Гайд Open Source Security Testing Methodology Manual (OSSTMM)
https://www.isecom.org/OSSTMM.3.pdf
Гайд из Штатов от NIST - Technical Guide to Information Security Testing and Assessment (NIST SP 800-115)
https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-115.pdf
Web версия бука по тестированию сайтов и web applications от проекта OWASP
https://wiki.owasp.org/index.php/OWASP_Testing_Guide_v4_Table_of_Contents
ШАБЛОНЫ ДЛЯ ОТЧЕТОВ
Шаблоны репортов для пен-тестера с репо GitHub
https://github.com/juliocesarfort/public-pentesting-reports
Не плохой шаблончик от PT на русском языке, можно скачать в PDF, у кого не отрывается Linkedin юзайте VPN или плагины для обхода блокировки РКН в браузере
https://www.slideshare.net/devteev/pt-penetration-testing-report-sample
Еще один не плохой шаблончик ну родном русском от Э.Ш.Э.Л.О.Н конторки
https://www.slideshare.net/ucechelon/pentest-report-sample
https://www.isecom.org/OSSTMM.3.pdf
Гайд из Штатов от NIST - Technical Guide to Information Security Testing and Assessment (NIST SP 800-115)
https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-115.pdf
Web версия бука по тестированию сайтов и web applications от проекта OWASP
https://wiki.owasp.org/index.php/OWASP_Testing_Guide_v4_Table_of_Contents
ШАБЛОНЫ ДЛЯ ОТЧЕТОВ
Шаблоны репортов для пен-тестера с репо GitHub
https://github.com/juliocesarfort/public-pentesting-reports
Не плохой шаблончик от PT на русском языке, можно скачать в PDF, у кого не отрывается Linkedin юзайте VPN или плагины для обхода блокировки РКН в браузере
https://www.slideshare.net/devteev/pt-penetration-testing-report-sample
Еще один не плохой шаблончик ну родном русском от Э.Ш.Э.Л.О.Н конторки
https://www.slideshare.net/ucechelon/pentest-report-sample
Patterns_penetration_test_[w2hack].rar
574.6 KB
Небольшой пак шаблонов (примеров) для разработки Отчета о тестировании на проникновение с открытых источников
👍1
Для тех, кто еще мучается с блокировками сайтов (торренты, Linkedin, Slideshare и т.д.) – универсальная шпаргалка по обходу блокировок РКН от VPN до прокси, анонимайзеров и плагинов в браузеры, на любой карман от «бесплатного сыра» до коммерческих решений, все с картинками и объяснениями под десктопы на Win и Lin и Mac, смарты на iOS и Android
РосКомСвобода https://openrunet.org/#select
И микро-статья с Д3ена
https://zen.yandex.ru/media/id/5cbabdf3621b6d00b28adfa6/10-sposobov-zaiti-na-zablokirovannyi-sait-5cbb0add7222d000b33d7d91
РосКомСвобода https://openrunet.org/#select
И микро-статья с Д3ена
https://zen.yandex.ru/media/id/5cbabdf3621b6d00b28adfa6/10-sposobov-zaiti-na-zablokirovannyi-sait-5cbb0add7222d000b33d7d91
Дорогие други, получаю от вас много вопросов в личку «куда идти обучаться..», «какой курс пен-теста лучше всего пройти..», «кто из учебных центров и школ учит, а не только сдирает лавандос..», кому могу отвечаю тоже в личку. А вот сейчас на обозрение вам статейка с
Топ-9 курсов по пентесту (тестированию на проникновения)
https://yandex.ru/turbo/s/checkroi.ru/blog/courses-pentest-online/
!Внимание! Ничего не рекламирую, ни к кому не зазываю, ни с кем из перечисленных в статье контор не сотрудничаю, вся инфа приведено в только для ознакомления и собственного размышления.
