uz
Feedback
Пентестинг & Security QA & SDET

Пентестинг & Security QA & SDET

Kanalga Telegram’da o‘tish

Про кибербезопасность и пентест Здесь много полезной информации по Information Security, учитесь! Вакансии - @cybervacancies_channel Чат - @pentesting_channel_chat По вопросам сотрудничества и рекламы - @faroeman

Ko'proq ko'rsatish
6 757
Obunachilar
+524 soatlar
+877 kunlar
+33430 kunlar

Ma'lumot yuklanmoqda...

Obunachilarni jalb qilish
Iyul '26
Iyul '26
+93
0 kanalda
Iyun '26
+348
1 kanalda
Get PRO
May '26
+208
1 kanalda
Get PRO
Aprel '26
+225
3 kanalda
Get PRO
Mart '26
+749
2 kanalda
Get PRO
Fevral '26
+248
1 kanalda
Get PRO
Yanvar '26
+151
0 kanalda
Get PRO
Dekabr '25
+115
0 kanalda
Get PRO
Noyabr '25
+217
1 kanalda
Get PRO
Oktabr '25
+371
1 kanalda
Get PRO
Sentabr '25
+184
0 kanalda
Get PRO
Avgust '25
+285
0 kanalda
Get PRO
Iyul '25
+197
0 kanalda
Get PRO
Iyun '25
+161
0 kanalda
Get PRO
May '25
+208
0 kanalda
Get PRO
Aprel '25
+235
0 kanalda
Get PRO
Mart '25
+443
1 kanalda
Get PRO
Fevral '25
+511
0 kanalda
Get PRO
Yanvar '25
+371
2 kanalda
Get PRO
Dekabr '24
+268
3 kanalda
Get PRO
Noyabr '24
+181
1 kanalda
Get PRO
Oktabr '24
+200
2 kanalda
Get PRO
Sentabr '24
+54
0 kanalda
Get PRO
Avgust '24
+55
0 kanalda
Get PRO
Iyul '24
+50
0 kanalda
Get PRO
Iyun '24
+40
0 kanalda
Get PRO
May '24
+41
0 kanalda
Get PRO
Aprel '24
+55
0 kanalda
Get PRO
Mart '24
+45
0 kanalda
Get PRO
Fevral '24
+65
0 kanalda
Get PRO
Yanvar '24
+58
0 kanalda
Get PRO
Dekabr '23
+60
0 kanalda
Get PRO
Noyabr '23
+62
0 kanalda
Get PRO
Oktabr '23
+100
0 kanalda
Get PRO
Sentabr '23
+56
0 kanalda
Get PRO
Avgust '23
+71
0 kanalda
Get PRO
Iyul '23
+107
0 kanalda
Get PRO
Iyun '23
+120
0 kanalda
Get PRO
May '23
+165
0 kanalda
Get PRO
Aprel '23
+131
0 kanalda
Get PRO
Mart '23
+112
0 kanalda
Get PRO
Fevral '23
+74
0 kanalda
Get PRO
Yanvar '23
+100
0 kanalda
Get PRO
Dekabr '22
+108
0 kanalda
Get PRO
Noyabr '22
+91
0 kanalda
Get PRO
Oktabr '22
+83
0 kanalda
Get PRO
Sentabr '22
+104
0 kanalda
Get PRO
Avgust '22
+99
0 kanalda
Get PRO
Iyul '22
+90
0 kanalda
Get PRO
Iyun '22
+90
0 kanalda
Get PRO
May '22
+125
0 kanalda
Get PRO
Aprel '22
+75
0 kanalda
Get PRO
Mart '22
+106
0 kanalda
Get PRO
Fevral '22
+74
0 kanalda
Get PRO
Yanvar '22
+121
0 kanalda
Get PRO
Dekabr '21
+49
0 kanalda
Get PRO
Noyabr '21
+278
0 kanalda
Get PRO
Oktabr '21
+77
0 kanalda
Get PRO
Sentabr '21
+42
0 kanalda
Get PRO
Avgust '21
+41
0 kanalda
Get PRO
Iyul '21
+66
0 kanalda
Get PRO
Iyun '21
+114
0 kanalda
Get PRO
May '21
+259
0 kanalda
Get PRO
Aprel '21
+81
0 kanalda
Get PRO
Mart '21
+546
0 kanalda
Sana
Obunachilarni jalb qilish
Esdaliklar
Kanallar
06 Iyul+4
05 Iyul+6
04 Iyul+6
03 Iyul+24
02 Iyul+12
01 Iyul+41
Kanal postlari
Новое видео на канале Проверяем длину локатора HTML | JavaScript | Playrwright Курс автоматизации тестирования 100% подойдет QA и ИБшникам С вас лайк подписка и коммент (спасибо!) https://youtu.be/w3Tt3NxO9iY?si=EJqA6AEQxF11D0pe

2
