Лаборатория хакера

Прямой эфир «Внедрение IdM в крупных компаниях. Ключи эффективности от Solar inRights». 29 мая в 12:00 специалисты ГК «Cолар» расскажут о решениях, которые помогли крупным компаниям улучшить процессы управления доступом. На эфире обсудим типичные сложности и специфические аспекты при внедрении IdM и продемонстрируем новые возможности Solar inRights 3.4. На эфире вы узнаете: • Почему управление доступом занимает важное место в стратегии ИБ • Лучшие практики и нюансы внедрения IdM в крупных компаниях • Какой должна быть современная IdM-система • Увидите ключевые обновления в Solar inRights 3.4 Присоединяйтесь, будет полезно и интересно! Зарегистрироваться -> Реклама. ООО "РТК ИБ". ИНН 7704356648.

🖥 Репозиторий: Netstat — сетевая аналитика Netstat — это утилита командной строки, предназначенная для отображения сетевой статистики и информации о сетевых соединениях на компьютере. — Данный инструмент отображает активные сетевые соединения. Он позволяет просматривать список всех активных сетевых соединений на компьютере, включая информацию о локальном и удаленном IP-адресе, используемом порту и т.д. ⏺ Ссылка на GitHub #Network #TCP #UDP

🖥 smxi — управление Debian дистрибутивами smxi - инструмент командной строки для управления дистрибутивами Linux на основе Debian (кроме Ubuntu подобных) Каковы возможности данного инструмента: - Автоматическая установка драйверов GPU вместе с необходимыми патчами - Установка программного обеспечения - Удаление любого данного программного обеспечения - Очистка системы - Управление и развертывание обновлений системы Обновления ядра / обновления модуля ядра ⏺ Ссылка на GitHub #Debian #Tools

Как защитить веб-приложения в облаке от сетевых атак? Теперь пользователи Yandex Cloud могут защитить свои веб-приложения от сетевых атак с помощью межсетевого экрана (WAF). Новая функция доступна в сервисе Smart Web Security, который также защищает инфраструктуру клиентов от DDoS-атак. WAF автоматически блокирует попытки злоумышленников использовать уязвимости веб-приложений, в том числе входящие в международный рейтинг основных угроз безопасности OWASP TOP-10. Сервис Smart Web Security разработан на основе «Антиробота» — внутренней технологии Яндекса, которая ежегодно отбивает рекордные DDoS-атаки на все сервисы компании. Это позволяет блокировать самые сложные атаки злоумышленников на уровне L7 по классификации OSI (Open Systems Interconnection model). Узнать о сервисе подробнее можно здесь.

🖥 Nginxpwner — поиск уязвимостей Nginx Nginxpwner - это крайне простой в использовании инструмент для поиска распространенных неправильных конфигураций и уязвимостей Nginx. ⏺ Ссылка на GitHub #Nginx #Recon

Заместитель главы Минцифры России Александр Шойтов и гендиректор ГК «Солар» Игорь Ляпунов в рамках ЦИПР объявили победителей третьего Международного киберчемпионата по информационной безопасности Лидером соревнований стала команда NLMK_SOC (Россия🇷🇺), которая за время решающей битвы не потеряла ни одного балла из 2024. 2 место досталось команде Sink_Hole_Security (Россия🇷🇺). Она завершила соревнование с 2022 баллами. 3 место заняла команда ТуркменТелеком (Туркменистан🇹🇲), которая пришла к финишу с 2015 баллами. Все три команды получили сертификаты и лицензии на ИБ-решения от организатора чемпионата, ГК «Солар», а также партнеров - «Лаборатории Касперского» и «Кода безопасности». Команда, занявшая первая место, забирает кубок победителя и сможет бесплатно пройти учения на киберполигоне «Солара»🏆 Как проходил третий Международный киберчемпионат? 🌍Было получено более 180 заявок из 21 страны; 📌Из них в отборочном этапе приняли участие 40 команд из 19 стран; 🏅В финале соревновались 7 команд из России, Туркменистана и Мьянмы; 🛡Решающая битва проходила в формате Red vs Blue. Роль белых хакеров («красных» команд) выполняли специально подготовленные специалисты, а сами финалисты защищали критически важные объекты от их атак в составе «синих» команд. Реклама. ООО "РТК ИБ" ИНН: 7704356648. erid: 2Vtzqxf5pjm

🖥 Репозиторий: Bulk Extractor — инструмент компьютерной криминалистики Bulk Extractor — это мощный инструмент для извлечения информации из различных типов файлов, который нашел широкое применение в области цифрового расследования. — Данный инструмент предоставляет возможность извлекать метаданные, адреса электронной почты, URL-адреса и другие данные из файлов любого формата. ⏺ Ссылка на GitHub #Forensics #metadata