Ну, и кому интересно, мои курсы, что я анонсировал еще зимой
Мой анонс https://news.1rj.ru/str/w2hack/362
Топ-9 курсов по пентесту (тестированию на проникновения)
https://yandex.ru/turbo/s/checkroi.ru/blog/courses-pentest-online/
!Внимание! Ничего не рекламирую, ни к кому не зазываю, ни с кем из перечисленных в статье контор не сотрудничаю, вся инфа приведено в только для ознакомления и собственного размышления.
Ну, и кому интересно, мои курсы, что я анонсировал еще зимой
Мой анонс https://news.1rj.ru/str/w2hack/362
Есть мнение, что ИТ и ИБ как отрасли не для девушек, что это исконно "мужские" профессии и виды деятельности. Что ты считаешь по поводу разделения профилей работы по гендерному признаку?
Anonymous Poll
70%
Профи - это не пол, разницы нет, смотреть нужно исключительно на скиллы, опыт и достижения человека
14%
У мужчин больше шансов "подняться" и профессионально самореализоваться в ИТ и ИБ чем у девушек
5%
Одназначно, ИТ и ИБ - это не виды деятельности для девушек
2%
У девушек потенциал карьерной реализации в ИТ и ИБ больше чем у мужчин
28%
Разницы нет, расклад 50/50, все зависит от конкретного человека
2%
Я начальник, беру к себе в штат только девушек:)
3%
Ничего из перечисленного (свой вариант)
Для всех новых подписчиков @w2hack и тех, кто с нами давно, но еще «newbie» в теме практического пен-теста – вам ниже небольшой подгон двух паков (видео курс и отдельная книга). Самая база, что вы должны знать:)
Ну, и мои прежние посты с @w2hack на эту тему:
Основы работы с Metasploit Framework (часть 1)
http://telegra.ph/Osnovy-raboty-s-Metasploit-Framework-chast-1-07-02
Набор уроков по Metasploit и Meterpreter для новичков (Eng)
http://telegra.ph/Nabor-urokov-po-Metasploit-i-Meterpreter-dlya-novichkov-Eng-08-10
Некоторые плагины с GitHub
https://news.1rj.ru/str/w2hack/401
Подборка учебных курсов по практической безопасности (WebRIP, HDRIP, Torrent)
http://telegra.ph/Podborka-uchebnyh-kursov-po-prakticheskoj-bezopasnosti-WebRIP-HDRIP-Torrent-04-16
Нарезка ресурсов для самостоятельной прокачки технических скиллов
http://telegra.ph/Narezka-resursov-dlya-samostoyatelnoj-prokachki-tehnicheskih-skillov-06-13
#newbie
Ну, и мои прежние посты с @w2hack на эту тему:
Основы работы с Metasploit Framework (часть 1)
http://telegra.ph/Osnovy-raboty-s-Metasploit-Framework-chast-1-07-02
Набор уроков по Metasploit и Meterpreter для новичков (Eng)
http://telegra.ph/Nabor-urokov-po-Metasploit-i-Meterpreter-dlya-novichkov-Eng-08-10
Некоторые плагины с GitHub
https://news.1rj.ru/str/w2hack/401
Подборка учебных курсов по практической безопасности (WebRIP, HDRIP, Torrent)
http://telegra.ph/Podborka-uchebnyh-kursov-po-prakticheskoj-bezopasnosti-WebRIP-HDRIP-Torrent-04-16
Нарезка ресурсов для самостоятельной прокачки технических скиллов
http://telegra.ph/Narezka-resursov-dlya-samostoyatelnoj-prokachki-tehnicheskih-skillov-06-13
#newbie
white2hack 📚 via @like
Hacking_and_Penetration_Testing_with_METASPLOIT_[w2hack].rar
330.6 MB
Видео курс от Udemy (simple for newbie)
👍1
white2hack 📚 via @like
