🖥 В Docker патчат критическую уязвимость пятилетней давность, связанную с обходом аутентификации

Разработчики Docker выпустили обновление для устранения критической уязвимости в некоторых версиях Docker Engine.

Уязвимость позволяет злоумышленникам обойти плагины авторизации (AuthZ) при соблюдении ряда условий.

Изначально проблема была обнаружена и исправлена в Docker Engine 18.09.1, выпущенном еще в январе 2019 г. Однако по неизвестной причине это исправление не было перенесено в более поздние версии, в результате чего уязвимость проявилась вновь.

— Теперь уязвимость отслеживается под идентификатором CVE-2024-41110 и оценивается в максимальные 10 баллов по шкале CVSS.

🤒 Проблема позволяет злоумышленнику отправить специально подготовленный API-запрос с Content-Length равным 0, чтобы обманом вынудить демона Docker переслать его плагину AuthZ.

#News #Docker / Белый хакер

😒 Основы веб-хакинга. Как зарабатывать деньги этичным хакингом: Более 30 примеров уязвимостей

Книга будет потрясающим руководством на протяжении всего вашего пути.

— Она изобилует полноценными примерами отчетов об уязвимостях из реального мира, эти отчеты принесли их авторам реальные деньги. Она фокусируется на том, как стать этичным
хакером.

Так же в этой книге вы найдете полезный анализ и обзор от
Питера Яворски, автора и хакера.

Лучший способ научиться чему-либо - просто начать этим
заниматься. Именно так мы - Майкл Принс и Джоберт Абма
- научились хакингу

🗣 Книга

#Book / Белый хакер

🤒 NekoBotV1 | Автоматический эксплуататор с оболочкой 500+ Exploit 2000+

NekoBotV1Rev - это автоматический инструмент эксплойта, облегчающий проникновение на один или несколько серверов под веб-сайтами (Wordpress, Joomla, Drupal, Magento, Opencart и т.д.).

🗣 Github

#Tool #Exploit / Белый хакер

🤒 Как начать заниматься багхантингом веб-приложений

В этой и следующих статьях мы подробно пройдемся по теме bug bounty и расскажем о том, как прокачаться в багхантинге веб- и мобильных приложений.

Первая статья будет особенно интересна самым маленьким начинающим багхантерам.

Но и те, кто уже зарабатывал на этом, смогут найти для себя что-то новое.

🗣 Habr.com

#BugBounty / Белый хакер

🤒 Как найти человека по фотографии лица?

Как найти человека по фотографии его лица? Как по фото получить о нем много информации? Как вычислить по одной лишь фотографии его месторасположение?

Ответы на эти вопросы в данном видео.

В наше время данная привилегия доступна не только правоохранительным органам, теперь вы сами без проблем абсолютно легально сможете найти в интернете понравившуюся девушку или узнать данные обидчика.

#OSINT / Белый хакер

🤒 Где прокачать навыки белого хакинга

⏺Capture the Flag (CTF). Соревнования по захвату флага – отличный способ научиться взламывать киберсистемы.

⏺CTF для веб-эксплуатации. Pentesterlab – отличный ресурс, чтобы начать изучать веб-тестирование на проникновение. На Hacker101 CTF представлен список задач, направленных на развитие навыков веб-взлома.

⏺Реверс-инжиниринг. Потренироваться в обратном инжиниринге (англ. reverse engineering) можно на сайте Crackme, хранящем множество программ, которые можно попытаться взломать.

⏺Смешанные CTF. OverTheWire – сайт для новичков в IT, на котором обучение начинается с основ командной строки и базовых навыков программирования.

⏺Живые CTF. Если вы хотите поучаствовать в живом CTF или CTF в стиле «Атака и защита», посетите CTFtime.org и посмотрите список текущих и предстоящих событий.

⏺Платформы Bug Bounty. Bug Bounty – это вознаграждение, выплачиваемое разработчикам, обнаружившим критические недостатки в программном обеспечении.

⏺Поиск уязвимостей может проводиться на базе компании или на специализированной платформе. Одна из самых известных – Hackerone.

#CTF #BugBounty #Reverse / Белый хакер

🤒 FACCT: 97% вредоносных писем прячут малварь во вложениях

Специалисты FACCT изучили вредоносные почтовые рассылки, которые злоумышленники распространяли во втором квартале 2024 года.

В период с апреля по июнь фишинговые письма чаще всего рассылались по четвергам, а в 97% рассылок малварь была скрыта во вложениях.

В качестве бесплатных почтовых сервисов злоумышленники все чаще используют российские решения.

Отчет исследователей гласит, что пик вредоносных рассылок постепенно смещается со вторника и среды, и больше всего писем злоумышленники отправляют в четверг — 22,5% от всех писем за неделю. Меньше всего вредоносных сообщений рассылается в воскресенье.