За последние три года на сектор промышленности было совершено около 600 тыс. попыток кибератак Каждая третья атака была связана со шпионажем, выяснили эксперты ГК «Солар» Такие инциденты на промпредприятиях зафиксировал центр противодействия кибератакам Solar JSOC: 📌Попытки подбора пароля (брутфорс) в том числе от критичных систем; 📌Административный доступ за пределы сети (указывает на использование средств ОС для удаленного доступа); 📌Блокировки учетных записей (говорят о множественных попытках брутфорса).   Еще несколько фактов об атаках на отрасль: 🔴Из всех организаций, в инфраструктуре которых уже обнаружены вирусы, на промышленность и телеком приходится 35%; 🔴В среднем ВПО «сидит» в инфраструктуре промышленных компаний 12 месяцев (год назад этот срок составлял 8 месяцев); 🔴Большинство обнаруженных уязвимостей связано со слабой парольной политикой и недостатками в контроле доступа. Как хакеры атакуют одну из ключевых отраслей страны и какие киберугрозы наиболее актуальны для промышленности, читайте в новом отчете ГК «Солар». Реклама. ООО "РТК ИБ" ИНН: 7704356648. erid: 2VtzqubF5nS

🖥 Репозиторий: Nesca — сканирование сети Nesca — это сканер, предназначенный для совместной работы по сканированию сети для обнаружения различных устройств. Он имеет стильный «хакерский» графический интерфейс, который придает ему элитный вид. — Данный инструмент позволяет легко и быстро сканировать различные диапазоны адресов, и диапазоны доменных имен (DNS-режим), настраивая количество потоков, таймауты и проверяемые порты. ⏺ Ссылка на GitHub #Network

🙋🏻‍♂️Есть еще желающие эффективно и быстро овладеть основными подходами и практиками безопасной разработки? Приглашаем на трек «Специалист по безопасной разработке приложений» CyberEd c 23 мая! В ходе трека последовательно разберем 3️⃣ основных этапа становления эксперта Secure Application Development: 1️⃣ Знакомство с основами безопасной разработки и эталонной моделью продуктовой безопасности. Рассмотрим подходы SDL, SDLc, DevOps, DevSecOps, QA-тестирование, основные угрозы. 2️⃣ Создание безопасного окружения приложений. Изучим инструменты оркестрации и контейнеризации (Docker, Kubernetes), безопасные конфигурации технологий окружения, автоматизацию развертывания с использованием vagrant и ansible, работу с Nginx, AWS IAM. 3️⃣ Защита ключевых этапов продуктовой разработки в рамках SSDLc-подхода. Создадим Security Pipeline на основе GitLab, научимся применять инструменты DAST, SAST, SCA в CI/CD. Непременно поговорим о наболевшем безопасности ПО в цепочках поставок, защите облачных сред, динамическом и фаззинг-тестировании – будет интересно👍 ➡️ Узнать больше и записаться 💿 Занятия по вечерам 2 раза в неделю (с записью) ⚖️ 70% обучения - практика «без воды» 🕓 250 ак. часов. Диплом. От простого разработчика приложений до Security Champion за 3 месяца – легко с CyberEd! Реклама. ОАНО ДПО «ВЫШТЕХ». ИНН: 7703434727. Erid: 2VtzqvmpC9R

🖥 Репозиторий: APIClarity — анализ API APIClarity — это инструмент, который обеспечивает мониторинг и анализ API для выявления потенциальных угроз безопасности. Он также предоставляет специализированные модули для анализа запросов и проверки соответствия обработки API спецификации, включая BOLA (Broken Object Level Authorizations) и BFLA (Broken Function Level Authorization) проверки. — Данный инструмент помогает обнаруживать и устранять уязвимости в API, обеспечивая более высокий уровень безопасности и защиты данных. Инструмент так же имеет модуль Fuzzer для тестирования конечных точек API. ⏺ Ссылка на GitHub #API #Fuzzing

Курс-бестселлер "Тестирование веб-приложений на проникновение (WAPT)" стартует 3 июня. Это на 100% практический курс по пентесту, где вы руками попробуете изученные техники взлома. Лаборатория содержит 65 рабочих + 16 экзаменационных тасков. ЧТО ВНУТРИ КУРСА: - нахождение и эксплуатация всех актуальных типов уязвимостей, активный/пассивный фаззинг - использование техник: SQL Injection и CMD Injection, Cross Site Scripting, PHP injection, Server Side Template injection - применение техник повышения привилегий - разбор и практика выполнения Client-side атак (XSS, CSRF) ВЫ ПОЛУЧИТЕ: - практические навыки как в рабочих задачах, так и в Bug Bounty - сертификат/удостоверение о повышении квалификации - трудоустройство/стажировка для лучших выпускников ЧТО ЗА АКАДЕМИЯ КОДЕБАЙ?  🥇 The Codeby, топ-1 команда по этичному хакингу, пятикратный чемпион the Standoff 2019 — 2023 🤝 Крупнейшее сообщество и форум по информационной безопасности с 2003 Пишите нам @Codeby_Academy или звоните +74994441750

