Rick Academy — Хакинг и Кибербезопасность
Академия специалистов по кибербезопасности или будущих искателей приключений. Реклама: @Kone4noVasya
نمایش بیشتر2 383
مشترکین
-224 ساعت
+27 روز
+630 روز
- مشترکین
- پوشش پست
- ER - نسبت تعامل
در حال بارگیری داده...
معدل نمو المشتركين
در حال بارگیری داده...
🪞 Шпаргалка по Linux командам на русском языке
Бывает, что некоторые команды терминала Linux сложно вспомнить, и сохранение их на компьютере или на бумаге в качестве шпаргалки является хорошей практикой.
Rick Academy 🫥 #обучение
🪞 Инструменты для автоматизации атак на JWT
JWT (JSON Web Token) — это стандарт для создания токенов доступа, которые используются для аутентификации и авторизации в веб-приложениях. Однако, некорректная реализация и использование JWT может привести к различным уязвимостям и атакам.
➡️ Инструменты для автоматизации атаки на JWT
⏺ JWT Tool — это популярный инструмент Python, который позволяет проверять все виды атак, которыми может быть уязвимо веб-приложение. Включая тестовые случаи для некоторых известных CVE.
⏺ JWT Editor — это расширение Burpsuite, которое может помочь легко изменить JWTokens и быстро протестировать различные способы обхода. JWT Editor доступен в двух версиях: бесплатной и в платной версии Pro.
⏺ jwtXploiter — инструмент на Python, который поможет автоматизировать взлом JWT проверяя на соответствие всем известным CVE. Он поддерживает все виды JWT-атак, от простого взлома до выполнения атак с ключами с использованием самозаверяющих токенов!
⏺ JSON Web Tokens — это расширение Burpsuite, которое автоматизирует распространенные атаки JWT. Оно также предоставляет возможность быстро кодировать / декодировать и проверять токены!
🪞 Более подробно о JSON Web Tokens и инструментах можете прочитать здесь
Rick Academy 🖕 #пентест
🪞 Анализ изображений
⏺Почему анализ фотографий может понадобится?
В некоторых случаях админы интернет-ресурсов оставляют фотографии на своем веб-сайте, но совсем забывают удалить метаданные и другие данные которые могут привести к их идентификации, кроме этого, хоть и крупные социальные сети удаляют следующие данные, мелкие сервисы могут и не удалять. Вот две одни из самых частых причин иметь под рукой сервисы которые помогут провести анализ фотографии.
⏺Какие бывают следы?
Кроме лиц, номеров домов, машин и пр., метаданные являются значимой зацепкой при поиске по фото, так же можно провести анализ изображения и найти следы редакторов и другого специального ПО редактирования изображений. Что могут содержать в себе метаданные?
➡️Наименование файла, размер и тип
➡️Устройство с которого делалось фото, возможно серийный номер
➡️ПО редактора и дата редактировния
➡️Дата создания
➡️Использование вспышки
➡️Данные об авторском праве
➡️Имя автора
➡️И многое другое
Да, к сожалению, либо к счастью эти данные спокойно можно удалить, что автоматически делают крупные социальные сети как Telegram, Instagram, VK, TikTok и другие.
⏺Метаданные
Метаданные — данные, относящиеся к дополнительной информации о содержимом или объекте.
Проще говоря, это какая-либо дополнительная информация, зашифрованная в структуре самого файла. Метаданные позволяют создавать самоописательные файлы, а также активно используются системой и различными программами. Например, когда вы ставите в Windows сортировку по дате создания, система как раз подтягивает метаданные, в которых и указана эта информация.
Чаще всего используются эти три типа метаданных, EXIF (Exchangeable Image File Format) это самый обычный формат показывающий технические данные о фото, IPTC (International Press Telecommunications Council) это стандарт использующейся для фотографий с авторским правом, а XMP (eXtensible Metadata Platform) это стандарт разработанный Adobe который может включать в себя любую информацию.
🪞 Полностью статью можете дочитать здесь
Rick Academy 🕵#osint
👍 2
Inf0 | ИБ, OSINT — канал, посвящённый инфобезу, техникам OSINT, защите устройств и бесплатными курсами по информационной безопасности.