🔐 Что такое Hash? Когда начинают изучать инфраструктурный пентест, очень часто слышат: 🤔"получили NTLM-хеш" 🤔 "Pass-the-Hash" 🤔"слили хеши пользователей" Но что вообще такое хеш? 📌 Hash (хеш) — это результат работы специального алгоритма, который преобразует любые данные в строку фиксированной длины. Например: Пароль: qwerty123 После вычисления хеша получится что-то вроде: 7c6a180b36896a0a8c02787eeafb0e4c 🧠 Главное свойство хеша: 👉 из одного и того же пароля всегда получится один и тот же хеш. Но выполнить обратное преобразование: Хеш → Пароль невозможно. Поэтому в большинстве систем хранятся не сами пароли, а их хеши. 💡 Когда пользователь вводит пароль: 1️⃣ Система вычисляет его хеш. 2️⃣ Сравнивает его с тем, который хранится в базе. 3️⃣ Если они совпадают — пользователь успешно проходит аутентификацию. 💀 Почему это интересно пентестеру? Потому что злоумышленнику далеко не всегда нужен сам пароль. Во многих случаях достаточно получить: 👉 NTLM-хеш. А дальше уже становятся возможны такие атаки, как: — Pass-the-Hash — NTLM Relay — Offline Cracking 📌 Поэтому во время инфраструктурного пентеста очень часто охотятся именно за хешами, а не за паролями. Именно вокруг них построено множество современных атак на Active Directory. #infra #ad #hash #authentication
288
3
🔥 РЕАЛЬНЫЙ ВЗЛОМ IOT: КАК ОДНА УЯЗВИМОСТЬ ПОЗВОЛИЛА КОНТРОЛИРОВАТЬ 130 000 УСТРОЙСТВ Разбираем свежий случай, который произошел буквально на днях (CISA опубликовала информацию 1 июля 2026 года). Речь про Gardyn IoT Hub - систему для умного домашнего садоводства . Звучит безобидно, правда? Но последствия оказались серьезными. В чем суть: В устройствах Gardyn нашли критическую уязвимость (CVE-2026-13768). Оценка CVSS - 10 из 10, то есть максимальный уровень опасности . Проблема в том, что в системе использовался жестко зашитый (hardcoded) ключ доступа iothubowner. Это главный административный ключ к Azure IoT Hub, через который работают все устройства Gardyn . Что смог сделать злоумышленник с этим ключом: - Получить список ВСЕХ устройств Gardyn в мире. Исследователь смог перечислить почти 130 000 зарегистрированных устройств, из которых около 39 000 были онлайн в момент проверки . - Удаленно выполнять команды на любом из этих устройств. Буквально — взять и отправить команду на конкретный девайс, и он её выполнит с правами root (полный доступ) . - Попасть в домашнюю сеть владельца. Устройство Gardyn находится внутри WiFi-сети пользователя. Получив над ним контроль, хакер получает плацдарм для атак на другие устройства в этой сети — роутеры, ноутбуки, умные колонки, камеры . Это называется "латеральное перемещение". Простыми словами: Представьте, что вы купили умный горшок для растений. А хакер через него заходит в ваш домашний WiFi и начинает сканировать ваш ноутбук и другие гаджеты. А заодно может управлять такими же горшками у сотен тысяч других людей по всему миру. И всё это - через один встроенный пароль, который разработчики оставили в коде. Почему это произошло: Разработчики использовали один общий мастер-ключ для управления всеми устройствами вместо того, чтобы дать каждому устройству свой уникальный ключ . Это базовая ошибка в архитектуре безопасности. Что сейчас: Gardyn уже обновила свою облачную инфраструктуру, чтобы закрыть эту уязвимость. Но сам случай - отличный пример того, как IoT-устройства становятся точкой входа в сети, которые мы считали защищенными . Вывод для нас: Не доверяем умным девайсам. Они могут быть дверью для хакера в вашу сеть. Держим прошивки актуальными (Gardyn как раз выпустила исправления). Помним, что IoT - это не только про "удобно", но и про "новые риски". 