Этичный Хакер

😈 Расширения Burp Suite, которые помогут в пентесте J2EE J2EE (Java 2 Enterprise Edition) — комплекс взаимодействующих объектно-ориентированных технологий, который можно рассматривать как платформу для разработки бизнес-приложений на основе использования языка Java. В этой статье рассмотрим 5 расширений Burp Suite для пентеста J2EE на наличие скрытых параметров и наличие проблем с авторизацией. 🗣 Ссылка на чтиво #BurpSuite #Web #Java | 💀 Этичный хакер

На Хабре вышла статья, в которой автор рассказывает о неполадках в процессе отладки программного обеспечения и о том, как уязвимость в программе WinDbg может быть использована для атак на разработчиков. Автор заметил этот потенциальный способ атаки еще в 2016 году, когда занимался разработкой под операционной системой Windows. В процессе разработки программного продукта важной частью является его поддержка, которые могут возникнуть у конечных пользователей.

👩‍💻 ТОП-5 методов, которые используют для взлома аккаунтов 1. MITM (Атака: "Человек посередине"): Этот тип атаки происходит, когда хакер крадет и изменяет конфиденциальную связь между отправителем и получателем. Пользователь может полагать, что он общается с пользователем, но все общение проходит через хакера, который может изменить их общение без их ведома. 2. Фишинг атака: В ходе этой атаки хакер создает поддельную страницу входа в соц. сети, которая выглядит подлинной, и распространяет ее среди жертв, чтобы получить логин с поддельного сайта. Когда жертва вводит свои данные, они автоматически перенаправляются к злоумышленникам. Это наиболее эффективная стратегия, поскольку многие пользователи не в состоянии отличить настоящие страницы входа от мошеннических. 3. DNS спуфинг или Cache Poisoning Attack: это тип вредоносной атаки, при которой пользователь вынужден перейти на поддельную страницу веб-сайта, замаскированную под подлинную, с целью перенаправления трафика или кражи учетных данных пользователей. 4. Cookie Hijacking: тип вредоносной атаки, когда пользователь входит в онлайн-учетную запись, сервер отправляет обратно сеансовый cookie, идентифицирующий пользователя на сервере. Хакер крадет токен сеанса и использует его для получения доступа к учетной записи пользователя. 5. Кейлоггинг: вредоносное ПО для отслеживания расположения клавиш на клавиатуре, набираемых пользователем. После этого программа мгновенно генерирует файл, содержащий этот шаблон ключа, и отправляет его на хост. #Web | 💀 Этичный хакер

​ТОП-8 инструментов для пентеста Мы собрали 8 полезных инструментов, которые широко используются пентестерами по всему миру, помогают находить бреши в безопасности и своевременно их устранять. - Для удобства мы разделили их на 3 категории: Брутфорсеры, сканеры сетей и анализаторы трафика: Брутфорсеры: 1. John the Ripper - инструмент, который используется для аудита паролей. Данный инструмент хорошо зарекомендовал себя в сфере пентеста. Программа поддерживает сразу несколько вариантов атак: - перебором по словарю; - полным перебором (брутфорс); - гибридным способом. 2. THC-Hydra - Простой в использовании многофункциональный брутфорс паролей, который завоевал популярность среди пентестеров по всему миру. Hydra поддерживает большое количество служб, отличается высокой скоростью работы, надёжностью и открытым исходным кодом. 3. RainbowCrack - Популярный взломщик хешей, который характеризуется высокой скоростью работы. Отличается от многих брутфорсов способом взлома: вместо грубого перебора комбинаций с вычислением и сравнением хеша с искомым значением, RainbowCrack сравнивает хеш со значениями из предкалькулированной таблицы. — То есть время тратится только на сравнение, что способствует быстрому получению результата. Сканеры сетей: 4. Nmap - утилита для сканирования и аудита безопасности сетей. Инструмент широко используется для сканирования узлов, получения списка открытых портов, сканирования запущенных сервисов и идентификации хостов в сети. 5. ZMap - инструмент изначально создавался как более быстрая альтернатива Nmap для сканирования всей сети, а не отдельных фрагментов. Чтобы добиться скорости в 1,4 млн пакетов в секунду, достаточно обычного компьютера с гигабитным соединением. (высокая нагрузка, которая способна вывести из строя сетевое оборудование, аккуратней) 6. Masscan - Ещё один массовый асинхронный сканер, который работает со скоростью до 25 млн пакетов в секунду. Полезен для сканирования огромных сетей, таких как Интернет. Анализаторы трафика: 7. tcpdump - сниффер с интерфейсом командной строки, с которым можно посмотреть, какие пакеты проходят через сетевую карту в данный момент. - Чаще всего используется для отладки сети и в учебных целях, но возможности утилиты также позволяют проводить сетевые атаки и выявлять сканирование хоста. 8. mitmproxy - утилита для отладки, тестирования, оценки уровня конфиденциальности и тестирования на проникновение. С mitmproxy можно перехватывать, проверять, изменять и воспроизводить поток HTTP-трафика. - Благодаря такой функциональности утилита широко используется не только хакерами и пентестерами, но также разработчиками веб-приложений для их своевременной отладки. #Web #pentest | 💀 Этичный хакер

