Этичный Хакер

😈 Burp Suite: полезные расширения для пентеста Burp Suite – это платформа для проведения аудита безопасности веб-приложений. Содержит инструменты для составления карты веб-приложения, поиска файлов и папок, модификации запросов, фаззинга, подбора паролей и др. — Кроме того, существует магазин дополнений BApp store, содержащий расширения, улучшающие функционал бурпа. В этом посте подобрали пять таких, повышающие эффективность Burp Suite при пентесте веб-приложений. 1. Software Vulnerability Scanner — Это расширение показывает публичные уязвимости для приложений, обнаруженные в трафике, который проксирует Burp. Представляет собой, по сути, прослойку между Burp и API этого отличного агрегатора уязвимостей. 2. Backslash Powered Scanner — Дополняет активный сканер Burp, используя новый подход, способный находить и подтверждать как известные, так и неизвестные классы уязвимостей для внедрения на стороне сервера. 3. SQLiPy — Инструмент, который интегрирует Burp Suite с SQLMap с помощью SQLMap API, для проверки на уязвимость к SQL-инъекции. 4. Active Scan++ — расширяет перечень проверок, которые выполняются при работе активного и пассивного сканера. Он находит такие уязвимости, как cache poisoning, DNS rebinding, различные инъекции, а также делает дополнительные проверки для обнаружения XXE-инъекций и др. 5. Turbo Intruder — более быстрый аналог Intruder, оснащенный скриптовым движком для отправки большого количества HTTP-запросов и анализа результатов. Полезен, если необходима скорость! — Очень эффективен при поиске уязвимостей, связанных с «состоянием гонки» (Race Condition) #BurpSuite #Extensions | 🧑‍💻 Этичный хакер

Погрузитесь в мир информационной безопасности с бесплатным курсом Deep Security Вы изучите основы криптографии, узнаете, как реализуется защита на уровне сети и приложений, освоите инструменты для анализа сетевого трафика. Вас ждут сетевые расследования, знакомство с SOC и важные рекомендации от топовых ИБ-экспертов по защите приложений и пользователей. Курс рассчитан на ИТ-администраторов, инженеров и всех, кто хочет разобраться в вопросах кибербезопасности. Не упустите шанс углубить свои знания: регистрируйтесь на курс по ссылке, а все подробности — на карточках.

😈 Пентест веб-сайта с помощью OWASP ZAP OWASP ZAP - это сканер безопасности веб-приложений с открытым исходным кодом, который стал одним из наиболее широко используемых инструментов для динамического тестирования безопасности приложений (DAST), поддерживаемых OWASP. — Защита веб-приложения имеет решающее значение, поэтому осваивать пентест инструменты приходится и самим разработчикам. Есть и мощные фреймворки для пентеста WordPress (WPScan) но ведь не все пользуются этой CMS, поэтому в этом посте рассмотрим универсальный пентест-инструмент OWASP ZAP (Zed Attack Proxy). 🗣 Ссылка на чтиво ‼️ Также прикрепляю другие полезные материалы по теме #ZAP: - ТОП-10 плагинов для OWASP ZAP - Межсайтовый скриптинг (XSS) #Web #OWASP #ZAP #Пентест | 🧑‍💻 Этичный хакер

😈 Захват сетевой инфраструктуры: история пентеста финансовой организации В этом посте речь пойдёт о том, как сломанная логика, самописные сервисы и графические пароли могут привести к захвату сетевой инфраструктуры компании, полной потере денег и пользовательских данных. — Это реальная история. События, о которых рассказывается в посте, произошли не так уж давно. По просьбе юристов названия были изменены. Из уважения к читателям все рассказано так, как было на самом деле. 🗣 Ссылка на чтиво #Пентест #OWASP #SE | 🧑‍💻 Этичный хакер

Искусственный интеллект стал неотъемлемой частью современной жизни и активно используется в системах кибербезопасности, заявил на конференции GigaConf вице-президент по кибербезопасности Сбера Сергей Лебедь.

Использовать AI в системах антифрода банки начали более 5 лет назад. AI-технологии необходимы для защиты ИТ-инфраструктуры банка от кибератак, а клиентов — от мошенников хотя бы потому, что возрастающий поток данных традиционными автоматизированными методами, а тем более вручную не обработать. Например, в Сбере за сутки анализируется порядка 500 млрд событий в кибербезопасности, поступающих от элементов ИТ-инфраструктуры банка.

