Burp Suite — это широко известный инструмент для пентестеров и багхантеров, который позволяет проводить глубокий анализ безопасности приложений.
Он содержит массу функций и возможностей, но вместе с тем может представлять и серьезные вызовы.
— В данной статье мы разберемся с какими трудностями сталкиваются пентестеры при использовании Burp Suite, как справиться с «крякнутыми» версиями и есть ли альтернативы этому инструменту.
1. Статья на SecurityMedia
Please open Telegram to view this post
VIEW IN TELEGRAM
Атака SIM Swapping позволяет преступнику присвоить ваш номер телефона и получить доступ ко всем вашим учетным записям
— В этой статье мы рассмотрим механизм атаки SIM Swapping — как злоумышленники, используя утекшие персональные данные и социальную инженерию, убеждают оператора связи перенести ваш номер на их SIM-карту, чтобы получить доступ к вашим аккаунтам через SMS-верификацию, а также как распознать эту атаку и какие меры защиты можно принять
1. Статья на SecurityLab
Please open Telegram to view this post
VIEW IN TELEGRAM
— В данной статье мы рассмотрим, как правильное ведение и анализ логов безопасности предотвращает катастрофы — от взломов до внутренних угроз
Мы узнаем, какие события критично регистрировать, как требования регуляторов помогают выстроить систему аудита, и почему без централизованного сбора логов в SIEM любая защита становится бесполезной
А так же разберем ключевые принципы: что писать в логи, как долго хранить и как гарантировать их целостность, чтобы расследовать инциденты, а не гадать об их причинах
1. Статья на Habr
Please open Telegram to view this post
VIEW IN TELEGRAM
CanaryTokens – это инструмент кибербезопасности, предназначенный для отслеживания хакеров, когда они получают доступ к личным данным
Инструмент работает путём встраивания в файл специального URL-адреса для отслеживания, который уведомляет по электронной почте при открытии
1. Репозиторий на GitHub
Please open Telegram to view this post
VIEW IN TELEGRAM
Подключая свой смартфон или планшет к общественной зарядке, вы рискуете стать жертвой Juice Jacking.
Juice Jacking - это разновидность кибератак, при которой хакеры используют зарядные устройства или USB-порты, чтобы внедрить вредоносное программное обеспечение в подключённое устройство.
— В данной статье мы узнаем, как работает Juice Jacking, какие угрозы он несет и как защитить себя от него.
1. Статья на SecurityLab
Please open Telegram to view this post
VIEW IN TELEGRAM
Сетевые сканеры стали неотъемлемой частью арсенала как ИТ-специалистов, так и злоумышленников.
Advanced IP Scanner — один из самых популярных инструментов для сканирования локальных сетей, который ежедневно используют тысячи администраторов по всему миру.
— В данной статье мы разберемся в возможностях, рисках и правовых аспектах использования сетевых сканеров вместе с экспертами по информационной безопасности.
1. Статья на SecurityMedia
Please open Telegram to view this post
VIEW IN TELEGRAM
Чем больше информации мы соберём о цели, тем успешнее будет взлом. А какую информацию нужно собирать?
Ответ: Всё что можете: Информацию о DNS, IP-адреса, конфигурацию системы, имена пользователей, название организации. В открытом доступе много информации, и любые сведения будут очень полезными.
— В этой статье мы рассмотрим методы и инструменты для сбора информации о целевой сети или домене, которые используются на начальном этапе тестирования на проникновение.
1. Статья на Codeby
Please open Telegram to view this post
VIEW IN TELEGRAM
Пентестеры — это специалисты по информационной безопасности, имитирующие реальные кибератаки для обнаружения слабых мест в системах.
Их также называют «этичными хакерами» или «тестировщиками безопасности», но суть работы остается неизменной: они помогают компаниям защититься от потенциальных угроз, действуя в рамках закона.
— В данной шпаргалке мы найдем, как работает тестирование на проникновение, изучим основы таких инструментов как Nmap, Gobuster и SQLMap и даже найдем парочку уязвимостей в приложениях DVWA и OWASP Juice Shop.
1. Шпаргалка на Habr
Please open Telegram to view this post
VIEW IN TELEGRAM
Arjun – это инструмент для обнаружения скрытых HTTP-параметров в веб-приложениях
Он находит параметры запроса для конечных URL-адресов в ссылках веб-сайтов и помогает исследователям безопасности выявлять уязвимости в безопасности
— Arjun имеет встроенный словарь по умолчанию из 10 985 имён параметров, что делает поиск параметров запроса в URL более эффективным
1. Репозиторий на GitHub
2. Arjun - справочное руководство, опции, примеры команд
Please open Telegram to view this post
VIEW IN TELEGRAM
Nmap – инструмент с открытым исходным кодом для сканирования сетей, аудита безопасности и исследования сетевых устройств
— В данной статье мы рассмотрим основы начального этапа тестирования на проникновение с помощью Nmap
Мы узнаем, как обнаруживать активные хосты в сети, определять открытые порты и версии запущенных служб, а также проводить проверку на наличие уязвимостей с использованием встроенных скриптов Nmap
1. Статья на Codeby
Please open Telegram to view this post
VIEW IN TELEGRAM
MITRE ATT&CK — это глобально доступная база знаний о тактиках и техниках противников, основанная на наблюдениях реальных атак.