😈 OFFZONE: Эволюция антифрода Доклад будет посвящен эволюции мошеннических схем и технологий противодействия им с использованием международных статистических данных, актуальной информации об атаках на устройства самообслуживания и мошеннических схемах, использующих методы социальной инженерии. Спикер приведет примеры инцидентов, которые происходили в РФ и некоторых странах Европы. #antifraud #se | 💀 Этичный хакер

❤️ RubyRussia 2023 - Online 🗓 Один день, 14 новейших докладов, запись в 4К - всё это RubyRussia’23. В конце сентября мы соберём рубистов со всей России и ближнего зарубежья, чтобы с ведущими разработчиками обсудить будущее нашего любимого языка и всего, что построено вокруг него. Программу конфереции можете посмотреть в нашем телеграм канале. Так же мы проводим митапы по: — Golang — Python — Frontend — DevOps — Flutter ✅ Подписывайтесь на наш канал с анонсами митапов!

😈 OFFZONE: Как скрыть свои действия, когда отслеживается каждый шаг Современные инструменты безопасности все чаще используют технологию eBPF для мониторинга происходящих на хостах событий. Кажется, что предоставляемые ею возможности наделяют команды защиты способностью видеть все и вся и своевременно предотвращать малейшие попытки компрометации. Или же нет? — В своем докладе Иван (AppSec-инженер) рассмотрит сильные и слабые стороны технологии eBPF для задач безопасности, а также возможные методы сокрытия своих действий на примере существующих eBPF‑based-инструментов безопасности. #eBPF #infosec | 💀 Этичный хакер

Python и 1000 программ — про Python с нуля. ➖Создаём Telegram-бота с нуля на Python ➖Парсинг сайтов на Python ➖Как сделать 3D Игру на Python с Нуля [ Pygame ] ➖Продвинутая разработка на Python 54 русскоязычные книги, 32 видеокурса, 68 шпаргалок — для изучающих Python

👩‍💻 Защита API - что необходимо знать? API - это контракт, который предоставляет программа. «Ко мне можно обращаться так и так, я обязуюсь делать то и это». В фундаменте каждой информационной защиты лежит глубокое понимание технологии целевой системы. В этой статье речь пойдет о защите API (Application Programming Interface) — важнейшего набора функций для каждого программиста. 🗣 Ссылка на чтиво #Web #API | 💀 Этичный хакер

