Rick Academy — Хакинг и Кибербезопасность

🪞 Шпаргалка по Linux командам на русском языке Бывает, что некоторые команды терминала Linux сложно вспомнить, и сохранение их на компьютере или на бумаге в качестве шпаргалки является хорошей практикой. Rick Academy 🫥 #обучение

🪞 Инструменты для автоматизации атак на JWT JWT (JSON Web Token) — это стандарт для создания токенов доступа, которые используются для аутентификации и авторизации в веб-приложениях. Однако, некорректная реализация и использование JWT может привести к различным уязвимостям и атакам. ➡️ Инструменты для автоматизации атаки на JWT ⏺ JWT Tool — это популярный инструмент Python, который позволяет проверять все виды атак, которыми может быть уязвимо веб-приложение. Включая тестовые случаи для некоторых известных CVE. ⏺ JWT Editor — это расширение Burpsuite, которое может помочь легко изменить JWTokens и быстро протестировать различные способы обхода. JWT Editor доступен в двух версиях: бесплатной и в платной версии Pro. ⏺ jwtXploiter — инструмент на Python, который поможет автоматизировать взлом JWT проверяя на соответствие всем известным CVE. Он поддерживает все виды JWT-атак, от простого взлома до выполнения атак с ключами с использованием самозаверяющих токенов! ⏺ JSON Web Tokens — это расширение Burpsuite, которое автоматизирует распространенные атаки JWT. Оно также предоставляет возможность быстро кодировать / декодировать и проверять токены! 🪞 Более подробно о JSON Web Tokens и инструментах можете прочитать здесь Rick Academy 🖕 #пентест

Rick Academy 😅 #юмор

🪞 Анализ изображений ⏺Почему анализ фотографий может понадобится? В некоторых случаях админы интернет-ресурсов оставляют фотографии на своем веб-сайте, но совсем забывают удалить метаданные и другие данные которые могут привести к их идентификации, кроме этого, хоть и крупные социальные сети удаляют следующие данные, мелкие сервисы могут и не удалять. Вот две одни из самых частых причин иметь под рукой сервисы которые помогут провести анализ фотографии. ⏺Какие бывают следы? Кроме лиц, номеров домов, машин и пр., метаданные являются значимой зацепкой при поиске по фото, так же можно провести анализ изображения и найти следы редакторов и другого специального ПО редактирования изображений. Что могут содержать в себе метаданные? ➡️Наименование файла, размер и тип ➡️Устройство с которого делалось фото, возможно серийный номер ➡️ПО редактора и дата редактировния ➡️Дата создания ➡️Использование вспышки ➡️Данные об авторском праве ➡️Имя автора ➡️И многое другое Да, к сожалению, либо к счастью эти данные спокойно можно удалить, что автоматически делают крупные социальные сети как Telegram, Instagram, VK, TikTok и другие. ⏺Метаданные Метаданные — данные, относящиеся к дополнительной информации о содержимом или объекте. Проще говоря, это какая-либо дополнительная информация, зашифрованная в структуре самого файла. Метаданные позволяют создавать самоописательные файлы, а также активно используются системой и различными программами. Например, когда вы ставите в Windows сортировку по дате создания, система как раз подтягивает метаданные, в которых и указана эта информация. Чаще всего используются эти три типа метаданных, EXIF (Exchangeable Image File Format) это самый обычный формат показывающий технические данные о фото, IPTC (International Press Telecommunications Council) это стандарт использующейся для фотографий с авторским правом, а XMP (eXtensible Metadata Platform) это стандарт разработанный Adobe который может включать в себя любую информацию. 🪞 Полностью статью можете дочитать здесь Rick Academy 🕵#osint

Inf0 | ИБ, OSINT — канал, посвящённый инфобезу, техникам OSINT, защите устройств и бесплатными курсами по информационной безопасности. Сети и точка - профильная литература о компьютерных сетях, инструменты для безопасника в сети, уникальные мануалы и уроки linux

