这是一套打包资料,集合了 <Hakin9> 杂志上发布的在线课程。除了说明资料之外还包含视频演示资料、练习和最终测试。
如今,Web应用防火墙(WAF)的数量正在增加,这导致渗透测试更加困难。因此,在渗透测试中能够绕过WAF成为必要且非常重要的步骤。
这套资料研究了作为渗透测试一部分的绕过WAF的实用方法,当然还有WAF背后的理论及其工作原理。
您将获得的技能:
- WAF绕过和破解的技术
- WAF强化和保护的技巧
您需要的东西:
- 具有首选操作系统的PC(Mac OSX 10.5 +,Windows 7 +,Linux)
- 至少4gb的RAM
- 至少10gb可用存储空间的VM
下面我们上传这个打包。
如今,Web应用防火墙(WAF)的数量正在增加,这导致渗透测试更加困难。因此,在渗透测试中能够绕过WAF成为必要且非常重要的步骤。
这套资料研究了作为渗透测试一部分的绕过WAF的实用方法,当然还有WAF背后的理论及其工作原理。
您将获得的技能:
- WAF绕过和破解的技术
- WAF强化和保护的技巧
您需要的东西:
- 具有首选操作系统的PC(Mac OSX 10.5 +,Windows 7 +,Linux)
- 至少4gb的RAM
- 至少10gb可用存储空间的VM
下面我们上传这个打包。
每个人都使用电子邮件。它是互联网上第二大使用量最高的应用程序,仅次于Web浏览器。
但是您可能没有意识到,网络攻击和破坏的很大一部分都是通过电子邮件产生的;
并且,⚠️电子邮件地址的敏感性甚至不亚于手机号码 —— 我们演示过如何做这件事,如:
《如何侦查电子邮件和电话号码?》
《如何仅仅通过电子邮件挖到你的电话号码?》
《如何只用电子邮件地址追踪到 Twitter 帐户?》
《12个开源情报资源:挖掘电子邮件背后的秘密》
……等等。搜索标题可找到具体内容。
这里是 Hacker Highschool 第9集,它目的是为您提供有关电子邮件工作方式、安全电子邮件使用、基于电子邮件的攻击、以及电子邮件安全策略的信息。
了解这些知识,可以帮助您更好地防御。
我们会在未来的文章中引述这一内容(提前上传)。
但是您可能没有意识到,网络攻击和破坏的很大一部分都是通过电子邮件产生的;
并且,⚠️电子邮件地址的敏感性甚至不亚于手机号码 —— 我们演示过如何做这件事,如:
《如何侦查电子邮件和电话号码?》
《如何仅仅通过电子邮件挖到你的电话号码?》
《如何只用电子邮件地址追踪到 Twitter 帐户?》
《12个开源情报资源:挖掘电子邮件背后的秘密》
……等等。搜索标题可找到具体内容。
这里是 Hacker Highschool 第9集,它目的是为您提供有关电子邮件工作方式、安全电子邮件使用、基于电子邮件的攻击、以及电子邮件安全策略的信息。
了解这些知识,可以帮助您更好地防御。
我们会在未来的文章中引述这一内容(提前上传)。
美国陆军 心理战PSYOP 操作的策略、技术和程序 ——
该手册介绍了操作程序、并提供了以系统的、按时间顺序的方式执行五个PSYOP任务和七个PSYOP功能的模板。
👉PSYOP(心理战)是一项计划内的行动,旨在将选定的信息和指标传达给外国目标受众,以影响他们的情绪、动机、客观推理,并最终影响外国政府、组织、团体和个人的行为。
PSYOP 不仅会影响政策和决策,而且还会影响执政能力、指挥能力、战斗意愿、服从意愿和支持意愿。
心理战不仅是特种部队的重头戏,而且是力量倍增的引擎。
IYP的 “心理战和信息战” 栏目中收集的内容都非常主要,它现在已经独立形成一个分类列表:表3 - “斗智” 在这里看到(中文的哦) https://start.me/p/nRBzO9/iyp-3
下面我们将上传 **两份文件**,都是美国陆军和美国政府关于心理战操作指导的内部资料,它们来自不同年份,其中内容有所不同。这些文件能帮您更好的了解心理战操作。
—— 这些心理操控手法会被任何国家当权者所使用。希望您能通过这些知识提高警惕性,避免被操纵。(如果您喜欢中文,看IYP的分类列表3就可以)
#psycho #PsyOps #military #US
该手册介绍了操作程序、并提供了以系统的、按时间顺序的方式执行五个PSYOP任务和七个PSYOP功能的模板。