По словам Лебедя, только искусственный интеллект способен, например, эффективно проверять каждую транзакцию на признаки мошенничества и сразу приостанавливать подозрительные операции. Одновременно он определяет, на что в первую очередь реагировать, оценивает, какие угрозы более критичны. Это тем более актуально, что злоумышленники тоже вовсю используют AI. Говоря о кибербезопасности будущего Лебедев подчеркнул, что AI полностью заместить человека не сможет. Люди никуда не денутся — они продолжат работать в условиях новой реальности. Например, создавать и обучать цифровых аватаров-сотрудников и управлять ими. #News #VPN #AppStore #IOS | 🧑‍💻 Этичный хакер

😈 Интернет-чума: атака на Polyfill.io поразила свыше 380 000 хостов Недавнее исследование выявило, что атака на библиотеку Polyfill.io, о которой ранее писал Эллиот с канала Mr. Robot, оказалась куда масштабней (На 2 июля свыше 380 000 хостов включают скрипт Polyfill, связанный с вредоносным доменом)

Сам по себе Polyfill — это программный код, который предоставляет функциональность, отсутствующую в старых версиях веб-браузеров. Polyfill заполняет пробелы в функциональности, обеспечивая совместимость и корректную работу веб-приложений на различных платформах.

❗️ Среди пострадавших оказались сайты таких известных компаний, как WarnerBros, Hulu, Mercedes-Benz и Pearson, ссылающиеся на вредоносный домен. — Код на домене Polyfill был изменён для перенаправления пользователей на сайты с тематикой для взрослых и азартных игр. Эти изменения активировались в определённое время суток и только для определённых пользователей. #News #JavaScript #Censys | 🧑‍💻 Этичный хакер

Кто хочет обогнать хакеров? 🏁 Пристегните ремни, потому что уже 12 июля стартует вебинар «Тройной форсаж: как обогнать хакеров с помощью защиты веб-ресурсов» от МТС RED. Гонщики-эксперты из МТС RED расскажут, какие компании интересуют киберпреступников больше всего, что за инструменты и сценарии применяются при атаках на онлайн-ресурсы. И главное: как защитить свой бизнес?🛡 О чём поговорим ⬇️ 🔴 кого и как атакуют чаще: наблюдения 2024 года; 🔴 что такое DDoS-атаки и какие они бывают; 🔴 триада защиты онлайн-ресурсов: Anti-DDoS, WAF, Antibot; 🔴 бизнес-риски и громкие кейсы. Вебинар будет полезен, если вы: 🔴 директор или руководитель службы ИБ/ИТ; 🔴 специалист по сетевой безопасности; 🔴 Доминик Торетто в мире кибербеза. Нет ничего важнее киберзащиты семьи, поэтому регистрируйтесь на вебинар и готовьте вопросы для спикеров. Реклама. Информация о рекламодателе

😈 Угрозы инфраструктуры с Linux. Разбираем попытки атак Небо голубое, вода мокрая, а Linux — самая защищенная операционная система. С этим не поспоришь. В систему встроено много функций, которые работают на ее безопасность. Ограничение прав доступа — в их числе. К тому же на страже Linux стоит крепкое сообщество пользователей. Они регулярно тестируют систему на уязвимости и выпускают патчи. — Однако утверждать, что защита здесь работает на 100%, нельзя. В этой статье мы расскажем, почему, как и кто атакует компании, использующие Linux и каким образом можно отследить попытки атак, на примере сработавших сигнатур в NGFW. 🗣 Ссылка на чтиво #Linux #Infrastructure #NGFW | 🧑‍💻 Этичный хакер

😈 Apple удалила 25 VPN из российского App Store по требованию РКН Представители РКН сообщили СМИ, что по требованию ведомства компания Apple заблокировала в App Store на территории РФ 25 приложений различных VPN-сервисов.

«С 1 марта 2024 года в России действует запрет на распространение в сети информации, которая рекламирует или популяризирует средства обхода блокировок для доступа к противоправному контенту. По требованиям Роскомнадзора компания Apple заблокировала 25 мобильных приложений VPN-сервисов, размещенных в российском App Store», — сообщили в пресс-службе РКН.

