📖 «Хакинг на примерах. Уязвимости, взлом, защита» 2-е издание

Из этой книги вы узнаете об основных принципах взлома сайтов (а чтобы теория не расходилась с практикой, будет рассмотрен реальный пример взлома)

Отдельная глава будет посвящена ’’угону” почтового ящика (мы покажем, как взламывается почтовый ящик - будут рассмотрены различные способы).

Также будет рассказано: как устроено анонимное общение в сети посредством
электронной почты и всякого рода мессенджеров; как анонимно посещать
сайты; как создать анонимный почтовый ящик и какой мессенджер позволяет
зарегистрироваться без привязки к номеру телефона.

Автор: Ярошенко А.А.
Год выхода: 2023

🗄 Читать книгу - линк.

// Не хакинг, а ИБ

🦠 Самые интересные CVE за январь 2024 года

В этой подборке представлены самые интересные уязвимости за январь 2024 года:
⏺ CVE-2024-23897
⏺ CVE-2024-0402 - Оценка уязвимости по шкале CVSS 3.1 — 9.9 баллов.
⏺ CVE-2024-0204 - Оценка уязвимости по шкале CVSS 3.1 — 9.8 баллов.
⏺ CVE-2024-0230 - Оценка уязвимости по шкале CVSS 3.1 — 2.4 балла.
⏺ CVE-2024-20253 - Оценка уязвимости по шкале CVSS 3.1 — 9.9 балла.
⏺ CVE-2024-20272 - Оценка уязвимости по шкале CVSS 3.1 — 7.3 балла.
⏺ CVE-2024-21591 - Оценка уязвимости по шкале CVSS 3.1 — 9.8 баллов.
⏺ CVE-2024-0200 - Оценка уязвимости по шкале CVSS 3.1 — 9.8 баллов.
⏺ CVE-2024-0507 - Оценка уязвимости по шкале CVSS 3.1 — 8.8 баллов.
⏺ CVE-2024-21737 - Оценка уязвимости по шкале CVSS 3.1 — 9.1 балла.
⏺ CVE-2024-21672 - Оценка уязвимости по шкале CVSS 3.1 — 8.8 баллов.
⏺ CVE-2024-21673 - Оценка уязвимости по шкале CVSS 3.1 — 8.8 баллов.
⏺ CVE-2024-21674 - Оценка уязвимости по шкале CVSS 3.1 — 7.5 баллов.
⏺ CVE-2024-22197 - Оценка уязвимости по шкале CVSS 3.1 — 8.8 баллов.
⏺ CVE-2024-22198 - Оценка уязвимости по шкале CVSS 3.1 — 8.8 баллов.

Читать статью - линк.

// Не хакинг, а ИБ

🐱 novahot | Веб-фреймворк для тестирования на проникновения

novahot - это веб-фреймворк для тестировщиков проникновения.

Он реализует API на основе JSON, который может взаимодействовать с троянами, написанными на любом языке. По умолчанию он поставляется с троянами, написанными на PHP, ruby и python.

Помимо выполнения системных команд, novahot способен эмулировать интерактивные терминалы, включая mysql, sqlite3 и psql.

В нем дополнительно реализованы "виртуальные команды", которые позволяют загружать, скачивать, редактировать и просматривать удаленные файлы локально, используя предпочитаемые вами приложения.

🗄 Репозиторий на GitHub

// Не хакинг, а ИБ

👺 «In the World of Hackers, Be a Knight»: решаем задачи с CTF-турнира

В 2020 году cybersecurity-энтузиаст Md. Moniruzzaman Prodhan aka NomanProdhan собирает команду Knight Squad. С 2021 года они начинают проводить семинары по информационной безопасности.

В 2022 организовывают первый международный CTF-турнир (Capture the flag, захват флага) — KnightCTF. И вот уже третий год специалисты со всего мира участвуют в масштабном соревновании от этих парней

🗄 Читать статью - линк.

// Не хакинг, а ИБ

🐱 Wireshark | Анализатор сетевого трафика

Wireshark – это широко распространённый инструмент для захвата и анализа сетевого трафика, который активно используется как для образовательных целей, так и для устранения неполадок на компьютере или в сети.

Wireshark работает практически со всеми протоколами модели OSI, обладает понятным для обычного пользователя интерфейсом и удобной системой фильтрации данных.

Помимо всего этого, программа является кроссплатформенной и поддерживает следующие операционные системы: Windows, Linux, Mac OS X, Solaris, FreeBSD, NetBSD, OpenBSD.

