Привет, наши дорогие и преданные читатели. У нас тут грядет пара изменений.
Первое – что-то захотелось поменять аватарку. Как вам? Оставляем старую или берем новую?
И второе – мы себе уже всю голову сломали в попытках придумать новое название для канала, которое не будет связано с "Пакетом". Брать что-то банальное из серии "Кладовка безопасника" или "Образ хакера" вообще не хочется. Может у вас есть какие-то идеи? Пишите их (понимаю, что вы этого не любите, но иногда надо) в комментарии!👇
Первое – что-то захотелось поменять аватарку. Как вам? Оставляем старую или берем новую?
И второе – мы себе уже всю голову сломали в попытках придумать новое название для канала, которое не будет связано с "Пакетом". Брать что-то банальное из серии "Кладовка безопасника" или "Образ хакера" вообще не хочется. Может у вас есть какие-то идеи? Пишите их (понимаю, что вы этого не любите, но иногда надо) в комментарии!
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤6👍4
Сегодня у нас в меню CTF площадка, посвящённая криптографии - CryptoHack.
Есть много категорий (аж целых 14), начиная от азов криптографии, заканчивая хэш-функциями, шифрами Диффи-Хельмана, RSA и так далее.
Помимо самих тасок, на платформе есть пять курсов, которые помогут вам плавно погрузиться в мир шифрования.
#Pentest #AppSec
🧠 Пакет Знаний | 👨🏫 Менторство
📂 Другие каналы
Есть много категорий (аж целых 14), начиная от азов криптографии, заканчивая хэш-функциями, шифрами Диффи-Хельмана, RSA и так далее.
Помимо самих тасок, на платформе есть пять курсов, которые помогут вам плавно погрузиться в мир шифрования.
#Pentest #AppSec
Please open Telegram to view this post
VIEW IN TELEGRAM
👍10🔥6❤5
Такого мы вам вроде еще не рекомендовали, но видимо время настало – тут у ребят из «Лаборатории Касперского» грядет стрим по эффективному управлению инцидентами ИБ – ссылка
Полезно будет послушать как инженерам, так и менеджерам. Ну а для тех, кто только думает идти в ИБ – даст побольше контекста об одной из самых больных тем.
Обещают обсудить ландшафт кибергуроз, известные инциденты и их последствия и рекомендации при инциденте ИБ: пошаговое реагирование и превентивные меры.
Сам стрим пройдет 21 октября в 11:00.
#SOC
🧠 Пакет Знаний | 👨🏫 Менторство
📂 Другие каналы
Полезно будет послушать как инженерам, так и менеджерам. Ну а для тех, кто только думает идти в ИБ – даст побольше контекста об одной из самых больных тем.
Обещают обсудить ландшафт кибергуроз, известные инциденты и их последствия и рекомендации при инциденте ИБ: пошаговое реагирование и превентивные меры.
Сам стрим пройдет 21 октября в 11:00.
#SOC
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5🔥4🤝3❤1🤔1
Нашли для вас ресурс, где понятно объясняют распространённые уязвимости в веб приложениях.
В Hacksplaining вас ждёт 42 небольших модуля, где подробно рассказано про типовые веб уязвимости (XSS, SSRF, CSRF и т.д.). Объяснения сопровождаются красивой визуализацией.
Также, для закрепления материала, в конце каждого модуля есть не сложные тесты, которые закрепляют знания об уязвимостях.
#Pentest #AppSec
🧠 Пакет Знаний | 👨🏫 Менторство
📂 Другие каналы
В Hacksplaining вас ждёт 42 небольших модуля, где подробно рассказано про типовые веб уязвимости (XSS, SSRF, CSRF и т.д.). Объяснения сопровождаются красивой визуализацией.
Также, для закрепления материала, в конце каждого модуля есть не сложные тесты, которые закрепляют знания об уязвимостях.
#Pentest #AppSec
Please open Telegram to view this post
VIEW IN TELEGRAM
⚡9✍5😍2
Опа, а вот это уже интересно – ссылка
Если коротко, то ребята ИИфицировали SAST под ключ на базе мультиагентной системы.
Хейтеры скажу, что это конец AppSec-а. Я скажу, что это новая ветвь его эволюции.
#AppSec
🧠 Пакет Знаний | 👨🏫 Менторство
📂 Другие каналы
Если коротко, то ребята ИИфицировали SAST под ключ на базе мультиагентной системы.
Хейтеры скажу, что это конец AppSec-а. Я скажу, что это новая ветвь его эволюции.