Серия статей с рецептами безопасности для облачной DevOps среды. Сегодня конфигурируем секурные опции deployer, invoicer, накручиваем доступ через Bastion Host, пилим группы безопасности (SGID), льем правильно SSH-ключики и защищаем сессии от перехвата в сети
https://telegra.ph/Bezopasnyj-DevOps-CHast-1---zashchita-oblachnoj-infrastruktury-06-04
https://telegra.ph/Bezopasnyj-DevOps-CHast-1---zashchita-oblachnoj-infrastruktury-06-04
Telegraph
Безопасный DevOps. Часть 1 - защита облачной инфраструктуры
Into Ценим и применяем рецепты безопасности для облачной среды DevOps взятых их книги "Безопасный DevOps. Эффективная эксплуатация систем" автор Джульен Вехен. Конфигурируем опции безопасности deployer На данный момент конвейер предоставляет собой размещаемый…
Друзья немного пятничного расслабона и юмора перед первыми выходными этого лета :):) Почувствуй себя голливудским хакером, GUI десктопа в лучшем стиле киноиндустрии :D
Набор из 27 хакерских и гиковских рабочих столов на любой вкус - можно поиграться онлайн можно скачать как оболочку) ни один true hardcore’шик равнодушным не останется :)
http://geektyper.com/
Трушный хакерский стол Geek Prank - настоящий лютыш на русском языке с кучей приколов)) нужно щелкать по интерактивным элементам – и ломануть Пентагон, украсть X files у правительства, засечь мена «глазом бога» и по геолокции аля Сноуден стайл и т.д.
https://geekprank.com/hacker/typer/
Фейковые апдейты разных ОС от ресурса Fakeupdate - выбирай ОС жми F11 что бы развернуть браузер на весь экран и цени как будет ставится ОС, а кто много кликает получит бонус)) Фанчик спецом для не ИТ-шных друзей или повод «почить винду» для подруги в обащаге))
http://fakeupdate.net/ и https://geekprank.com/win10-update/ и https://updatefaker.com/
#fun
Набор из 27 хакерских и гиковских рабочих столов на любой вкус - можно поиграться онлайн можно скачать как оболочку) ни один true hardcore’шик равнодушным не останется :)
http://geektyper.com/
Трушный хакерский стол Geek Prank - настоящий лютыш на русском языке с кучей приколов)) нужно щелкать по интерактивным элементам – и ломануть Пентагон, украсть X files у правительства, засечь мена «глазом бога» и по геолокции аля Сноуден стайл и т.д.
https://geekprank.com/hacker/typer/
Фейковые апдейты разных ОС от ресурса Fakeupdate - выбирай ОС жми F11 что бы развернуть браузер на весь экран и цени как будет ставится ОС, а кто много кликает получит бонус)) Фанчик спецом для не ИТ-шных друзей или повод «почить винду» для подруги в обащаге))
http://fakeupdate.net/ и https://geekprank.com/win10-update/ и https://updatefaker.com/
#fun
Помните историю, которую рассказывал Эдвард Сноуден? В РФ это СОРМ, в Штатах и Европе - PRISM, X-Keyscore, Carnivore и Tempora. Но то все было в руках госов. А что есть из подобного на гражданке? К примеру, сколько из вас хотели грузать фотку какого-либо Noname или знакомого, а может недруга или красивой девушки сфотаной на тел, к которой так и не решились подойти, и попалить все что о нем есть в сети, мм? Так вот такие сервисы больше не сказка.. Большинство и них заточены под защиту бренда, лицензионных прав, отслеживания PR индекса, цитируемости, маркетингового промоушена и т.д. но поюзать их можно и в личных целях… тсс!