👉PSYOP(心理战)是一项计划内的行动,旨在将选定的信息和指标传达给外国目标受众,以影响他们的情绪、动机、客观推理,并最终影响外国政府、组织、团体和个人的行为。
PSYOP 不仅会影响政策和决策,而且还会影响执政能力、指挥能力、战斗意愿、服从意愿和支持意愿。
心理战不仅是特种部队的重头戏,而且是力量倍增的引擎。
IYP的 “心理战和信息战” 栏目中收集的内容都非常主要,它现在已经独立形成一个分类列表:表3 - “斗智” 在这里看到(中文的哦) https://start.me/p/nRBzO9/iyp-3
下面我们将上传 **两份文件**,都是美国陆军和美国政府关于心理战操作指导的内部资料,它们来自不同年份,其中内容有所不同。这些文件能帮您更好的了解心理战操作。
—— 这些心理操控手法会被任何国家当权者所使用。希望您能通过这些知识提高警惕性,避免被操纵。(如果您喜欢中文,看IYP的分类列表3就可以)
#psycho #PsyOps #military #US
start.me
IYP - 守门人和斗智(3)
Translation missing: en.startpage_default_description
您可能不容易遇到那些 “高级灾难” ——
你经常能从各种媒体上看到有关最新骇客技术和行为的报道,但如果你长期关注那些东西,很可能会形成虚无主义 - 尤其是对技术外行来说,这些高级骇客新闻会带来 “一切都是不安全的、我无能为力,于是就爱谁谁吧” 的错误印象。
的确,没有100%的安全,但是,您必须知道,媒体关注的东西都是那些相对独特的、罕见的,简单说一般人不容易遇到的攻击形式。
比如 “无交互” 攻击,逛过零日黑市的人都知道 “无交互” 有多贵($6~7位数);除非您是外国政客、大公司关键部门负责人、人权组织高级员工、特别突出的在全球享有盛誉的活动家、政府间谍的高端敌人 …… 否则您一般来说很难遇到那种攻击形式。
👉在现实中,交互式攻击依旧占据绝大部分,作为普通人和相对低调的互联网用户,您最有可能遇到的是这种,而不是主流媒体们热衷报道的那些。这种而不是那种,是有办法防御的,而且防御体系已经相对成熟,只需要您的实践。
所以您无需陷入虚无,只需要努力学习专家建议的 “操作安全” 知识,您就很有希望抵御绝大部分威胁。
👉您可以在我们的 <列表1 > 的多个栏目中了解到防御方法:https://start.me/p/xbYXdR/iyp-1
交互式攻击的最大特点是它结合人性漏洞,社交工程学在其中发挥很大作用。于是我们经常会强调:安全不仅仅是技术问题,也是心理学问题,防御也必须跨学科才能有效。
👉这就是为什么IYP单独制作了一个列表:“斗智”,这其中收集的内容是防御人性漏洞的,在这里:https://start.me/p/nRBzO9/iyp-3
如果您能做到熟悉这两部分内容,大部分坏家伙都不容易伤害到您。
黑客是个听起来高大上的名词,好像专家才能玩?其实不是。有很多黑客技术并不复杂,就算是隔壁老王也可能会玩,只要看几篇文章就可以做到。
也就是说,对您的威胁不一定完全来自政府的秘密骇客组织,还包括一大群莫名其妙的坏家伙。而后者往往不会被大牌媒体关注 (我们去年收到3个报告,都是来自中国的遭遇勒索软件的受害者)。
IYP会继续专注于对最日常的防御措施的介绍,也就是帮助您应对那些最容易遇到的威胁。它们的危害性可以很高。
👉今天上传的这本书就是讲述这件事的。这是安全防御类的热门书籍,它的作者都是在渗透测试和相关专业领域工作过多年的专家。
它将为您展示您最可能遇到的威胁、一些内幕知识、以及改善安全状况的详细对策。尤其是无线黑客。
此外,IYP 将在2020年加入 “黑客行动主义 hacktivism” 相关内容,听过这个概念的人或看过美剧《Mr. Robot》的人都能理解它的意义。于是这本书中介绍的知识应该为更多人所熟悉。
下面我们上传这本书。
你经常能从各种媒体上看到有关最新骇客技术和行为的报道,但如果你长期关注那些东西,很可能会形成虚无主义 - 尤其是对技术外行来说,这些高级骇客新闻会带来 “一切都是不安全的、我无能为力,于是就爱谁谁吧” 的错误印象。
