другие

— В этой статье собраны возможные ситуации генерации словарей, с которыми можно столкнуться на практике

⛓ https://hackware.ru/?p=15350

#Password #Dictionary #Guide ✈️ inf0

👴 Создаем фальшивые точки доступа

Mana — инструмент тестирования безопасности Wi-Fi, созданный специалистами по информационной безопасности из SensePost

— Он используется для создания Rogue AP (фальшивых точек доступа) и проведения атак типа «человек посередине» (MitM)

Особенности:

🔵Улучшенные KARMA-атаки — автоматическое создание точек доступа, к которым устройства пытаются подключиться сами;
🔵Несколько режимов работы: NAT с полным набором MitM-инструментов, «фальшивый интернет» для мест без реального подключения, режим для атак на EAP-аутентификацию;
🔵Интеграция популярных инструментов: sslstrip-hsts для атак на HTTPS;
🔵Автоматизация взлома EAP-учетных данных через crackapd.

 
Основу MANA составляет модифицированная версия hostapd — демона для работы с точками доступа в Linux

⛓ https://github.com/sensepost/mana?ysclid=mhnaey3gk0962274808

#Tools #WiFi #Network #Phishing #MITM ✈️ inf0

🔎 Пенсильванский университет пострадал от кражи данных

— Пенсильванский университет подтвердил взлом своих внутренних систем и хищение данных в результате кибератаки

⚠️ Злоумышленники похитили 1,71 ГБ внутренних документов с платформ SharePoint и Box, включая таблицы, финансовую информацию и рекламные материалы, ориентированные на выпускников

Также хакеры сообщили, что они украли базу Penn в Salesforce, используемую для маркетинга среди доноров — она содержала 1,2 млн записей с разнообразной информацией о жертвователях

Образец этих данных включает 158 полей, которые содержат:

🔵Персональные данные: полные имена, даты рождения, пол, физические адреса, номера телефонов и адреса электронной почты;
🔵Финансовые данные и сведения о донорах: истории пожертвований, оценки благосостояния и размеры донатов;
🔵Сведения о занятости и принадлежности к организации: работодатель, должность и академическая принадлежность.

⛓ https://habr.com/ru/news/964000/

#News #Leak ✈️ inf0