🗄 Репозиторий на GitHub

// Не хакинг, а ИБ

📖 «Компьютер глазами хакера»

Эта книга - сборник лучших, тщательно отобранных статей из легендарного журнала «Хакер».

Рассмотрены операционные системы Windows 11 и Linux с точ­ки зрения организации эффективной работы на ПК.

Рассказано о программах для стеганографии - скрытия полезных данных в графических изображениях.

Подробно описаны различные настройки Linux для безопасной работы и многое другое.

Автор: журнал «Хакер»
Год выхода: 2022

🗄 Читать книгу - линк.

// Не хакинг, а ИБ

😂 Как я Хабр взломал

В статье рассказывается про то, как через медиаэлемент можно вставлять iframe, указывая на url ресурса и тем самым взломать сайт.

IFrame – это компонент HTML-элемента, который позволяет встраивать документы, видео и интерактивные медиафайлы на страницу.

Навскидку несколько сценариев использования уязвимости:
⏺ Втихую повышаем себе карму и плюсуем свои посты.
⏺ «Мониторим» тех, кто минусует твои посты, и минусуем их самих.
⏺ От имени пользователей создаём посты с уязвимостями, которые создают такие же посты с уязвимостями (рекурсивно).

🗄 Читать статью - линк.

Ставь ❤️, если нравится читать такие истории

// Не хакинг, а ИБ

🐱 BoobSnail | Генерация макросов

BoobSnail позволяет генерировать макрос XLM (Excel 4.0).
Его главная цель – поддерживать RedTeam и BlueTeam в генерации макросов XLM.

Особенности:
⏺ различные методы заражения;
⏺ различные методы запутывания;
⏺ перевод формул на разные языки;
⏺ может использоваться как библиотека - вы можете легко написать свой собственный генератор.

🗄 Репозиторий на GitHub

// Не хакинг, а ИБ

🎙 Offensive Security | О чем говорили на круглом столе AM Life

Offensive Security — американская международная компания, работающая в области информационной безопасности, тестирования на проникновение и цифровой криминалистики.

На конференции были рассмотрены вопросы:
⏺ Для чего нужен Offensive Security?
⏺ Чему уделить внимание при обращении к подрядчикам за мероприятиями Offensive Security?
⏺ Как выбрать подрядчика по Offensive Security и проверить его компетенции?
⏺ Всегда ли бизнесу нужен Offensive Security?
⏺ Как строится взаимодействие при пентестах и Read Teaming?
⏺ Какие эпичные и курьезные случаи происходят во время мероприятий по Offensive Security?
⏺ Как часто нужно проводить мероприятия по Offensive Security?
⏺ Насколько быстро устраняются выявленные у заказчиков проблемы на практике и как это проверяется? 
⏺ Имеет ли значение объем отчета по итогам мероприятий Offensive Security?
⏺ Как не нужно проводить пентест или Read Teaming?
⏺ Можно ли в рамках пентестов использовать разработанное подрядчиком ПО для обхода систем защиты?
⏺ Как оценить проделанную работу по Offensive Security
⏺ Занимаются ли специалисты по Offensive Security только одним или сразу несколькими проектами в моменте?
⏺ Приведите примеры случаев, когда заказчик был недоволен результатами проделанной работы по Offensive Security
⏺ Как проходит процесс изучения и развития уязвимостей и эксплойтов?
⏺ Как будет развиваться Offensive Security в течение ближайшего года?

В обсуждении принимали участие: Дмитрий Калинин, Егор Зайцев, Сергей Куприн, Юлия Воронова, Александр Борисов, Сергей Рысин.

📲 Смотреть на YouTube - линк.

🗄 Читать статью - линк.

// Не хакинг, а ИБ

🔎 Курс: Исследование с NMAP

Nmap — культовый сканер, без которого не может обойтись практически ни один хакер.

Это мощный и сложный инструмент, код которого вылизывался десятилетиями. Он быстрый, надежный и невероятно функциональный.

// Не хакинг, а ИБ

🗂 Хранение, организация и поиск документов, связанных с киберугрозами

DocIntel - это централизованная база знаний с открытым исходным кодом для вашей информации об угрозах.

Это делает информацию доступной для всех членов команды, облегчает поиск и поощряет сотрудничество.

Организуйте свои отчеты об угрозах, используйте информацию и расширяйте возможности своей команды

🗄 Репозиторий на GitHub

// Не хакинг, а ИБ

🤖 Natch | Инструмент для анализа поверхности атаки

Natch — это инструмент, использующий динамический анализ, для определения поверхности атаки отдельных приложений и сложных систем.