🔐 А теперь скажите, кто из вас это сделал? 😆 #кибербезопасность #IoT #взлом #уязвимость #инфобез
431
4
Pentest award 2026 ждет твою заявку! Меньше двух недель остается чтобы отправить заявки на «хакерский оскар». Не упускайте ша
Pentest award 2026 ждет твою заявку! Меньше двух недель остается чтобы отправить заявки на «хакерский оскар». Не упускайте шанс получить признание отрасли, классные призы и просто провести время на закрытой церемонии награждения вместе с лучшими представителями отрасли. Вручении состоится в зале на «Красном Октябре» с панорамной террасой с видом на набережную и город. Чтобы подать заявку достаточно обезличенного рассказа про свой лучший проект в свободной форме. Участие бесплатное. Больше информации на сайте — award.awillix.ru
462
5
Ну что скажете прав он или нет? Я думаю, что да, неважно это зумер или нет. Я бы тоже не стал работать под таким контролем, н
Ну что скажете прав он или нет? Я думаю, что да, неважно это зумер или нет. Я бы тоже не стал работать под таким контролем, нахер мне это надо?
477
6
Бесплатный курс автоматизации тестирования на Ютабе (просто необходимость для QA и тех кто в кибере) Сейчас все автоматизируется, так что держите руку на пульсе С вас лайчонок и подписка. Это уже не первое видео. Смотрите, обучайтесь. Приятного просмотра https://youtu.be/Rkmb9lp4WX4?si=GFlkIT3obHgTI0px
521
7
📁 Что такое SMB? Если вы когда-нибудь открывали в Windows: 👉 \\fileserver или подключались к сетевой папке компании, то вы уже пользовались SMB. 📌 SMB (Server Message Block) — это сетевой протокол, который позволяет компьютерам обмениваться файлами, папками и другими ресурсами. Проще говоря, именно SMB отвечает за общий доступ к данным внутри локальной сети. 🧠 Где используется SMB? Практически в каждой корпоративной сети. Через него пользователи получают доступ к: — сетевым папкам — файловым серверам — принтерам — общим ресурсам — иногда даже к резервным копиям 💡 Например: Бухгалтер открывает папку: \\fileserver\Documents и работает с файлами так, будто они находятся на его компьютере. На самом деле все документы лежат на удалённом сервере. 💀 Почему SMB так интересен пентестерам? Потому что через него очень часто удаётся получить ценную информацию об инфраструктуре. Например: — список общих папок — пользователей — права доступа — версию SMB — сведения о настройках безопасности А при неправильной конфигурации — и доступ к конфиденциальным данным. ⚡️ Именно с SMB связаны многие известные атаки: — Responder — NTLM Relay — Pass-the-Hash — EternalBlue (MS17-010) — SMB Signing Bypass (при отключённой подписи) Все их мы будем рассматривать тоже! 