SSH (Secure Shell) – это сетевой протокол связи, который обеспечивает безопасный метод взаимодействия компьютеров и обмена данными через незащищённую сеть
— Он позволяет авторизованным пользователям удалённо управлять серверами и устройствами, выполнять команды и передавать файлы, сохраняя при этом целостность и конфиденциальность данных
Руководство состоит из 6 разделов:
⏺ Что такое SSH. Утилиты SSH
⏺ Настройка сервера OpenSSH
⏺ Как подключиться к SSH. Настройка клиента OpenSSH
⏺ Создание и настройка ключей OpenSSH
⏺ Копирование файлов с помощью scp и sftp
⏺ Подсказки и сложные случаи использования OpenSSH
// Не хакинг, а ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
👍10❤1
В этой статье автор расскажет об истории конфликта и попытается выявить уроки, которые руководители спецслужб тогда усвоили, но успели позабыть
// Не хакинг, а ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8
Reaver – это утилита для эксплуатации уязвимостей WPS. Она была разработана для брутфорс-атаки на PIN-код WPS, что позволяет злоумышленникам получить доступ к паролю Wi-Fi
Reaver использует алгоритм, который помогает сократить количество комбинаций, необходимых для подбора PIN-кода, за счёт уязвимостей в WPS
// Не хакинг, а ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥11💊5👍2
Aixbt – аналитический ИИ-инструмент для рыночных трендов, доступ к которому предоставляется через покупку токена AIXBT
Разработчик бота, Rxbt, подтвердил инцидент, заявив, что злоумышленник вставил 2 вредоносных ответа, позволивших вывести средства
// Не хакинг, а ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7❤4
— В этой статье с помощью программы Responder мы будем перехватывать хеши, используемые при аутентификации в Windows
Мы начнём с практики – с перехвата хеша аутентификации и его расшифровки, благодаря чему получим имя пользователя и пароль в операционных системах Windows
В конце статьи будет дана характеристика способов аутентификации и сетевых служб
// Не хакинг, а ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥10❤4
📄 Шпаргалка по безопасности AJAX
AJAX (Asynchronous Javascript and XML: «асинхронный JavaScript и XML») – технология для веб-разработки, которая позволяет обновлять содержимое страницы без полной перезагрузки
🗄 Читать шпаргалку – линк.
// Не хакинг, а ИБ
AJAX (Asynchronous Javascript and XML: «асинхронный JavaScript и XML») – технология для веб-разработки, которая позволяет обновлять содержимое страницы без полной перезагрузки
Некоторые преимущества использования AJAX:
⏺ снижение трафика (из-за уменьшения объёма передаваемых данных между клиентом и сервером);
⏺ уменьшение нагрузки на сервер (не нужно генерировать всю страницу, а только ту часть, которую нужно обновить);
⏺ увеличение быстродействия и отзывчивости (нет необходимости в полной перезагрузки страницы, достаточно обновить содержимое только отдельных блоков);
⏺ повышение интерактивности (с помощью AJAX можно сразу отображать результаты и сделать ресурс более удобным для пользования).
// Не хакинг, а ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
💊8
JSFuck – инструмент для обфускации и деобфускации JavaScript
Суть JSFuck – исполнение JavaScript-кода с использованием только шести символов: [, ], (, ), !, и + (другими словами, с помощью JSFuck можно написать JavaScript-код без букв или цифр)
— JSFuck может использоваться для обхода обнаружения вредоносного кода, размещённого на веб-сайтах, например, при атаках с использованием межсайтового скриптинга (XSS)
// Не хакинг, а ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
💊8
Данные о запросах ведомства содержатся в Lumen Database – открытой базе данных, куда Google и другие зарубежные сервисы передают информацию о поступающих к ним запросах на удаление материалов
— При этом к некоторым запросам приложен документ, согласно которому Роскомнадзор требует удаления приложений из Google Play в рамках № 149-ФЗ «Об информации, информационных технологиях и защите информации»
// Не хакинг, а ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
💊19👏2🤬2👾2😈1
Информация, о чём говорят люди, об их настроении, секретах – всё это станет лакомым кусочком для маркетологов
— Технологические монополии, которые сейчас держат нас всех под постоянным наблюдением, не смогут удержаться от сбора и использования всех этих данных
// Не хакинг, а ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
💊5❤1👀1
BurpExtensionsHD 1.png
4.1 MB
📄 Шпаргалка по Burp Extensions
Burp Extensions – это дополнения к инструменту Burp Suite, которые позволяют расширить его функционал
🗄 Репозиторий на GitHub – линк.
