Одни утечки, что происходит?)
https://habr.com/ru/news/733830/
https://habr.com/ru/news/733830/
Хабр
Western Digital признала утечку базы данных клиентов, включая их имена, адреса, номера телефонов и платёжные реквизиты
5 мая 2023 года Western Digital признала факт утечки базы данных клиентов интернет-магазина WD, включая ФИО, адреса проживания, адреса электронной почты, номера телефонов и платёжные реквизиты...
Друзья, напоминаю, у нас есть чат по Пентестингу, где мы общаемся на тему кибербезопасности и пентестинга в частности, так что добро пожаловать!
Просьба, соблюдайте правила, а именно :
Нет мата
Нет политики
Нет промо и спама
Ждём вас в чате.
https://news.1rj.ru/str/pentesting_chat
Просьба, соблюдайте правила, а именно :
Нет мата
Нет политики
Нет промо и спама
Ждём вас в чате.
https://news.1rj.ru/str/pentesting_chat
Telegram
Pentesting
Другие каналы в @it_chats
👨🔧 Вакансия: Пентестер (middle/senior)
💵 Вилка: 170 -280 тыс.р.
🌏 Удаленная работа или из офиса в г. Москва
🏦 Компания: Аккредитованная! инфобез компания
Привет! Мы в поиске инженера, задачи которого будут посвящены преимущественно внутреннему анализу на проникновение и защищенности инфраструктуры. В 2022 году было реализовано более 80-ти проектов для ТОП-3 операторов мобильной связи, крупных социальных сетей и корпоративных медиаплатформ.
🤝 Мы вам предлагаем:
- официальное оформление по ТК РФ и белая зарплата
- оплата обучения по профильному направлению
- хорошая ДМС
- минимум регламентов и бюрократии
- мы состоим в реестре аккредитованных ИТ-компаний, что дает всем сотрудникам право на отсрочку
📎 Что нужно будет делать:
- Участие в проектах по внешнему и внутреннему тестированию на проникновение и анализу защищенности корпоративных информационных систем и сетей;
- Проведение атак методами социальной инженерии;
- Выполнение анализа защищенности беспроводных сетей Wi-Fi;
- Работа в команде и взаимодействие с заказчиками в рамках проекта;
- Составление отчетов по итогам проведенных проверок и разработка рекомендаций;
- Отслеживание актуальных инструментов и техник реализации кибератак.
Отклики и резюме можно отправлять сюда @darinaid ❤️
💵 Вилка: 170 -280 тыс.р.
🌏 Удаленная работа или из офиса в г. Москва
🏦 Компания: Аккредитованная! инфобез компания
Привет! Мы в поиске инженера, задачи которого будут посвящены преимущественно внутреннему анализу на проникновение и защищенности инфраструктуры. В 2022 году было реализовано более 80-ти проектов для ТОП-3 операторов мобильной связи, крупных социальных сетей и корпоративных медиаплатформ.
🤝 Мы вам предлагаем:
- официальное оформление по ТК РФ и белая зарплата
- оплата обучения по профильному направлению
- хорошая ДМС
- минимум регламентов и бюрократии
- мы состоим в реестре аккредитованных ИТ-компаний, что дает всем сотрудникам право на отсрочку
📎 Что нужно будет делать:
- Участие в проектах по внешнему и внутреннему тестированию на проникновение и анализу защищенности корпоративных информационных систем и сетей;
- Проведение атак методами социальной инженерии;
- Выполнение анализа защищенности беспроводных сетей Wi-Fi;
- Работа в команде и взаимодействие с заказчиками в рамках проекта;
- Составление отчетов по итогам проведенных проверок и разработка рекомендаций;
- Отслеживание актуальных инструментов и техник реализации кибератак.
Отклики и резюме можно отправлять сюда @darinaid ❤️
Forwarded from Codeby
Ключевыми навыками хорошего специалиста по тестированию на проникновение являются поиск уязвимостей и их эксплуатация. Погрузиться глубже в сферу кибербезопасности вы сможете на курсе «Тестирование WEB-приложений на проникновение» (WAPT)
На курсе научимся проводить аудит защищенности веб-приложений, познакомимся с различными видами инъекций произвольного кода и закрепим полученные знания в практической лаборатории.
- Старт 1 июня - продолжительность курса 3 месяца
- Обучение можно совмещать с работой: занятость до 10 часов в неделю
- Море практики: специальная лаборатория - попробуете себя в роли настоящего хакера
- Команда поддержки - опытные практикующие пентестеры
- Подробнейшие методички для лучшего понимания темы
🏆 Выдаём сертификат при успешной сдаче экзамена
→ Получите скидку 10% на оплату курса с 15 мая по 11 июня. А если сомневаетесь - забирайте промодоступ к курсу на 7 дней. При оплате сообщите менеджеру код WAPT0623. Доступна рассрочка.
