Друзья, в целях ознакомлении с практической стороной (не̶ ̶п̶и̶з̶д̶е̶ш̶ь̶ ̶с̶ ̶к̶о̶н̶ф̶р̶е̶н̶ц̶и̶й̶) для вас пара видео, рассказывающая на практике как происходит статический анализ исходных кодов различного ПО на примере SAST PVS-Studio. Все примеры ошибок и анализа кода демонстрируются на примере C++, C# и Java.

Теория и практика использования статического анализа на примере PVS-Studio

В видео будут разобраны интересные ошибки, найденные в проектах MonoDevelop и Godot Engine

https://www.youtube.com/watch?v=BoRK5BosqZI

Проверяем проект GitExtensions с помощью PVS Studio

В видео демонстрируется разбор ошибок графической оболочки GitExtensions для популярной тулзы Git

https://www.youtube.com/watch?v=zs_rGT6jNHM

Доп инфо:

Лучшие инструменты пентестера_ статический анализ кода от Xакер

Обзор сканеров кода: взгляд интегратора

Анализаторы исходного кода — обзор рынка в России и в мире

Катастрофические последствия программных ошибок

Хроника проишествий, аварий и катастроф, связанных с программными ошибками

Небольшой набросок о том с чего начать свой путь в индустрию ИБ новичку

https://telegra.ph/S-chego-novichku-nachat-svoj-put-v-IB-04-24

«CISSP All-in-One Exam Guide» by Shon Harris - одна из лучших книг по тебе ИБ для широкого круга лиц

Краткий обзор самых базовых рекомендаций и нативных настроек безопасности для Docker-ориентированной ИТ-инфраструктуры
https://telegra.ph/Usilivaem-bezopasnost-infrastruktury-Docker-04-30

Свежий подгон аналитики по ИТ-рынку (ЗП, опыт, региональные особенности, разброс по специализациям и т.д.) от апреля 2019 года. ИБ как отдельное направление в данной подборке отсутствует, но для общего ориентира по высоко-технологичной отрасли предложенные данные использовать можно #job

https://yandex.ru/company/researches/2019/it-jobs

Слив моей заключительной статьи по форензике Linux. Оригинал находится на сайте журнала ][акер https://xakep.ru/2019/04/12/forensics-linux-attack/

🐧 Форензика в Linux

В этой статье мы детально разбираем большой кейс с атакой на целую ферму машин под управлением Linux. Нас ждет взлом веб-сервера, заражение майнером, эскалация root из виртуального контейнера и создание ячейки ботнета, которая рассылала спам.

https://teletype.in/@it_ha/BktAhvKpN

Подъехала еще одна свежая аналитика от «Моего круга» про доп образованию для ИТ-шников (и соответственно как части высоко-технологичной индустрии для безопасников тоже). На сколько значимо сегодня дополнительное профильное образование, как его получают, в каких сферах, какой профит в итоге на практике, по каким личным критериям выбирают профиль, что предпочтительнее - курсы, книги, вебинары или очное посещение. Статистика, цифры, диаграмки - выводы делайте сами:) #job

https://habr.com/ru/company/moikrug/blog/454010/

Не хуическая подборка секурных тулз о которых шла речь на прошедшей конфе OFFZONE:

Cloud Security Suite или тулза для аудита безопасности облачных решения на базе Amazon и MS Azure
https://github.com/SecurityFTW/cs-suite

Доработка онлайн-сканера Shodan для поиска доступных в Интернете не пропатченных или криво сконфигурированных с точки зрения ИБ кластеров Kubernetes
https://github.com/averonesis/kubolt

Убойная связка из тулз nmap + Shodan + Censys для поиска уязвимых хостов в Интернете для массового пен-теста :D
https://github.com/sdnewhop/grinder

Самые горячие уязвимости месяца:

Баги в TCP\IP стеке пингвина Linux и считавшейся ̶о̶х̶у̶е̶н̶н̶о̶ безопасной FreeBSD, приводящие к удаленному Denial of Service системы (CVE-2019-11477 и CVE-2019-11478 и CVE-2019-5599 и CVE-2019-11479)
http://www.opennet.ru/opennews/art.shtml?num=50889

