Автор: Ройс Дэвис
Название: Искусство тестирования на проникновение в сеть.
Год: 2021
Автор книги, специалист по наступательной безопасности, делится с читателями секретами пентестинга – проникновения во внутреннюю сеть компании с целью выявления слабых мест в ее защите. Опираясь на опыт многолетней работы и успешных взломов сетей, он предлагает свою методологию тестирования на проникновение и предоставляет набор практических инструкций, которым может воспользоваться
новичок в этой отрасли.
В начале книги изучаются хакерские приемы и инструменты пентестинга; затем поэтапно описываются действия, которые злоумышленник предпринимает для захвата контроля над корпоративной сетью. Имитация этих действий (обнаружение
сетевых служб и уязвимостей, проведение атак, постэксплуатация) позволит выявить критические проблемы безопасности и представить заинтересованным лицам в компании результаты пентеста, показывающие, в каком направлении двигаться, чтобы
лучше защитить корпоративную сеть.
Название: Искусство тестирования на проникновение в сеть.
Год: 2021
Автор книги, специалист по наступательной безопасности, делится с читателями секретами пентестинга – проникновения во внутреннюю сеть компании с целью выявления слабых мест в ее защите. Опираясь на опыт многолетней работы и успешных взломов сетей, он предлагает свою методологию тестирования на проникновение и предоставляет набор практических инструкций, которым может воспользоваться
новичок в этой отрасли.
В начале книги изучаются хакерские приемы и инструменты пентестинга; затем поэтапно описываются действия, которые злоумышленник предпринимает для захвата контроля над корпоративной сетью. Имитация этих действий (обнаружение
сетевых служб и уязвимостей, проведение атак, постэксплуатация) позволит выявить критические проблемы безопасности и представить заинтересованным лицам в компании результаты пентеста, показывающие, в каком направлении двигаться, чтобы
лучше защитить корпоративную сеть.
«...Обычный сценарий вторжения предполагает, что злоумышленник
ничего не знает о внутренней сети и не имеет специального доступа или учетных данных.
Все, что у него есть, – это доступ к сети, и обычно этого ему достаточно...»
Ройс Дэвис «Искусство тестирования на проникновение в сеть» .
ничего не знает о внутренней сети и не имеет специального доступа или учетных данных.
Все, что у него есть, – это доступ к сети, и обычно этого ему достаточно...»
Ройс Дэвис «Искусство тестирования на проникновение в сеть» .
«...В начале своей карьеры я понял, что нанять профессиональную консалтинговую
фирму для проведения теста на проникновение в сеть – все равно что купить PDF-документ за 20 000 долларов. Без отчета тест на
проникновение ничего не значит. Вы вторглись в сеть, обнаружили кучу дыр в их безопасности и максимально повысили свои права доступа. Какую пользу это приносит целевой организации? По правде говоря, никакую,
если вы не предоставите подробную документацию, показывающую, как именно вам это удалось и что организация должна сделать, чтобы гарантировать, что вы (или кто-то другой) не сможете сделать это
снова...»
Ройс Дэвис «Искусство тестирования на проникновение в сеть»
фирму для проведения теста на проникновение в сеть – все равно что купить PDF-документ за 20 000 долларов. Без отчета тест на
проникновение ничего не значит. Вы вторглись в сеть, обнаружили кучу дыр в их безопасности и максимально повысили свои права доступа. Какую пользу это приносит целевой организации? По правде говоря, никакую,
если вы не предоставите подробную документацию, показывающую, как именно вам это удалось и что организация должна сделать, чтобы гарантировать, что вы (или кто-то другой) не сможете сделать это
снова...»
Ройс Дэвис «Искусство тестирования на проникновение в сеть»
«...Как и разработчики, пентестеры бывают ленивыми и не желают выполнять
повторяющиеся задачи; поэтому мы пишем код для автоматизации всего, что можем...»
Ройс Дэвис «Искусство тестирования на проникновение в сеть»
повторяющиеся задачи; поэтому мы пишем код для автоматизации всего, что можем...»
Ройс Дэвис «Искусство тестирования на проникновение в сеть»
«...Что такое надежный пароль?
Надежный пароль – это пароль, который сложно подобрать программно. Смысл этого определения меняется по мере того, как технология взлома паролей при помощи CPU/GPU улучшает свои возможности и масштаб.
24-значный пароль, состоящий из случайно сгенерированных прописных и строчных букв, цифр и символов, почти невозможно угадать, и, скорее всего, это положение дел сохранится в течение некоторого времени.
Но это утверждение когда-то было верным и для восьмизначных паролей, а теперь их довольно легко взломать, независимо от сложности...»
