#books

Название: IT как оружие. Какие опасности таит в себе развитие высоких технологий
Авторы: Брэд Смит, Кэрол Энн Браун
Год: 2021

Развитие IT-индустрии за несколько десятилетий трансформировало современную реальность. Теперь мы живем и работаем в цифровом мире, а ведущие IT-компании владеют большим объемом персональных данных, чем любое правительство на планете. Возможность собирать и обрабатывать огромные объемы информации стало мощным инструментом прогресса и грозным оружием одновременно. Но кто им управляет на самом деле?

Скачать.

#news
#android

Android-малварь Autolycos была установлена более 3 000 000 раз

ИБ-эксперты обнаружили в Google Play Store малварь, которая тайно подписывала пользователей на платные услуги и была загружена более 3 000 000 раз. Угроза проникла в официальный магазин приложений еще летом 2021 года, но Google понадобилось более года, чтобы избавится от всех вредоносных приложений.

Источник: https://xakep.ru/2022/07/14/autolycos/

https://t.me/Social_engineering/1838 — Самый крупный ресурс в Telegram, посвященный Информационной Безопасности, хакингу, OSINT и Cоциальной Инженерии.

#news

Северокорейские хакеры атакуют малый и средний бизнес с помощью вымогателя H0lyGh0st

Компания Microsoft рассказала о новой хакерской группе H0lyGh0st, которую отслеживает под идентификатором DEV-0530. Около полугода эти злоумышленники проводят вымогательские атаки на малый и средний бизнес в разных странах мира.

Источник: https://xakep.ru/2022/07/15/h0lygh0st/

#ceh
#hacking

#2 Руководство по подготовке сертифицированного этичного хакера (CEH). Фазы атаки.

Здравствуйте, дорогие друзья.

В случае нарушения безопасности, происходит эксплуатация и использование уязвимостей. Злоумышленник собирает конфиденциальную информацию и заметает следы. Кратко ознакомьтесь с фазами атаки, представленными ниже.

В следующих главах будут более подробно рассмотрены все этапы атаки.

Подробнее: https://timcore.ru/2022/07/18/2-rukovodstvo-po-podgotovke-sertificirovannogo-jetichnogo-hakera-ceh-fazy-ataki/

#news

Малварь Sality заражает промышленные системы через инструменты для восстановления паролей

Исследователи из компании Dragos, занимающиеся промышленной кибербезопасностью, обнаружили, что неизвестные злоумышленники заражают промышленные системы управления малварью Sality. При этом вредонос маскируется под ПО для взлома паролей программируемых логических контроллеров.

Источник: https://xakep.ru/2022/07/18/plc-sality/

#ceh
#hacking

#3 Руководство по подготовке сертифицированного этичного хакера (CEH). Этичные хакеры.

Здравствуйте, дорогие друзья.

Этичные хакеры используются для оценки угроз и обеспечения безопасности. Важно отметить, что этичный хакер имеет согласие организации на найм. Этичные хакеры используют те же методы и инструменты, что и злоумышленники. Этичные хакеры должны обладать следующими навыками: знание программного и аппаратного обеспечения, хорошее понимание сетей и программирования, а также знания по установке и управлению различных операционных систем.

Подробнее: https://timcore.ru/2022/07/19/3-rukovodstvo-po-podgotovke-sertificirovannogo-jetichnogo-hakera-ceh-jetichnye-hakery/

#bug_bounty

Шаблоны отчётов для Bug Bounty:

https://github.com/ZephrFish/BugBountyTemplates

#ceh
#hacking

#4 Руководство по подготовке сертифицированного этичного хакера (CEH). Футпринтинг и Разведка/сканирование сетей.

Здравствуйте, дорогие друзья.

В этой главе Вы узнаете о футпринтинге и о том, какой тип информации можно получить с помощью этого метода, в том числе о том, как распознать типы информации, которую хакер хочет получить. В этой главе, Вы получите представление о различных инструментах сбора информации и методологии. Есть несколько дополнительных понятий, которые будут рассмотрены в этой главе: сканирование портов, сканирование сети, сканирование уязвимостей, флаги связи протоколов управления передачей (TCP), типы портов сканирования и меры противодействия сканированию.

Подробнее: https://timcore.ru/2022/07/20/4-rukovodstvo-po-podgotovke-sertificirovannogo-jetichnogo-hakera-ceh-futprinting-i-razvedka-skanirovanie-setej/

#ceh
#hacking

#5 Руководство по подготовке сертифицированного этичного хакера (CEH). Определение сетевого диапазона.

Здравствуйте, дорогие друзья.

Теперь Вы можете перейти к определению сетевого диапазона цели системы. Могут быть полезны такие инструменты трассировки, как NeoTrace и Visual Route. Использование утилиты Traceroute может быть обнаружено, но другие инструменты пассивны.

Подробнее: https://timcore.ru/2022/07/21/5-rukovodstvo-po-podgotovke-sertificirovannogo-jetichnogo-hakera-ceh-opredelenie-setevogo-diapazona/

#books
#programming

Название: «Как проектировать программы. Введение в программирование и компьютерные вычисления».
Авторы: Маттиас Фелляйзен, Роберт Брюс Финдлер, Мэтью Флэтт, Шрирам Кришнамурти
Год: 2022

Эта книга повествует о методах «хорошего программирования» – то есть о таком подходе к созданию программного обеспечения, который опирается на системное мышление, планирование и понимание задач разработчика на каждом этапе.

