Кибер ПТУ | Кибербезопасность

Нигде не безопасно. Из всех "чайников" мы уже знаем, что существует OWASP top 10 для веб-приложений, но многие ли из вас задумывались, есть ли пересечения с мобилками? А задуматься стоит, ведь мобильное приложение - это по сути тот же веб. Собственно, статья про корреляцию уязвимостей на вебе и мобилках и уникальные проблемы, а так же разбор этих уязвимостей в коде и на схемах. Кто дочитает до конца: 1 - преисполнится 2 - найдёт практический чек-лист 3 - список дополнительной литератору для погружения #AppSec #Pentest 🧠 Кибер ПТУ | 👨‍🏫 Менторство ИБ 📂 Другие каналы

Взлом трафика на десерт. Если вы уже пробовали WireShark на зуб, то могли обратить внимание, что порой TLS трафик вы прочитать не сможете, ведь он зашифрован (внезапно). Однако этого поста бы не случилось, если бы не нашёлся вариант вскрыть аброкадабру с помощью ключей, которые некоторые браузеры прикопали в логах. Вуаля. #Network 🧠 Кибер ПТУ | 👨‍🏫 Менторство ИБ 📂 Другие каналы

В России можно посещать IT-мероприятия хоть каждый день: как оффлайн, так и онлайн Но где их находить? Как узнавать о них раньше, чем когда все начнут выкладывать фотографии оттуда? Переходите на канал IT-Мероприятия России. В нём каждый день анонсируются мероприятия со всех городов России 📆 в канале размещаются как онлайн, так и оффлайн мероприятия; 👩‍💻 можно найти ивенты по любому стеку: программирование, frontend-backend разработка, кибербезопасность, дата-аналитика, osint, devops и другие; 🎙 разнообразные форматы мероприятий: митапы с коллегами по цеху, конференции и вебинары с известными опытными специалистами, форумы и олимпиады от важных представителей индустрии и многое другое А чтобы не искать по разным форумам и чатам новости о предстоящих ивентах: 🚀 IT-мероприятия России — подписывайся и будь в курсе всех предстоящих мероприятий!

Часики тикают. Что вы успеваете сделать за 60 секунд? Порой надо действовать решительно и быстро принимать решения, но цена ошибки слишком высока. Для тренировки реакции и внимательности нашли игру - ваша задача за одну минуту обработать запросы LLM и не дать ей скомпрометировать систему. Для разминки мозга между домашками - самое то. #Pentest #AppSec #AI 🧠 Кибер ПТУ | 👨‍🏫 Менторство ИБ 📂 Другие каналы

Контейнеризация - это метод виртуализации на уровне операционной системы. Приложение упаковывается в изолированную область со всеми своими зависимостями, библиотеками, конфигами; а основное отличие от виртуалок - контейнер использует ядро хоста, что делает их более быстрыми и легковесными. Для чего применяют: - Обеспечение переносимости - гарантирует одинаковую работу приложения как на ноутбуке разработчика, так и в тестовой среде и на продакшне; - Изоляция процессов - предотвращает конфликты между зависимостями разных приложений, запущенных на одном сервере; - Эффективное масштабирование - позволяет мгновенно запускать и останавливать новые копии сервисов при изменении нагрузки; - Построение микросервисной архитектуры - разбивает сложное приложение на независимые, легко обновляемые компоненты. #ПолеСобесов 🧠 Кибер ПТУ | 👨‍🏫 Менторство ИБ 📂 Другие каналы

Переверните букву. Приветствуем все светлые умы Кибер ПТУ в этот прекрасный пятничный день. Относительно недавно у нас был вопрос про виды виртуализации. Там мы вкратце затронули контейнерную виртуализацию. Давайте в этот раз немного расширим эту мысль.

Что такое контейнеризация? Для чего её применяют?