Ройс Дэвис «Искусство тестирования на проникновение в сеть»
Надежный пароль – это пароль, который сложно подобрать программно. Смысл этого определения меняется по мере того, как технология взлома паролей при помощи CPU/GPU улучшает свои возможности и масштаб.
24-значный пароль, состоящий из случайно сгенерированных прописных и строчных букв, цифр и символов, почти невозможно угадать, и, скорее всего, это положение дел сохранится в течение некоторого времени.
Но это утверждение когда-то было верным и для восьмизначных паролей, а теперь их довольно легко взломать, независимо от сложности...»
Ройс Дэвис «Искусство тестирования на проникновение в сеть»
Так, в свободное время, для себя, прохожу комнаты сайта TryHackMe.
Сертификат по базовому уровню, для новичков, который состоит из 15 комнат, включающие такие направления, как:
1) Learning Cyber Security.
2) What is Networking?
3) Intro to LAN.
4) OSI Model.
5) Packets&Frames.
6) Extending Your Network.
7) DNS in Detail.
8) HTTP in detail.
9) How websites work.
10) Putting it all together.
11) Linux Fundamentals Part1.
12) Linux Fundamentals Part2.
13) Linux Fundamentals Part3.
14) Windows Fundamentals Part1.
15) Windows Fundamentals Part2.
Заявленное время прохождения - 40 часов.
Сертификат по базовому уровню, для новичков, который состоит из 15 комнат, включающие такие направления, как:
1) Learning Cyber Security.
2) What is Networking?
3) Intro to LAN.
4) OSI Model.
5) Packets&Frames.
6) Extending Your Network.
7) DNS in Detail.
8) HTTP in detail.
9) How websites work.
10) Putting it all together.
11) Linux Fundamentals Part1.
12) Linux Fundamentals Part2.
13) Linux Fundamentals Part3.
14) Windows Fundamentals Part1.
15) Windows Fundamentals Part2.
Заявленное время прохождения - 40 часов.
Название: «Защита данных. От авторизации до аудита».
Автор: Андресс Джейсон
Год: 2021
Чем авторизация отличается от аутентификации? Как сохранить конфиденциальность и провести тестирование на проникновение?
Автор отвечает на все базовые вопросы и на примерах реальных
инцидентов рассматривает операционную безопасность, защиту ОС и мобильных устройств, а также проблемы проектирования сетей. Книга подойдет для новичков в области информационной безопасности,
сетевых администраторов и всех интересующихся.
Она станет отправной точкой для карьеры в области защиты данных.
Автор: Андресс Джейсон
Год: 2021
Чем авторизация отличается от аутентификации? Как сохранить конфиденциальность и провести тестирование на проникновение?
Автор отвечает на все базовые вопросы и на примерах реальных
инцидентов рассматривает операционную безопасность, защиту ОС и мобильных устройств, а также проблемы проектирования сетей. Книга подойдет для новичков в области информационной безопасности,
сетевых администраторов и всех интересующихся.
Она станет отправной точкой для карьеры в области защиты данных.
https://www.youtube.com/watch?v=WGYNNDWRTdY Данный курс будет носить практический характер. В нём мы будем решать задания на эксплуатацию уязвимостей веб-приложений в контексте заданий CTF.
Задания будут взяты с известного сайта с различными задачами (CTF и не только) -https://www.root-me.org/
Будем решать задачи из категории: Web-Server
Курс состоит из 19 видеоуроков:
1. Начало Загрузка и Установка Kali Linux.
2. Загрузка и установка VirtualBox и VMware.
3. Знакомство с сайтом root-me.
4. HTML Source code.
5. Weak Password.
6. Backup file.
7. HTTP - Directory indexing.
8. PHP - Command injection.
9. Local File Inclusion.
10. PHP Filters.
11. HTTP - Web tampering.
12. HTTP - Open Redirect.
13. HTTP – POST.
14. HTTP - Improrer redirect.
15. CRLF.
16. HTTP – Cookies.
17. HTTP – Headers.
18. Install files.
19. Directory traversal и Заключение.
Продолжительность: 1 час 15 минут.
Цена: 2 200 рублей.
Можете заказывать, написав на почту: admin@timcore.ru
Задания будут взяты с известного сайта с различными задачами (CTF и не только) -https://www.root-me.org/
Будем решать задачи из категории: Web-Server
Курс состоит из 19 видеоуроков:
1. Начало Загрузка и Установка Kali Linux.
2. Загрузка и установка VirtualBox и VMware.
3. Знакомство с сайтом root-me.