Хотите узнать о технологиях в Яндексе? Слушайте I like techno 🔥 I like techno — подкаст про технологии от Яндекс Еды, Лавки, Такси, Маркета, Доставки и Техплатформы Екома и Райдтеха. В выпусках эксперты рассказывают, что стоит за простыми приложениями в гаджетах, и говорят о бизнесе, продукте и людях, которые создают технологии. В первых двух эпизодах обсудили технологии в Яндекс Еде и Лавке и продуктовую разработку в Такси и Самокатах. Узнайте подробнее на сайте подкаста и переходите слушать на YouTube и Яндекс Музыку! 🎧

🖥 Репозиторий: BrowserBruter — инструмент фаззинга BrowserBruter — это инструмент автоматизации веб-форм. Основанный на Python, этот инструмент использует Selenium и Selenium-Wire для автоматизации размытия веб-форм, что значительно упрощает обнаружение потенциальных уязвимостей в веб-приложениях. — Данный инструмент упрощает процесс отправки полезной нагрузки в поля ввода браузера и передачи их на сервер, что упрощает находить уязвимости в полях. ⏺ Ссылка на GitHub #Fuzzing #Burp

⚡️Разыгрываем новые книги по информационной безопасности и этичному хакингу (в бумажном варианте): - Black Hat Python: программирование для хакеров и пентестеров. - Хакерство. Физические атаки с использованием хакерских устройств. - Kali Linux в действии. Аудит безопасности информационных систем. - Контролируемый взлом. Библия социальной инженерии. - Хакерство. Секреты мастерства. - Компьютер глазами хакера. - Командная строка Linux. - Современный PowerShell. • Всего будет 10 призовых мест, а победители смогут выбрать любую понравившуюся книгу из списка выше. Итоги подведем ровно через неделю (25.05 в 19:00) при помощи бота который рандомно выберет победителя. Для участия нужно: 1. Быть подписанным на наш канал @infosec_globe; 2. Подписаться на канал моих друзей @it_secur; 3. Нажать на кнопку «Участвовать».   Учитывайте, что бот может немного подвиснуть — не переживайте, просто нажмите еще раз на кнопку «Участвовать». #Конкурс

🖥 Репозиторий: FlashPaper — анонимный обмен данными FlashPaper — это безопасное web-приложение для обмена паролями и секретами с нулевым разглашением, которое отличается простотой использования и высоким уровнем безопасности. Для его работы не требуется сложная настройка или база данных, что делает процесс установки легким и быстрым. — Данный инструмент обеспечивает безопасность путем генерации случайных ключей, хеширования текста с помощью bcrypt и шифрования передаваемых данных. ⏺ Ссылка на GitHub #Crypt #Share

Python и 1000 программ — про Python с нуля. ➖Создаём Telegram-бота с нуля на Python ➖Парсинг сайтов на Python ➖Как сделать 3D Игру на Python с Нуля [ Pygame ] ➖Продвинутая разработка на Python 54 русскоязычные книги, 32 видеокурса, 68 шпаргалок — для изучающих Python

🖥 Репозиторий: Pwndb — инструмент для поиска email-адресов Pwndb — это инструмент, который предназначен для поиска утечек данных и скомпрометированных аккаунтов в интернете. Он обеспечивает возможность быстрого поиска информации о пользователях, которые могли попасть в базы данных. — Данный инструмент консольный, и предназначен для поиска по различным категориям данных, таким как электронные адреса, пароли, имена пользователей и другие личные данные. ⏺ Ссылка на GitHub #OSINT #Email

Специалисты по информационной безопасности тут? Вас уже ждут в Тинькофф! Безопасность — часть нашего бизнеса, поэтому мы создаем продукты, следуя принципу Security by Design. Мы открыты и защищаем не только себя, но и партнеров. Наша команда болеет за безопасность, использует смелые решения и применяет нестандартные подходы. Если вы готовы добиваться результата с нами, ждем вас в команде! Откликайтесь на вакансию, а компания не только обеспечит комфортные условия для работы, но и даст возможность воплотить свои идеи в больших ИТ-проектах Реклама. АО «Тинькофф Банк», ИНН 7710140679