📌 Поэтому во время инфраструктурного пентеста порт 445/TCP практически всегда привлекает особое внимание. Если он открыт — это повод подробнее изучить, какие ресурсы доступны и насколько безопасно настроен SMB. 🔥 Именно поэтому после обнаружения SMB пентестер обычно задаёт себе несколько вопросов: — Какая версия SMB используется? — Включён ли SMB Signing? — Есть ли анонимный доступ? — Какие общие папки доступны? Ответы на эти вопросы часто определяют дальнейший вектор атаки. #infra #ad #smb
500
8
SQL-инъекция в 2026 году: почему бизнес теряет данные и деньги SQL-инъекция (SQLi) остается актуальной угрозой. Несмотря на н
SQL-инъекция в 2026 году: почему бизнес теряет данные и деньги SQL-инъекция (SQLi) остается актуальной угрозой. Несмотря на наличие современных средств защиты, основной причиной инцидентов остается низкое качество кода и отсутствие фильтрации входящих данных. Почему SQLi все еще опасна? Злоумышленники используют автоматизированные инструменты для поиска уязвимых параметров в API и веб-формах. Если код приложения не использует параметризованные запросы, злоумышленник может получить доступ к таблицам базы данных, изменить их содержимое или удалить данные.  В 2026 году это ведет к прямым финансовым потерям и юридической ответственности за утечку персональных данных пользователей. Пример из практики: кампания ResumeLooters проводила атаки на сайты компаний в сфере рекрутмента и ритейла в 2023–2024 годах. Метод: Злоумышленники использовали автоматизированное сканирование для поиска SQL-инъекций и XSS-уязвимостей. Масштаб: Было взломано более 65 веб-ресурсов. Результат: Кража базы данных объемом более 2 миллионов записей (контактные данные пользователей). Итог для бизнеса: Компании понесли репутационные убытки, оплатили расходы на восстановление инфраструктуры и столкнулись с претензиями регуляторов. Это подтверждает, что отсутствие базовых проверок безопасности в коде прямо влияет на устойчивость бизнеса. Я обучаю инженеров выстраивать процессы, которые исключают подобные уязвимости. Мои направления обучения: Автоматизация тестирования: Построение архитектуры тестов, которые выявляют критические ошибки до попадания кода в продакшн. Кибербезопасность: Обучение методам анализа уязвимостей и их устранению на этапе написания кода. Если вы хотите внедрить профессиональный подход к безопасности и автоматизации, пишите в личные сообщения @faroeman Форматы и цены очень гибкие 🗣
496
9
У нас появился новый канал (отдали за долги), где ранее выкладывались материалы по ИТ / Кодингу / киберу Вот он https://t.me/
У нас появился новый канал (отдали за долги), где ранее выкладывались материалы по ИТ / Кодингу / киберу Вот он https://t.me/code_vault К сожалению особо нет времени его вести Может у кого есть желание в рамках хобби наполнять этот канал полезными материалами? Это на бесплатной основе, мне этот канал приносит ровно 0 Когда канал будет приносить прибыль - готов делиться 50/50. Без проблем вообще. Подписывайтесь https://t.me/code_vault И пишите в личку @faroeman у кого есть идеи про развитие.
