Учебный год подходит к финалу, у кого грядет выпуск - ГОСы и защита ВКР или просто интересно за "теоретическую базу" подгон шпоры с ответами на основные вопросы из гос экзамена, кое-что уже старовато, но вдруг ай да сгодится :)

Под катом сегодня практические рекомендации по обеспечению безопасности 1С:Предприятие и сервера баз данных MS SQL Server, а так же частично Windows Server в качестве ОС на которой все это хозяйство крутится с использованием только штатных механизмов защиты

https://telegra.ph/Tyuning-vstroennyh-mehanizmov-zashchity-fajlovoj-i-klient-servernoj-sistemy-1SPredpriyatie-05-19

Небольшой практический гайд для новичков по тестированию безопасности VoIP сервера на базе Asterisk базовым набором тулз из поставки Kali Linux и проапдейтиного Metasploit Framework

https://telegra.ph/Scenarij-pen-testa-VoIP-Asterisk-Server-05-19

Друзья, для всех тех, кто сейчас пишет код по реализации различных математических алгоритмов и не только, в том числе и защиты данных - от простого шифра Цезаря до эллиптических кривых, небольшая помощь по алгоритмам. Это готовые заготовки кода что бы не изобретать велосипед и шпаргалки по использованию тех или иных функция из стандартных библиотек

Реализацию алгоритмов на delphi от проекта «Delphi World» - хоть и уже немного устаревшая, но таки быть может для курсовой сгодится
http://delphiworld.narod.ru/dw.html

И тут еще одно зеркало «Delphi World»
https://www.softportal.com/get-2506-delphi-world-pro.html

DRKB (Delphi Russian Knowledge Base) — это самая большая и удобная в использовании база знаний по Дельфи (или как еще называют Object Pascal) в рунете
https://drkb.ru/

«World C++» сборник статей для С++ и его диалектов - там же на странице загрузки кроме него есть аналогичные сборники по ASM, MySQL и исходники под QT на Linux
http://netcode.ru/download/?id_d=2

Старейшие библиотеки исходников в рунете [Ishodniki] http://ishodniki.ru/ и [Sources] https://sources.ru/ - да, во многом устарели, сайт давно не обновляется, но для понимания некоторых алгоритмов и "выкуривании" новичками зайдет!

Алгоритмы без привязки к конкретному синтаксису - от решения олимпиадных задач до графики, web'а и шифрования
http://algolist.manual.ru/

Список ресурсов от ProgLib - курсы, книги, сайты, видео обучалки по алгоритмам
https://proglib.io/p/awesome-algorithms

Справочник «Сборник статей по C++ (C++ World)», 6617 статей по C++ и его диалектах и около 1000 исходников на различные темы от математики до шифрования

#coding

Друзья, для всех тех, кто качает свои скиллы в пен-тесте или точит зуб на CTF соревы или Wargames небольшая подборка площадок и write up's

Hack The Box (HTB) - топовая площадка для прокачки скиллов и оттачивания навыков теста на проникновение, мейнстрим сейчас
https://www.hackthebox.eu/login
Root Me — еще одна менее известная платформа для практики пен-теста и решения головоломок в духе CTF тасков
https://www.root-me.org/
VulnHub — огромная библиотека уязвимых виртуальных машин VM на любой вкус
https://www.vulnhub.com/

The walkthrough of hack the box - большой листинг прохождений разных тачек на HTB
https://github.com/neal1991/htb
Пример резолва Bankrobber (Mar 07, 2020)
https://rootflag.io/hack-the-box-bankrobber/
Пример резолва Player (Jan 18, 2020)
https://rootflag.io/hack-the-box-player/
Пример резолва Chainsaw (Nov 23, 2019)
https://rootflag.io/hack-the-box-chainsaw/

Пример резолва Kryptos (Sep 20, 2019)
https://rootflag.io/hack-the-box-kryptos/
Куча прохождения разных VM с HTB
https://itblogr.com/hack-the-box-walkthrough-solutions/
Еще один листинг прохождений от attactics
https://attactics.org/walkthroughs/hack-the-box-walkthrough-nest/

Обучающий видео курс от Udemy по теме реверса и разработки простых эксплойтов, который я когда проходил сам. Под катом основы реверса под Win, Lin, Mac, Android, изи сплойты, шелл кодинг, аттачинг модулей к Metasploit и обфускация. Для начинающих баг-хантеров и тем кто метит заниматься Secure SDLC и Applications Security

Друзья, ништяки для молодых пен-тестеров:):):) разбирай!