的确,没有100%的安全,但是,您必须知道,媒体关注的东西都是那些相对独特的、罕见的,简单说一般人不容易遇到的攻击形式。
比如 “无交互” 攻击,逛过零日黑市的人都知道 “无交互” 有多贵($6~7位数);除非您是外国政客、大公司关键部门负责人、人权组织高级员工、特别突出的在全球享有盛誉的活动家、政府间谍的高端敌人 …… 否则您一般来说很难遇到那种攻击形式。
👉在现实中,交互式攻击依旧占据绝大部分,作为普通人和相对低调的互联网用户,您最有可能遇到的是这种,而不是主流媒体们热衷报道的那些。这种而不是那种,是有办法防御的,而且防御体系已经相对成熟,只需要您的实践。
所以您无需陷入虚无,只需要努力学习专家建议的 “操作安全” 知识,您就很有希望抵御绝大部分威胁。
👉您可以在我们的 <列表1 > 的多个栏目中了解到防御方法:https://start.me/p/xbYXdR/iyp-1
交互式攻击的最大特点是它结合人性漏洞,社交工程学在其中发挥很大作用。于是我们经常会强调:安全不仅仅是技术问题,也是心理学问题,防御也必须跨学科才能有效。
👉这就是为什么IYP单独制作了一个列表:“斗智”,这其中收集的内容是防御人性漏洞的,在这里:https://start.me/p/nRBzO9/iyp-3
如果您能做到熟悉这两部分内容,大部分坏家伙都不容易伤害到您。
黑客是个听起来高大上的名词,好像专家才能玩?其实不是。有很多黑客技术并不复杂,就算是隔壁老王也可能会玩,只要看几篇文章就可以做到。
也就是说,对您的威胁不一定完全来自政府的秘密骇客组织,还包括一大群莫名其妙的坏家伙。而后者往往不会被大牌媒体关注 (我们去年收到3个报告,都是来自中国的遭遇勒索软件的受害者)。
IYP会继续专注于对最日常的防御措施的介绍,也就是帮助您应对那些最容易遇到的威胁。它们的危害性可以很高。
👉今天上传的这本书就是讲述这件事的。这是安全防御类的热门书籍,它的作者都是在渗透测试和相关专业领域工作过多年的专家。
它将为您展示您最可能遇到的威胁、一些内幕知识、以及改善安全状况的详细对策。尤其是无线黑客。
此外,IYP 将在2020年加入 “黑客行动主义 hacktivism” 相关内容,听过这个概念的人或看过美剧《Mr. Robot》的人都能理解它的意义。于是这本书中介绍的知识应该为更多人所熟悉。
下面我们上传这本书。
start.me
IYP - 隐私保护知识和工具(1)
Translation missing: en.startpage_default_description
游击队战争中的心理行动 ——
游击战争本质上是一场政治战争。因此,它的行动范围超出了常规战争的领土范围,目标是渗透政治实体本身:亚里士多德所定义的“政治动物”。
实际上,应将人视为政治战争中的优先目标 —— 以人为目标;准确说是以人的心理弱点为目标。一旦被击中,将不需要一枪一炮,对手就会投降。
游击战争在政治环境中诞生并发展;在不断的战斗中,是人统治着固有的政治思想领域,这些领域共同构成了游击战运动的 “环境”,而这正是其胜利或失败的根本所在。
政治战争中的游击战概念将心理行动变成了胜败的决定性因素。此后,目标是所有人的思想,即 我军、敌军和平民的思想。
👉 这本书是一本训练游击队员实施心理操纵的手册 —— 由中央情报局CIA首次发布。
我们不是想要宣传游击战,而是,正如IYP的口头禅之一:任何一种斗争都是心理战,不论是游击队、实战部队、反叛组织、还是公民抵抗运动。因为战胜人心就能战胜一切。
还记得我们的新列表-3 的简介吗?—— “你的对手有强大的财力和人力,这些你都没有;你能赢过他们的唯一优势是:智慧”。https://start.me/p/nRBzO9/iyp-3
希望这份手册能为大家补充一些灵感。下面我们上传它。
游击战争本质上是一场政治战争。因此,它的行动范围超出了常规战争的领土范围,目标是渗透政治实体本身:亚里士多德所定义的“政治动物”。
实际上,应将人视为政治战争中的优先目标 —— 以人为目标;准确说是以人的心理弱点为目标。一旦被击中,将不需要一枪一炮,对手就会投降。
