Ну, и наконец-то долгожданный official guide по курсу Advanced Web Attacks
And Exploitation в виде PDF-книги от разработчика учебного курса Offensive Security. Версия 2016 года, не самая новая, да, но качество картинки и текста вполне приемлемое - это более 250+ страниц дельной инфы для web пен-тестеров

А вот и сам PDF к посту выше

Архив на mega "Курс Penetration testing with Kali v2 (OSCP)" оказался к моменту публикации уже залочен, но есть торрент, берите все кто может скорее!

Друзья, коллеги, дорогие подписчики, все кто давно с @w2hack, для активного обмена данными (архивы, видео, ссылки, диструбитвы ПО, голосовые месседжи, свой личный контент и т.д.) что бы разгрузить чат с сегодняшнего дня создана отдельная группа w2hack storage @w2h_storage, где вы можете свободно временно или постоянно размещать свой контент без ограничений на модерацию, самостоятельно его тегировать, а так же делиться новостями и предлагать посты к размещению в основной паблик. Если предложение интересно – welcome, вход свободный!

#info

Друзья, олды @w2hack и все вновь прибывшие в наше комьюнити, как обещал, анонс летнего стрима (https://news.1rj.ru/str/w2hack/479) – на этой неделе в четверг, 09 июля в 19.30 msk time zone, ответы на ваши вопросы, которые вы задавали в форме и которые у меня накопились оффлайн за все предыдущее время с чата и лички, мой взгляд на индустрию ИБ на текущий момент, небольшие инсайды и архив доков которые я готовил на закрытый стрим по Cyber Security Job (https://news.1rj.ru/str/w2hack/385), и который не состоялся, а так же свободное общение в эфире.

В качестве платформы для трансляции будет выбран YouTube, ссылку на эвент я закину чуть позже, участие свободное, регистрация не требуется. Все, кому интересно, кто желает пообщаться – приходите! Без обид, на эфире - за дичь, неадекват, рекламу, ругать, мат без оснований и т.п. – бан.

Все кто будет - see you!🤝

#info

Друзья, сегодня в 19.30 msk открытый стрим

Ссылка-приглашение
https://youtu.be/KATyQk2TRis

Пак материалов для участников стрима w2hack summer 2020 (будет доступен 7 дней)
https://transfiles.ru/sty4l

Password: tsrmcm

#info

Друзья, если у кого то не открывается запись стрима по выше приведенной ссылке на YouTube, выкладываю полную версию рекорда с экрана, формат MKV - в Telegram в режиме live не воспроизводится, но точно открывается любым video player

#info

В темы ИТЗИ (ТЗКИ) перед вами Многофункциональной поисковый комплекс "ST-031" Пиранья, мобильный вариант, версия середины 2000-х.

Такой вот аппарат я изучал еще учась в универе, девайс на для слабых)))

Кто почем "что это" и "зачем" ставим лайк))

Для тех у кого нет много свободного времени, но кто желает оставаться на пике событий ИБ ниже подборка самых значимых на мой взгляд ресурсов для быстрого ревью происходящего мире

Дайджест информационной безопасности от R-Vision
https://rvision.pro/blog-posts/blog-posts-digest-166/#

Подборка самых горячих, скандальных и сочных новостей от редакции ][
https://xakep.ru/?s=MegaNews

Все новости ИБ значимые для бизнеса от РБК
https://www.rbc.ru/tags/?tag=информационная+безопасность

Хаб "ИБ" с Хабра, можно подписаться на рассылку годных новостей
https://habr.com/ru/hub/infosecurity/

Сшивка новостей ИБ под заголовком «Security Week» от Kaspersky Lab
https://habr.com/ru/company/kaspersky/

Все новости ИБ от портала "Anti-malware"
https://www.anti-malware.ru/news

100% только секурная подборка от экспертов Kaspersky Lab
https://securelist.ru/

#analytics

Микро сборка статей и полезняшек для аудиторов ИБ

Неплохой варик автоматизации рутинных задач автоматизации аудита ИБ под Windows в корпоративном домене
https://habr.com/ru/company/galssoftware/blog/447512/

Набор технических бенчмарков (тестов) безопасности под все самые известные платформы, системы, сервисы и ключевые компоненты инфраструктуры от CIS Security
https://www.cisecurity.org/cis-benchmarks/

А тут набор контролей все от тех же CIS Security
https://learn.cisecurity.org/cis-controls-download

Набор бесплатных открытых тулзов\фреймворков и практик технического аудита OpenSCAP tools (Security compliance и Vulnerability assessment)
http://open-scap.org/tools/

#tricks #audit

Ну, и ценим тенденции развитии отрасли ИБ в РФ - чего ждать, какие новые требования будут выставлены, кто «попадет» и к чему готовиться. Главные драйверы изменений – мегарегулятор ЦБ РФ, святой ФСТЭК и госики во главе с ̶з̶а̶е̶б̶а̶н̶ы̶м̶ ̶̶К̶ГБ̶-̶ш̶н̶и̶к̶о̶м̶ царем бессмертным

Основные направления развития информационной безопасности кредитно-финансовой сферы на период 2019–2021 годов
https://www.cbr.ru/Content/Document/File/83253/onrib_2021.pdf

Новости по теме ИБ от ЦБ РФ
https://www.cbr.ru/information_security/news/

Новые и ранее выпущенные доки по регулированию ИБ от ЦБ РФ
https://www.cbr.ru/information_security/acts/