ТЕОРИЯ ПЕН-ТЕСТА ДЛЯ НАПИСАНИЯ КРАСИВЫХ ОТЧЕТОВ

Небольшой ревью на ему того то такое пен-тест глазами аудитора ИБ, который пишет официальные отчеты
https://coderlessons.com/tutorials/kachestvo-programmnogo-obespecheniia/nauchitsia-testirovaniiu-na-proniknovenie/test-na-proniknovenie-kratkoe-rukovodstvo

Старя преза «Что такое пен-тст» для новичков от PT
https://www.ruscrypto.ru/resource/archive/rc2010/files/10_evteyev.pdf

Список ресурсов от Д3ена – натащили все, что можно в один микс, но быть может что-то кому-то пригодится из этого списка
https://zen.yandex.ru/media/id/5d4c5cdd95aa9f00ad00f777/polnyi-spisok-instrumentov-dlia-testirovaniia-na-proniknovenie-i-vzloma-dlia-hakerov-i-specialistov-po-bezopasnosti-5d4ceb1b2f4ad700ac56072b

ГАЙДЫ И МЕТОДЫ ПРОВЕДЕНИЯ ПЕН-ТЕСТА «ПО НАУКЕ»

Гайд на английском от PTES по этапам проведения пен-теста
http://www.pentest-standard.org/index.php/Main_Page

Гайд Open Source Security Testing Methodology Manual (OSSTMM)
https://www.isecom.org/OSSTMM.3.pdf

Гайд из Штатов от NIST - Technical Guide to Information Security Testing and Assessment (NIST SP 800-115)
https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-115.pdf

Web версия бука по тестированию сайтов и web applications от проекта OWASP
https://wiki.owasp.org/index.php/OWASP_Testing_Guide_v4_Table_of_Contents

ШАБЛОНЫ ДЛЯ ОТЧЕТОВ

Шаблоны репортов для пен-тестера с репо GitHub
https://github.com/juliocesarfort/public-pentesting-reports

Не плохой шаблончик от PT на русском языке, можно скачать в PDF, у кого не отрывается Linkedin юзайте VPN или плагины для обхода блокировки РКН в браузере
https://www.slideshare.net/devteev/pt-penetration-testing-report-sample

Еще один не плохой шаблончик ну родном русском от Э.Ш.Э.Л.О.Н конторки
https://www.slideshare.net/ucechelon/pentest-report-sample

Небольшой пак шаблонов (примеров) для разработки Отчета о тестировании на проникновение с открытых источников

Для тех, кто еще мучается с блокировками сайтов (торренты, Linkedin, Slideshare и т.д.) – универсальная шпаргалка по обходу блокировок РКН от VPN до прокси, анонимайзеров и плагинов в браузеры, на любой карман от «бесплатного сыра» до коммерческих решений, все с картинками и объяснениями под десктопы на Win и Lin и Mac, смарты на iOS и Android

РосКомСвобода https://openrunet.org/#select

И микро-статья с Д3ена
https://zen.yandex.ru/media/id/5cbabdf3621b6d00b28adfa6/10-sposobov-zaiti-na-zablokirovannyi-sait-5cbb0add7222d000b33d7d91

Дорогие други, получаю от вас много вопросов в личку «куда идти обучаться..», «какой курс пен-теста лучше всего пройти..», «кто из учебных центров и школ учит, а не только сдирает лавандос..», кому могу отвечаю тоже в личку. А вот сейчас на обозрение вам статейка с
Топ-9 курсов по пентесту (тестированию на проникновения)
https://yandex.ru/turbo/s/checkroi.ru/blog/courses-pentest-online/

!Внимание! Ничего не рекламирую, ни к кому не зазываю, ни с кем из перечисленных в статье контор не сотрудничаю, вся инфа приведено в только для ознакомления и собственного размышления.

Ну, и кому интересно, мои курсы, что я анонсировал еще зимой
Мой анонс https://news.1rj.ru/str/w2hack/362

Для всех новых подписчиков @w2hack и тех, кто с нами давно, но еще «newbie» в теме практического пен-теста – вам ниже небольшой подгон двух паков (видео курс и отдельная книга). Самая база, что вы должны знать:)

Ну, и мои прежние посты с @w2hack на эту тему:

Основы работы с Metasploit Framework (часть 1)
http://telegra.ph/Osnovy-raboty-s-Metasploit-Framework-chast-1-07-02

Набор уроков по Metasploit и Meterpreter для новичков (Eng)
http://telegra.ph/Nabor-urokov-po-Metasploit-i-Meterpreter-dlya-novichkov-Eng-08-10

Некоторые плагины с GitHub
https://news.1rj.ru/str/w2hack/401

Подборка учебных курсов по практической безопасности (WebRIP, HDRIP, Torrent)
http://telegra.ph/Podborka-uchebnyh-kursov-po-prakticheskoj-bezopasnosti-WebRIP-HDRIP-Torrent-04-16

Нарезка ресурсов для самостоятельной прокачки технических скиллов
http://telegra.ph/Narezka-resursov-dlya-samostoyatelnoj-prokachki-tehnicheskih-skillov-06-13

#newbie

Видео курс от Udemy (simple for newbie)

Серия статей с рецептами безопасности для облачной DevOps среды. Сегодня конфигурируем секурные опции deployer, invoicer, накручиваем доступ через Bastion Host, пилим группы безопасности (SGID), льем правильно SSH-ключики и защищаем сессии от перехвата в сети

https://telegra.ph/Bezopasnyj-DevOps-CHast-1---zashchita-oblachnoj-infrastruktury-06-04