В числе рассматриваемых тем – фундаментальные понятия систематического проектирования, типы данных, способы записи объемных данных, создание и использование абстракций, тестирование программ и функций и др.

Издание адресовано профессионалам и энтузиастам программирования, не имеющим прежнего опыта систематического проектирования программ, а также преподавателям технических вузов, которые могут использовать представленный материал в рамках учебного курса.

Скачать.

#news
#standoff

Киберучения The Standoff теперь доступны онлайн

На платформе The Standoff 365, разработанной компанией Positive Technologies, открылся онлайн-киберполигон, где ИБ-специалисты смогут исследовать копии IT-систем реальных компаний из различных отраслей экономики, искать уязвимости и пути реализации критических событий нон-стоп, 24/7/365.

Источник: https://xakep.ru/2022/07/20/the-standoff-365/

#bug_bounty
#hacking

Beginner Bug Bounty Course | Web Application Hacking

In this course we cover an introduction to bug bounty hunting and web application hacking. I did not include my API videos in this course if you would like you can check out my channel to find the API hacking videos!


0:00 About the course
2:51 Installing Kali linux
13:31 Recon & Tools
25:03 URL Testing
47:27 Using OWASP Juice Shop
55:39 IDOR & Logic Errors
1:43:50 SQL Injection
2:58:08 Directory Traversals
3:16:21 XML Injection XXE
3:30:02 XSS
3:54:31 Python Crash Course

https://www.youtube.com/watch?v=wMO_My5gsDI

Новая книжка для изучения. Люблю журнал "Хакер".

#hackthebox
#hacking

HackTheBox - Catch

01:00 - Start of nmap, going over some standard cookies and knowing the web technology behind it
06:15 - Checking what the main webpage is, discovering an APK File
07:00 - Analysing the APK file with JADX-GUI
09:00 - Searching for strings, finding some tokens
10:15 - Looking at the Gitea API to discover how to use our token
14:15 - Looking at the Lets Chat API to discover how to use our token and dumping a list of rooms
16:30 - Using the Lets Chat API to dump messages from a room and discovering credentials
17:40 - Logging into the Catchet webserver finding the version and discovering known vulnerabilities
19:20 - Using a CVE-2021-39174 POC to dump the Catchet Configuration and get a password (SSTI)
23:50 - Logging into the box as will
25:40 - Discovering a verify.sh script that has a command injection when verifying APK Files
29:00 - Using apktool to decompile the APK so we can change the name and repackage it
33:15 - Having trouble repacking our APK file, need to update APKTool. Then getting root
38:00 - Showing another way to pop the Catchet server, by updating the Cache configuration to point to our REDIS instance and phpggc to create a deserialization gadget

https://www.youtube.com/watch?v=XAZI361XgRU

#ceh
#hacking
#nmap

#6 Руководство по подготовке сертифицированного этичного хакера (CEH). Трехстороннее рукопожатие. Флаги TCP. Nmap. Zenmap.

Здравствуйте, дорогие друзья.

Вспомните трехстороннее рукопожатие. Система, которая получает SYN пакет из удаленной системы отвечает пакетом SYN/ACK, если его порт открыт. Наконец, отправляющая система отправляет ACK. Если порт системы закрыт и получает начальный пакет SYN, то он отправляет обратно пакет RST/ACK.

Подробнее: https://timcore.ru/2022/07/25/6-rukovodstvo-po-podgotovke-sertificirovannogo-jetichnogo-hakera-ceh-trehstoronnee-rukopozhatie-flagi-tcp-nmap-zenmap/

#news

Роскомнадзор разблокировал сайт Tor Project

Юристы «Роскомсвободы» сообщили, что сайт The Tor Project наконец разблокировали на территории России. Таким образом Роскомнадзор исполнил решение Саратовского областного суда, который отменил решение об ограничении доступа еще в мае 2022 года. На днях сайт проекта был вынесен из реестра запрещенной информации.

Источник: https://xakep.ru/2022/07/22/tor-unblocked/

#bug_bounty
#ethical_hacking

Filters Bypass Web App directory/file | Bug Bounty | Ethical Hacking

In this video we are going to look at how we can bypass WAF filters to reach forbidden and redirected pages.

0:00 intro
0:31 robots.txt
2:28 Filter Bypass #1
4:38 Filter Bypass #2

https://www.youtube.com/watch?v=yjcT6fPKoYk

#bug_bounty

Intermediate Bug Bounty Course | Web Application Hacking

0:00 About The Course
1:41 SSRF
24:14 Command Injection
50:11 FIle Upload
1:11:24 LFI RFI
1:25:28 Insecure Deserialization
1:40:31 JWT Tokens
2:01:09 Attacking WordPress
2:25:06 Python Tool Building

https://www.youtube.com/watch?v=W8XhM5oAtSQ&list=PLtZtNPs3fJyB37loFSAM5OD-IEnn18gu9