// Не хакинг, а ИБ
Burp Extensions – это дополнения к инструменту Burp Suite, которые позволяют расширить его функционал
Некоторые примеры расширений:
⏺ HUNT Proxy Extension. Предупреждает о уязвимых параметрах, чтобы пользователь мог проверить их вручную
⏺ Burp-vulners-scanner. Определяет уязвимые компоненты веб-приложения и даёт ссылку на описание или эксплоит
⏺ Burp Automator. Автоматизирует проверки, используя в качестве основы Burp Suite, slackclient и burp-rest-api
⏺ Autorize. Автоматизирует проверки авторизации в веб-приложениях
⏺ CO2. Предоставляет различные инструменты и сценарии тестирования для разных уязвимостей безопасности
⏺ AuthMatrix. Управляет и визуализирует сложные тесты авторизации
⏺ Burp Bounty. Позволяет создавать настраиваемые тесты безопасности и полезные нагрузки
⏺ Upload Scanner. Тестирует функции загрузки файлов и выявляет потенциальные уязвимости безопасности в этих функциях
⏺ Collaborator Everywhere. Автоматически использует сервис Burp Collaborator во время различных тестов и атак для выявления внешних взаимодействий и уязвимостей безопасности из внешних источников
// Не хакинг, а ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
👍10❤2
iSniff-GPS – инструмент пассивного сниффинга (прослушивания) для захвата и визуализации данных о местоположении Wi-Fi, раскрытых устройствами iOS
— Утилита отслеживает SSID-зонды, широковещательные пакеты ARP и MDNS (Bonjour), передаваемые близлежащими iPhone, iPad и другими беспроводными устройствами
// Не хакинг, а ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥11❤1⚡1
— Проблемы были вызваны атакой шифровальщика, восстановление систем может занять около суток
// Не хакинг, а ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
🤯10🔥8
Как найти слабые места в веб-приложении до того, как их найдут хакеры?
Расскажем на курсе WAPT от Академии Кодебай! Это на 100% практический курс по пентесту, где вы попробуете изученные техники взлома в 65-ти заданиях нашей лаборатории!
✔️ Каждую неделю — вебинары с куратором! Стартуем 3 апреля. Регистрация здесь.
Содержание курса:
✦ эксплуатация всех актуальных типов уязвимостей, активный / пассивный фаззинг
✦ SQL Injection и CMD Injection, Cross Site Scripting, PHP injection, Server Side Template injection
✦ техники повышения привилегий, Client-side атаки (XSS, CSRF)
Получите практические навыки как в рабочих задачах, так и в Bug Bounty. 🚀 По всем вопросам пишите @Codeby_Academy
Расскажем на курсе WAPT от Академии Кодебай! Это на 100% практический курс по пентесту, где вы попробуете изученные техники взлома в 65-ти заданиях нашей лаборатории!
✔️ Каждую неделю — вебинары с куратором! Стартуем 3 апреля. Регистрация здесь.