Ответ, как всегда, будет через 2 часа. #ПолеСобесов 🧠 Кибер ПТУ | 👨‍🏫 Менторство ИБ 📂 Другие каналы

Кто ты без костюма? Пробежимся по теории, сегодня - "супергеройский скилл" в виде инструмента SSH. Вы, с задней парты, скажите: "Фе, так это же просто

сетевой протокол для безопасного удаленного управления устройствами и передачи файлов

Да, но. Это инструмент, которым бывает полезно пользоваться как в администрировании и защите, так и с точки зрения атаки. И чтобы уметь этим инструментов пользоваться, необходимо понимать принцип его работы и синтаксис. Без этого ничего не получится (вы же не будете беспорядочно махать палочкой с криками "ЛЕВИОСААА"?). Вникаем тут. #Network 🧠 Кибер ПТУ | 👨‍🏫 Менторство ИБ 📂 Другие каналы

Что мне делать?

Ваша цель — обманом заставить Гэндальфа раскрыть секретный пароль. Гэндальф будет повышать свой уровень каждый раз, когда вы угадаете пароль.

Это не описание фанфика, но забавная практика по обходу защиты чат-ботов. Прямо в браузере 7 основных уровней и 1 бонусный, а ещё есть раздел с "умным" Гэндальфом, который написал своё приложение и цель - взломать его поделие. Практика на 10 из 10, пользуемся. #Practice #AI #Pentest #AppSec 🧠 Кибер ПТУ | 👨‍🏫 Менторство ИБ 📂 Другие каналы

PKI (Public Key Infrastructure) – инфраструктура открытых ключей; система, позволяющая управлять цифровыми сертификатами, парами ключей, обеспечивает безопасность передачи данных, шифрование, электронную подпись. Проверяет подлинность устройств и пользователей. PKI применяется в: - Обеспечении защищённого соединения и передачи данных (HTTPS, SSL/TLS); - Электронной почте - обеспечение шифрования и заверение писем подписью; - Электронный документооборот - создание и валидация электронной цифровой подписью; - Авторизация - смарт-карты, токены для безопасного доступа к корпоративной сети. #ПолеСобесов 🧠 Кибер ПТУ | 👨‍🏫 Менторство ИБ 📂 Другие каналы

Переверните букву. Сегодня пятница, а значит время для тренировки собесов. Правила, как всегда, просты - вы отвечаете на поставленный вопрос и в награду получаете: + 100 к уверенности; + 200 к шансу приглашения на собес; + 99 к интеллекту, если вы из Самары. Собственно, переходим к нашему вопросу:

Что такое PKI и где данная технология применяется?

Ответ на вопрос выложим через 2 часа. #ПолеСобесов 🧠 Кибер ПТУ | 👨‍🏫 Менторство ИБ 📂 Другие каналы

Понавешали ярлыков. Кто бы мог подумать, что такой привычный механизм как LNK, он же "ярлык", так соблазняет злоумышленников своим механизмом. Ведь под картинкой обычного браузера может скрываться скрипт, и даже антивирус проморгает. Не расшаркиваясь - читаем, экспериментируем в обучающих целях. #AppSec #Pentest 🧠 Кибер ПТУ | 👨‍🏫 Менторство ИБ 📂 Другие каналы

Linux и тут, и там передают. Отмазка "У меня компухтер слабенький!" больше не прокатит, так как наш преподавательский состав нашёл проект, с помощью которого можно запускать Linux прямо в браузере. Что можно делать: - развернуть iso-образ (на выбор аж 4 штуки); - запускать терминал; - установка пакетов (через apk); - работает офлайн (после загрузки). Подойдёт для коротких исследований, обучения, как песочница. Исследуем, товарищи студенты. #Practice #AppSec #Pentest 🧠 Кибер ПТУ | 👨‍🏫 Менторство ИБ 📂 Другие каналы

Для ответа на вопрос про RDS и RDP стоит сначала дать им определение. RDS (Remote Desktop Service) – это служба, позволяющая множеству пользователей работать с удалённым ресурсом. Подключение к этому удалённому ресурсу происходит по протоколу RDP. RDP (Remote Desktop Protocol) – это сетевой протокол, с помощью которого на удалённую машину передаются изображение и сигналы периферии. RDS-сессия - это изолированное централизованное пользовательское пространство для работы на удалённой машине. Таким образом, мы приходим к тому, что технологии RDS и RDP сильно связаны друг с другом. И первая не может работать без второй. Основные отличия RDS и RDP заключаются в масштабности и сетевом уровне реализации: - RDP – это протокол транспортного уровня. Самостоятельно он может использоваться для управления сервером из 1-2 пользователей; - RDS – это, грубо говоря, инфраструктурная надстройка для протокола RDP, позволяющая масштабировать количество пользователей до нескольких сотен. #ПолеСобесов 🧠 Кибер ПТУ | 👨‍🏫 Менторство ИБ 📂 Другие каналы

Переверните букву. Мы возвращаемся с нашей постоянной пятничной(почти) рубрикой! Сегодня у нас вопрос про удаленный доступ. Ответ на этот вопрос будет выложен через 2 часа, а пока напрягаем свои мозги и плотно думаем!