Критические 0-day для Windows 10 готовые к ̶н̶е̶в̶ъ̶е̶б̶е̶н̶н̶о̶й̶ ̶ эксплуатации (концепт атаки и исходники на GitHub, пока еще не прикрыли)
[GitHub] https://github.com/SandboxEscaper/polarbearrepo
[News] https://xakep.ru/2019/05/24/second-exploits-batch/

Технический обзор критических уязвимостей (CVE-2019-0697, CVE-2019-0698, CVE-2019-0726) в клиенте Windows DHCP
https://www.securitylab.ru/blog/company/pt/346144.php

Интересное чтиво:

Атаки на домен MS Active Directory
https://habr.com/ru/company/jetinfosystems/blog/449278/

Чем искать уязвимости веб-приложений: сравниваем восемь популярных сканеров
https://habr.com/ru/company/tomhunter/blog/456892/

Репозиторий Hacker Roadmap представляет собой краткий обзор книг, тулз, теоретических и технических знаний, технологий, языков программирования и т.п., скиллов и инструментов для того что бы начать свой путь в пен-тесте [язык материалов ENG]
https://github.com/sundowndev/hacker-roadmap

Интересные ньюсы этого месяца:

Наши отечесвтенные пацаны-роботяги ̶х̶у̶я̶г̶и̶ из Vulners выложили мобильную версию пассивного сканера WEB для платформы Android
[PlayMarket] https://play.google.com/store/apps/details?id=com.vulners
[News] https://www.crackitdown.com/2019/06/find-vulnerability-using-android.html

Скрипт к движку nmap, собирающий с помощью RDP некую информацию о хосте - хостнейм, домен, DNS, тип и версию ОС.
[GitHub] https://github.com/zerosum0x0/CVE-2019-0708
[News] https://fadedlab.wordpress.com/2019/06/13/using-nmap-to-extract-windows-info-from-rdp/

Сканер портов в личном кабинете Ростелекома - госовская ебанина!! Госы вместе с ФСБ и ФСТЭК, горите, мрази в аду, ублюдки
https://habr.com/ru/post/456558/

Набор презентаций и шпаргалок по защите ПДн (ФЗ-152) с уклоном на техническую составляющую (ФСТЭК №21)

Друзья, дорогие подписчики, решил поделиться с вами парой групп по теме Вакансии ИБ, ведь вопрос то не праздный, волнует многих. Группы публичные, давно известны, но быть может, если кто еще о них не знает - сможет присоединиться.

Подписчики могут постить свои вакансии, если прошли апрув, комментировать более ранние посты, спрашивать авторов поста о каких-либо вопросах по позиции, оставлять свои ̶р̶ж̶а̶ч̶ фидбеки, ̶ф̶л̶у̶д.̶ В паблике без обсужений только сами вакансии. Цените, анализируйте, прикидывайте планки, делайте выводы))

Группа Вакансии ИБ - можно оставлять комментарии [WEB] https://news.1rj.ru/str/CyberJobsRussia или [App] @CyberJobsRussia

Канал Вакансии ИБ - Вакансии и Резюме ИБ в России - без обсуждений [WEB] https://news.1rj.ru/str/RuSecJobs или [App] @RuSecJobs

С Mega подъехал большой ̶с̶л̶и̶в̶ архив платных обучающих курсов по Этичному хакингу и Тестированию на проникновение [ENG]
#education
Забирай пока лавку не прикрыли!)))