Содержание курса:
✦ эксплуатация всех актуальных типов уязвимостей, активный / пассивный фаззинг
✦ SQL Injection и CMD Injection, Cross Site Scripting, PHP injection, Server Side Template injection
✦ техники повышения привилегий, Client-side атаки (XSS, CSRF)
Получите практические навыки как в рабочих задачах, так и в Bug Bounty. 🚀 По всем вопросам пишите @Codeby_Academy
👍2❤1🗿1
Содержание статьи:
⏺ Анонимный Linux дистрибутив
⏺ Защита
⏺ Гибкость развертывания
⏺ Простота в работе
— Linux Kodachi
— Subgraph OS
— Tails
— Whonix
— Trusted End Node Security
⏺ Документация и поддержка
⏺ Состояние разработки
⏺ Приложения для защиты
⏺ Вердикт
— В статье мы рассмотрим механизмы обеспечения конфиденциальности и оценим их в зависимости от обеспечиваемых аспектов безопасности
// Не хакинг, а ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥7👍2
Crackmapexec.pdf
584.5 KB
📄 Шпаргалка по Crackmapexec
CrackMapExec (CME) – это мультитул для тестирования сетей под управлением Active Directory и Windows
Инструмент использует библиотеку скриптов Impacket и набор инструментов PowerSploit для работы с сетевыми протоколами
🗄 Репозиторий на GitHub – линк.
// Не хакинг, а ИБ
CrackMapExec (CME) – это мультитул для тестирования сетей под управлением Active Directory и Windows
Некоторые возможности CrackMapExec:
⏺ перечисление пользователей
⏺ индексирование общих папок SMB
⏺ выполнение атак в стиле psexec
⏺ автоматические инъекции в память с использованием Powershell
⏺ дампинг NTDS.dit и другое
⏺ незаметен для сканеров безопасности (для дампа учётных данных в простом тексте, инжекта шеллкода и т.д. не загружаются бинарные файлы)
Инструмент использует библиотеку скриптов Impacket и набор инструментов PowerSploit для работы с сетевыми протоколами
// Не хакинг, а ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
💊9
WPSploit – это дополнительные модули для эксплуатации уязвимостей WordPress с помощью Metasploit
Основная идея – создание и/или портирование эксплойтов под WordPress, в качестве инструмента эксплуатации используется привычный многим Metasploit
— На данный момент имеется 39 модулей: 14 эксплойтов и 25 вспомогательных, которые, как правило, проводят разнообразные сканирования/анализ имеющихся уязвимостей
// Не хакинг, а ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
❤3👍3
— Исследователи из компании Cyble обнаружили новый банковский троян TsarBot в цепочке атак, охвативших более 750 мобильных приложений
Маскируясь под Google Play Services, троян устанавливается через вредоносный дроппер, загружаемый с фишинговых сайтов, стилизованных под известные финансовые платформы
// Не хакинг, а ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
❤3👻1
Содержание руководства:
1. Что такое DNS через HTTPS?
2. Как соотносятся DNS поверх HTTPS, DNSSEC, DNSCrypt, DNS поверх TLS
3. Способы включения DNS через HTTPS (DoH)
4. Публичные сервера имён с поддержкой DNS через HTTPS
5. Как включить DNS через HTTPS (DoH) в веб-браузерах
6. Как включить DNS через HTTPS (DoH) для всех приложений
7. Как настроить dnscrypt-proxy
8. Проверка работы dnscrypt-proxy
9. Настройка dnscrypt-proxy для использования с IPv6
DNS-over-HTTPS (DoH) – это технология, которая помогает защитить пользователей от сбора данных на сайтах и последующей их продажи рекламодателя
— Конфиденциальность достигается за счёт шифрования запросов посетителя к веб-ресурсу
// Не хакинг, а ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7🔥2
Docker Command Cheat Sheet.pdf
272.7 KB
📄 Шпаргалка по Docker
Docker – это платформа с открытым исходным кодом для автоматизации разработки, доставки и развёртывания приложений
— Она позволяет упаковать в контейнер приложение со всем окружением и зависимостями, а затем доставить и запустить его в целевой системе
// Не хакинг, а ИБ
Docker – это платформа с открытым исходным кодом для автоматизации разработки, доставки и развёртывания приложений
— Она позволяет упаковать в контейнер приложение со всем окружением и зависимостями, а затем доставить и запустить его в целевой системе
// Не хакинг, а ИБ
💊5
Please open Telegram to view this post
VIEW IN TELEGRAM
😁27❤2💯2