4. HTML Source code.
5. Weak Password.
6. Backup file.
7. HTTP - Directory indexing.
8. PHP - Command injection.
9. Local File Inclusion.
10. PHP Filters.
11. HTTP - Web tampering.
12. HTTP - Open Redirect.
13. HTTP – POST.
14. HTTP - Improrer redirect.
15. CRLF.
16. HTTP – Cookies.
17. HTTP – Headers.
18. Install files.
19. Directory traversal и Заключение.
Продолжительность: 1 час 15 минут.
Цена: 2 200 рублей.
Можете заказывать, написав на почту: admin@timcore.ru
YouTube
Курс молодого бойца. CTF Web. Задания с Root Me.
Курс молодого бойца. CTF Web. Задания с Root Me.
Данный курс будет носить практический характер. В нём мы будем решать задания на эксплуатацию уязвимостей веб-приложений в контексте заданий CTF.
Задания будут взяты с известного сайта с различными задачами…
Данный курс будет носить практический характер. В нём мы будем решать задания на эксплуатацию уязвимостей веб-приложений в контексте заданий CTF.
Задания будут взяты с известного сайта с различными задачами…
https://www.youtube.com/watch?v=-hUBjfQqNwU Видеокурс - «Уязвимости DVWA (Полное прохождение)» - Михаил Тарасов | Timcore
DVWA (Damn Vulnerable Web Application) – «чертовски» уязвимое веб-приложение, основная цель которого, помочь разработчикам и специалистам по безопасности более углубленно понять процессы обеспечения безопасности веб-приложений, а также более подробнее рассмотреть уязвимости, которые распределены по категориям в контролируемой среде.
Целью DVWA является использование некоторых наиболее распространенных уязвимостей в Интернете, с различными уровнями сложности, с простым интерфейсом. Обратите внимание: в этом программном обеспечении есть как зарегистрированные, так и недокументированные уязвимости. Это намеренно. Вам рекомендуется попробовать как можно больше проблем.
Для дальнейшей работы нам понадобятся три виртуальных машины, для тестирования. Это Kali Linux, Metasploitable2, и Web Security Dojo. Среду виртуализации можете выбрать на свой вкус. У меня это VMware.
Продолжительность: 3 часа 19 минут.
Стоимость: 1 999 руб.
Авторский курс Михаила Тарасова (Timcore).
По вопросам приобретения пишите на почту: admin@timcore.ru
DVWA (Damn Vulnerable Web Application) – «чертовски» уязвимое веб-приложение, основная цель которого, помочь разработчикам и специалистам по безопасности более углубленно понять процессы обеспечения безопасности веб-приложений, а также более подробнее рассмотреть уязвимости, которые распределены по категориям в контролируемой среде.
Целью DVWA является использование некоторых наиболее распространенных уязвимостей в Интернете, с различными уровнями сложности, с простым интерфейсом. Обратите внимание: в этом программном обеспечении есть как зарегистрированные, так и недокументированные уязвимости. Это намеренно. Вам рекомендуется попробовать как можно больше проблем.
Для дальнейшей работы нам понадобятся три виртуальных машины, для тестирования. Это Kali Linux, Metasploitable2, и Web Security Dojo. Среду виртуализации можете выбрать на свой вкус. У меня это VMware.
Продолжительность: 3 часа 19 минут.
Стоимость: 1 999 руб.
Авторский курс Михаила Тарасова (Timcore).
По вопросам приобретения пишите на почту: admin@timcore.ru
YouTube
Видеокурс - «Уязвимости DVWA (Полное прохождение)» - Михаил Тарасов | Timcore
Видеокурс - «Уязвимости DVWA (Полное прохождение)» - Михаил Тарасов | Timcore
DVWA (Damn Vulnerable Web Application) – «чертовски» уязвимое веб-приложение, основная цель которого, помочь разработчикам и специалистам по безопасности более углубленно понять…
DVWA (Damn Vulnerable Web Application) – «чертовски» уязвимое веб-приложение, основная цель которого, помочь разработчикам и специалистам по безопасности более углубленно понять…
Челленджы для оттачивания Ваших хакерских навыков:
- Vulnhub (https://www.vulnhub.com/) - имеет много виртуальных машин, с которыми можно поиграть. Некоторые из них подходят для новичков, некоторые - нет.
- Itsecgames (http://www.itsecgames.com/) - bWAPP - это заведомо небезопасное веб-приложение.
- Dvwa (http://www.dvwa.co.uk/) - Damn Vulnerable Web Application - еще одно заведомо небезопасное веб-приложение, на котором можно попрактиковаться.
