Что ж, думаю первый пост должен содержать информацию прежде всего обо мне.
Итак, я 0hat, начинающий специалист в сфере ИБ, пентестер, белый хакер, OSINTер и прочее и прочее, связанное с огромным миром ИБ.
На данном канале буду рассказывать о своих кейсах в бб (Bug Bounty), делиться полезными материалами в сфере хакинга, обсуждать новости ИБ и всё что с этим связано.
На первое время комментарии будут закрыты, но позже может быть я их открою)
О своей жизни рассказывать здесь пока что не буду. В случае если есть желание поделиться новостью или просто обсудить что-либо по теме ИБ, прошу написать мне в лс, никнейм есть в шапке канала.
Начинаем путь в ИБ вместе)
👩💻 .
Итак, я 0hat, начинающий специалист в сфере ИБ, пентестер, белый хакер, OSINTер и прочее и прочее, связанное с огромным миром ИБ.
На данном канале буду рассказывать о своих кейсах в бб (Bug Bounty), делиться полезными материалами в сфере хакинга, обсуждать новости ИБ и всё что с этим связано.
На первое время комментарии будут закрыты, но позже может быть я их открою)
О своей жизни рассказывать здесь пока что не буду. В случае если есть желание поделиться новостью или просто обсудить что-либо по теме ИБ, прошу написать мне в лс, никнейм есть в шапке канала.
Начинаем путь в ИБ вместе)
Please open Telegram to view this post
VIEW IN TELEGRAM
5👍9
Пост Лукацкого
Бесплатный курс OWASP SAMM Fundamentals. 79 модулей, 5 часов, посвященных модели зрелости OWASP’s Software Assurance Maturity Model (SAMM), одному из популярных фреймворков, используемых для оценки практик безопасной разработки в организациях 🧑💻
На одной из проходимых мною стажировок (хотя именно эту я бы отнёс к проектной работе), CEO и его замы абсолютно ничего не понимали в соотношении бизнеса и ИБ. Приходилось вместе с ними сидеть в конфе и пояснять им каждый пункт в OWASP SAMM.
Но вот, плюс ещё одна автоматизация в копилку, и CEO стоит лишь скинуть ссылку на этот курс (хотя, я абсолютно уверен что к вам, ИБшникам, вопросов меньше не станет).
Но вот, плюс ещё одна автоматизация в копилку, и CEO стоит лишь скинуть ссылку на этот курс (хотя, я абсолютно уверен что к вам, ИБшникам, вопросов меньше не станет).
❤3
Forwarded from Пост Лукацкого
Бесплатный курс OWASP SAMM Fundamentals. 79 модулей, 5 часов, посвященных модели зрелости OWASP’s Software Assurance Maturity Model (SAMM), одному из популярных фреймворков, используемых для оценки практик безопасной разработки в организациях 🧑💻
Please open Telegram to view this post
VIEW IN TELEGRAM
OWASP SAMM
OWASP SAMM Fundamentals Training
The Software Assurance Maturity Model (SAMM) is an open framework to help organizations formulate and implement a strategy for software security that is tailored to the specific risks facing the organization. This course is an on-demand self-paced SAMM training.
1❤3
0hat
На одной из проходимых мною стажировок (хотя именно эту я бы отнёс к проектной работе), CEO и его замы абсолютно ничего не понимали в соотношении бизнеса и ИБ. Приходилось вместе с ними сидеть в конфе и пояснять им каждый пункт в OWASP SAMM. Но вот, плюс…
Кстати, хотел бы высказаться по поводу одной ситуации с этой проектной работой, и эту мысль хотел бы отразить на все остальные начинающие бизнесы.
Это был стартап, но сути не меняет, тот же начинающий бизнес. Проблема в плане ИБ была в том, что я по сути был ЕДИНСТВЕННЫЙ ИБшник в команде. Да, стартап небольшой. Да, у меня было меньше задач, чем у среднестатистического специалиста. Но это не отрицает факт того, что, по сути, я один встраивал ИБ во все бизнес-процессы. Получается, был своеобразным CISO. Но, при этом, мне ещё приходилось объяснять ВСЕЙ команде разработчиков основы безопасного программирования.
И тут уже самая главная проблема не в том, что я пришел единственным ИБшником, проблема идет с самого начала приглашения людей к проектной работе (стажировке).
Что я имею ввиду? А то, что вам, CEO (и пр. должности, отвечающие за то, кого нужно брать в команду), я НАСТОЯТЕЛЬНО рекомендую в первую очередь брать специалистов по ИБ (при чём на различные должности, т. к. одному выполнять все задачи будет всё труднее со временем), ЛИБО программистов, которые знают основы ИБ.
Почему? Да всё просто. Таким образом, вы экономите своё время на запуск своего бизнеса, а тем более экономите на этом деньги, чтобы потом не переплачивать за огромный рефакторинг кода, который почему-то оказался небезопасным.