Что такое RDS-сессия и в чём отличие RDS от RDP?

#ПолеСобесов 🧠 Кибер ПТУ | 👨‍🏫 Менторство ИБ 📂 Другие каналы

Разыскивается герой, который готов пособеседоваться на позицию Application Security для нашей рубрики с мок-интервью. Грейд не важен. Дадим вопросы, ментора и все, что необходимо для подготовки. Цель – не проверить ваши знания, а показать, как обычно проходят собеседования на эту позицию. Как надумаешь, пиши мне (@romanpnn), обсудим. 👨‍🏫 Менторство ИБ | Отзывы | 📹 YT

Тест-драйв SOC. Сегодняшняя практика погрузит вас в реалии драйвой жизни SOC-аналитика первой линии: ночные смены, алерты, разрешить или запретить, эскалировать или покопаться. На выходе дают инфо о пробелах в знаниях и полезные материалы. Для входа в SOC и пощупать твоё или нет - самое то. #Practice #SOC 🧠 Кибер ПТУ | 👨‍🏫 Менторство ИБ 📂 Другие каналы

Это птица? Это самолет? Нет, это долгожданный стрим! В этот раз затронем вопрос, который зацепил нас в комментариях под одним из наших роликов (и цепляет уже года полтора) о том, может ли уже сейчас ИИ заменить кибербезопасника. 🗓 Когда: 19 мая в 18:00 по мск 📍 Где: в Телемосте, ссылку на который мы опубликуем ближе к делу 🎓 Тема: ИИ vs кибербезопасник 📹 Запись: будет ждать вас на наших каналах в YoutTube, Rutube и VK Видео 👨‍🏫 Менторство ИБ | Отзывы | 📹 YT

Переверните букву.

Что такое Active Directory и какие у неё основные компоненты?

Active Directory (AD) – система управления доступам в ОС Windows Server; она хранит информацию о пользователях и девайсах в рамках сети, позволяя централизованно администрировать права доступа, групповые политики и ресурсы. Собственно, ключевое: - централизованность – настроить в одном месте, применить на весь домен; - права доступа – проверить, кто залогинился, и определить, что пользователю можно делать. Основные компоненты: - контроллер домена (DC); - групповые политики (GPO); - организационные подразделения (OU); - объекты (пользователи, машины). #ПолеСобесов 🧠 Кибер ПТУ | 👨‍🏫 Менторство ИБ 📂 Другие каналы

Как два пальца. Пока у нас нет своих методичек по пентесту, считаем, что вправе использовать чужие - в образовательных целях. Вот сегодня методичка по тестированию веб-приложений, много практики, минимум наматывания теории на кулак, мы такое любим. К следующему семинару ожидаем отчёт на 50 страниц по ГОСТу. #Pentest #Practice 🧠 Кибер ПТУ | 👨‍🏫 Менторство ИБ 📂 Другие каналы

Любите самокаты, любите и безопасность. На прошлой неделе прошла конференция Black Hat - одна из самых крупных и "взрослых" международных конференций в инфобезе. Здесь исследователи рассказывают и показывают акробатические трюки сложные технические ИБ сценарии. Записи докладов в последней конференции в Азии ещё не положили, но в YouTube есть много материалов с прошлых конференций, так что каждый найдёт для себя интересную тему, даже если вы не занимаетесь пентестом, всё равно очень познавательно послушать, например, как взломать общественные зарядные станции (этого доклада в записи на youtube ещё нет, но есть презентация и новость). [редактора КиберПТУ это так впечатлило, что он дождаться выхода записи и написал пост прямо сейчас] #BaseSecure #Pentest #AppSec 🧠 Кибер ПТУ | 👨‍🏫 Менторство ИБ 📂 Другие каналы