546
10
🌐 Что такое DHCP? Подключаете ноутбук к домашнему Wi-Fi или корпоративной сети... И уже через несколько секунд у вас появляется: — IP-адрес — шлюз (Gateway) — DNS-сервер Но кто вообще выдаёт все эти настройки? Ответ — DHCP. 📌 DHCP (Dynamic Host Configuration Protocol) — это протокол, который автоматически выдаёт устройствам сетевые параметры. Проще говоря, именно DHCP "знакомит" ваш компьютер с сетью. Снова представим компанию, где работает 500 сотрудников😉. Если бы каждому компьютеру пришлось вручную прописывать: — IP-адрес — маску сети — шлюз — DNS администраторы бы занимались только этим 😄 Именно поэтому практически в каждой современной сети используется DHCP. ⚡️ Что обычно выдаёт DHCP? — IP-адрес — маску подсети — шлюз по умолчанию — DNS-сервер — срок аренды IP-адреса 💀 Почему DHCP интересен пентестеру? Потому что сразу после подключения к сети он может подсказать: — в какой подсети вы оказались — какой шлюз используется — какой DNS-сервер работает в сети — где могут находиться ключевые элементы инфраструктуры Иногда одного ответа DHCP достаточно, чтобы понять, что перед вами корпоративная сеть с Active Directory. 📌 Типичная цепочка после подключения выглядит так: Подключение к сети ↓ DHCP выдаёт настройки ↓ Устройство получает IP ↓ Можно начинать разведку 🔥 Поэтому DHCP — один из первых протоколов, с которым сталкивается любой пентестер после попадания в локальную сеть. А уже после него начинается самое интересное: 👉 DNS, ARP, поиск живых хостов и дальнейшая разведка инфраструктуры. #infra #ad #dhcp
551
11
🌐 Что такое DNS в локальной сети? Когда начинают изучать инфраструктурный пентест, многие воспринимают DNS просто как сервис, который переводит: google.com → IP-адрес Но внутри корпоративной сети DNS играет гораздо более важную роль. 📌 DNS (Domain Name System) — это система, которая помогает компьютерам находить друг друга по имени, а не по IP-адресу. Например, вместо того чтобы запоминать: 192.168.1.15 можно обратиться к серверу по имени: fileserver.company.local или dc01.company.local Давайте представим компанию, где работают 500 сотрудников. Запомнить IP-адреса всех серверов невозможно. Именно поэтому практически вся корпоративная инфраструктура строится вокруг DNS. Через DNS пользователи находят: — Domain Controller — файловые серверы — веб-приложения — почтовые серверы — принтеры — внутренние сервисы 💀 Почему DNS интересен пентестеру? Потому что он может рассказать об инфраструктуре намного больше, чем кажется. Например, по DNS-именам можно узнать: — названия серверов — структуру домена — используемые сервисы — внутренние подсети — потенциально интересные цели для дальнейшего анализа 📌 Именно поэтому после попадания в локальную сеть пентестер старается понять не только: какие IP-адреса существуют, но и: какие имена скрываются за этими адресами. DNS — один из первых источников информации при разведке внутренней сети. И чем лучше вы понимаете, как он работает, тем легче ориентироваться в чужой инфраструктуре. #infra #ad #dns
601
12
Новое видео на канале Что такое XSS и какие виды бывают? Постарался простым языком рассказать. НО - я знаю не все поймут с первого раза, тема не простая и это НОРМАЛЬНО НО! Я буду скоро заливать также технические видео, где мы на примере будет смотреть и щупать что это С вам - лайчонок, коммент и подписка Помогите расшатать алгоритмы Ютаба Спасибо и приятного просмотра https://youtu.be/AJtY9o37eEo?si=uhRCHTGhBPlmANzH
601
13
Многие термины в кибере часто кажутся не понятными ... Я тут думал как студенту по простому объяснить, что такое Server Side
Многие термины в кибере часто кажутся не понятными ... Я тут думал как студенту по простому объяснить, что такое Server Side Request Forgery Ну и короче откопал в нейронке офигенное объяснение .. Читайте ниже.. SSRF (Server Side Request Forgery) Ты не можешь войти в закрытый офис. Но просишь охранника (сервер): «сходи на склад и принеси мне, что там написано». Охранник внутри - у него доступ есть. SSRF - это когда API выполняет такую «просьбу» по подставному URL. По-моему понятнее уже некуда))) А это я, сижу пью кофе и думаю как сделать из вас еще более крутых спецов !