#News #FACCT #Malware / Белый хакер

🤒 План изучения безопасности

Практический план обучения, чтобы стать успешным инженером по кибербезопасности на основе таких ролей, как Pentest, AppSec, Cloud Security, DevSecOps и так далее, с бесплатными/платными ресурсами, инструментами и концепциями для достижения успеха.

🤒 Он будет охватывать, но не ограничиваясь:
⏺Общий план обучения навыкам безопасности
⏺План исследования безопасности AWS
⏺План изучения безопасности безопасности GCP
⏺План обучения по тестированию проникновения в Интернете
⏺План тестирования безопасности приложений
⏺План изучения безопасности
⏺И много другое

🗣 Github

#Tool #Course / Белый хакер

🤒 Попались на удочку: как мы заплатили 100 тысяч рублей за фишинг

Сейчас в программе открытых кибериспытаний Innostage есть одно главное недопустимое событие и три промежуточных с меньшим вознаграждением.

И вот 19 июля этичный хакер prorok забрал положенные 100 тысяч рублей за компрометацию учётной записи.
Как ему удалось это сделать? Рассказываем подробнее.

Чтобы забраться к нам в инфраструктуру, prorok использовал старый добрый фишинг.

🗣 Habr.com

#Phishing #BugBounty / Белый хакер

🤒 Как не стать легкой мишенью для ФСБ. О личной безопасности для журналистов

Автор рассказывает о том, какими протоколами безопасности нужно пользоваться журналистам, чтобы не попасть в ловушку спецслужб и в целом снизить риски нападений.

Проект «Поваренная книга журналиста» - 10 обучающих серий от журналистов-расследователей о том, как искать недвижимость чиновников и коррупционеров в России и за границей, как собирать профайлы по открытым источникам и какими базами данных и как лучше пользоваться.

👍🏻- если хотите видеть продолжение

#Security #FSB / Белый хакер

🤒 Неправильно настроенные Jupyter Notebook используются для DDoS-атак

ИБ-специалисты Aqua Security обнаружили новую DDoS-кампанию, направленную на неправильно настроенные экземпляры Jupyter Notebook.

Эта активность, получившая название Panamorfi, использует Java-инструмент под названием mineping для запуска DDoS-атаки с использованием TCP-флуда.

Mineping — это весьма известный DDoS-инструмент, исходно разработанный для игровых серверов Minecraft.

Атакующие эксплуатируют доступные через интернет экземпляры Jupyter Notebook для выполнения команд wget и загрузки ZIP-архива, размещенного на файлообменном сайте Filebin.

«Атака направлена на потребление ресурсов целевого сервера путем отправки большого количества TCP-запросов, — рассказывают эксперты. — Результаты фиксируются в отдельном Discord-канале».

#News #DDoS #JupyterNotebook / Белый хакер

🤒 Коллекция хакерских инструментов, ресурсов и ссылок для практики этического взлома.

Hacker-roadmap - этот репозиторий представляет собой обзор того, что вам нужно для изучения тестирования на проникновение, а также набор инструментов, ресурсов и ссылок на этический взлом.

Большинство инструментов совместимы с UNIX, бесплатны и с открытым исходным кодом.

🗣 Github

#Tool / Белый хакер

🤒 Как стать этичным хакером

Понятие "этичный хакер" - для меня это что-то вроде слова "маркетолог".
То есть в общем обо всем и ни о чем вообще.

В хакинге как и во многих отраслях нужна специализация. Когда приходят какие то заказы на этичный взлом они, как правило приходят на команду, и в этой команде есть уже какая-то специализация.

Хакинг делится на следующие области:
⏺Web-Hacking
⏺Network Hacking
⏺OSINT
⏺Forensic
⏺Anonimity
⏺Reverse Engineering
⏺Социальная инженерия
⏺Application Security
⏺App pentest
⏺Wi-FI Hacking
⏺Coding

🗣 Habr.com

#Hacking / Белый хакер

🤒 «Как найти миллиард у чиновника?» Автор рассказывает, как искать активы

Автор рассказывает, как искать имущество и недвижимость у чиновников и силовиков. Как выбрать «жертву» для расследования, с чего начать?

Проект «Поваренная книга журналиста» - 10 обучающих серий от журналистов-расследователей о том, как искать недвижимость чиновников и коррупционеров в России и за границей, как собирать профайлы по открытым источникам и какими базами данных и как лучше пользоваться.

👍🏻- если хотите видеть продолжение

#Security / Белый хакер

🤒 Журнал "Xakep #260" — В поисках утечек

Мас­штаб­ные утеч­ки дан­ных происходят каж­дый день. «Течет» отку­да толь­ко мож­но, а пос­ледс­твия быва­ют... раз­ными.

В этом выпуске мы покажем, как лег­ко зло­умыш­ленни­ки могут получить дос­туп к обширным мас­сивам все­воз­можных дан­ных и чем это грозит.