#AppSec
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegram
red_mad_robot
red_mad_robot и СберТех разработали мультиагентную систему, которая автоматически находит и исправляет уязвимости в коде ⚡
Она анализирует результаты SAST — статического анализа, который выявляет потенциально опасные места на этапе разработки. В системе…
Она анализирует результаты SAST — статического анализа, который выявляет потенциально опасные места на этапе разработки. В системе…
🔥9❤1💯1🍾1
Ладно, кажется, что муки с выбором логотипа окончены. Держите свои трусы.
👏13🤨6⚡1😁1😐1🙉1
Понедельник - день тяжелый, так что не помешает немного расслабиться за чашечкой чая и почитать интересные статьи прошедшей недели.
Начнём с чего-то простого. Статья о взломе подарочного сертификата вдохновит вас на мысли о том, что уязвимости могут быть даже в самых простых системах.
Следующая статья расскажет о случаях безопасности протокола HTTP, которые нужно учитывать при разработке API. Полезно будет почитать как разработчикам, так и пентестерам.
Далее у нас идёт статья для синей команды - шпаргалка по Linux для DFIR.
Затем забираем себе подборку руководств и книг по DevSecOps.
Ну и закончим на сегодня объёмным и интересным разбором (буквально) POS-терминала.
Хорошего вам дня и продуктивной недели!
#AppSec #Pentest #DevSecOps
🧠 Пакет Знаний | 👨🏫 Менторство
📂 Другие каналы
Начнём с чего-то простого. Статья о взломе подарочного сертификата вдохновит вас на мысли о том, что уязвимости могут быть даже в самых простых системах.
Следующая статья расскажет о случаях безопасности протокола HTTP, которые нужно учитывать при разработке API. Полезно будет почитать как разработчикам, так и пентестерам.
Далее у нас идёт статья для синей команды - шпаргалка по Linux для DFIR.
Затем забираем себе подборку руководств и книг по DevSecOps.
Ну и закончим на сегодня объёмным и интересным разбором (буквально) POS-терминала.
Хорошего вам дня и продуктивной недели!
#AppSec #Pentest #DevSecOps
Please open Telegram to view this post
VIEW IN TELEGRAM
❤11👍4⚡1
Грокаем безопасность веб-приложений.
Это книга, о которой вы, вероятно, слышали уже не раз, поскольку она обрела популярность почти сразу же после выхода в тираж. Не исключено, что ажиотаж вызван благодаря стилистической схожести с ещё одним бэнгером – "Грокаем алгоритмы".
Данную книгу нам любезно предоставило издательство "Питер", за что мы его сердечно благодарим.
Со вступлением закончили, перейдём же к самому обзору. В книге разбирается в первую очередь аспект безопасной разработки веб-приложений.
Содержание книги поделено на две части:
• В первой части автор рассказывает читателю некоторую базу безопасности, начиная с того, кто такие хакеры и заканчивая понятным объяснением работы шифрования и процессов безопасной разработки. Полезно почитать тем, кто не знаком с архитектурой REST или плавает в вопросах различия http от https.
• Далее начинается самое интересное – вторая часть, где по главам разбираются уже сами уязвимости. Рекомендации по безопасности автор сопровождает наглядными фрагментами кода, в которых используются описанные меры защиты. Эту часть книги обязательно советуем к прочтению как аппсекам, так и пентестерам. Первым дают хорошие советы по обеспечению безопасности от описанных уязвимостей, а вторые смогут вдохновиться и узнать много нового о том, почему появляются эти же уязвимости.
Повествование в книге очень дружелюбное по отношению к читателю: каждая глава сопровождается качественными и понятными иллюстрациями, автор старается разжевать сложные концепции простыми аналогиями. В общем, чтиво довольно увлекательное.
Рекомендуем абсолютно всем, кому интересна веб-разработка или же тестирование на безопасность веб-приложений.
#Pentest #AppSec
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
Это книга, о которой вы, вероятно, слышали уже не раз, поскольку она обрела популярность почти сразу же после выхода в тираж. Не исключено, что ажиотаж вызван благодаря стилистической схожести с ещё одним бэнгером – "Грокаем алгоритмы".
Данную книгу нам любезно предоставило издательство "Питер", за что мы его сердечно благодарим.
Со вступлением закончили, перейдём же к самому обзору. В книге разбирается в первую очередь аспект безопасной разработки веб-приложений.
Содержание книги поделено на две части:
• В первой части автор рассказывает читателю некоторую базу безопасности, начиная с того, кто такие хакеры и заканчивая понятным объяснением работы шифрования и процессов безопасной разработки. Полезно почитать тем, кто не знаком с архитектурой REST или плавает в вопросах различия http от https.