🧑‍💻 Хотите прокачать свои знания в области кибербезопасности и получить востребованную ИТ-профессию? Специально для вас 2 октября стартует программа профессиональной переподготовки, разработанная Центром информационной безопасности Дальневосточного федерального университета совместно с экспертным центром безопасности Positive Technologies (PT Expert Security Center). 🔐В ходе обучения вы погрузитесь в теоретическую часть и отработаете практические навыки: ✔️ администрирования домена Windows; ✔️ работы с ОС Linux; ✔️ настройки корпоративной сети; ✔️ тестирования компьютерных систем и приложений на проникновение. ⏱ Курс будет длиться 12 недель. Можно выбрать как очный, так и дистанционный формат обучения. 📄 При успешной сдаче демо-экзамена вы получите диплом о профессиональной переподготовке установленного образца. 💯 В случае 100% выполнения всех практических заданий вы получите сертификат Positive Technologies. 🏃Регистрация на очередной набор открыта до 28 сентября, успейте записаться!

🔍 Bug Bounty: Разведка превыше всего Рекогносцировка - это процесс сбора информации о целевой системе с целью выявления потенциальных уязвимостей. Это важный шаг в процессе поиска багов и может помочь выявить уязвимости, которые могут быть незаметны другими способами. В этой статье поделюсь с вами целым багажом утилит разной направленности и некоторыми ценными сведениями о разведке, как об одном из самых важных аспектов, которыми должен овладеть охотник за баунти. 🗣 Ссылка на чтиво #BugBounty #Recon #redteam | 💀 Этичный хакер

Всем привет, на связи админ. Сегодня телега выкатила обнову, в которой подписчики с premium подпиской могут отдать свой голос одному из любимых каналов. Так вот, если на этом канале наберется 250 голосов, мы с командой бесплатно выложим 5 крутых курсов по хакингу. Проголосовать можно тут https://t.me/hack_less?boost

📶 Gigachat — доступен в телеграме ИИ от Сбера стал доступен в мессенджере через бота официального @gigachat_bot. — GigaChat для телеграма обладает теми же функциями, что и браузерная версия. Нейросеть создана для выполнения задач с текстовыми промтами и не только. Благодаря интеграции в телеграм GigaChat можно добавить в личный чат с друзьями и давать ему задачи не переключая вкладки. 🗣 Ссылка на GigaChat #GigaChat #Tools | 💀 Этичный хакер

👩‍💻 OFFZONE: Эксплуатация уязвимостей HTTP Request Splitting В своем докладе Сергей (старший специалист по анализу защищенности, «Лаборатория Касперского») расскажет об уязвимостях HTTP Request Splitting / CRLF Injection в проксировании HTTP‑запросов пользователя между веб‑серверами. — Будут освещены методы обнаружения подобных уязвимостей при автоматическом сканировании и варианты их эксплуатации на примере популярных багбаунти-программ #Web #HTTP #BugBounty | 💀 Этичный хакер

Уже 9 лет SOC-Forum! — главное событие в области информационной безопасности и место встречи топовых экспертов. 14-15 ноября форум пройдет в Центре международной торговли в Москве. Однако, он будет транслироваться и онлайн. В этом году добавили онлайн-поток с эксклюзивным контентом и расширили повестку, чтобы еще более детальнее осветить комплексную кибербезопасность. Жюри готовит насыщенную программу уже сейчас. Не пропусти 👉🏻 https://t.me/+v_nv0-IU6pg0ZDIy Реклама. ООО «РТК ИБ» Erid: 2VtzqxmMHPP

