RockYou2024
Архив весит 45 гб
Распакованный 156 гб

Загрузил на свой S3. Скорость не лучшая, но точно не отвалиться загрузка
https://s3.timeweb.cloud/fd51ce25-6f95e3f8-263a-4b13-92af-12bc265adb44/rockyou2024.zip

Яндекс Диск. Тут скорость заметно быстрее
https://disk.yandex.ru/d/1spMBmxcEnN95g

🌚 @poxek

#мерч_похек

Дизайн: Багхантерский Забив Чаши
Цвет: черный
Крой: оверсайз. Крой на фото не совпадает с реальным, сделано просто для наглядности.
Материал: 95% хлопок, 5% эластан. Очень лёгкая, дышащая футболка, материал и принт спокойно переносит множественные стирки.
Нанесение: DTG & DTF
Размеры: XS/S, M/L, XL/XXL
(судя по отзывам, лучше выбирать на размер меньше от вашего обычного)

🌚 @poxek

#мерч_похек

Дизайн: XSS & SQLi
Цвет: черный
Крой: оверсайз. Крой на фото не совпадает с реальным, сделано просто для наглядности.
Материал: 95% хлопок, 5% эластан. Очень лёгкая, дышащая футболка, материал и принт спокойно переносит множественные стирки.
Нанесение: DTG & DTF
Размеры: XS/S, M/L, XL/XXL
(судя по отзывам, лучше выбирать на размер меньше от вашего обычного)

🌚 @poxek

Конкурс проходок на 🕐🕑🕒🕓🕔🕕🕖
#offzone2024 #конкурс

Пришло много новых людей, поэтому продублирую пост.

➡️Конкурс на 2 проходки на OFFZONE и на 5 мерч-паков Похек.

2 победителей получат по мерч паку. И ещё 3 людей получат мерч паки без проходки. Но обязательным условием будет быть участником OFFZONE, потому что доставку в рамках конкурса я не делаю.

➡️Условия: сделать самый оригинальный, смешной, не токсичный мем про OFFZONE
➡️Сроки: 2 недели, т.е. до 16 июля.
➡️Условия оценки: наибольшее кол-во положительных реакций на сообщении с мемом и если будет сложная борьба, то моё мнение и @fun9ral.


➡️ Условия участия: 1 мем = 1 сообщение с тегом #offzone2024
Условие обязательное, не будете следить, не будете участвовать.

Также у OFFZONE есть свой канал. Там и новости выходят о мероприятии, а также каждый год ребята крафтят крутые хардварные бейджы)

Подарочный мерч будет на ваш выбор. А выбрать можно сверху. Осталось выиграть :))

🌚 @poxek

🐍 Безопасность в Django: защита от распространенных угроз веб-приложений
#django #python #hardening

Ранее у меня выходил пост про защиту Django, решил поделиться вдогонку материалом от коллег из VK. Так что представляю вам материал Алексея Петрова, разраба в команде VK Workspace.

➡️Кратко по статье:
Автор рассказал, об атаках, их принципах работы, а также как от них защищаться. В конце материала есть уточнение по одной ошибке из текста. Будьте внимательны)

➡️Атаки:
Инъекции
CSRF (Сross Site Request Forgery)
XSS (Cross Site Scripting)
DOS (Denial of Service) и DDOS (Distributed Denial of Service)

Далее автор прошёлся по защите аутентификации и авторизации с использованием встроенных и внешних библиотек.

➡️ Думаю вы достаточно заинтересовались, так что читать ЗДЕСЬ

🌚 @poxek

Встретил как-то Артема @arteb123, он же Омский Багхантер. Классно поболтали и возможно будет от него вкусняшка на OFFZONE. А ещё передал мерч Багхантерский Забив Чаши ))

🌚 @poxek

®️🦜🐈‍⬛ Багхантер, его стенд и его мерч на OFFZONE

🔥Привет всем! На связи Багхантер - скандально известный ИБ блоггер из России, автор гениальных идей. Я вот думаю надо всем показать как на самом деле надо делать мерч. Все как-то расслабились. Ни для кого не секрет уже, что на OFFZONE у меня будет собственный стенд, где я устрою крупнейшую раздачу своей коллекции футболок на спавне (около стенда канала «Багхантер») в назначенное время. Я раздам сотни футболок бесплатно, пока кто-то их продаёт. Ну а теперь самое интересное. Каждая из этих футболок будет уникальная (с номером) и всего в одном экземпляре. Подделать и напечатать такую футболку будет невозможно из-за того что на каждой из них будет напечатано разное изображение, сгенерированное нейросетями в фирменном стиле моего канала. Никто и никогда не сможет сгенерировать абсолютно идентичную картинку и подделать футболку (поймем где оригинал). Свои 5 штук я постепенно продам на аукционе. Другие владельцы сами решат, что с ними делать.

