Друзья, для тех кто желает прокачать свои скиллы в поиске уязвимостей веб-сайтов с использованием методологии OWASP и в тоже время не хочет заморачиваться с установкой виртуальных машин, существует ряд ресурсов, которые работают прямо из браузера! Все, что вам потребуется это внимательность и минимальная теоретическая подготовка. Ну, а для тех у кого возникнут затрудения всегда есть Write Up's

Cross-site noscripting (XSS) War Game
https://xss-game.appspot.com

A series of XSS challenges
https://alf.nu/alert1

Тренировки XSS от sibears
http://xss.school.sibears.ru/

Kids XSS Game
https://www.xssgame.com

*************************************
Книги, мануалы, cheat sheet и write up's

Обучающий мини курс по JavaScript Crackers: XSS
https://medium.com/@arturbasak/javanoscript-crackers-xss-9b830abb1538

SSRF bible. Cheatsheet
https://vk.com/away.php?to=https%3A%2F%2Fdocs.google.com%2Fdocument%2Fd%2F1v1TkWZtrhzRLy0bYXBcdLUedXGb9njTNIJXa3u9akHM%2Fedit%3Fpref%3D2%26pli%3D1&cc_key=

XSS OWASP cheatsheet
https://gist.github.com/sseffa/11031135

SQL Injection Wiki
https://github.com/NetSPI/SQLInjectionWiki
https://konyakov.ru/2015/11/01/sql-injection-crib/

SQL Injection от А до Я
https://www.ptsecurity.com/upload/corporate/ru-ru/analytics/PT-devteev-Advanced-SQL-Injection.pdf

Google XSS Game Wrire Up
https://electrictower.ru/xss-game-prohozhdeniya-chast-1/
https://gist.github.com/pbssubhash/2f99644a4f24e8fe6b3e

Прохождение Website Practical Hacking
https://defcon.ru/penetration-testing/4212/

Друзья, коллеги, кто пока еще учится и кто уже работает, все кто хоть как-то причастен к Информационной Безопасности, поздравляю вас с профессиональным праздником - Международным Днем Защиты Информации!

#info

https://ipiskunov.blogspot.com/2016/11/30.html

Друзья, все хочет попытать свои силы в пен-тесте через пару недель у вас появляется уникальная важность!

14 декабря будет запущена новая «Test lab» v.12 — лаборатория тестирования на проникновение, имитирующая работу реальной корпоративной сети
https://lab.pentestit.ru/pentestlabs/8
В преддверии открытия небольшой гайд от разработчиков
https://habr.com/company/pentestit/blog/432014/

#pentest #education

Несколько интерсных статей на тему кибер безопасности из собственных закладок взятых с различных источников

https://telegra.ph/Interesnoe-chtivo-na-temu-kiber-bezopasnosti-12-08

Подборка шпаргалок и напоминалок для самых частых случаев работы с различным ПО и системой (Linux\Windows)

Видео докладов с Zero Nights 2018
https://www.youtube.com/channel/UCtQ0fPmP4fCGBkYWMxnjh6A/videos

Всех причастных с днем работника органов государственной безопасности РФ #info

Как ты относишься к работе в государственных органах и компаниях?
anonymous poll

Шарага ебаная, полное днище и ад – 103
👍👍👍👍👍👍👍 71%

Более лучшие социальные гарантии, но минимальные оклады и премии – 21
👍 14%

Это стабильность, уверенность, строгие социальные гарантии и особые плюшки – 12
👍 8%

Тоже самое что и комерсы, никакой особой разницы нет – 10
👍 7%

👥 146 people voted so far.

Краткий обзор концепции Kill Chain и Indicator of compromise (IOC) принятых в теории пен-теста и построении защищенного корпоративного периметра

https://telegra.ph/Cepochka-Kill-Chain-ot-modelirovaniya-do-proektirovaniya-zashchishchennogo-perimetra-01-03

Друзья, для тех у кого нет бюджета проходить профильные курсы, а книги покупать дорого, но все же очень хочется расширять свои знания в теме ИБ, есть выход - использование (пускай и не совсем легетимное:) электронных ресурсов:

1. Pentester Academy (www.pentesteracademy.com) - много профильных курсов (онлайн), книги.
2. Учебные курсы от Udemy (www.udemy.com) и такого ресурса как Pluralsight.com - полный комплект по всем tech skills от пен-теста до форензики и аудита ИБ