• Далее начинается самое интересное – вторая часть, где по главам разбираются уже сами уязвимости. Рекомендации по безопасности автор сопровождает наглядными фрагментами кода, в которых используются описанные меры защиты. Эту часть книги обязательно советуем к прочтению как аппсекам, так и пентестерам. Первым дают хорошие советы по обеспечению безопасности от описанных уязвимостей, а вторые смогут вдохновиться и узнать много нового о том, почему появляются эти же уязвимости.
Повествование в книге очень дружелюбное по отношению к читателю: каждая глава сопровождается качественными и понятными иллюстрациями, автор старается разжевать сложные концепции простыми аналогиями. В общем, чтиво довольно увлекательное.
Рекомендуем абсолютно всем, кому интересна веб-разработка или же тестирование на безопасность веб-приложений.
#Pentest #AppSec
Please open Telegram to view this post
VIEW IN TELEGRAM
❤11🔥6🤩4😁1
Самое время проверить себя и своих коллег на профпригодность.
Сегодня хотим рассказать вам о тесте Security Champion, который подскажет, какие моменты нужно подтянуть для прохождения предстоящих собесов.
Тест состоит из 20 вопросов, которые основаны на реальных кейсах взломов приложений. Вопросы посвящены следующим темам:
• Вывод информации в браузер (XSS)
• Обработка данных форм
• Предотвращение CRLF
• Предотвращение RCE
• Работа с SQL
В конце прохождения вам покажут диаграмму с оценкой скиллов по этим темам. Тест хоть и короткий, но вопросы интересные и сложные.
#BaseSecurity
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
Сегодня хотим рассказать вам о тесте Security Champion, который подскажет, какие моменты нужно подтянуть для прохождения предстоящих собесов.
Тест состоит из 20 вопросов, которые основаны на реальных кейсах взломов приложений. Вопросы посвящены следующим темам:
• Вывод информации в браузер (XSS)
• Обработка данных форм
• Предотвращение CRLF
• Предотвращение RCE
• Работа с SQL
В конце прохождения вам покажут диаграмму с оценкой скиллов по этим темам. Тест хоть и короткий, но вопросы интересные и сложные.
#BaseSecurity
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥7❤4⚡3👎3🥰1💩1
Всем привет! В этот прекрасный понедельник продолжаем радовать вас интересными статьями с хабра за прошедшую неделю.
Сегодня наша подборка будет состоять в основном из теоретической базы по сетевым технологиям. Первая статья посвящена протоколу DNS и его надстройке DNSSEC.
Следующая статья посвящена протоколу HTTP, а точнее про работу кэширования в этом протоколе. В тексте подробно рассказано про:
- заголовки, связанные с кэшированием;
- определение возраста ответа с примерами;
- распространённые мифы и заблуждения.
Дальше у нас идёт текст про технологию WiFi. В статье освящаются протоколы безопасности (WPA2, WPA3), их различие и современные методы аутентификации.
Ну и под конец парочка статей более практической направленности:
- Разбор уязвимости Blind LDAP Injection на примере CTF таска;
- Разбор пентеста пет-проекта. Хорошая статья, в которой качественно описаны отчёты об уязвимостях.
#BaseSecurity #Pentest
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
Сегодня наша подборка будет состоять в основном из теоретической базы по сетевым технологиям. Первая статья посвящена протоколу DNS и его надстройке DNSSEC.
Следующая статья посвящена протоколу HTTP, а точнее про работу кэширования в этом протоколе. В тексте подробно рассказано про:
- заголовки, связанные с кэшированием;
- определение возраста ответа с примерами;
- распространённые мифы и заблуждения.
Дальше у нас идёт текст про технологию WiFi. В статье освящаются протоколы безопасности (WPA2, WPA3), их различие и современные методы аутентификации.
Ну и под конец парочка статей более практической направленности:
- Разбор уязвимости Blind LDAP Injection на примере CTF таска;
- Разбор пентеста пет-проекта. Хорошая статья, в которой качественно описаны отчёты об уязвимостях.
#BaseSecurity #Pentest
Please open Telegram to view this post
VIEW IN TELEGRAM
❤6🔥4🙏3👍1🍌1
Сегодня нашли для вас сервис с практическими лабами для синей команды - CyberDefenders.
Лабы делятся на следующие категории:
• Malware Analysis
• Threat Intel
• Network Forensics
• Endpoint Forensics
• Detection Engineering
• Threat Hunting
• Cloud Forensics
По последним трём темам к сожалению бесплатных лаб нет. Но зато на остальные темы вы сможете найти больше 80-ти заданий без подписки. Есть ещё задачи в разделе Trial, это премиум лабы, которые доступны бесплатно. Их всего 10, но неизвестно пополняется ли этот раздел или нет.