Сети и точка - профильная литература о компьютерных сетях, инструменты для безопасника в сети, уникальные мануалы и уроки linux
🪞 Подборка площадок по пентесту
⏺ Exploit Education - множество ресурсов, которые можно использовать для изучения анализа уязвимостей, разработки эксплойтов, отладки программного обеспечения, бинарного анализа и общих вопросов кибербезопасности;
⏺ Hack Me - большая коллекция уязвимых веб-приложений для применения навыков взлома на практике. Все приложения предоставляются сообществом и каждое из них можно запустить «на лету» в безопасной, изолированной песочнице;
⏺ Hacking-Lab - платформа для изучения сетевой безопасности и повышения навыков этичного хакинга. Содержит задания, приближенные к CTF: форензика, криптография, реверс-инжиниринг;
⏺ Enigma Group - содержит более 300 задач с акцентом на топ-10 эксплойтов OWASP.
⏺ CTFlearn - платформа, которая позволяет десяткам тысяч людей учиться, практиковаться и соревноваться.
Rick Academy 🖕 #пентест
✍ 2👍 2🔥 2
🪞 Frp — быстрый обратный прокси
Быстрый обратный прокси, позволяющий открыть доступ в Интернет локальному серверу, расположенному за NAT или брандмауэром.
В настоящее время он поддерживает протоколы TCP и UDP, а также HTTP и HTTPS, позволяя перенаправлять запросы к внутренним службам по доменному имени.
frp также предлагает режим P2P-соединения.
🪞 Вот вам ссылка на Github
👍 2🔥 2
🪞 Шпаргалка по повышению привилегий в Linux
Эта шпаргалка предназначена для тех, кто готовится к OSCP, чтобы помочь им понять различные методы эскалации привилегий на машинах под управлением Linux и CTF с примерами.
🪞 Вот вам ссылка на Github
Rick Academy 🫥 #обучение
👍 3🔥 3✍ 2
Участвуй в вебинарах «Метапродукт MaxPatrol O2 и NGFW: взгляд интегратора» и выиграй 1 из 10 билетов в бизнес трек PHDays 2!
Эксперты компании Innostage в преддверии PHDays 2 расскажут о практиках применения нашумевшего метапродукта MaxPatrol О2 и «боевом крещении» межсетевых экранов PT NGFW. Только практика, только hard skills!
Метапродукт MaxPatrol О2: функции и практическое применение
📆 14 мая в 11:00 (МСК)
· Функционал продукта
· MaxPatrol О2 и опыт Innostage: внедрение в своей ИТ-инфраструктуре и кейс в банковской сфере
· Методология киберустойчивости
❗️Регистрация
PT NGFW: обсуждение результатов тестирования по нагрузке и функционалу
📆 16 мая в 11:00 (МСК)
· Обзор PT NGFW перед выходом коммерческой версии
· Испытание пилота в режиме «нагрузка и функционал»
· Роадмап по развитию продукта PT NGFW
❗️Регистрация
Участие бесплатное. Регистрация на каждое мероприятие является обязательной.
👍 1
🪞 QUIC: протокол связи будущего или путь в никуда
Сможет ли экспериментальный стандарт вытеснить фундаментальные TCP и UDP?
⏺Краткая история протокола QUIC и его связь с Google
В начале 2010-х годов инженеры Google активно искали способ ускорить и усовершенствовать веб-приложения. Не у всех людей было стабильное высокоскоростное подключение к Интернету, что определённо затрудняло навигацию по глобальной сети. Потенциальное решение вскоре было найдено, и оно было призвано значительно оптимизировать взаимодействие пользователей с веб-сервисами.
Итак, в 2012 году американский инженер-программист Джим Роскинд, работающий на тот момент в Google, возглавил новый внутренний проект компании под названием Quick UDP Internet Connections (QUIC). Идея заключалась в том, чтобы на максимум реализовать скорость действующего протокола UDP (User Datagram Protocol), добавив функции безопасности и управления перегрузкой сети.
Под перегрузкой сети обычно подразумевают снижение качества обслуживания, которое возникает, когда сетевой узел или линия связи переносит больше данных, чем может обрабатывать. Типичные последствия включают задержку в очереди, потерю пакетов или блокировку новых соединений. Последствием перегрузки является то, что постепенное увеличение предлагаемой нагрузки приводит к снижению пропускной способности сети.
Длительное тестирование QUIC показало многообещающие результаты, однако по ряду причин технология на долгие годы осталась экспериментальной и до сих пор не получила широкого распространения. В начале 2020-х годов Google и вовсе передала проект в Инженерный совет Интернета (IETF) для доработки стандарта.
В настоящее время протокол QUIC в некоторой степени поддерживается в различных веб-браузерах и операционных системах, однако в будущем эксперты ожидают его активного и бурного роста.
🪞 Полностью статью можете прочитать здесь
Rick Academy 🦠 #безопасность
👍 3🔥 1👌 1