❗️ Со следующего потока повышаем цены!
На курсе научимся проводить аудит защищенности веб-приложений, познакомимся с различными видами инъекций произвольного кода и закрепим полученные знания в практической лаборатории.
- Старт 1 июня - продолжительность курса 3 месяца
- Обучение можно совмещать с работой: занятость до 10 часов в неделю
- Море практики: специальная лаборатория - попробуете себя в роли настоящего хакера
- Команда поддержки - опытные практикующие пентестеры
- Подробнейшие методички для лучшего понимания темы
🏆 Выдаём сертификат при успешной сдаче экзамена
Wifite2 – бесплатная утилита для аудита Wi-Fi сетей с открытыми исходниками, разработанная на Python для идеальной работы с пентестерскими дистрибутивами. Это полная переработка Wifite и, следовательно, демонстрирует улучшенную производительность.
Утилита отлично справляется со снятием маскировки и взломом скрытых точек доступа, взломом слабых паролей WEP с использованием ряда методов хакинга и многим другим.
Утилита отлично справляется со снятием маскировки и взломом скрытых точек доступа, взломом слабых паролей WEP с использованием ряда методов хакинга и многим другим.
tcpdump — сниффер с интерфейсом командной строки, с которым можно посмотреть, какие пакеты проходят через сетевую карту в данный момент. Чаще всего используется для отладки сети и в учебных целях, но возможности утилиты также позволяют проводить сетевые атаки и выявлять сканирование хоста.
За время существования этого инструмента формат его отчётов стал своего рода стандартом для других анализаторов, поэтому tcpdump без проблем работает в тандеме с другими программами.
За время существования этого инструмента формат его отчётов стал своего рода стандартом для других анализаторов, поэтому tcpdump без проблем работает в тандеме с другими программами.
John the Ripper
Кроссплатформенный инструмент с открытым исходным кодом, который используется для аудита слабых паролей. Несмотря на столь кричащее название, Джон-потрошитель хорошо зарекомендовал себя в сфере пентеста. Программа поддерживает сразу несколько вариантов атак:
• перебором по словарю;
• полным перебором (брутфорс);
• гибридным способом.
У John the Ripper есть удобный GUI Johnny, который устанавливается отдельно. Но владельцам Linux придётся или собирать его из исходников самостоятельно, или довольствоваться консолью.
Кроссплатформенный инструмент с открытым исходным кодом, который используется для аудита слабых паролей. Несмотря на столь кричащее название, Джон-потрошитель хорошо зарекомендовал себя в сфере пентеста. Программа поддерживает сразу несколько вариантов атак:
• перебором по словарю;
• полным перебором (брутфорс);
• гибридным способом.
У John the Ripper есть удобный GUI Johnny, который устанавливается отдельно. Но владельцам Linux придётся или собирать его из исходников самостоятельно, или довольствоваться консолью.
Популярный взломщик хешей, который характеризуется высокой скоростью работы. Отличается от многих брутфорсов способом взлома: вместо грубого перебора комбинаций с вычислением и сравнением хеша с искомым значением, RainbowCrack сравнивает хеш со значениями из предкалькулированной таблицы. То есть время тратится только на сравнение, что способствует быстрому получению результата.
На официальном сайте программы можно найти демо и готовые радужные таблицы для алгоритмов хеширования LM, NTLM, MD5 и SHA1.
На официальном сайте программы можно найти демо и готовые радужные таблицы для алгоритмов хеширования LM, NTLM, MD5 и SHA1.
Masscan
Ещё один массовый асинхронный сканер, который работает со скоростью до 25 млн пакетов в секунду. Полезен для сканирования огромных сетей, таких как Интернет. Синтаксис Masscan схож с Nmap, а скорость работы превышает скорость ZMap. Но главный недостаток такой же, как и у последнего: огромная нагрузка на сеть.
Ещё один массовый асинхронный сканер, который работает со скоростью до 25 млн пакетов в секунду. Полезен для сканирования огромных сетей, таких как Интернет. Синтаксис Masscan схож с Nmap, а скорость работы превышает скорость ZMap. Но главный недостаток такой же, как и у последнего: огромная нагрузка на сеть.