— Информацию об удалении из российского App Store уже подтвердили разработчики Le VPN; Red Shield VPN; Proton VPN; NordVPN а также в числе удалённых были Planet VPN, Hidemy.Name VPN и PIA VPN. ❗️ Напомним, что ранее похожие требования по удалению VPN-расширений получили от Роскомнадзора разработчики браузеров Google, Opera и Firefox. #News #VPN #AppStore #IOS | 🧑‍💻 Этичный хакер

😈 Forensics: подборка инструментов для Mac OS Форензика — прикладная наука о раскрытии преступлений, связанных с компьютерной информацией, об исследовании цифровых доказательств, методах поиска, получения и закрепления таких доказательств. — В этом посте рассмотрим популярные инструменты для проведения криминалистического анализа Mac OS. 1. Audit: утилита для вывода аудита и журналов OS X. 2. IORegInfo: утилита для отображении информации по подключенным к компьютеру устройствам (SATA, USB и FireWire, программные RAID-массивы). - Может определять информацию раздела, включая размеры, типы и шину, к которой подключено устройство. 3. FTK Imager CLI for Mac OS: консольная версия для Mac OS утилиты FTK Imager. 4. Disk Arbitrator: блокирует монтирование файловых систем, дополняя блокиратор записи при отключении арбитража диска. 5. mac_apt: утилита для работы с образами E01, DD, DMG. #Forensics #Encryption | 🧑‍💻 Этичный хакер

😈 Рекордная DDoS-атака мощностью 840 млн. пакетов в секунду OVHcloud, один из крупнейших поставщиков облачных услуг в Европе, сообщил, что в начале 2024 года они отразили рекордную DDoS, мощность которой достигла 840 млн пакетов в секунду (Mpps). За этой атакой стоял ботнет из устройств MikroTik.

— Анализ нескольких таких атак выявил, что злоумышленники опираются на устройства Mikrotik, которые делают атаки более мощными и сложными для обнаружения и блокирования.

❗️ Напомним, что в прошлом именно устройства MikroTik использовались для создания нашумевшего ботнета Mēris, который ата­ковал «Яндекс», «Хабр» и мно­жес­тво дру­гих сай­тов и ком­паний в 2021 году. #News #DDoS #Mikrotik | 🧑‍💻 Этичный хакер

Как стать Пентестером (Белым Хакером) за 4 месяца? 🧙‍♀️ Об этом расскажут аж на 3-х бесплатных уроках от Merion Academy! Забирай целый набор из бесплатных полезностей: 📍3 бесплатных урока, где вы узнаете, кто такой пентестер и чем он занимается, развернете собственную виртуальную лабораторию пентестера, где вместе с ментором разберете на практике пентест. 📍 В дополнение бесплатный интенсив по развитию карьеры, где HR-эксперты расскажут лайфхаки, как создавать сильные резюме и проходить собеседования, так, чтобы вас взяли на работу. 📍Курс по английскому для IT в подарок. 👉 Регистрируйтесь по ссылке чтобы забирать бесплатные уроки, интенсив по карьере и гайд. Что еще важно знать: 1. У ребят одна из самых доступных цен, которая в 4-5 раз ниже, чем в других известных школах, но качество обучения на том же уровне. Это достигается за счет того, что в Мерионе не тратят миллионы на продвижение, а рекламируются только на собственных ресурсах и в тематических телеграм-каналах. Кроме этого у них также отсутствуют расходы на младших менторов, которые в большинстве онлайн-платформах представляются вам как "персональный ментор-преподаватель", но на самом деле являются просто бывшими студентами этих же курсов. 2. Есть возможность опции оплаты через сервис "Яндекс-Долями", т.е. учиться сразу, но платить по чуть-чуть. Merion Academy – это экосистема доступного образования, которая включает в себя: Youtube-канал, где простыми словами говорят о сложных вещах. IT-академию, где обучат востребованным направлениям по самым доступным ценам. IT-базу знаний с полезными статьями

😈 Австралиец арестован за атаку Evil Twin в самолёте Австралийская полиция задержала мужчину, который совершал атаки типа Evil Twin на различных внутренних рейсах и в аэропортах Перта, Мельбурна и Аделаиды. Таким способом он «угонял» чужую электронную почту и собирал учетные данные от социальных сетей. — В ручной клади нашли «портативное устройство беспроводного доступа, ноутбук и мобильный телефон». После этого, получив ордер, полицейские провели обыск в доме 42-летнего подозреваемого, а затем арестовали его и предъявили обвинения.