В остальном, платформа стандартная, есть райтапы к лабам, очки за прохождение активных машин, ну и сопутствующая таблица лидеров.
#MalwareAnalyst #SOC #Practice
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
Лабы делятся на следующие категории:
• Malware Analysis
• Threat Intel
• Network Forensics
• Endpoint Forensics
• Detection Engineering
• Threat Hunting
• Cloud Forensics
По последним трём темам к сожалению бесплатных лаб нет. Но зато на остальные темы вы сможете найти больше 80-ти заданий без подписки. Есть ещё задачи в разделе Trial, это премиум лабы, которые доступны бесплатно. Их всего 10, но неизвестно пополняется ли этот раздел или нет.
В остальном, платформа стандартная, есть райтапы к лабам, очки за прохождение активных машин, ну и сопутствующая таблица лидеров.
#MalwareAnalyst #SOC #Practice
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥7⚡2🙏2❤1
В этот прекрасный пятничный день загрузим вас всякими большими и сложными табличками! А вы как думали, завтра работаем.
Это модель, отражающая зрелость процессов ИБ. Собрана она аж из пяти стандартов: COBIT 4.1/5, ISO 27001:2013, NIST Cybersecurity Framework, DNB 2017 и BIO 2019.
Сама модель делится на 15 аспектов, которые в свою очередь делятся на конкретные элементы. На практике это выглядит следующим образом:
Существует основной аспект, допустим "Управление инцидентами/проблемами". Данный аспект состоит из следующих элементов:
- Управление инцидентами;
- Эскалация инцидента;
- Реагирование на инциденты;
- Управление проблемами.
Далее у каждого элемента оценивается уровень зрелости. Всего уровней пять - от хаотичного процесса до максимального контроля и эффективности. Каждый уровень сопровождается подробным описанием для конкретного элемента.
Более подробно модель описана в данной статье.
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
Это модель, отражающая зрелость процессов ИБ. Собрана она аж из пяти стандартов: COBIT 4.1/5, ISO 27001:2013, NIST Cybersecurity Framework, DNB 2017 и BIO 2019.
Сама модель делится на 15 аспектов, которые в свою очередь делятся на конкретные элементы. На практике это выглядит следующим образом:
Существует основной аспект, допустим "Управление инцидентами/проблемами". Данный аспект состоит из следующих элементов:
- Управление инцидентами;
- Эскалация инцидента;
- Реагирование на инциденты;
- Управление проблемами.
Далее у каждого элемента оценивается уровень зрелости. Всего уровней пять - от хаотичного процесса до максимального контроля и эффективности. Каждый уровень сопровождается подробным описанием для конкретного элемента.
Более подробно модель описана в данной статье.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥4🕊2💅2
OpenAI решили объединить два тренда 2025-го года - безопасность и AI-агентов. В итоге получился Aardvark - агент, который анализирует исходный код на предмет уязвимостей.
Судя по всему, это такой очень умный SAST, который и код проанализирует, и юнит-тесты напишет, и даже закинет коммит, который исправляет найденные уязвимости.
На бумаге, как всегда, всё выглядит хорошо, посмотрим как будет на практике. Пока что инструмент раскатывают в закрытой бете, на которую можно записаться по ссылке.
#AI #AppSec
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
Судя по всему, это такой очень умный SAST, который и код проанализирует, и юнит-тесты напишет, и даже закинет коммит, который исправляет найденные уязвимости.
На бумаге, как всегда, всё выглядит хорошо, посмотрим как будет на практике. Пока что инструмент раскатывают в закрытой бете, на которую можно записаться по ссылке.
#AI #AppSec
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4⚡2❤2🔥2
Тут у Security Vision в их материале для студентов есть интересные статейки.
Они расписали вопросы для собеседований и кейсы вместе с правильными ответами. Заучивать наизусть конечно будет излишне, но ознакомиться точно не помешает, чтобы примерно понимать, что вас ждёт на собесе.
Статьи доступные по следующим специальностям:
- Архитектор безопасности
- Аналитик IT-безопасности
- Специалист SOC
- Администратор систем безопасности
- Программист систем защиты ИБ
- Инженер ИБ
- Инженер по тестированию ПО
- Консультант по ИБ
- Разработчик ПО в сфере кибербезопасности
#BaseSecurity
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
Они расписали вопросы для собеседований и кейсы вместе с правильными ответами. Заучивать наизусть конечно будет излишне, но ознакомиться точно не помешает, чтобы примерно понимать, что вас ждёт на собесе.