🪞 Подборка площадок по пентесту ⏺ Exploit Education - множество ресурсов, которые можно использовать для изучения анализа уязвимостей, разработки эксплойтов, отладки программного обеспечения, бинарного анализа и общих вопросов кибербезопасности; ⏺ Hack Me - большая коллекция уязвимых веб-приложений для применения навыков взлома на практике. Все приложения предоставляются сообществом и каждое из них можно запустить «на лету» в безопасной, изолированной песочнице; ⏺ Hacking-Lab - платформа для изучения сетевой безопасности и повышения навыков этичного хакинга. Содержит задания, приближенные к CTF: форензика, криптография, реверс-инжиниринг; ⏺ Enigma Group - содержит более 300 задач с акцентом на топ-10 эксплойтов OWASP. ⏺ CTFlearn - платформа, которая позволяет десяткам тысяч людей учиться, практиковаться и соревноваться. Rick Academy 🖕 #пентест

🪞 Frp — быстрый обратный прокси Быстрый обратный прокси, позволяющий открыть доступ в Интернет локальному серверу, расположенному за NAT или брандмауэром. В настоящее время он поддерживает протоколы TCP и UDP, а также HTTP и HTTPS, позволяя перенаправлять запросы к внутренним службам по доменному имени. frp также предлагает режим P2P-соединения. 🪞 Вот вам ссылка на Github

🪞 Шпаргалка по повышению привилегий в Linux Эта шпаргалка предназначена для тех, кто готовится к OSCP, чтобы помочь им понять различные методы эскалации привилегий на машинах под управлением Linux и CTF с примерами. 🪞 Вот вам ссылка на Github Rick Academy 🫥 #обучение

Участвуй в вебинарах «Метапродукт MaxPatrol O2 и NGFW: взгляд интегратора» и выиграй 1 из 10 билетов в бизнес трек PHDays 2! Эксперты компании Innostage в преддверии PHDays 2 расскажут о практиках применения нашумевшего метапродукта MaxPatrol О2 и «боевом крещении» межсетевых экранов PT NGFW. Только практика, только hard skills! Метапродукт MaxPatrol О2: функции и практическое применение 📆 14 мая в 11:00 (МСК) · Функционал продукта · MaxPatrol О2 и опыт Innostage: внедрение в своей ИТ-инфраструктуре и кейс в банковской сфере · Методология киберустойчивости ❗️Регистрация PT NGFW: обсуждение результатов тестирования по нагрузке и функционалу 📆 16 мая в 11:00 (МСК) · Обзор PT NGFW перед выходом коммерческой версии · Испытание пилота в режиме «нагрузка и функционал» · Роадмап по развитию продукта PT NGFW ❗️Регистрация Участие бесплатное. Регистрация на каждое мероприятие является обязательной.

🪞 QUIC: протокол связи будущего или путь в никуда Сможет ли экспериментальный стандарт вытеснить фундаментальные TCP и UDP? ⏺Краткая история протокола QUIC и его связь с Google В начале 2010-х годов инженеры Google активно искали способ ускорить и усовершенствовать веб-приложения. Не у всех людей было стабильное высокоскоростное подключение к Интернету, что определённо затрудняло навигацию по глобальной сети. Потенциальное решение вскоре было найдено, и оно было призвано значительно оптимизировать взаимодействие пользователей с веб-сервисами. Итак, в 2012 году американский инженер-программист Джим Роскинд, работающий на тот момент в Google, возглавил новый внутренний проект компании под названием Quick UDP Internet Connections (QUIC). Идея заключалась в том, чтобы на максимум реализовать скорость действующего протокола UDP (User Datagram Protocol), добавив функции безопасности и управления перегрузкой сети. Под перегрузкой сети обычно подразумевают снижение качества обслуживания, которое возникает, когда сетевой узел или линия связи переносит больше данных, чем может обрабатывать. Типичные последствия включают задержку в очереди, потерю пакетов или блокировку новых соединений. Последствием перегрузки является то, что постепенное увеличение предлагаемой нагрузки приводит к снижению пропускной способности сети. Длительное тестирование QUIC показало многообещающие результаты, однако по ряду причин технология на долгие годы осталась экспериментальной и до сих пор не получила широкого распространения. В начале 2020-х годов Google и вовсе передала проект в Инженерный совет Интернета (IETF) для доработки стандарта. В настоящее время протокол QUIC в некоторой степени поддерживается в различных веб-браузерах и операционных системах, однако в будущем эксперты ожидают его активного и бурного роста. 🪞 Полностью статью можете прочитать здесь Rick Academy 🦠 #безопасность