550
14
⚡️ Что такое Blind XSS и как она работает Blind XSS (слепая межсайтовая скриптовая уязвимость) - это подвид хранимой (Stored) XSS. Её главная особенность: вредоносный JavaScript-код внедряется на одном ресурсе, а срабатывает в совершенно другом интерфейсе (часто внутреннем или административном), к которому у самого атакующего нет прямого доступа. Механизм уязвимости - Внедрение: Атакующий отправляет вредоносный скрипт через общедоступные формы, данные из которых сохраняются в систему. - Входной точкой могут быть поля обратной связи, тикеты техподдержки, имена при регистрации или даже HTTP-заголовки (например, User-Agent), если они записываются в логи. - Ожидание: Скрипт находится в базе данных в пассивном состоянии. Атакующий не получает мгновенного ответа от сервера и не знает, сработает ли его payload. Исполнение: Внутренний пользователь (администратор, модератор, сотрудник службы безопасности) открывает свою панель управления для проверки логов или тикетов. Если административное приложение выводит сохраненные данные в браузер без предварительной очистки, внедренный JavaScript-код выполняется в контексте сессии этого сотрудника. 🛠 Особенности тестирования Поскольку атакующий не видит админку и результат выполнения кода, стандартные методы вроде alert(1)здесь не работают. Для поиска Blind XSS применяются Out-of-Band (OOB) техники: - Внутрь payload закладывается логика отправки скрытого запроса на внешний хост, контролируемый тестировщиком. - Для автоматизации используются специализированные платформы (например, XSS Hunter или Interactsh). - Факт уязвимости подтверждается только тогда, когда на внешний сервер приходит обратный вызов (callback). Вместе с ним обычно передаются данные о внутреннем окружении: URL скрытой панели управления, DOM-структура страницы, IP-адрес и сессионные маркеры. 🛡 Способы защиты - Контекстное экранирование на выводе: Административные панели и системы работы с логами должны обрабатывать поступающие из базы данные так же строго, как и внешние. Все спецсимволы HTML должны преобразовываться в безопасные сущности перед рендерингом страницы. - Строгая политика CSP (Content Security Policy): Настройка политик во внутренних интерфейсах, запрещающая выполнение инлайновых скриптов и ограничивающая отправку запросов на неизвестные внешние домены. - Флаг HttpOnly для сессионных кук: Защита идентификаторов сессии от чтения через JavaScript, что предотвращает их кражу даже в случае успешного выполнения XSS. Привет!
620
15
Автоматизация на Playwright. Вышло новое видео по локаторам и как установить SelectorHub. 😃 Это третье видео из серии курса Автоматизация тестирования, который я буду постепенно выкладывать. Обучайтесь на здоровье. 🙃 С вас лайчонок, коммент, подписка или хотя бы что-то из этого)))) Дальше будет больше видео по автоматизации и безопасности веб-приложений. https://youtu.be/-7g6jcumcsE
706
16
Что такое DevSecOps и почему вокруг этой профессии столько шума Если максимально упростить, DevSecOps -это специалист, которы
Что такое DevSecOps и почему вокруг этой профессии столько шума Если максимально упростить, DevSecOps -это специалист, который внедряет безопасность прямо в процесс разработки программного обеспечения. —-Раньше всё работало так: программисты пишут код, тестировщики его проверяют, сисадмины выкатывают на сервер. И только в самый последний момент проект отдавали отделу безопасности. Безопасники находили кучу уязвимостей, возвращали всё назад, сроки срывались, все ругались. DevSecOps ломает эту схему. Его задача - сделать так, чтобы код проверялся на уязвимости автоматически, на каждом этапе написания, а не в самом конце. Чем конкретно занимается этот человек? * Настраивает автоматические сканеры. Как только разработчик сохраняет кусок кода, специальный софт сразу проверяет его на известные баги, "дыры" и слитые пароли. * Защищает инфраструктуру. Настраивает доступы к серверам и базам данных так, чтобы условный хакер не мог зайти туда одной левой. * Дружит разработку и безопасность. Он не просто говорит “так нельзя”, а настраивает инструменты (CI/CD пайплайны), которые помогают программистам писать защищенный код быстрее. Почему это сейчас в тренде и дорого стоит? 1. Экономия денег. Найти и исправить ошибку в безопасности, пока код еще пишется, в десятки раз дешевле, чем чинить приложение, которое уже взломали и обокрали в продакшене. 2. Дикий дефицит кадров. Обычных программистов много. Безопасников тоже хватает (на самом деле не хватает). А вот людей, которые одновременно понимают, как пишется код, как работают сервера (DevOps) и как устроены хакерские атаки (Sec) - единицы. По сути, это логическая эволюция DevOps-инженера. Если вы уже умеете настраивать сервера и автоматизировать деплой, добавление навыков безопасности (OWASP, аудит контейнеров, сканеры уязвимостей) автоматически переводит вас в ТОП по востребованности и зарплате.
