📖 «Лаборатория хакера»

Автор описал методы и средства, которые применяют хакеры, и как им противодействовать.

Книга написана в виде очерков, представляющих практические эксперименты, при этом особое внимание уделено использованию смартфонов.

Автор: Бабин С. А.
Год выхода: 2016

Читать книгу - линк.

// Не хакинг, а ИБ

🧊 История одной уязвимости в Google Chrome

Эта статья посвящена уязвимости, которую мне удалось обнаружить в браузере Google Chrome в конце прошлого года, а также рассказывает об истории её возникновения. Уязвимость существовала в течение продолжительного периода и была устранена 31 октября 2023 года.

Компания Google оценила её в 16000$

В данной статье в начале будет описан ряд современных технологий, применяемых в веб-разработке, что является необходимым для полного понимания контекста появления выявленной уязвимости.

Читать статью - линк.

// Не хакинг, а ИБ

🛡 Acunetix | Сканер веб-уязвимостей

Acunetix — сканер веб-уязвимостей, автоматизирующий процесс проверки безопасности веб-приложений.

Тестирует приложение на наличие SQL-инъекций, XSS, XXE, SSRF и многих других веб-уязвимостей.

Репозиторий на GitHub

// Не хакинг, а ИБ

📲 Telegram показывает удаленные сообщения

Несколько дней назад я обнаружил, что Telegram приложение на Windows показывает давно удаленные чаты. При том, что их не было видно ни на телефоне, ни в Linux клиенте.

Я поделился этим с друзьями, которые увидели то же самое. Причем некоторые из этих чатов датировались аж 2016 годом.

Изначально не получалось найти закономерности, так как переписка сохранялась не полностью, и сам список чатов казался случайным.

Сейчас я смог разобраться в том, как это работает, какие чаты не удаляются полностью. А для этого пришлось немного углубится в устройство групп Telegram.

Читать статью - линк.

// Не хакинг, а ИБ

😷 Краткое руководство инъекций XML/XXE

В этом репозитории вы найдете:
⏺ Что такое инъекция внешних сущностей XML, опишем некоторые общие примеры
⏺ Как найти и использовать различные виды инъекций XXE
⏺ Как предотвратить атаки инъекций XXE

Внешняя инъекция XML (также известная как XXE) - это уязвимость веб-безопасности, которая позволяет злоумышленнику вмешиваться в обработку XML-данных приложения.

Это позволяет злоумышленнику просматривать файлы в файловой системе сервера приложений и взаимодействовать с любыми серверными или внешними системами, к которым может получить доступ само приложение.

Репозиторий на GitHub

// Не хакинг, а ИБ

📺 Курс: Тестирование на проникновение сайта

Комплексный курс по взлому веб-сайтов и веб-приложений от Зайда Сабиха, в русской озвучке! Материал подойдёт как для специалистов, так и для начинающих, которые лишь начинают свой путь в тестировании на проникновение и хакинге.

#Course

Файлы будут прикреплены ниже, ожидайте, курс большой👇

🔒 Privacy Day 2024: ИИ, приватность и защита ПД

29 января в формате онлайн, с подключением экспертной площадки из Казахстана, состоялась конференция Privacy Day 2024.

Мероприятие было приурочено к Международному дню защиты данных. В первом треке гости обсудили проблемы приватности в бизнесе и госрегулировании.

Сначала состоялась большая панельная дискуссия с экспертами из разных стран, которые поделились национальным опытом. Далее прошёл круглый стол с участием регуляторов из стран Евразийского региона.

Читать статью - линк.

// Не хакинг, а ИБ

🧑‍🎓 Этичный Хакер × KILLNET soon.

🐱 APKHunt | Инструмент для анализа безопасности

APKHunt - это комплексный инструмент статического анализа кода для приложений Android, основанный на платформе OWASP MASVS.

Хотя APKHunt предназначен в первую очередь для разработчиков мобильных приложений и тестеров безопасности, он может быть использован любым для выявления и устранения потенциальных уязвимостей безопасности в их коде.

Особенности:
1. Охват сканирования: Охватывает большую часть тестовых случаев, связанных с SAST (Static Application Security Testing) фреймворка OWASP MASVS.

2. Многократное сканирование APK: Поддерживает сканирование нескольких файлов APK.