Моя старая статья "Око большого брата: система СОРМ в Российский Федерации" - про слежку в цифровом мире
https://ipiskunov.blogspot.com/2016/07/blog-post_20.html
И так, сначала official:
Медиалогия – ̶р̶у̶з̶к̶а̶ ̶х̶у̶ю̶з̶к̶а̶ российская автоматизированная система мониторинга СМИ и социальных сетей
https://www.mlg.ru/
Моя старая статья "Око большого брата: система СОРМ в Российский Федерации" - про слежку в цифровом мире
https://ipiskunov.blogspot.com/2016/07/blog-post_20.html
И так, сначала official:
Медиалогия – ̶р̶у̶з̶к̶а̶ ̶х̶у̶ю̶з̶к̶а̶ российская автоматизированная система мониторинга СМИ и социальных сетей
https://www.mlg.ru/
Крибрум - ̶е̶б̶а̶н̶и̶н̶а̶ адская система от InfoWatch, конторы бывшей жены дяди Жени К.
https://www.kribrum.ru/
YouScan – еще одно популярное решение для мониторинга социальных медиа, по заверениям неких «Х» является лидирующим игроком на рынке
https://youscan.io/
Brand Analytics - мониторинга и анализа социальных медиа и СМИ заточеных на защиту бренда и анти-пиратство
https://br-analytics.ru/
Angry Analytics - относительно новое решение для мониторинга и анализа олнайн СМИ, форумыов, блогов, социальных сеток, служб знакомств и прочих ̶х̶е̶р̶н̶и̶ ресурсов
https://angry-analytics.ru/
Ну, и поехали, то что доступно "простым смертным"
Коммерческий проект от Postuf - грузишь фотку в движок и он ищет все что будет связано с этим человеком – почта, форумы, сайты, соц сетки, номера телефонов, аккаунты в мессенджерах, упоминания в чьих либо постах и т.д. Доступно так же под Android и iOS
https://postuf.com/projects
И такой нормас старпап - китайский программист вместе со своим другом написал программу, идентифицирующую по фото девушек, которые снимались в порно :D
https://pikabu.ru/story/kitayskiy_programmist_pri_pomoshchi_neyrosetey_identifitsiroval_100_tyisyach_pornoaktris_po_fotografiyam_v_sotssetyakh_6729118
И еще примеры подобных сервисов
The First Porn Star face-recognizing search engine - нейронная сеть палит фото и серчит их на порно ресурсах
[INFO] https://pikabu.ru/story/servis_poiska_pokhozhikh_pornoaktris_po_fotografii_postroennyiy_na_glubokikh_neyronnyikh_setyakh_5122114
[WEB] https://pornstarbyface.com/
FindFace - аналогично предыдущему [внимание!!! может быть фейк]
[WEB] https://findface.sex/ru/
https://www.kribrum.ru/
YouScan – еще одно популярное решение для мониторинга социальных медиа, по заверениям неких «Х» является лидирующим игроком на рынке
https://youscan.io/
Brand Analytics - мониторинга и анализа социальных медиа и СМИ заточеных на защиту бренда и анти-пиратство
https://br-analytics.ru/
Angry Analytics - относительно новое решение для мониторинга и анализа олнайн СМИ, форумыов, блогов, социальных сеток, служб знакомств и прочих ̶х̶е̶р̶н̶и̶ ресурсов
https://angry-analytics.ru/
Ну, и поехали, то что доступно "простым смертным"
Коммерческий проект от Postuf - грузишь фотку в движок и он ищет все что будет связано с этим человеком – почта, форумы, сайты, соц сетки, номера телефонов, аккаунты в мессенджерах, упоминания в чьих либо постах и т.д. Доступно так же под Android и iOS
https://postuf.com/projects
И такой нормас старпап - китайский программист вместе со своим другом написал программу, идентифицирующую по фото девушек, которые снимались в порно :D
https://pikabu.ru/story/kitayskiy_programmist_pri_pomoshchi_neyrosetey_identifitsiroval_100_tyisyach_pornoaktris_po_fotografiyam_v_sotssetyakh_6729118
И еще примеры подобных сервисов
The First Porn Star face-recognizing search engine - нейронная сеть палит фото и серчит их на порно ресурсах
[INFO] https://pikabu.ru/story/servis_poiska_pokhozhikh_pornoaktris_po_fotografii_postroennyiy_na_glubokikh_neyronnyikh_setyakh_5122114
[WEB] https://pornstarbyface.com/
FindFace - аналогично предыдущему [внимание!!! может быть фейк]
[WEB] https://findface.sex/ru/