Аналитика фрода, хакерских атак от ЦБ РФ
https://www.cbr.ru/information_security/analitics/

Проекты нормативных актов Банка России
https://www.cbr.ru/project_na/

#analytics

Друзья, вот вам плейлисты бодрых конференций – нормальные люди, занимающиеся делом, говорят полезные вещи, реально много можно узнать как по теме разработки ПО так и инфраструктурной (DevOps, Cloud) и продуктовой безопасности (Software, Microservices). В отличи от псевдо ху@@х конференций и форумов типо SoC Forum и ̶Х̶@̶й̶И̶Б̶ Код ИБ нет пердежа старперов, дичи и катания ваты

DevOpsConf 2019
https://www.youtube.com/watch?v=-R6NbVQUdww&list=PLrFmwYyxJyVNw7x2aJVy5cCoV2tkll0Y5

Лучшие доклады DevOpsConf 2019 (РИТ++)
https://www.youtube.com/watch?v=bliHtExObHg&list=PLrFmwYyxJyVObonVl9JpyxrmUtCMnCnBl

Лучшие доклады DevOpsConf Russia 2018
https://www.youtube.com/watch?v=kOPXEOZ7vgw&list=PLrFmwYyxJyVODA8Reou9HuCGIs8Alfvwg

Лучшие доклады RootConf 2018 (РИТ++)
https://www.youtube.com/watch?v=9zB1eytkgYY&list=PLrFmwYyxJyVMYKTnLYWbC-9_BvsF4K39q

Security Compliance & DevOps
https://www.youtube.com/playlist?list=PLUpE7k7er9GVAGzjZUKeIDjdJROdbtUtu

#SecDevOps #SSDLC

[ПРОДОЛЖЕНИЕ ПРЕДЫДУЩЕГО ПОСТА]

Лучшие доклады HighLoad++ 2019
https://www.youtube.com/playlist?list=PLH-XmS0lSi_wvGzuuGw2f6rQQe3qB5fV4

Профессиональная конференция HighLoad++ 2019
https://www.youtube.com/playlist?list=PLH-XmS0lSi_zTZrols83QSxI3Q96dSbBm

HighLoad++ Moscow 2018
https://www.youtube.com/playlist?list=PLH-XmS0lSi_wRIh4RJjnTGMKaTiQoaGTc

РИТ++ 2019
https://www.youtube.com/playlist?list=PLH-XmS0lSi_yVB6gNPkgA_ziD70q_8JFC

РИТ++2018
https://www.youtube.com/playlist?list=PLH-XmS0lSi_xHPmiMdgH9uSW9vBK1yP1A

РИТ++ 2017
https://www.youtube.com/playlist?list=PLH-XmS0lSi_ypiqUoKq1eTsh4JvMV_URG

#SecDevOps #SSDLC

Руководство по реагированию на инциденты информационной безопасности от ЛК.

Написано годно - пойдет для составления регламента, обучения сотрудников (в тексте есть примеры, картинки) и описание технических работ по сбору артефактов (типо первичных навыков форензики своими силами)

Друзья, кто тянет лямку обеспечения ИБ в гос органах или работает в интеграторах по теме разработки ПОИБ для гос корпораций, ФОИВ или иных гос подрядчиках уже знаете, что без разработки документации (ГОСТ 34 и иже с ним) не обойтись. Ниже инфа по использованию методы моделирования угроз ИБ от ФСТЭК. И кстати, док весьма не плохой, линкованы куски из мировых best practices и базы MITRE

Как я моделировал угрозы по проекту новой методики ФСТЭК от А.Лукацкого

[часть 1] https://lukatsky.blogspot.com/2020/04/1.html

[часть 2] https://lukatsky.blogspot.com/2020/04/2.html

[часть 3] https://lukatsky.blogspot.com/2020/04/3.html

[часть 4] https://lukatsky.blogspot.com/2020/04/4.html

[часть 5] https://lukatsky.blogspot.com/2020/04/5.html

[часть 6] https://lukatsky.blogspot.com/2020/04/6.html

Доп материалы других блогеров:

(+) https://sborisov.blogspot.com/2020/04/blog-post_14.html
(+) https://shudrova.blogspot.com/2020/04/blog-post_16.html

#docs

Немного советов, гайдов и тулз для безопасности ИТ-инфраструктуры в AWS

101 AWS Security Tips & Quotes - 101 совет и рекомендация по усилению безопасности AWS

[часть 1] https://www.threatstack.com/blog/101-aws-security-tips-quotes-part-1-essential-security-practices
[часть 2] https://www.threatstack.com/blog/101-aws-security-tips-quotes-part-2-securing-your-aws-environment
[часть 3] https://www.threatstack.com/blog/101-aws-security-tips-quotes-part-3-best-practices-for-using-security-groups-in-aws
[часть 4] https://www.threatstack.com/blog/101-aws-security-tips-quotes-part-4-best-aws-security-practices

Список тулзов (в том числе open sources) для усиления защиты или аудита безопасности
https://github.com/toniblyx/my-arsenal-of-aws-security-tools

Сборка "всего-всего" по безопасности для AWS
https://github.com/jassics/awesome-aws-security

Collection of noscripts and resources for DevSecOps
https://github.com/awslabs/aws-security-automation

#SecDevOps #SSDLC