Fsecurity | HH
Open in Telegram
Канал про ИБ Наш Discord: https://discord.gg/Eg8aDS7Hn7 Пожертвовать: > https://www.donationalerts.com/r/xackapb
Show more2 011
Subscribers
+224 hours
-17 days
-1030 days
Posts Archive
2 011
Всех девушек с 8 мартом🌷
Желаю счастья и здоровья!
P.s. парни.. не забудьте поздравить ;)
P.s. извиняюсь, что 23 забыл поздравить вас парни... 🫠
Всем всего наилучшего! 👾
2 011
Repost from Похек
🎁 Dev(Sec)Ops RoadMap как найти работу
#карьера #devsecops
В чате канала вчера спрашивали про roadmap для DevSecOps. Что нужно учить?
Пункт 1. Я считаю правильным ответом на данный вопрос всегда являлся и будет являться ответ: зайди на сайт с вакансиями, найди выбранную должность и прочитай 20-30 вакансий, выпиши повторяющиеся термины и изучи что это. Это применимо к любой стране и к любой должности, если вы конечно не выбираете учить то, чего ещё нет на рынке. В таком случае откуда вы об этом узнали, оттуда начинайте поиск информации о необходимых навыках.
Но мы же люди ленивые? Лично я, да. Все всегда хочется искать что-то самостоятельно, а найти готовый roadmap или mindmap, где за вас умные люди составили график, что вам нужно учить. В таком случае нашёл для Вас несколько интересных материалов:
А Вы точно уверены, что перед тем как стать DevSecOps, вы изучили инструменты DevOps и научились применять эти практики?▶️ Если нет, то возвращаемся к пункту 1, за красной таблеткой. Если же вы выбурили синюю таблетку, то вот мой ответ на вопрос: "Что нужно знать DevOps инженеру?" Управления версиями: Gitlab Инструменты CI/CD: Jenkins, Gitlab, (набирает популярность Agro CD) Оркестрация контейнеров: kubernetes, docker-compose (более редко необходим Docker Swarm, OpenShift) Автоматизация развертывания: Ansible, Terraform Языки программирования: Python, Bash, Go Хранение секретов: Vault Мониторинг: Prometheus, Grafana [ Zabbix пора отправить на покой ] Логгирование: ELK Если слова выше для вас не показались чем-то незнакомым или как говорит мой друг, "на эльфийском языке", то поздравляю, Вы DevOps инженер :) ▶️ Возвращаясь к теме поста, что нужно учить DevSecOps? Всё то, что знает DevOps и: Поиск секретов: GitGuardian, Gitleaks, truffleHog, DeepSecrets (последнее от моего знакомого Михаила из Avito Tech, у его инструмента не стандартный подход к поиску секретов) SCA: Snyk, Syft, Cdxgen, Trivy, Dependency Track SAST: Semgrep (много фолзит, использовать только вкупе с чем-то), Bearer, CodeQL, Spotbug, Terrascan DAST: OWASP ZAP, nuclei, Dastardly Container Security: Grype, Open Policy Agent, kube-hunter (активно не поддерживается), kube-bench , Falco, Tracee, Anchore (активно не поддерживается), Clair ⭐️ Как-то так. На самом деле список тулз у DevSecOps постоянно пополняются. И тем более приходится писать что-то под свои задачи. Надеюсь было полезно. Но DevSecOps
Также отдельное спасибо @belka_eОтмечу, что сейчас сам занимаюсь разработкой и по сути у меня нет коммерческого опыта ни в разработке, ни в DevSecOps. Так что узнаю всё по ходу выкладывания постов. Но большое спасибо коллегам, кто готов помогать мне! Выводы: 1. У нас очень мало DAST'ов опенсоурсных, да и коммерческих качественных рабочих решений тоже мало. 2. Простор для разработки коммерческих решений огромен, как и потенциал этой области. 3. DevOps не очень сложно обучиться, а вот DevSecOps уже даёт прикурить знатно, проверено на себе. 4. Методологии и инструменты DevSecOps мало где применяются, так что рынок ждёт новых решений и подходов. 5. Когда я слышал про заоблачные ЗП devsecops инженеров, думал что ситуация как с MLщиками и Data Science в своё время, но нет. Тут реально огромный пул знаний, который включает в себя ещё по меньшей мере appsec и даже пентест. ❤️ @poxek
2 011
Repost from Pentest HaT
🔄😉 BloodHound CE v5.7.1
Инструмент для выявления связей и построения графов в active directory. Достаточно одной учетной записи доменного пользователя. Необходимая вещь при пентесте 🏠 Windows среды.
Для сбора информации используется скрипт bloodhound.py
Установка:
curl -L https://ghst.ly/getbhce | docker compose -f - up
http://localhost:8080/ui/login
Логин admin и сгенерированный пароль
Сбор информации:
python3 bloodhound -u domain_user -p 'P@ss' -ns 10.0.0.1 -d contoso.com -c all --dns-tcp
В 💻 Kali устанавливается одной командой:
sudo apt install bloodhound.py
💻 Download
🔠 Docs
#bloodhound #pentest #active_directory #soft
✈️ // Pentest HaT 🎩2 011
Многие из вас не посмотрели эти ролики:
1. Что учить хакеру?
2. LockBit - самая популярная вымогательская банда в мире!
Я очень старался над этими роликами! Приятного просмотра ^-^
P.s. если несложно оставь комментарий
Available now! Telegram Research 2025 — the year's key insights 