3. Оптимизированное сканирование: Конкретные правила предназначены для проверки безопасности, что приводит к точному процессу сканирования.

4. Низкий коэффициент отрицательных работ: Предназначен для определения и выделения точного местоположения потенциальных уязвимостей в исходном коде.

5. Формат вывода: Результаты предоставляются в формате файла TXT для удобства чтения пользователей.

🗄 Репозиторий на GitHub

// Не хакинг, а ИБ

📖 «Хакинг на примерах. Уязвимости, взлом, защита» 2-е издание

Из этой книги вы узнаете об основных принципах взлома сайтов (а чтобы теория не расходилась с практикой, будет рассмотрен реальный пример взлома)

Отдельная глава будет посвящена ’’угону” почтового ящика (мы покажем, как взламывается почтовый ящик - будут рассмотрены различные способы).

Также будет рассказано: как устроено анонимное общение в сети посредством
электронной почты и всякого рода мессенджеров; как анонимно посещать
сайты; как создать анонимный почтовый ящик и какой мессенджер позволяет
зарегистрироваться без привязки к номеру телефона.

Автор: Ярошенко А.А.
Год выхода: 2023

🗄 Читать книгу - линк.

// Не хакинг, а ИБ

🦠 Самые интересные CVE за январь 2024 года

В этой подборке представлены самые интересные уязвимости за январь 2024 года:
⏺ CVE-2024-23897
⏺ CVE-2024-0402 - Оценка уязвимости по шкале CVSS 3.1 — 9.9 баллов.
⏺ CVE-2024-0204 - Оценка уязвимости по шкале CVSS 3.1 — 9.8 баллов.
⏺ CVE-2024-0230 - Оценка уязвимости по шкале CVSS 3.1 — 2.4 балла.
⏺ CVE-2024-20253 - Оценка уязвимости по шкале CVSS 3.1 — 9.9 балла.
⏺ CVE-2024-20272 - Оценка уязвимости по шкале CVSS 3.1 — 7.3 балла.
⏺ CVE-2024-21591 - Оценка уязвимости по шкале CVSS 3.1 — 9.8 баллов.
⏺ CVE-2024-0200 - Оценка уязвимости по шкале CVSS 3.1 — 9.8 баллов.
⏺ CVE-2024-0507 - Оценка уязвимости по шкале CVSS 3.1 — 8.8 баллов.
⏺ CVE-2024-21737 - Оценка уязвимости по шкале CVSS 3.1 — 9.1 балла.
⏺ CVE-2024-21672 - Оценка уязвимости по шкале CVSS 3.1 — 8.8 баллов.
⏺ CVE-2024-21673 - Оценка уязвимости по шкале CVSS 3.1 — 8.8 баллов.
⏺ CVE-2024-21674 - Оценка уязвимости по шкале CVSS 3.1 — 7.5 баллов.
⏺ CVE-2024-22197 - Оценка уязвимости по шкале CVSS 3.1 — 8.8 баллов.
⏺ CVE-2024-22198 - Оценка уязвимости по шкале CVSS 3.1 — 8.8 баллов.

Читать статью - линк.

// Не хакинг, а ИБ

🐱 novahot | Веб-фреймворк для тестирования на проникновения

novahot - это веб-фреймворк для тестировщиков проникновения.

Он реализует API на основе JSON, который может взаимодействовать с троянами, написанными на любом языке. По умолчанию он поставляется с троянами, написанными на PHP, ruby и python.

Помимо выполнения системных команд, novahot способен эмулировать интерактивные терминалы, включая mysql, sqlite3 и psql.

В нем дополнительно реализованы "виртуальные команды", которые позволяют загружать, скачивать, редактировать и просматривать удаленные файлы локально, используя предпочитаемые вами приложения.

🗄 Репозиторий на GitHub

// Не хакинг, а ИБ

👺 «In the World of Hackers, Be a Knight»: решаем задачи с CTF-турнира

В 2020 году cybersecurity-энтузиаст Md. Moniruzzaman Prodhan aka NomanProdhan собирает команду Knight Squad. С 2021 года они начинают проводить семинары по информационной безопасности.

В 2022 организовывают первый международный CTF-турнир (Capture the flag, захват флага) — KnightCTF. И вот уже третий год специалисты со всего мира участвуют в масштабном соревновании от этих парней

🗄 Читать статью - линк.

// Не хакинг, а ИБ