преимущественно буду отдавать футболки друзьям и тем, кто сделал репост этого поста до мероприятия 😎

🐹 Багхантер 🙂 Багбаунти

Паук в Active Directory так лапками тыдык тыдык
#windows #activedirectory #AD

В чем соль: у нас уже есть достаточно известные утилиты, чтобы «отслеживать» изменения в Active Directory. Почему в кавычках? Потому что все подобные утилиты (ну, практически) используют один и тот же механизм под капотом: Get-ADObject -Filter * (выкачиваем информацию обо всех объектах и их свойствах) и далее просто парсим эти результаты на своем клиенте и ищем изменения.

Но при таком подходе есть некоторые нюансы:

Если вы когда-нибудь использовали подобную команду в отношении большого домена, то вы знаете, что выполнение этой команды может занимать очень большое время и неплохо так нагружает сеть. А если домен разрастается еще больше (20, 30, 50 тысяч объектов), то от этого плана вообще можно отказаться. Выполнение команды будет длиться бесконечно, время вывода информации растягивается (если кто собирал BloodHound с больших доменов, то понимает, о чем я). Можно, конечно, поставить задержку между запросами, но тогда возможность пропустить некоторые изменения увеличивается.

Но возможность пропустить события и так присутствует: если в рамках одного запроса было несколько изменений одного свойства, то вы не только пропустите значение свойства, но и вообще можете не узнать об изменениях. Например, можно пропустить включение/выключение какой-нибудь УЗ (true/false) (а если это админ какой-нибудь?)

Есть свойства, которые под собой содержат другие объекты, а в значении свойства содержится просто их название. Например, nTSecurityDescriptor. И здесь без раскрытия и проработки каждого свойства мы рискуем пропустить изменения. А это дополнительное время и ресурсы.

➡️ Читать дальше

P.S. давно не было постов, пока работы много и по врачам хожу. Есть несколько интересных задумок, которые будут раскрыты в ближайшее время. Они не только на ИБэшников направлены, но цель сделать мир чуть лучше)

🌚 @poxek | 📹 YouTube

Итоги конкурса проходок на 🕐🕑🕒🕓🕔🕕🕖
#offzone2024 #конкурс

Напоминаю, что 2 недели было на подачу мема в рамках конкурса. ТУТ первый пост и ТУТ повторный пост
Сейчас же подошло время подведения итогов !)

Напомню, чтобы выиграть, надо было набрать наибольшее кол-во симпатий чата в виде реакций. Те кто накручивал их себе, автоматически не попадали в зачёт. Битва была плотная, сначала было по 5-10 реакций. Потом посты начали набирать по 20-30.

Всего было 5 призовых мест. Первые два места получат проходку на OFFZONE 2024 и мерч Похек на выбор (некоторых позиций мало осталось, так что тут кто что успеет урвать)). Начнём с них

В итоге самыми крутыми стали следующие ребята:
➡️Mikhail Shashin - МЕМ - данный молодой человек был выбран единогласно командой OFFZONE
➡️S4hack - МЕМ - абсолютный герой, который набрал больше всего реакций и его мем годный :)

Далее перейдём к 3, 4 и 5 месту. Для этих мест обязательным условием быть участником OFFZONE, чтобы получить приз в руки. Доставку не делаю в рамках конкурса. Эти ребята набрали тоже не мало реакций, но больше всего они выбирались по тому, насколько точный, смешной и жизненный мем они сделали)
➡️Abort, Retry, Fail? - МЕМ - данный мем к сожалению в чате никто не понял, но тем кто реально был хоть раз на OFFZONE и делал его активности будет очень понятен. Так что заслуженное место в топе!
➡️Виталий - МЕМ - тематично, годно, лайк)
➡️numo - МЕМ - это просто жиза :)

Как выяснилось, команда OFFZONE за наш с вами актив готова всем победителям дать каждому по футболке OFFZONE и стикеру :)

С каждым из победителей свяжусь в ЛС. Есть те, кто не вошли в топ, но у них были годные мемисы. Если приедете на OFFZONE, то будет шанс поучаствовать в .... это вы узнаете потом :)

🌚 @poxek | 📹 YouTube

Автоматизация отчётов пентестера с помощью PwnDoc
#DC7342 #полюби_отчёты

В этом обзоре @CuriV расскажет о своем опыте работы с PwnDoc — инструментом который может быть полезен в автоматизации оформления отчетной документации по проектам. Многие пентестеры об этом знают и активно используют в своей работе, но, к моему удивлению, на Хабре о нем еще никто не рассказал.

Поделится болью от написания отчетов, чуть-чуть раскрою внутреннюю кухню кооператива в части непрерывного улучшения процессов (PDCA) и по шагам расскажу, как развернуть и использовать PwnDoc , чтобы вы могли больше «ломать» и меньше писать документацию.

p.s. статья про pwndoc-ng, если что

➡️ Читать далее

🌚 @poxek | 📹 YouTube