Линк на Мегу со сливом обучающих курсов
https://mega.nz/?fbclid=IwAR2FM_Ltv7unLgB6mcxLTnTRmQCsIDlZYQTRvfNlYyAk3ObM8Ov5KIxD0Ds#F!zMN00AKJ!V9ZTkIgJiE03YJDDwHe9Jw!yIUVRbbB

Друзья, ниже небольшая подборочка материалов и статей для юных пен-тестеров #pentest #education #ctf #metasploit

Полное прохождение пентест-лаборатории «Pentestit Test lab 12»
https://habr.com/ru/post/458214/

Обходим Windows Defender - meterpreter сессия через python
https://habr.com/ru/company/tomhunter/blog/459168/

Разбор тасков с PHDays 9 от комьюнити SPBCTF
http://github.com/SPbCTF/hackbattle-phdays2019 [video] http://vk.com/video-114366489_456239197

Решение одного задания с CTF-битвы от сайта pwnable.kr 01
https://habr.com/ru/post/458346/

Разбор конкурса IDS Bypass на Positive Hack Days 9
https://habr.com/ru/company/pt/blog/457932/

Пятничный мини-CTF (для тех кто хочет почесть свои ручки:)
https://habr.com/ru/post/458876/

Рассказ о том как с помощью аналитики и форезник-процедур раскрыли кибератаку на госслужбу одной из стран ЕС
https://habr.com/ru/company/pt/blog/458766/

Друзья, на ютубе подъехал 15-часовой обучающий курс The Complete Beginner Network Penetration Testing Course for 2019 [ENG] По содержанию, как обычно база, ничего особенного, но быть может, кому-то да сгодится)))

Забирайте пока есть, а то еще на позапрошлой была новость что YouTube юзает машинное обучение и делит все видосы содержащие "хацкерский контент", пруф - https://habr.com/ru/news/t/458806/

Timestamps:

0:00 - Course Introduction/whoami
6:12 - Part 1: Introduction, Notekeeping, and Introductory Linux
1:43:45 - Part 2: Python 101
3:10:05 - Part 3: Python 102 (Building a Terrible Port Scanner)
4:23:14 - Part 4: Passive OSINT
5:41:41 - Part 5: Scanning Tools & Tactics
6:56:42 - Part 6: Enumeration
8:31:22 - Part 7: Exploitation, Shells, and Some Credential Stuffing
9:57:15 - Part 8: Building an AD Lab, LLMNR Poisoning, and NTLMv2 Cracking with Hashcat
11:13:20 - Part 9: NTLM Relay, Token Impersonation, Pass the Hash, PsExec, and more
12:40:46 - Part 10: MS17-010, GPP/cPasswords, and Kerberoasting
13:32:33 - Part 11: File Transfers, Pivoting, Report Writing, and Career Advice

[Youtube] https://www.youtube.com/watch?feature=youtu.be&v=WnN6dbos5u8&fbclid=IwAR2W-yH6Kt-w4fyppcdP1u7OOxDDRV3Oml-C8EwZly0M48PEhIBmEwuVEBY

[GitHub] https://github.com/hmaverickadams/Beginner-Network-Pentesting

[WWW] https://www.thecybermentor.com/zero-to-hero-pentesting

#education #pentest

Твои планы на эти выходные? 😎😅

Друзья, сообщаю вам, что под моим руководством и методическим обеспечением совместно с площадкой OTUS в июле запускается онлайн-курс обучения "Безопасность Linux". Курс посвящен специфическим особенностям и опциям настройки безопасности Linux систем - от домашних файло-хранилищ до промышленных кластеров в ЦОД'ах.

Занятия ведут мои коллеги, преподаватели-практики, админы со стажем, спецы в своей области с многолетним стажем. Несколько первых занятий и открытый вебинар проводить буду я, и первый из них состоится сегодня, анонс ниже:

Сегодня, 15 июля в 20:00 по мск - открытый вебинар: «Безопасность в Linux в сравнении с Windows и MacOS».

Ссылка на регистрацию https://otus.ru/lessons/bezopasnost-linux/#event-280

❗️Пройдите тест, чтобы получить доступ к просмотру: https://otus.ru/assessment/90/

На практическом вебинаре мы с вами:
• обсудим модель безопасности, принятую в Unix-like операционных системах;
• сравним подходы к защите данных;
• выявим преимущества и недостатки в сравнении с такими популярными платформами, как Windows и MacOS.

❗️Приглашаем системных администраторов, специалистов по информационной безопасности, сетевых инженеров, технических специалистов, отвечающих за настройку безопасных конфигураций ОС Linux и рабочего окружения, а также ИТ/ИБ-аудиторов.

#info