- Hackthissite (https://www.hackthissite.org/) - сайт, на котором представлены задачи, CTF и многое другое для улучшения ваших хакерских навыков.
- Defend the Web (https://defendtheweb.net/) - это интерактивная платформа безопасности, где Вы можете учиться и проверять свои навыки.
- Root-me (https://www.root-me.org/) - еще один веб-сайт, на котором проводятся испытания для проверки ваших навыков взлома.
- HackTheBox (https://www.hackthebox.eu/) - онлайн-платформа для тестирования и повышения Ваших навыков в области тестирования на проникновение и кибербезопасности.
- Overthewire (http://overthewire.org/wargames/) - изучите и практикуйте концепции безопасности в форме веселых игр.
- Ctftime (https://ctftime.org/) - де-факто веб-сайт всего, что связано с CTF.
- TryHackMe (https://tryhackme.com/) - TryHackMe - это бесплатная онлайн-платформа для изучения кибербезопасности с использованием практических упражнений и лабораторных работ.
- PicoCTF (https://picoctf.org/) - предлагает Вам забавные задачи CTF разного уровня сложности для практики.
- Vulnhub (https://www.vulnhub.com/) - имеет много виртуальных машин, с которыми можно поиграть. Некоторые из них подходят для новичков, некоторые - нет.
- Itsecgames (http://www.itsecgames.com/) - bWAPP - это заведомо небезопасное веб-приложение.
- Dvwa (http://www.dvwa.co.uk/) - Damn Vulnerable Web Application - еще одно заведомо небезопасное веб-приложение, на котором можно попрактиковаться.
- Hackthissite (https://www.hackthissite.org/) - сайт, на котором представлены задачи, CTF и многое другое для улучшения ваших хакерских навыков.
- Defend the Web (https://defendtheweb.net/) - это интерактивная платформа безопасности, где Вы можете учиться и проверять свои навыки.
- Root-me (https://www.root-me.org/) - еще один веб-сайт, на котором проводятся испытания для проверки ваших навыков взлома.
- HackTheBox (https://www.hackthebox.eu/) - онлайн-платформа для тестирования и повышения Ваших навыков в области тестирования на проникновение и кибербезопасности.
- Overthewire (http://overthewire.org/wargames/) - изучите и практикуйте концепции безопасности в форме веселых игр.
- Ctftime (https://ctftime.org/) - де-факто веб-сайт всего, что связано с CTF.
- TryHackMe (https://tryhackme.com/) - TryHackMe - это бесплатная онлайн-платформа для изучения кибербезопасности с использованием практических упражнений и лабораторных работ.
- PicoCTF (https://picoctf.org/) - предлагает Вам забавные задачи CTF разного уровня сложности для практики.
Vulnhub
Vulnerable By Design ~ VulnHub
VulnHub provides materials allowing anyone to gain practical hands-on experience with digital security, computer applications and network administration tasks.
Автор: Дмитрий Кетов
Название: Внутреннее устройство Linux. — 2-е изд., перераб. и доп.
Год: 2021
Книга представляет собой введение во внутреннее устройство операционной системы Linux. Все положения наглядно проиллюстрированы примерами, разработанными автором и проверенными им на практике.
Рассмотрены основные подсистемы ядра и их сущности — файлы и файловые системы, виртуальная память и отображаемые файлы, процессы, нити и средства межпроцессного взаимодействия,
каналы, сокеты и разделяемая память. Раскрыты дискреционный и мандатный (принудительный) механизмы контроля доступа, а также привилегии процессов.
Подробно описано пользовательское окружение и интерфейс командной строки CLI, оконные системы X Window и графический интерфейс GUI, а также сетевая подсистема и служба SSH. Особое внимание уделено языку командного интерпретатора и его использованию для автоматизации задач эксплуатации операционной системы.
Название: Внутреннее устройство Linux. — 2-е изд., перераб. и доп.
Год: 2021
Книга представляет собой введение во внутреннее устройство операционной системы Linux. Все положения наглядно проиллюстрированы примерами, разработанными автором и проверенными им на практике.
Рассмотрены основные подсистемы ядра и их сущности — файлы и файловые системы, виртуальная память и отображаемые файлы, процессы, нити и средства межпроцессного взаимодействия,
каналы, сокеты и разделяемая память. Раскрыты дискреционный и мандатный (принудительный) механизмы контроля доступа, а также привилегии процессов.
Подробно описано пользовательское окружение и интерфейс командной строки CLI, оконные системы X Window и графический интерфейс GUI, а также сетевая подсистема и служба SSH. Особое внимание уделено языку командного интерпретатора и его использованию для автоматизации задач эксплуатации операционной системы.