Forwarded from Deleted Account
Бесплатные обучающие ресурсы (курсы, вебинары, книги) и познавательные информационные статьи, посвященные технологиям Linux и Windows, ждут Вас на канале моего знакомого Евгения @itkbnews 😉
white2hack 📚 via @like
AWS_Эксперт_учебный_курс_[w2hack].zip
1.4 GB
Учебный видео курс на русском языке от Udemy по основам работы с облаками в AWS
***!!!только для ознакомления!!!**
***!!!только для ознакомления!!!**
👍1
Краткий набросок РФ комьюнити в сфере cyber security
Товарищество Russian Information Security Club (RISC) - одно из самых продвитнутых не коммерческих комьюнити на матушке Ру$и
http://www.risc.today/
Business Information Security (BISA) - тоже норм пацаны и девчата, пишут блоги, статьи
http://bis-expert.ru/
Сообщество профессионалов PCIDSS.RU - открыта для каждого, инфа по стандарту PCI DSS, в виде аналитических материалов, мнений, исследований
http://pcidss.ru/about/project/
Ассоциация руководителей служб информационной безопасности (АРСИБ) - комерсы, в составе только ТОПы
https://aciso.ru/
Ассоциация защиты информации (АЗИ) - комерсы
http://azi.ru/
Русское комьюнити ISACA (Information Systems Audit and Control Association) - комерсы
https://engage.isaca.org/communities/chapter
Российская Криптологическая Ассоциация, впоследствии «РусКрипто» - комьюнити от «РусКрипто»
http://www.ruscrypto.ru/
Товарищество Russian Information Security Club (RISC) - одно из самых продвитнутых не коммерческих комьюнити на матушке Ру$и
http://www.risc.today/
Business Information Security (BISA) - тоже норм пацаны и девчата, пишут блоги, статьи
http://bis-expert.ru/
Сообщество профессионалов PCIDSS.RU - открыта для каждого, инфа по стандарту PCI DSS, в виде аналитических материалов, мнений, исследований
http://pcidss.ru/about/project/
Ассоциация руководителей служб информационной безопасности (АРСИБ) - комерсы, в составе только ТОПы
https://aciso.ru/
Ассоциация защиты информации (АЗИ) - комерсы
http://azi.ru/
Русское комьюнити ISACA (Information Systems Audit and Control Association) - комерсы
https://engage.isaca.org/communities/chapter
Российская Криптологическая Ассоциация, впоследствии «РусКрипто» - комьюнити от «РусКрипто»
http://www.ruscrypto.ru/
Ребят, ниже кратенький список бесплатных библиотек, где можно качать книги (e-book) без запар. Реально экономит много времени и сил, когда что-то срочно необходимо найти
PDF Drive - огромнейшее хранилище книг на всех языках, без регистрации, без рапид, без капчи
https://www.pdfdrive.com/
All IT eBooks - огромный архив книг по ИТ и ИБ тематике, быстро, бесплатно, без регистраций
http://www.allitebooks.org/
BookFi - крупнейший поисковик и мега хранилище книг на любой вкус, постоянные пополнения, куча зеркал, список рекомендаций
http://en.bookfi.net/
Проект Zlibrary - поисковик и хранилище, есть лимит на скачивание, небольшой донат за безлимит, много зеркал, апдейты базы
https://b-ok.cc/
Sciarium - англоязычное версия блокируемого в РФ мега каталога twirpx
https://sciarium.com/
#useful #info
PDF Drive - огромнейшее хранилище книг на всех языках, без регистрации, без рапид, без капчи
https://www.pdfdrive.com/
All IT eBooks - огромный архив книг по ИТ и ИБ тематике, быстро, бесплатно, без регистраций
http://www.allitebooks.org/
BookFi - крупнейший поисковик и мега хранилище книг на любой вкус, постоянные пополнения, куча зеркал, список рекомендаций
http://en.bookfi.net/
Проект Zlibrary - поисковик и хранилище, есть лимит на скачивание, небольшой донат за безлимит, много зеркал, апдейты базы
https://b-ok.cc/
Sciarium - англоязычное версия блокируемого в РФ мега каталога twirpx
https://sciarium.com/
#useful #info
white2hack 📚 via @like
CyberSec_Lykatsky_best_2020_[w2hack].rar
53.1 MB
Наиболее интересные на мой взгляд презентации с блога "безопасника сия Руси" Алексея Лукацкого! за I полугодие 2020.