Для этого исследуемое приложение помещается в виртуальную машину, которая запускается под контролем Natch.

Виртуальная машина немного усложняет работу, но зато так можно анализировать системы, где обычный отладчик не справится.

🗄 Читать статью – линк.

// Не хакинг, а ИБ

🐱 PNLS | Sniffer для разведки и захвата SSID

PNLS (Preferred Network List Sniffer) – это инструмент аудита Red Team Wi-Fi с простым веб-интерфейсом, который способен перехватывать SSIDs из списка предпочтительных сетей устройства (PNL).

Это достигается путем обнаружения зондирующих запросов в непосредственной близости, которые затем анализируются на наличие SSID и другой информации и, наконец, передаются в веб-интерфейс.

🗄 Репозиторий на GitHub

// Не хакинг, а ИБ

📖 «Яйцо кукушки. История разоблачения легендарного хакера»

В отличие от плохого танцора, хорошему сисадмину мешают только кукушкины яйца. Их откладывают в его компьютер злобные хакеры, чтобы из них вылупились программы, делающие своего папу-кукушку суперпользователем.

Автор подробно и честно рассказал о том, как смог разоблачить советских кибершпионов.

В отличие от посвященных этой же проблеме американских фильмов, изрядно нашпигованных техническими ляпами, этот документальный детектив без ошибок описывает работу охотников за хакерами.

Автор: Клиффорд Столл
Год выхода: 2022

🗄 Читать книгу – линк.

// Не хакинг, а ИБ

✋ Решаем задачи с DiceCTF 2024 Quals

DiceCTF – соревнование по кибербезопасности от DiceGang

В начале февраля команда DiceGang провела квалификацию DiceCTF 2024 Quals.

Это был Jeopardy-турнир длительностью 48 часов. Он состоял всего из пяти направлений: crypto, misc, pwn, rev и web.

Под катом расскажем, решение нескольких задач из последней категории.

🗄 Читать статью – линк.

// Не хакинг, а ИБ

🐱 Scanbox | Набор инструментов для белого хакинга

Scanners Box, также известный как Scanbox, является мощным набором инструментов автоматизации безопасности с открытым исходным кодом.

В Scanbox собрано более 10 категорий сканеров с открытым исходным кодом от Github, включая поддомен, базу данных, промежуточное программное обеспечение и другой модульный сканер и т. д.

🗄 Репозиторий на GitHub

// Не хакинг, а ИБ

📖 «Практический хакинг интернета вещей»

Подробное руководство по атакам на устройства интернета вещей

Авторы подробно описывают уязвимости в сфере интернета вещей (IoT), моделируют угрозы и представляют эффективную методологию тестирования умных устройств – от инфузионной помпы до беговой дорожки.

Практические упражнения научат вовремя распознавать угрозы и предотвращать атаки злоумышленников.

Издание будет полезно тестировщикам безопасности, системным администраторам, а также разработчикам и пользователям IoT-систем.

Авторы: Чанцис Ф., Стаис И., Кальдерон П., Деирменцоглу Е., Вудс Б.
Год выхода: 2022

🗄 Читать книгу – линк.

// Не хакинг, а ИБ

🐱 Как начать работать с GitHub

Сайт github.com позиционируется как веб-сервис хостинга проектов с использованием системы контроля версий git, а также как социальная сеть для разработчиков.

В статье постараемся показать, как можно быстро начать экспериментировать с git, используя сайт github.com.

В статье не будут рассмотрены различия между разными DVCS. Также не будет детально рассматриваться работа с git, по этой теме есть множество хороших источников, которые я приведу в конце статьи.

🗄 Читать статью – линк.

// Не хакинг, а ИБ

👺 Курс: Social Engineering From Scratch

Чему вы научитесь:
• Сможете взламывать все основные операционные системы.
• Обезопасите себя от хакеров.
• Научитесь делать шаги, что бы успешно взломать цель с помощью социальной инженерии и многое другое.

🗄 Читать курс – линк.

// Не хакинг, а ИБ

🔒 Vimana | Платформа безопасности

Vimana – это модульная система безопасности, предназначенная для аудита веб-приложений Python с использованием различных, а иногда и необычных подходов.

Vimana состоит из сканеров, ориентированных на фреймворки (в дополнение к универсальным для Web), трекеров, discovery, fuzzer, parser и других типов модулей.

🗄 Репозиторий на GitHub

// Не хакинг, а ИБ