Термином Evil Twin обозначают Wi-Fi атаки, в ходе которых вредоносная или фальшивая точка доступа использует тот же SSID, что и легитимная сеть в определенной зоне.

❗️ Например, на многих авиарейсах пассажирам предлагается бортовой Wi-Fi, и для этого нужно подключиться к Wi-Fi сети авиакомпании. В данном случае преступник имитировал сеть авиакомпании, создавая другую сеть с таким же SSID, которую полностью контролировал. #News #EvilTwin #WiFi #Crime | 🧑‍💻 Этичный хакер

😈 Linux: подборка ОС для атак и защиты (ч.2) Многие из вас в поисках дистрибутива для хакинга и пентеста, в этом посте расскажем о первоклассных, незаменимых для компьютерной криминалистики и тестирования на проникновение. 1. BlackArch: BlackArch выделяется огромной библиотекой специализированных приложений. Сейчас репозиторий проекта содержит 2812 инструментов, а его изучение может занять не один день. 2. Fedora Security Lab: Разработчики Fedora поддерживают много специализированных дистрибутивов, есть среди них и сборка для безопасников. По словам Йорга Саймона, создателя Fedora Security Lab, эта версия ОС появилась как учебная и демонстрационная платформа для проведения лекций по ИБ. 3. SIFT Workstation: SANS Investigative Forensic Toolkit — дистрибутив для цифровой криминалистики, созданный Робом Ли в 2007 году для курса SANS FOR508. С тех пор многие обучающие курсы SANS ориентированы на его использование. SIFT Workstation поддерживает 14 криминалистических форматов доказательств от AFF до qcow. 4. CSI LINUX: Представляет собой нечто среднее между Tsurugi и SIFT Workstation. Этот дистрибутив вобрал в себя более более 175 инструментов для киберрасследований, форензики, сбора и фиксации доказательств. 5. Security Onion: Платформа для мониторинга сетевой безопасности, управления журналами и поиска угроз в корпоративных сетях. Позволяет быстро развернуть наблюдение и собирать оповещения с сотен сетевых узлов и анализировать полученные данные. — Включает в себя такие инструменты, как: Elasticsearch, Logstash, Kibana, Stenographer, CyberChef, NetworkMiner, Suricata, Zeek, Wazuh, Elastic Stack и др. ‼ Если понравилась подборка, изучите и другие ОС под разные задачи, а также — ждём фидбек: - Linux: подборка ОС для атак и защиты - Linux: подборка ОС для личной кибербезопасности #Linux #Distribution #BlueTeam #RedTeam | 🧑‍💻 Этичный хакер

😈 Уязвимости Emerson ставят под удар целые отрасли Были раскрыты детали уязвимостей, обнаруженных в газовых хроматографах производства Emerson, которые могут остановить пищевую промышленность и нарушить лабораторные исследования крови в больницах.

Газовый хроматограф — это прибор для химического анализа, который измеряет содержание различных компонентов в пробе. Такие устройства используются в больницах для анализа крови и в экологических лабораториях для измерения загрязнения воздуха.

1. CVE-2023-46687 (оценка CVSS: 9.8) – позволяет неаутентифицированному злоумышленнику с доступом к сети удаленно выполнять произвольные команды с правами root; 2. CVE-2023-49716 (оценка CVSS: 9.8) – позволяет аутентифицированному атакующему с доступом к сети запускать удаленный код; 3. CVE-2023-51761 (оценка CVSS: 8.3) – позволяет неаутентифицированному пользователю с доступом к сети обойти аутентификацию и получить права администратора; 4. CVE-2023-43609 (оценка CVSS: 9.1) – позволяет неаутентифицированному киберпреступнику получать конфиденциальную информацию или вызывать состояние отказа в обслуживании (DoS); ❗️ Компрометация таких устройств может оказать огромное влияние на различные отрасли: нарушение производственных цепочек, ошибки в тестировании крови и др. образцов пациентов. #News #CVE | 🧑‍💻 Этичный хакер