mitmproxy
Консольная утилита для отладки, тестирования, оценки уровня конфиденциальности и тестирования на проникновение. С mitmproxy можно перехватывать, проверять, изменять и воспроизводить поток HTTP-трафика. Благодаря такой функциональности утилита широко используется не только хакерами и пентестерами, но также разработчиками веб-приложений для их своевременной отладки
Консольная утилита для отладки, тестирования, оценки уровня конфиденциальности и тестирования на проникновение. С mitmproxy можно перехватывать, проверять, изменять и воспроизводить поток HTTP-трафика. Благодаря такой функциональности утилита широко используется не только хакерами и пентестерами, но также разработчиками веб-приложений для их своевременной отладки
Aircrack-ng. Инструмент для проверки сетевой безопасности с открытым исходным кодом, доступным в GNU. Поставляется с рядом утилит для оценки сетей Wi-Fi на предмет возможных уязвимостей. Позволяет тестеру захватывать пакеты данных и экспортировать их в текстовые файлы для дальнейшей обработки. Aircrack-ng может выполнять атаки с воспроизведением, атаки деаутентификации и создавать поддельные точки доступа с помощью инъекции пакетов. Инструмент известен своей способностью взламывать WEP и WPA-PSK без аутентифицированного клиента.
Отцы, хочу дальше развивать канал по ИБ вакансиям, буду рад подписке вашей 😌
https://news.1rj.ru/str/cybervacancies_channel
https://news.1rj.ru/str/cybervacancies_channel
Telegram
Вакансии по пентестингу и кибербезопасности
Вакансии по кибербезопасности (security engineer, pentester, network engineer и тд)
Для добавления вакансии написать сюда @faroeman
Чат - @pentesting_chat
Наш основной канал по Пентестингу (Этичному хакингу) - @pentesting_channel
Для добавления вакансии написать сюда @faroeman
Чат - @pentesting_chat
Наш основной канал по Пентестингу (Этичному хакингу) - @pentesting_channel
MobSF. Это комплексная универсальная среда с открытым исходным кодом для тестирования на проникновение, анализа вредоносных программ и оценки безопасности мобильных приложений. Можно использовать как для статического, так и для динамического анализа. Поддерживает двоичные файлы мобильных приложений, такие как APK, XAPK, IPA и APPX. Поставляется со встроенными API-интерфейсами.
Особенности MobSF:
• автоматический статистический анализ мобильных приложений: анализирует исходный или двоичный код для выявления критических уязвимостей;
• динамический анализ на реальном устройстве или симуляторе;
• выявление уязвимостей, связанных с мобильными приложениями, такими как XXE, SSRF, Path Traversal и IDOR.
Поддерживаемые платформы — Android, iOS и Windows.
Особенности MobSF:
• автоматический статистический анализ мобильных приложений: анализирует исходный или двоичный код для выявления критических уязвимостей;
• динамический анализ на реальном устройстве или симуляторе;
• выявление уязвимостей, связанных с мобильными приложениями, такими как XXE, SSRF, Path Traversal и IDOR.
Поддерживаемые платформы — Android, iOS и Windows.
skipfish — сканер веб-уязвимостей от Michal Zalewski (известного под ником lcamtuf). Написан на С, кроссплатформинен (для Win нужен Cygwin). Рекурсивно обходит весь сайт и находит всевозможные бреши в безопасности. Так же генерирует очень много трафика (по несколько гб входящего/исходящего). Но все средства хороши, тем более, если есть время и ресурсы.
Типичное использование:
В папке «reports» будет отчет в html, пример.
Типичное использование:
./skipfish -o /home/reports www.example.comВ папке «reports» будет отчет в html, пример.
Acunetix Web Vulnerability Scanner
Acunetix Web Vulnerability Scanner — по ссылке заметно что это xss сканер, но это не совсем так. Бесплатная версия, доступная по ссылке дает довольно большой функционал. Обычно человека, запустившего этот сканер первый раз и впервые получив отчет по своему ресурсу охватывает небольшой шок, и вы поймете почему, сделав это. Это очень мощный продукт для анализа просто всевозможных уязвимостей на сайте и работает не только с привычными нам сайтами на php, но и на других языках (хоть отличие в языке не показатель). Инструкцию описывать особо смысла нет, так как сканер просто «подхватывает» действия пользователя. Что-то похожее на «далее, далее, далее, готово» в типичной установке какого-либо ПО.
Acunetix Web Vulnerability Scanner — по ссылке заметно что это xss сканер, но это не совсем так. Бесплатная версия, доступная по ссылке дает довольно большой функционал. Обычно человека, запустившего этот сканер первый раз и впервые получив отчет по своему ресурсу охватывает небольшой шок, и вы поймете почему, сделав это. Это очень мощный продукт для анализа просто всевозможных уязвимостей на сайте и работает не только с привычными нам сайтами на php, но и на других языках (хоть отличие в языке не показатель). Инструкцию описывать особо смысла нет, так как сканер просто «подхватывает» действия пользователя. Что-то похожее на «далее, далее, далее, готово» в типичной установке какого-либо ПО.