Ever Secure
Продолжаем тему с похеками ⚒ На этот раз будет шатать Linux инфраструктуру 👊 Этот урок будет особенно полезен для следующего урока, который будет посвящен пентесту контейнеров 🧰 👉 Регаться тут 👀 @ever_secure
Райтап сегодняшнего урока
💻 linux-privilege-escalation
Пиши в комменты, какую тему хотел бы пройти еще 👇
👀 @ever_secure
Пиши в комменты, какую тему хотел бы пройти еще 👇
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - aleksey0xffd/linux-privilege-escalation
Contribute to aleksey0xffd/linux-privilege-escalation development by creating an account on GitHub.
🔥7
А вот обещанная статья
https://habr.com/ru/companies/ozontech/articles/806647/
Ребята из Ozon изобретают авторизацию в docker daemon 🐳
Казалось, с помощью k8s можно решить это на ура, но как один из вариантов, как выживать с доступом к группе docker
👀 @ever_secure
https://habr.com/ru/companies/ozontech/articles/806647/
Ребята из Ozon изобретают авторизацию в docker daemon 🐳
Казалось, с помощью k8s можно решить это на ура, но как один из вариантов, как выживать с доступом к группе docker
Please open Telegram to view this post
VIEW IN TELEGRAM
Хабр
Евгений DockerAuthPlugin’ович Онегин
Интересное начало, не так ли? Меня зовут Роман, и я младший инженер информационной безопасности Ozon. В этой статье я расскажу о проблеме отсутствия авторизации доступа к Docker daemon...
🔥7
Обещанный розыгрыш худака на 1000 подписчиков канала 🤩 худак XXL оверсайз
Для участия нужно просто быть подписанным на @ever_secure. Итоги подведем через 2 недели 🍾
Приглашайте друзей участвовать, будет больше шансов выиграть 🧚♂️ Я вместе с призом в мск, но отправлю выигрыш в любой город РФ (в другие страны обсуждается)📦
Для участия нужно просто быть подписанным на @ever_secure. Итоги подведем через 2 недели 🍾
Приглашайте друзей участвовать, будет больше шансов выиграть 🧚♂️ Я вместе с призом в мск, но отправлю выигрыш в любой город РФ (в другие страны обсуждается)📦
🔥27👍4
Ever Secure
Райтап сегодняшнего урока 💻 linux-privilege-escalation Пиши в комменты, какую тему хотел бы пройти еще 👇 👀 @ever_secure
YouTube
Linux privilege escalation
В ходе вебинара мы научимся повышать привилегии, используя системные недостатки или ошибки конфигурации для получения доступа к другим учетным записям пользователей, из учетной записи с ограниченными привилегиями вплоть до суперпользователя. Разберем что…
Please open Telegram to view this post
VIEW IN TELEGRAM
❤11
RUTUBE
Ever Secure — полная коллекция видео на RUTUBE
Авторский канал про безопасность и не только
По многочисленным просьбам подписчиков, я создал страницу на 📺 Rutube и, прости господи, на 📺 VK Video.
📺 Rutube | 📺 VK Video
На Rutube даже есть автоперенос с YouTube, с первой попытки не завелось, но вродь получилось. Перенос на VK в ближайшие дни будет проведен
👀 @ever_secure
На Rutube даже есть автоперенос с YouTube, с первой попытки не завелось, но вродь получилось. Перенос на VK в ближайшие дни будет проведен
Please open Telegram to view this post
VIEW IN TELEGRAM
👍10😁5🔥4❤🔥3😢2
С чего начинать делать безопасный софт? Как сделать ваш сервер защищенным? Что обязательно учесть при выходе в прод? Хочу поделиться своим опытом.
Единственное что я могу сказать наверняка - что ⬇️
У всех разный старт, кто-то начинает с SAST, кто-то фиксит зависимости, но все придут к тому же заключению ⬆️
Поделюсь своим мнением -👨💻разработчики пишут код на ПК 🗄сборка выполняется на железе. Логично, что любой софт где-то запускается, а значит первое что надо сделать – обеспечить безопасность окружения.
Большинство угроз реализуются через общеизвестные компоненты или базовые мисконфигурации. Самое простое что вы можете сделать на старте - hardening окружения. Комплаенс CIS ушел дальше всех и собрал наиболее полезные бенчмарки по безопасности - рекомендую ознакомиться с ними.link
А так как мы с вами за практику - то давайте харденить нашу ОС🐧
В этом нам поможет OpenSCAP и Content - база бенчей.
1️⃣Подготовим нужный бенч из Content
2️⃣Отдадим его OpenSCAP
➡️На примере ubuntu20.04 (можно попробовать на домашней ОС)
В отчете вы увидите мисконфиги безопасности. Что с ними делать решайте сами...
P.S. только не перехардените домашную ОС как я🙈
P.S.S.
Единственное что я могу сказать наверняка - что ⬇️
Безопасность - это комплексная must have фича.
У всех разный старт, кто-то начинает с SAST, кто-то фиксит зависимости, но все придут к тому же заключению ⬆️
Поделюсь своим мнением -👨💻разработчики пишут код на ПК 🗄сборка выполняется на железе. Логично, что любой софт где-то запускается, а значит первое что надо сделать – обеспечить безопасность окружения.
Большинство угроз реализуются через общеизвестные компоненты или базовые мисконфигурации. Самое простое что вы можете сделать на старте - hardening окружения. Комплаенс CIS ушел дальше всех и собрал наиболее полезные бенчмарки по безопасности - рекомендую ознакомиться с ними.