游击战争在政治环境中诞生并发展;在不断的战斗中,是人统治着固有的政治思想领域,这些领域共同构成了游击战运动的 “环境”,而这正是其胜利或失败的根本所在。
政治战争中的游击战概念将心理行动变成了胜败的决定性因素。此后,目标是所有人的思想,即 我军、敌军和平民的思想。
👉 这本书是一本训练游击队员实施心理操纵的手册 —— 由中央情报局CIA首次发布。
我们不是想要宣传游击战,而是,正如IYP的口头禅之一:任何一种斗争都是心理战,不论是游击队、实战部队、反叛组织、还是公民抵抗运动。因为战胜人心就能战胜一切。
还记得我们的新列表-3 的简介吗?—— “你的对手有强大的财力和人力,这些你都没有;你能赢过他们的唯一优势是:智慧”。https://start.me/p/nRBzO9/iyp-3
希望这份手册能为大家补充一些灵感。下面我们上传它。
start.me
IYP - 守门人和斗智(3)
Translation missing: en.startpage_default_description
亚洲的地下社区 ——
“暗网”是网络安全和通用技术领域中越来越流行的词汇。越来越多的人安装TOR浏览器并亲自访问黑网。无论您是否访问过暗网,了解网络犯罪分子和不同地下社区如何使用它,都是很重要的,👉这样您就可以利用它作为一个新的强大信息来源。
每个国家都有必须遵守的自己的 “暗网文化” 以及管辖它们的法律。仅仅说一口流利的异国语言还不够,您必须了解每个国家/地区的行话和规则,否则您将被踢出局。
👉 理解这些差异是开发资源和收集情报而不会被其他用户怀疑的关键。
IYP的 “开源情报” 栏目中已经收集了更多关于如何挖掘暗网资源和情报的工具,并增加了使用暗网的保护性措施和教训的相关知识。
而 👆这份研究报告专注于亚洲的暗网使用,可以帮助您了解日益成熟的亚洲暗网社区的主要趋势、法律、动机和威胁因素。包括中国哦。
下面我们上传这份手册。
“暗网”是网络安全和通用技术领域中越来越流行的词汇。越来越多的人安装TOR浏览器并亲自访问黑网。无论您是否访问过暗网,了解网络犯罪分子和不同地下社区如何使用它,都是很重要的,👉这样您就可以利用它作为一个新的强大信息来源。
每个国家都有必须遵守的自己的 “暗网文化” 以及管辖它们的法律。仅仅说一口流利的异国语言还不够,您必须了解每个国家/地区的行话和规则,否则您将被踢出局。
👉 理解这些差异是开发资源和收集情报而不会被其他用户怀疑的关键。
IYP的 “开源情报” 栏目中已经收集了更多关于如何挖掘暗网资源和情报的工具,并增加了使用暗网的保护性措施和教训的相关知识。
而 👆这份研究报告专注于亚洲的暗网使用,可以帮助您了解日益成熟的亚洲暗网社区的主要趋势、法律、动机和威胁因素。包括中国哦。
下面我们上传这份手册。
“对抗战术、技术和常识” 框架 ——
ATT&CK 模型是根据真实的观察数据来描述和分类对抗行为。
ATT&CK 将已知攻击者行为转换为结构化列表,将这些已知的行为汇总成战术和技术,并通过几个矩阵以及结构化威胁信息表达式(STIX)、指标信息的可信自动化交换(TAXII)来表示。
由于此列表相当全面地呈现了攻击者在攻击网络时所采用的行为,因此对于各种进攻性和防御性度量、表示和其他机制都非常有用。
ATT&CK会详细介绍每一种技术的利用方式,以及为什么了解这项技术对于防御者来说很重要。这极大地帮助了安全人员更快速地了解不熟悉的技术。
👆这本书是ATT&CK小组成员撰写的,您将可以从中获得有关ATT&CK入门的一些新想法。下面我们上传这本书。
ATT&CK 模型是根据真实的观察数据来描述和分类对抗行为。
ATT&CK 将已知攻击者行为转换为结构化列表,将这些已知的行为汇总成战术和技术,并通过几个矩阵以及结构化威胁信息表达式(STIX)、指标信息的可信自动化交换(TAXII)来表示。
由于此列表相当全面地呈现了攻击者在攻击网络时所采用的行为,因此对于各种进攻性和防御性度量、表示和其他机制都非常有用。
ATT&CK会详细介绍每一种技术的利用方式,以及为什么了解这项技术对于防御者来说很重要。这极大地帮助了安全人员更快速地了解不熟悉的技术。
👆这本书是ATT&CK小组成员撰写的,您将可以从中获得有关ATT&CK入门的一些新想法。下面我们上传这本书。