Дорогие друзья, небольшая подборка интересных WWW-ресурсов из моих закладок!

# Сайт Cheat.sh (https://github.com/chubin/cheat.sh) — онлайновый сервис, к которому можно обращаться из командной строки и искать по внушительной коллекции из чит-шитов. Сюда входит около тысячи команд Unix/Linux и 55 языков программирования

# Сайт (https://nginxconfig.io )— сайт, который поможет настроить веб-сервер nginx. По сути, это что-то вроде графической надстройки. Для каждого из пунктов меню есть полезные всплывающие подсказки. А еще сервис позволяет форсировать в конфиге опции безопасности!

# Проект txt2re (http://txt2re.com/) — регулярные выражения помогают быстро и элегантно парсить строки и текстовые файлы, но только в том случае, если ты хорошо знаком с синтаксисом и имеешь некоторый опыт. Если нет - то этот сайт теье поможет!

# Проект Netsim (https://netsim.erinn.io/) — игра, которая поможет наглядно изучить работу сетей и принципы сетевых атак (DDoS, sniffing, spoofing)

# Онлайн тулза Ngrok (https://ngrok.com/) - сервис, который позволяет расшарить сетевой порт и получить некоторую ссылку для доступа к локальному порту из интернета

# Проект LargerIO https://www.larger.io/ — сервис, который поможет узнать, на каких технологиях построены сайты. Очень пригодится для фингерпринтинга и подбора инструментов для пен-теста

# Проект Vulncode (https://www.vulncode-db.com) - сервис, наглядно показывает уязвимые участки кода у различных CVE

# Тулза для анализа конфигов Cisco (https://github.com/cisco-config-analysis-tool/ccat) - This tool is designed to analyze the configuration files of Cisco devices. The list of checks is based on the Cisco Guide to Harden Cisco IOS Devices

Лекции по основам безопасности ("хакерства") для новичков от проекта Hacker Highschool

Обзор основных инструментов сбора первичных артефактов с скомпрометированных Linux-систем своими силами

https://telegra.ph/Nekotorye-priemy-forenziki-pod-Linux-04-08

Ребята, представляю вашему вниманию не плохой канал с обзором интересных книг личностного развития. Не ИБ, но для саморазвития очень даже!

КНИГИ КРАТКО - канал с лучшими пересказами книг по бизнесу и саморазвитию, которые читаются за 5-10 минут!
📓 Каждый день публикуются интересные книги, не потеряй шанс изменить свою жизнь - https://t.me/knigikratkoo

Небольшой пак информационно-справочных документов, обзоров и презентаций на тему защиты ПДн по требованиям Евросоюза (GDPR)

https://telegra.ph/Specializaciya-v-industrii-IB-gid-dlya-novichka-04-18

Ответы на часто поступающие вопросы новичков об индустрии ИБ и специализации внутри нее

Друзья, в целях ознакомлении с практической стороной (не̶ ̶п̶и̶з̶д̶е̶ш̶ь̶ ̶с̶ ̶к̶о̶н̶ф̶р̶е̶н̶ц̶и̶й̶) для вас пара видео, рассказывающая на практике как происходит статический анализ исходных кодов различного ПО на примере SAST PVS-Studio. Все примеры ошибок и анализа кода демонстрируются на примере C++, C# и Java.

Теория и практика использования статического анализа на примере PVS-Studio

В видео будут разобраны интересные ошибки, найденные в проектах MonoDevelop и Godot Engine

https://www.youtube.com/watch?v=BoRK5BosqZI

Проверяем проект GitExtensions с помощью PVS Studio

В видео демонстрируется разбор ошибок графической оболочки GitExtensions для популярной тулзы Git

https://www.youtube.com/watch?v=zs_rGT6jNHM

Доп инфо:

Лучшие инструменты пентестера_ статический анализ кода от Xакер

Обзор сканеров кода: взгляд интегратора

Анализаторы исходного кода — обзор рынка в России и в мире

Катастрофические последствия программных ошибок

Хроника проишествий, аварий и катастроф, связанных с программными ошибками

Небольшой набросок о том с чего начать свой путь в индустрию ИБ новичку

https://telegra.ph/S-chego-novichku-nachat-svoj-put-v-IB-04-24

«CISSP All-in-One Exam Guide» by Shon Harris - одна из лучших книг по тебе ИБ для широкого круга лиц

Краткий обзор самых базовых рекомендаций и нативных настроек безопасности для Docker-ориентированной ИТ-инфраструктуры
https://telegra.ph/Usilivaem-bezopasnost-infrastruktury-Docker-04-30