🤒 Также в этом номере:
⏺Ищем малварь с помощью Yara
⏺Автоматизируем обход периметра с помощью ScanFactory
⏺Изучаем способы удаленного исполнения кода в Windows
⏺Разбираем способы защиты микроконтроллеров
⏺Защищаем приложение для Android от отладки
⏺Перехватываем ключ от зашифрованного раздела в Linux
⏺Разбираем альтернативные протоколы VPN

🗣 Журнал

#Leak #Malware #Android #VPN / Белый хакер

🤒 Фишинговую защиту Microsoft 365 можно обойти с помощью CSS

Исследователи Certitude продемонстрировали способ обхода антифишинговой защиты в Microsoft 365 (бывший Office 365).
При этом уязвимости пока не устранены.

Эксперты рассказали, что существует способ скрыть предупреждение First Contact Safety Tip. Как нетрудно понять из названия, функция First Contact Safety Tip предназначена для предупреждения пользователей Outlook о получении писем от новых контактов.

Она отображает сообщение следующего вида:

«Вы нечасто получаете электронную почту с сайта xyz@example.com. Узнайте, почему это важно»

#News #Microsoft #CSS / Белый хакер

🤒 Инструменты тестирования на проникновение в сеть. (Часть 1)

Сканирование

⏺ pig – инструмент для создания пакетов Linux.

⏺ scapy – интерактивная программа и библиотека для обработки пакетов на основе python.

⏺ Pompem – инструмент сетевой безопасности с открытым исходным кодом, который предназначен для автоматизации поиска эксплойтов в основных базах данных.

⏺ Nmap – это бесплатная утилита с открытым исходным кодом для сетевого обнаружения и аудита безопасности.

⏺ OpenVAS – это платформа из нескольких сервисов и инструментов, предлагающая комплексное и мощное решение для сканирования и управления уязвимостями.

⏺ Платформа Metasploit – одно из лучших средств сетевой безопасности для разработки и выполнения кода эксплойта на удаленной целевой машине.

⏺ Kali Linux – это дистрибутив Linux, основанный на Debian и предназначенный для цифровой криминалистики и пентеста.

#Pentest #Vulnerabillity #Network / Белый хакер

😈 Kloak: Онлайн-анонимизация на уровне нажатия клавиш

Инструмент обеспечения конфиденциальности, который снижает эффективность сбора отличительных паттернов нажатия вами клавиш.

Это достигается путем запутывки временных интервалов между ключевыми событиями печати и выпуском, которые обычно используются для идентификации.

Есть два способа запустить kloak:
⏺В качестве приложения
⏺Как сервис Linux

🗣 Github

#Tool #Deanon #Anonymity / Белый хакер

🤒 Шпионы, дочь Путина и «солсберецкие туристы». Как Сергей Канев вычисляет сотрудников ГРУ и ФСБ

Как вычислить нелегалов спецслужб по базам данных и найти конспиративные квартиры «Кукушки»?

Об этом в видео рассказывает расследователь Сергей Канев.

Проект «Поваренная книга журналиста» - 10 обучающих серий от журналистов-расследователей о том, как искать недвижимость чиновников и коррупционеров в России и за границей, как собирать профайлы по открытым источникам и какими базами данных и как лучше пользоваться.

👍🏻- если хотите видеть продолжение

#Security #GRU #FSB / Белый хакер

🤒 Инструменты тестирования на проникновение в сеть. (Часть 2)

Мониторинг:

⏺ sagan – инструмент, использующий схожий со Snort движок и правила для анализа журналов (системный журнал / журнал событий /snmptrap / netflow /etc).

⏺ Платформа безопасности узлов (Node Security Platform) – это бесплатный инструмент, который используется для обнаружения и устранения уязвимостей в зависимостях проекта Node.js.

⏺ ntopng – это инструмент для проверки сетевого трафика.

⏺ Fibratus – это инструмент для исследования и отслеживания ядра Windows. Способен фиксировать большую часть активности ядра Windows – создание и завершение процессов / потоков, ввод-вывод файловой системы, реестр, сетевую активность, загрузку / выгрузку DLL и многое другое.

#Pentest #Vulnerabillity #Network / Белый хакер

🤒 Книга: Kali Linux Revealed. Mastering the Penetration Testing Distribution

Kali Linux — это популярный дистрибутив, основанный на Debian, главная задача которого — тестирование систем на проникновение. Он включает в себя множество инструментов, актуальность которых поддерживают благодаря частым обновлениям.

Сразу стоит сказать, что эта книга не о том, как исследовать и взламывать системы, а о том, как пользоваться дистрибутивом.

— По словам авторов, она предназначена для широкого круга читателей. Новичкам она подойдёт как учебник, более опытным пользователям позволит привести в порядок знания, профессионалы смогут найти в ней какие-то полезные детали.

Её так же позиционируют как руководство для подготовки к сертификации Kali Linux Certified Professional.

🗣 Книга

#Book #Kali #Linux #Pentest / Белый хакер