А ищем все это добро на трекер-агрегаторах как tparser.org, tsearch.me и конечно же легендарный The Pirate Bay

Немного фактов и получительных уроков из true hack андерграунда

https://telegra.ph/Zakon-i-hakery-istorii-o-prestupleniyah-i-nakazanii-01-12

Фильм "Терминатор" стал настоящей легендой - и в Голливуде (применялись передовые технологии киносьемки того времени) и в сердцах многочисленных зрителей (среди которых был и я) и конечно же в глазах и руках игроков приставок Sega, Sony PS и ПК

А среди прочего ты помнишь, как выглядел экран Терминатора (модель Т-800 исполненная Арнольдом Шварценеггером)?🤔 Это взор на мир через призму красного просвета и бегущими строчками.😎 А ведь если приглядеться, то в этих непонятных символа можно разглядеть низкоуровневый язык программирования Assembler! (на кадрах видны участки ассемблерного кода для компьютера Apple II) И это еще не все открытия!

Несколько материалов на эту тему:

https://ru-sfera.org/thre…/na-chjom-napisan-terminator.3471/

https://stanislaw.ru/rus/collects/curious.asp?picid=537

http://www.yaplakal.com/forum2/topic239502.html

https://www.old-games.ru/game/2056.html

На твой взгляд, использование на работе таких программ как DLP (Data Leak Prevention) позволяющих контролировать активность пользователя, посещенные сайты, отправленную почту, введенные логины/пароли, используемые приложения это:
anonymous poll

Необходимость для работодателя позволяющая обеспечивать эффективность труда сотрудников и защиту от утечек – 85
👍👍👍👍👍👍👍 61%

Извращенный инструмент давления на сотрудника со стороны работодателя – 27
👍👍 19%

Вендоры DLP и все кто их применяет, ублюдки, горите в аду – 20
👍👍 14%

Нарушение конституционных прав гарантирующих тайну связи (ст. 23) и тайну личной жизни (ст.24) – 7
👍 5%

👥 139 people voted so far.

В сети есть очень крутой ресурс тайм-машина "Archive.org", она создает копии сайтов хостинг которых уже давно прекращен. Достаточно просто ввести URL-адрес и выбрать дату дампа. И вот с помощью тайм-машины мы можем вернуться на десяток или даже больше лет и посмотреть хакерские сайты времен с конца 90-х годов до эпохи 2010-х. Я и сам когда то начинал свой путь с этих ресурсов.

Вот краткий список тех легендарных сайтов хакерского андреграунда:

Сайт Web-Hack
https://web.archive.org/web/20100609162118/http://www.web-hack.ru:80/

Сайт HackZona
https://web.archive.org/web/20160609102953/http://hackzona.ru:80/

Сайт Inattack
https://web.archive.org/web/20130423224449/http://www.inattack.ru/

Сайт Hack Zone
https://web.archive.org/web/20160213011421/www.hackzone.ru

Сайт Mazafaka
https://web.archive.org/web/20080309055014/http://mazafaka.ru

Сборник хакерских статей на различные темы взлома, веба и т.д.. Хотя многое на сегодня уже устарело, но быть может кто-то и сейчас найдет там что-нибудь интересное

Европейское агенство по кибер безопасности (European Union Agency for Network and Information Security) выложила в сеть ряд крутецких курсов по техническим скиллам спецов по кибер-безопасности в свободный доступ, не нужна даже регистрация! Из интересного - курсы по форензике, реагированию на инциденты, управления уязвимостями и т.д. К каждому курсу идет хендбук, лабы, виртуальные машины.
#education
Забирайте пока горячо!

https://www.enisa.europa.eu/topics/trainings-for-cybersecurity-specialists/online-training-material/technical-operational

Легендарный журнал ][акер, посвященный безопасности, разработке, DevOps'у, админству и geek-шаманизму выходит на новый международный уровень! Англоязычный сайт www.hackmag.com содержит уже почти сотню самых разных ранее опубликованных на ][акере топовых и актуальных материалов переведенных на английский!

Сегодня у нас в лаборатории обзор open sources инструментов предназначенных для трюков пост-эксплуатации в системах Linux
https://telegra.ph/Post-ehkspluataciya-v-Linux-Obzor-osnovnyh-instrumentov-pen-testera-02-14