(1) 17 способов проникновения во внутреннюю сеть компании
(2) Бизнес-метрики ИБ для руководства финансовой организации
(3) Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
(1) 17 способов проникновения во внутреннюю сеть компании
(2) Бизнес-метрики ИБ для руководства финансовой организации
(3) Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
👍2
Друзья, небольшая подборка свежачка для вас!
Howsecureismypassword - сервис показывает время, которое потребуется для подбора вашего пароля. Да,все эти данные очень приблизительные, но цифры довольно интересные :)
https://howsecureismypassword.net/
Cryptojacking - проверяет ваш браузер на веб - майнеры, не будь лохом - не майни чужим мэнам лавехи!
https://cryptojackingtest.com/
BrowserCheck - еще один ресурс, который производит сканирование плагинов браузера и выполняет несколько системных проверок. Если найдутся вредоносные плагины, то BrowserCheck тебе заалертит!
https://browsercheck.qualys.com/
Находим координаты человека по фотографии, точнее по данным извлеченным из EXIF полей, держите пачку сервисов для быстрой проверки на метаданные:
[1] http://metapicz.com/#landing
[2] http://linkstore.ru/exif/
[3] http://exif.regex.info/exif.cgi
[4] http://imgops.com/
и моя статья а эту тему Определяем достоверность фото
https://news.1rj.ru/str/w2hack/105
#privacy #OSINT
Howsecureismypassword - сервис показывает время, которое потребуется для подбора вашего пароля. Да,все эти данные очень приблизительные, но цифры довольно интересные :)
https://howsecureismypassword.net/
Cryptojacking - проверяет ваш браузер на веб - майнеры, не будь лохом - не майни чужим мэнам лавехи!
https://cryptojackingtest.com/
BrowserCheck - еще один ресурс, который производит сканирование плагинов браузера и выполняет несколько системных проверок. Если найдутся вредоносные плагины, то BrowserCheck тебе заалертит!
https://browsercheck.qualys.com/
Находим координаты человека по фотографии, точнее по данным извлеченным из EXIF полей, держите пачку сервисов для быстрой проверки на метаданные:
[1] http://metapicz.com/#landing
[2] http://linkstore.ru/exif/
[3] http://exif.regex.info/exif.cgi
[4] http://imgops.com/
и моя статья а эту тему Определяем достоверность фото
https://news.1rj.ru/str/w2hack/105
#privacy #OSINT
👍1
white2hack 📚 via @like
Official_guide_AWAE_2017_[w2hack].rar
33.3 MB
Официальные гайды (только PDF) с курса Advanced Web Attacks and Exploitation (Offensive Security), версия 2017 года
👍1
Ребят, вышел небольшой косяк, книги в посту выше относятся к курсу Advanced Windows Exploitation, а не к Advanced Web Attacks and Exploitation, издатель один и тот же - Offensive Security, названия оказались очень похоже AWE и AWAE из-за этого случилась небольшая путаница. Но удалять пост не стану, кому-то может пригодится, пользуйтесь!
#pentest #web #education
#pentest #web #education