Свежий подгон аналитики по ИТ-рынку (ЗП, опыт, региональные особенности, разброс по специализациям и т.д.) от апреля 2019 года. ИБ как отдельное направление в данной подборке отсутствует, но для общего ориентира по высоко-технологичной отрасли предложенные данные использовать можно #job

https://yandex.ru/company/researches/2019/it-jobs

Слив моей заключительной статьи по форензике Linux. Оригинал находится на сайте журнала ][акер https://xakep.ru/2019/04/12/forensics-linux-attack/

🐧 Форензика в Linux

В этой статье мы детально разбираем большой кейс с атакой на целую ферму машин под управлением Linux. Нас ждет взлом веб-сервера, заражение майнером, эскалация root из виртуального контейнера и создание ячейки ботнета, которая рассылала спам.

https://teletype.in/@it_ha/BktAhvKpN

Подъехала еще одна свежая аналитика от «Моего круга» про доп образованию для ИТ-шников (и соответственно как части высоко-технологичной индустрии для безопасников тоже). На сколько значимо сегодня дополнительное профильное образование, как его получают, в каких сферах, какой профит в итоге на практике, по каким личным критериям выбирают профиль, что предпочтительнее - курсы, книги, вебинары или очное посещение. Статистика, цифры, диаграмки - выводы делайте сами:) #job

https://habr.com/ru/company/moikrug/blog/454010/

Не хуическая подборка секурных тулз о которых шла речь на прошедшей конфе OFFZONE:

Cloud Security Suite или тулза для аудита безопасности облачных решения на базе Amazon и MS Azure
https://github.com/SecurityFTW/cs-suite

Доработка онлайн-сканера Shodan для поиска доступных в Интернете не пропатченных или криво сконфигурированных с точки зрения ИБ кластеров Kubernetes
https://github.com/averonesis/kubolt

Убойная связка из тулз nmap + Shodan + Censys для поиска уязвимых хостов в Интернете для массового пен-теста :D
https://github.com/sdnewhop/grinder

Самые горячие уязвимости месяца:

Баги в TCP\IP стеке пингвина Linux и считавшейся ̶о̶х̶у̶е̶н̶н̶о̶ безопасной FreeBSD, приводящие к удаленному Denial of Service системы (CVE-2019-11477 и CVE-2019-11478 и CVE-2019-5599 и CVE-2019-11479)
http://www.opennet.ru/opennews/art.shtml?num=50889

Критические 0-day для Windows 10 готовые к ̶н̶е̶в̶ъ̶е̶б̶е̶н̶н̶о̶й̶ ̶ эксплуатации (концепт атаки и исходники на GitHub, пока еще не прикрыли)
[GitHub] https://github.com/SandboxEscaper/polarbearrepo
[News] https://xakep.ru/2019/05/24/second-exploits-batch/

Технический обзор критических уязвимостей (CVE-2019-0697, CVE-2019-0698, CVE-2019-0726) в клиенте Windows DHCP
https://www.securitylab.ru/blog/company/pt/346144.php

Интересное чтиво:

Атаки на домен MS Active Directory
https://habr.com/ru/company/jetinfosystems/blog/449278/

Чем искать уязвимости веб-приложений: сравниваем восемь популярных сканеров
https://habr.com/ru/company/tomhunter/blog/456892/

Репозиторий Hacker Roadmap представляет собой краткий обзор книг, тулз, теоретических и технических знаний, технологий, языков программирования и т.п., скиллов и инструментов для того что бы начать свой путь в пен-тесте [язык материалов ENG]
https://github.com/sundowndev/hacker-roadmap

Интересные ньюсы этого месяца:

Наши отечесвтенные пацаны-роботяги ̶х̶у̶я̶г̶и̶ из Vulners выложили мобильную версию пассивного сканера WEB для платформы Android
[PlayMarket] https://play.google.com/store/apps/details?id=com.vulners
[News] https://www.crackitdown.com/2019/06/find-vulnerability-using-android.html

Скрипт к движку nmap, собирающий с помощью RDP некую информацию о хосте - хостнейм, домен, DNS, тип и версию ОС.
[GitHub] https://github.com/zerosum0x0/CVE-2019-0708
[News] https://fadedlab.wordpress.com/2019/06/13/using-nmap-to-extract-windows-info-from-rdp/

Сканер портов в личном кабинете Ростелекома - госовская ебанина!! Госы вместе с ФСБ и ФСТЭК, горите, мрази в аду, ублюдки
https://habr.com/ru/post/456558/

Набор презентаций и шпаргалок по защите ПДн (ФЗ-152) с уклоном на техническую составляющую (ФСТЭК №21)