694
17
Ребят немного личного Сегодня я охренел от того, что написал ученик. Мы с ученицей уже 3 месяца изучаем программирование + ав
Ребят немного личного Сегодня я охренел от того, что написал ученик. Мы с ученицей уже 3 месяца изучаем программирование + автоматизацию тестирования. Все было супер, все нравится, результаты у нее супер, еще месяц-два и мы бы закончили полное обучение. И тут она мне пишет, что прекращает обучение, потому что ей сказали, что сейчас в ИТ не найти работу. Что за пзц ... Не, я все понимаю, рынок сложный, сложнее в разы чем 2021 год, но *ля, она уже отучилась процентов на 70%. Короче ей какие-то знакомые сказали (не связанные ВООБЩЕ с ИТ), что сейчас 0 шансов найти работу. Прикол в том если бы она не тянула, но она тянула. У меня ребята кто вот-вот закончил учиться сейчас ходят на собесы (они из США), (пока не нашли, но я знаю что найдут). Да, сложно, да, долго, но блин... вот так бросать на полпути хз. 🥲 Я ей сказал, что пусть доучится уже, хотя бы будут полные знания, она сказала что подумает и уже неделю нету от нее ответа))) Что думаете, вы бы бросили на ее месте, если бы услышали мнение от человека далекого от ИТ?
767
18
А ведь многие не знают, что я раньше вел Ютуб канал и теперь я делаю его возращение Вчера вышел первый спустя перерыв ролик, где мы устанавливаем Playrwight - это самый мощный фреймворк по автоматизации Этот фреймворк отлично подойдет для тех, кто хочет стать QA Automation Engineer или же тем, кто метит в кибербез На этом фреймворке отлично можно автоматизировать проверки Security Сегодня мы написали первый автотест Ребят, я знаю вам не слонжо, черканите коммент, поставьте лайк, подпишитесь Это поможет разогнать алгоритмы, а я буду радовать вас контентом Спасибо! https://youtu.be/8-AdGeLIeY8?si=-enyokgS7l-oEFQU
748
19
Что такое Group Policy (GPO)? Представьте компанию на 1000 компьютеров. Как заставить все компьютеры: — обновляться — использ
Что такое Group Policy (GPO)? Представьте компанию на 1000 компьютеров. Как заставить все компьютеры: — обновляться — использовать одинаковые настройки — устанавливать нужный софт — соблюдать требования безопасности Вручную это невозможно. 📌 Для этого существуют Group Policy (GPO). GPO позволяют централизованно управлять всей инфраструктурой. ⚡️ Через GPO можно: — отключать USB — устанавливать программы — менять политики паролей — запускать скрипты — управлять настройками Windows Почему это интересно пентестеру? Потому что компрометация GPO может дать: — выполнение кода сразу на большом количестве машин — закрепление в инфраструктуре — распространение по сети 🧠 Поэтому при анализе Active Directory GPO всегда заслуживают отдельного внимания. #infra #ad #gpo
719
20
Кто такой Domain Admin? Если спросить пентестера: Какая главная цель внутри Active Directory? Ответ обычно один: Domain Admin
Кто такой Domain Admin? Если спросить пентестера: Какая главная цель внутри Active Directory? Ответ обычно один: Domain Admin 📌 Domain Admin — это группа пользователей с максимальными правами внутри домена. Такой пользователь может: — создавать учётные записи — менять пароли — управлять серверами — изменять политики — получать доступ практически ко всей инфраструктуре Поэтому типичная цепочка атаки выглядит так: Обычный пользователь ↓ Локальный администратор ↓ Domain Admin ↓ Полный контроль домена 🧠 Именно получение Domain Admin часто становится главной целью внутреннего пентеста. #infra #ad #domainadmin
766