Это был стартап, но сути не меняет, тот же начинающий бизнес. Проблема в плане ИБ была в том, что я по сути был ЕДИНСТВЕННЫЙ ИБшник в команде. Да, стартап небольшой. Да, у меня было меньше задач, чем у среднестатистического специалиста. Но это не отрицает факт того, что, по сути, я один встраивал ИБ во все бизнес-процессы. Получается, был своеобразным CISO. Но, при этом, мне ещё приходилось объяснять ВСЕЙ команде разработчиков основы безопасного программирования.
И тут уже самая главная проблема не в том, что я пришел единственным ИБшником, проблема идет с самого начала приглашения людей к проектной работе (стажировке).
Что я имею ввиду? А то, что вам, CEO (и пр. должности, отвечающие за то, кого нужно брать в команду), я НАСТОЯТЕЛЬНО рекомендую в первую очередь брать специалистов по ИБ (при чём на различные должности, т. к. одному выполнять все задачи будет всё труднее со временем), ЛИБО программистов, которые знают основы ИБ.
Почему? Да всё просто. Таким образом, вы экономите своё время на запуск своего бизнеса, а тем более экономите на этом деньги, чтобы потом не переплачивать за огромный рефакторинг кода, который почему-то оказался небезопасным.
1❤3
HackerOne
Photo
Кстати в последнее время думаю на этот счет. В сфере хакинга появляется всё больше методов автоматизации взлома различных ИС. Казалось бы, удобно, но тут есть большое но.
Автоматизация для опытных хакеров имеет значение в виде экономии времени, но для новичков это, скажем так, остановка в развитии. И из-за этого большинство новичков идут блэчить, т. к. применять монотонно автоматизированное ПО для взлома куда проще, чем изучать ИБ глубже.
Проблема ли это? Отчасти, да, потому что на таком уровне развития останавливаются потенциальные кадры для рабочих мест, которые могли бы защищать ИС от взлома. Но и здесь можно найти плюс, отсеиваются те же потенциальные внутренние нарушители.
Но в итоге плюс это или минус решать вам, для меня же важно уметь автоматизировать повседневные задачи самостоятельно.
Автоматизация для опытных хакеров имеет значение в виде экономии времени, но для новичков это, скажем так, остановка в развитии. И из-за этого большинство новичков идут блэчить, т. к. применять монотонно автоматизированное ПО для взлома куда проще, чем изучать ИБ глубже.
Проблема ли это? Отчасти, да, потому что на таком уровне развития останавливаются потенциальные кадры для рабочих мест, которые могли бы защищать ИС от взлома. Но и здесь можно найти плюс, отсеиваются те же потенциальные внутренние нарушители.
Но в итоге плюс это или минус решать вам, для меня же важно уметь автоматизировать повседневные задачи самостоятельно.
❤4
Интернет-Розыск
Telegraph
BUG BOUNTY. С ЧЕГО НАЧАТЬ НОВИЧКУ
Багхантинг - одно из наиболее перспективных и быстрорастущих направлений инфобеза с довольно низким порогом вхождения для новичков. Очень часто мне пишут в личку сообщения с просьбой посоветовать литературу и интересные ресурсы для старта в ББ. Собрал небольшой…
❤2
Кстати в архиве ещё завалялся курс по Wireshark, рекомендую к прохождению⬇️
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2
Forwarded from S.E.Reborn
Часть первая: https://youtu.be/qvj7Uzj8QPY
• Введение;
• Что такое WireShark;
• Немного о протоколоах, айпи и OSI;
• Установка и настройка WireShark;
• Разбор интерфейса;
• Фильтры протоколов, ip, портов;
• Анализ HTTP Пакетов;
• Демонстрация кражи учетных данных;
• WireShark и Linux фаерволл;
• Обнаружение неавторизованного трафика.
Часть вторая: https://youtu.be/j2C0k4DetoY
• Обзор командной строки;
• Аргументы командной строки;
• Захват трафика в файл и его дальнейший анализ;
• Ограничения захвата файлов;
• Фильтры захвата и отображения;
• Обзор режимов сетевых карт;
• Режим мониторинга;
• Расшифровка захваченного трафика;
• Форматирование вывода в файл cls.
Часть третья: https://youtu.be/nkojpdZj4tE
• Извлечение реальной информации (Видео, фото и тд);
• WireShark и Nmap, виды сканирования и количество трафика;
• Стелс-сканирование;
• SSH туннелирование. Захват трафика через интернет. Введение;
• Настройка удаленной машины. Настройка SSH;
• TCPdum установка и настройка захвата;
• Захват трафика с удаленного хоста;
• Установка сервера, админки и клиента;
• Необходимый софт и ОС;
• Установка операционных систем;
• Установка гостевых дополнений, установление SSH соединения с сервером;
• Настройка фаервола на пропуск трафика;
• Захват трафика с машины клиента;
• Запрещаем доступ к определенным ресурсам.
#RU #Wireshark
Please open Telegram to view this post
VIEW IN TELEGRAM
5❤3