Статьи доступные по следующим специальностям:
- Архитектор безопасности
- Аналитик IT-безопасности
- Специалист SOC
- Администратор систем безопасности
- Программист систем защиты ИБ
- Инженер ИБ
- Инженер по тестированию ПО
- Консультант по ИБ
- Разработчик ПО в сфере кибербезопасности
#BaseSecurity
Please open Telegram to view this post
VIEW IN TELEGRAM
⚡9❤5🤝4
Под конец короткой рабочей недели ещё должны остаться силы, а значит можно ознакомиться с имбой для аппсеков - Secure Coding Handbook.
В этом документе есть рекомендации и лучшие практики по безопасному коду в контексте веб приложений. Эти рекомендации разделяются на 4 раздела:
- клиентсткие уязвимости;
- уязвимости сервера;
- уязвимости API;
- остальное (зависимости, десериализация, логирование).
Помимо этого в хэндбуке есть много ссылок на практику и документацию на разные фреймворки и инструменты.
#AppSec #Pentest
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
В этом документе есть рекомендации и лучшие практики по безопасному коду в контексте веб приложений. Эти рекомендации разделяются на 4 раздела:
- клиентсткие уязвимости;
- уязвимости сервера;
- уязвимости API;
- остальное (зависимости, десериализация, логирование).
Помимо этого в хэндбуке есть много ссылок на практику и документацию на разные фреймворки и инструменты.
#AppSec #Pentest
Please open Telegram to view this post
VIEW IN TELEGRAM
vladtoie.gitbook.io
Secure Coding Handbook
❤5🔥3⚡2
Forwarded from Менторство ИБ | Пакет Безопасности
Оно живое!
Вот я и родил нашего собственного GPT-агента для проведения тестовых/мок-интервью – ссылка
Изначально я думал сделать его доступным только для наших учеников, но кажется, что он будет полезен и всей галактике (ну или нет).
По сути, это полноценный инструмент, который в удобном и интерактивном формате поможет вам подготовиться к прохождению технических интервью в сфере кибербезопасности.
Я сгрузил в него буквально всё, что накопил за долгие годы работы в ИБ, десятки менторств, сотни пройденных собеседований и килограммы сожженных нервных клеток. Агент обучен на вопросах с реальных интервью, кейсах и вакансиях, которые сейчас есть на рынке.
Пособеситься вы можете на любую роль из мира ИБ – от DevSecOps-а и AppSec-а до аналитика SOC L1 и комплаенс-безопасника. Также можно выбрать разные уровни сложности, опираясь на всем известные грейды: junior, middle, senior. Ну а по окончанию интерактивного интервью вы получите подробный разбор того, что было хорошо, какие знания стоит подтянуть, а на что обратить повышенное внимание.
Если вы заметите какие-то аномалии/галлюцинации или у вас будут предложения по улучшению этого GPT-агента – не сдерживайте себя и пишите смело мне – @romanpnn
Ну и пользуйтесь на здоровье – ссылка😐
👨🏫 Менторство ИБ | Отзывы
Вот я и родил нашего собственного GPT-агента для проведения тестовых/мок-интервью – ссылка
Изначально я думал сделать его доступным только для наших учеников, но кажется, что он будет полезен и всей галактике (ну или нет).
По сути, это полноценный инструмент, который в удобном и интерактивном формате поможет вам подготовиться к прохождению технических интервью в сфере кибербезопасности.
Я сгрузил в него буквально всё, что накопил за долгие годы работы в ИБ, десятки менторств, сотни пройденных собеседований и килограммы сожженных нервных клеток. Агент обучен на вопросах с реальных интервью, кейсах и вакансиях, которые сейчас есть на рынке.
Пособеситься вы можете на любую роль из мира ИБ – от DevSecOps-а и AppSec-а до аналитика SOC L1 и комплаенс-безопасника. Также можно выбрать разные уровни сложности, опираясь на всем известные грейды: junior, middle, senior. Ну а по окончанию интерактивного интервью вы получите подробный разбор того, что было хорошо, какие знания стоит подтянуть, а на что обратить повышенное внимание.
Если вы заметите какие-то аномалии/галлюцинации или у вас будут предложения по улучшению этого GPT-агента – не сдерживайте себя и пишите смело мне – @romanpnn
Ну и пользуйтесь на здоровье – ссылка
Please open Telegram to view this post
VIEW IN TELEGRAM
ChatGPT
ChatGPT - Interview Mentor | Менторство ИБ
ChatGPT helps you get answers, find inspiration, and be more productive.
👍7🔥4🫡4❤2