🔍 OSINT: поиск по никнейму — Ни для кого не секрет, что большинство людей используют одни и те же никнеймы на разных ресурсах. OSINT по никнейму — это процесс сбора и анализа информации о никнейме в сети, благодаря данному методу сбора мы можем построить цепочку всех упоминаний в интернете, будь то соц. сети и сайты. В этом посте подобрали мастхэв утилиты для автоматизированного поиска по никнеймам: 1. Sherlock — утилита, которая производит поиск по более чем 300 сайтов социальных сетей и проверяет, зарегистрирован ли там пользователь с указанным ником. 2. Enola — это ана­лог куда более широко извес­тно­го инс­тру­мен­та Sherlock. Авто­ры ути­литы гор­до наз­вали ее в честь сес­тры Шер­лока — Эно­лы Холмс. Этот вари­ант написан на Go и работа­ет нес­коль­ко быс­трее. 3. Blackbird — инструмент поиска по никнейму, предоставляет собой веб-интерфейс на локальном хосте для взаимодействия через браузер. В нём довольно понятно представлены сервисы, сайты и социальные сети в которых фигурирует искомый никнейм. Производит поиск 600 ресурсам. 4. OSINT-SAN Framework — творение от Bafomet, дает возможность быстро находить информацию и деанонимизировать пользователей сети интернет. Представляет собой фреймворк, в котором содержатся 22 функции на для поиска информации либо деанонимизации пользователей. 5. Snoop Project — один из самых перспективных OSINT-инструментов по поиску никнеймов. Он имеет в своей базе более 2500 сайтов в полной версии и 150+ в демо версии, большинство из которых находятся в RU сегменте. #OSINT #Web | 💀 Этичный хакер

В августе 2023 года ГК «Астра» сообщила о запуске Bug Bounty на площадке BI.ZONE. На сегодня это первая программа по поиску уязвимостей операционных систем в России. Компания готова платить не просто за найденные ошибки, а именно за реализацию недопустимых событий. Это подход, который в нашей стране еще почти никто не практиковал. Вендору важно выявить проблемы, которые могут привести к негативным последствиям в инфраструктуре клиентов. Спустя месяц компания готова подвести первые итоги - за отчетный период было получено несколько заявок, 3 из которых получили статус подтверждения обнаруженной уязвимости. «Белым» хакерам было выплачено вознаграждение, общая сумма которого составила 105 000 рублей. С подробной информацией о самой программе Bug Bounty можно ознакомиться здесь. Реклама. ООО "РусБИТех-Астра". ИНН 7726388700 erid: LjN8K8pMV

😈 SQL Injection: пособие для самых маленьких SQL-инъекция — уязвимость, которая позволяет атакующему использовать фрагмент вредоносного кода на языке структурированных запросов (SQL) для манипулирования базой данных и получения доступа к потенциально ценной информации. Атаки на основе таких уязвимостей – одни из самых распространенных и опасных: они могут быть нацелены на любое веб-приложение или веб-сайт, которые взаимодействуют с базой данных SQL (а подавляющее большинство баз данных реализованы именно на SQL). В этой статье вы узнаете, что такое SQL-инъекция и на что она способна. 🗣 Ссылка на чтиво #Web #SQL #Injection | 💀 Этичный хакер

SmartDev 2023 — большая конференция про технологии от Сбера 21 сентября в кинотеатре «Октябрь» пройдет технологическая конференция SmartDev 2023, организованная Сбером. На одной площадке соберутся ведущие инженеры и разработчики из Сбера, VK, Яндекса, Kaspersky и других компаний, чтобы обменяться опытом создания лучших технологических решений в мире. Основные темы конференции: – Машинное обучение и искусственный интеллект – Архитектура программных решений – DevOps – Работа с большими данными – Безопасность приложений – Инновации и стратегии в разработке ПО Помимо этого впервые в России можно услышать выступление генерального директора Gitee, китайского аналога GitHub.Yong Xu. Также участники конференции смогут задать вопросы создателям нашумевших проектов от Сбера — сервиса GigaChat и нейросети Kandinsky. Конференция соберёт 1500 участников в офлайне и несколько тысяч зрителей в онлайне. Участие бесплатное, подробности и регистрация — на сайте конференции.

😈 Pegasus Spyware: ПО для шпионажа политического уровня Израильское ПО от NSO Group, которое было замешено в различных скандалах мирового уровня, ПО часто использовали для слежки за журналистами, оппозиционными политиками и активистами. 🗣 Ссылка на чтиво #spy #trojan | 💀 Этичный хакер