❓ Вы ждали и спрашивали, когда же записи докладов с киберфестиваля PHDays Fest 2 появятся на нашем YouTube-канале Мы не теряли времени и выкладывали сотни гигабайтов и часов видео. Они распределены по трекам и темам для того, чтобы было удобнее искать и смотреть то, что нужно именно вам 😊 ⬇️Делимся ссылками на плейлисты ⬇️ 👀 Для всех • Научпоп • Lifestyle 🛡 Кибербезопасность: • Offense • Defense • AI Track • Blockchain • Fast Track • Community • Evasion • Международный • Standoff 🧑‍💻 Разработка: • General Development • Secure Development • Team Lead • Data Engineering • Languages and tools • Python • Platform Engineering 💰 Бизнес: • Государство • Школа CISO • Архитектура ИБ • SOC будущего • Кибербез с разных сторон • День инвестора Positive Technologies • Big Boss • Партнерский • Вместе • HR-трек • Кибербез: с чего начать Смотрите сами и делитесь ссылками с теми, кому будет интересно! #PHD2

😈 Захват сетевой инфраструктуры: история пентеста финансовой организации В этом посте речь пойдёт о том, как сломанная логика, самописные сервисы и графические пароли могут привести к захвату сетевой инфраструктуры компании, полной потере денег и пользовательских данных. — Это реальная история. События, о которых рассказывается в посте, произошли не так уж давно. По просьбе юристов названия были изменены. Из уважения к читателям все рассказано так, как было на самом деле. 🗣 Ссылка на чтиво #Пентест #OWASP #SE | 🧑‍💻 Этичный хакер

😈 LockBit не взламывала ФРС США, пострадал лишь небольшой банк Арканзаса 23 июня LockBit заявила о взломе Федеральной резервной системы (ФРС) США, выполняющей функции центрального банка страны. LockBit писали, что похитили 33 ТБ конфиденциальной банковской информации американцев, и переговоры о выкупе еще продолжаются, так как им предложили всего 50 000 долларов за непубликацию данных. — Так как о выкупе договориться явно не удалось, группировка начала сливать якобы украденную ФРС информацию на своем сайте в даркнете. И тут выяснилось, что объектом атаки была вовсе не ФРС, а небольшая финансовая организация из Арканзаса 😂 #News #LockBit #Leaks | 🧑‍💻 Этичный хакер

😈 0day-эксплойт для Chrome выставлен на продажу за $1 000 000 Вчера на одном из киберпреступных форумов на продажу был выставлен эксплойт для zero-day уязвимости в Google Chrome, позволяющий, со слов «ctf», выйти за пределы песочницы браузера и выполнить вредоносный код на компьютере пользователя. — По заверениям «ctf», работа эксплойта была успешно протестирована в версиях Chrome 126.0.6478.126 и 126.0.6478.127, запущенных в Windows 10 21H1 и 21H2. Однако, есть вероятность, что успешная эксплуатация возможна и в других версиях браузера, на иных версиях Windows. #News #Chrome #0day #RCE | 🧑‍💻 Этичный хакер

👨‍💻Готовы стать джедаем визуализации событий безопасности? 9 июля в 20:00 мск открывается дверь в мир виртуозных дашбордов и отчётов в SIEM! ✔️Что ждет вас на открытом уроке: - разработка интуитивно понятных дашбордов и отчётов в области информационной безопасности с использованием Python, JavaScript и ресурсов SIEM; - погружение в мир визуализации данных в SIEM: отчёты, графики, аналитика; - применение знаний на практике. 🚩Кому будет полезен вебинар:- специалистам по информационной безопасности, желающим выйти на новый уровень экспертизы;- действующим аналитикам и администраторам SIEM, стремящимся улучшить качество своей работы. Встречаемся в преддверии старта курса «Специалист по внедрению SIEM». Все участники вебинара получат специальную цену на обучение и несколько открытых уроков курса. Регистрируйтесь тут:  https://clck.ru/3BVLUR  Реклама. ООО "ОТУС ОНЛАЙН-ОБРАЗОВАНИЕ". ИНН 9705100963.