— В данной статье мы подробно рассматриваем популярный фреймворк MITRE ATT&CK, используемый многими специалистами по кибербезопасности.
1. Статья на SecurityLab
Please open Telegram to view this post
VIEW IN TELEGRAM
В век цифровизации безопасность стала одним из приоритетов для пользователей.
Вместе с тем, пароли становятся все более уязвимыми перед современными троянами, хакерскими атаками и фишинговыми проникновениями. Вместо них все чаще используются токены аутентификации.
— В этой статье рассмотрим, что такое токены аутентификации и чем они отличаются от традиционных паролей, а также почему их использование становится все более популярным.
1. Статья на SecurityMedia
Please open Telegram to view this post
VIEW IN TELEGRAM
CyberED вместе с Standoff 365 запускает новогоднюю активность для начинающих исследователей и новичков.
Что
⚔️CTF-турнир с призами для победителей
⚔️Прямые включения из студии с райтапами на некоторые задачи и демонстрацией подходов
⚔️Воркшопы и интервью с практиками
⚔️10 дней бесплатного доступа к учебному контенту CyberED
⚔️Розыгрыш с ценными призами для участников программы
Сам выбирай свой уровень вовлеченности — смотри эфиры под оливье или решай таски, проходи курсы, которые впервые окажутся в открытом доступе.
Дедлайн:
Зарегистрироваться🫡
Please open Telegram to view this post
VIEW IN TELEGRAM
Vuls – инструмент для сканирования уязвимостей с открытым исходным кодом
Он автоматизирует анализ уязвимостей программного обеспечения, установленного в системе, и находит уязвимые серверы в инфраструктуре
Vuls только находит уязвимости, но не исправляет их автоматически — это осознанное решение, чтобы администратор мог контролировать процесс обновлений
️
1. Репозиторий на GitHub
Please open Telegram to view this post
VIEW IN TELEGRAM
👁КОНТРОЛЬ = СВОБОДА
🥷: Вместо сиюминутных решений я преподаю фундаментальный контроль простым языком.
Мои читатели уже подняли свой VPN, прикрутили к нему XTLS Reality, и скоро поставят его на свой роутер.
Бонусом каждый получил базу знаний по кибербезу, анонимности, OSINT и криптографии, где содержатся обзоры, эксклюзивы и гайды.
Осознанный контроль - единственный путь к свободе.
🔐The Anon Guard
Год прошёл, число сменилось и ни*уя не изменилось - протоколы VPN блокируют, белые списки входят в норму, а операторы внедряют цензуру в маршрутизаторы.
🥷: Вместо сиюминутных решений я преподаю фундаментальный контроль простым языком.
Мои читатели уже подняли свой VPN, прикрутили к нему XTLS Reality, и скоро поставят его на свой роутер.
Бонусом каждый получил базу знаний по кибербезу, анонимности, OSINT и криптографии, где содержатся обзоры, эксклюзивы и гайды.
Осознанный контроль - единственный путь к свободе.
🔐The Anon Guard
— В данной статье мы рассмотрим использование PowerShell в качестве инструмента для тестирования на проникновение, с акцентом на создание удаленных сессий PSSession к системам под управлением Windows и Linux.
Мы узнаем, как настроить окружение в Kali Linux для работы с PowerShell, установить необходимые зависимости и обойти ограничения.
Разберемся в методах установления постоянного зашифрованного соединения с целевыми машинами, выполнение команд через Invoke-Command, а также технике получения реверсивного шелла с помощью PowerShell.
1. Статья на SecurityLab
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
В эпоху цифрового прогресса и развития искусственного интеллекта, технологии поиска по фото и системы распознавания лиц становятся все более востребованными и широко используемыми.
— В данной статье узнаем, как эти технологии используются в современной жизни, насколько законно и этично их применение.
1. Статья на SecurityMedia
Please open Telegram to view this post
VIEW IN TELEGRAM
Цифровая криминалистика – это сбор, сохранение, анализ и интерпретация цифровых данных, которые могут выступать доказательствами.
— В данной статье мы сложим полную картинку для тех кто что то слышал про логи, образы дисков и timeline.
Разберемся из чего вообще состоит цифровая криминалистика и как в ней начинают работать.
1. Статья на Codeby
Please open Telegram to view this post
VIEW IN TELEGRAM
Osmedeus – инструмент для автоматизации задач разведки и сканирования уязвимостей в области информационной безопасности
Это фреймворк, который позволяет создавать и запускать систему разведки на различных целях, включая домены, URL, CIDR и репозитории GitHub
1. Репозиторий на GitHub
2. Osmedeus — инструмент наступательной безопасности
Please open Telegram to view this post
VIEW IN TELEGRAM