А так как мы с вами за практику - то давайте харденить нашу ОС🐧
В этом нам поможет OpenSCAP и Content - база бенчей.
1️⃣Подготовим нужный бенч из Content
./build_product PRODUCT_NAME
2️⃣Отдадим его OpenSCAP
oscap xccdf eval --profile (профиль из бенча) --report report.html OUR_BENCH.xml
➡️На примере ubuntu20.04 (можно попробовать на домашней ОС)
./build_product UBUNTU2004
oscap xccdf eval --profile cis_level1_workstation --report report.html ssg-ubuntu-2004-ds.xml
В отчете вы увидите мисконфиги безопасности. Что с ними делать решайте сами...
P.S. только не перехардените домашную ОС как я🙈
P.S.S.
oscap xccdf generate fix --fix-type bash может автоматически собрать для вас скрипт для фикса всех файндингов - но использовать надо с умом.👍11🔥3❤2
Forwarded from Поросёнок Пётр
🔥У нас тут необычный пятничный конкурс нарисовался 🔥
Одна маленькая девочка пыталась закупить рекламу в канале для банка. Ну и она, видимо, не знала, что это за канал такой. Да и скорее всего, это была не девочка 😁
В итоге у нас появился CTF, где флагом будет root на сервере 🥷
А призом будет вполне реальная вкусная пицца с доставкой !!!
Полагаю, что после старта конкурса времени будет немного, но на то это и CTF.
Одна маленькая девочка пыталась закупить рекламу в канале для банка. Ну и она, видимо, не знала, что это за канал такой. Да и скорее всего, это была не девочка 😁
В итоге у нас появился CTF, где флагом будет root на сервере 🥷
А призом будет вполне реальная вкусная пицца с доставкой !!!
Полагаю, что после старта конкурса времени будет немного, но на то это и CTF.
185.239.50.190
Domain: TGSTAT.RU.COM
Registered: 20th September 2024
https://news.1rj.ru/str/blacktgbot_bot
https://tgstat.ru.com/durov.html
https://tgstat.ru.com/auth/oauth/telegram/auth.php?ref=durov
😁2
Forwarded from Поросёнок Пётр
Пицца достигла стола победителя, который своим усердием помог достать контакты жертв!
Жертвы, в свою очередь, были уведомлены о необходимости сброса сессий.
Сам скам был нацелен на владельцев различных каналов, предлагая покупку рекламы под видом крупного бренда(ТБанк,МТС). Из-за того, что бренды обычно покупают рекламу через агентства, бывает невозможно провести проверку через рабочую почту.
P.S. По счастливой случайности база перестала работать 😁
Виной тому — работа от root 💁🏻♂️
Спасибо всем кто не остался равнодушным к этой истории 🫶🏻
Жертвы, в свою очередь, были уведомлены о необходимости сброса сессий.
Сам скам был нацелен на владельцев различных каналов, предлагая покупку рекламы под видом крупного бренда(ТБанк,МТС). Из-за того, что бренды обычно покупают рекламу через агентства, бывает невозможно провести проверку через рабочую почту.
P.S. По счастливой случайности база перестала работать 😁
Виной тому — работа от root 💁🏻♂️
Спасибо всем кто не остался равнодушным к этой истории 🫶🏻
Ловите классную репу со сборником open source сканнеров 🔍:
- general purpose (Zap, Arachni...)
- infrastructure (Nuclei, Xray...)
- fuzzers / bruteforces (wfuzz, dirsearch)
- CMS (WPscan...)
- API (Cherrybomb, Akto...)
- Specialised (Sqlmap, XSStrike...)
💻 https://github.com/psiinon/open-source-web-scanners
👀 @ever_secure
- general purpose (Zap, Arachni...)
- infrastructure (Nuclei, Xray...)
- fuzzers / bruteforces (wfuzz, dirsearch)
- CMS (WPscan...)
- API (Cherrybomb, Akto...)
- Specialised (Sqlmap, XSStrike...)
Please open Telegram to view this post
VIEW IN TELEGRAM
👍10🤣1
Всем привет! Подписчики неоднократно просили сделать стрим по LunarVim 🌒 и AstroNvim 🌚. Если будут желающие, то организую. Да и в целом поговорим, как я живу с Vim и актуально ли это в 2024 году. Заменяет ли Neovim полноценную IDE. спойлер: 👍
Ставь огонек 🔥 если хочешь такой стрим!
P.S. если стрим зайдет, потом вообще сделаем свою сборку для Neovim 🫡 А пока ловите небольшой квиз 😄
Ставь огонек 🔥 если хочешь такой стрим!
P.S. если стрим зайдет, потом вообще сделаем свою сборку для Neovim 🫡 А пока ловите небольшой квиз 😄
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥54
Какой способ не позволяет выйти из Vim
Anonymous Quiz
8%
выключить компьютер
6%
:confirm quit
6%
закрыть терминал
11%
:exit
27%
:quit please
10%
:x
9%
выдернуть шнур питания из розетки
15%
ZZ
9%
:!kill -9 $(ps a | grep vim | awk '{print $1}')
🤯2👏1
Сходили на экскурсию в Cloud ☁️. Теперь можно говорить, что учился у ☁️ Native)
True Cloud Native Security Engineer 🛠️
True Cloud Native Security Engineer 🛠️
🔥13😁9
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM