База по тулзе Burp Suite, это true mush have для каждого web pentester или SecApp на базе web

Dear friends, now you can follow the world of cybersecurity and on my Twitter!

Follow me:
https://twitter.com/Ivanpiskunov14

#info

Подкаст не про cyber security. Это рассказ о том как искать мотивацию, ставить цели, преодолевать собственные страхи, комплексы, сомнения, уменьшать не знание о текущем раскладе вокруг. Из личного опыта набор техник, практик, психологических трюков для того что бы выйти из зоны комфорта и расти, усваивать больше информации, отделать ключевое от второстепенного двигаться от мечты до цели, будь-то профессиональная или личная. Подкаст будет интересен тем кто создает себя, кто ищет вдохновение и силы на перемены в своей жизни. Мой небольшой вклад для таких же как я сам

https://www.youtube.com/watch?v=_8HuLV59eQg

Пара довольно интересных вещей для тех кто в теме SecDevOps или просто багхантер\пен-тестер на багбаунти

Multi-cloud OSINT tool. Enumerate public resources in AWS, Azure, and Google Cloud - бодрая тулза, серчит все что "плохо лежит", SecDecOps ценить обязательно
https://bit.ly/32Zquth

Антисекурный API метод - www.gitlab.company.local/api/v4/users/{id} - Перебирая ID, можно насобирать как минимум список логинов, почту и кое какую другую информацию о сотрудниках компании. По логину также можно узнать открытые ключи - https://gitlab.com/webpwn.keys

Подробнее:
(1) https://hackerone.com/reports/268794

A Methodology for Penetration Testing Docker Systems, January 17, 2020 by Radboud University - бодрая книга 2020 года с общим описанием тактики пен-теста Docker контейнеров, показаны примеры работы с Metasploit, Harpoon, аудит Docker Bench, анализ IPTables rules, checking privileged mode, control groups. Кто багхантит облака и DevOps ценить обязательно!

Dear friends, so, reports from the worldwide conference "GitLab Commit Virtual 2020" have just been uploaded.

Video thread dedicated to DevSecOps
https://bit.ly/3cFbS5t

View all reports online
https://bit.ly/30cMZJg

#SecDevOps #SSDLC

Друзья, во времена, когда не было доступа к учебным курсам, видео потокам докладов, книгам и т.д. приходилось по крупицам собирать весь лучший опыт, знания и best practices, которые уже были в недрах самых высокотехнологичных компаний РФ. И сегодня extract bookmarks блогов с Хабра за которыми я смотрел в первую очередь. Как в поговорке "с миру по нитке", здесь "по статье" в свой багаж

Cyber security
(1) https://m.habr.com/ru/users/LukaSafonov/posts/
(2) https://m.habr.com/ru/users/Andrey2008/posts/
(3) https://m.habr.com/ru/users/ValdikSS/posts/
(4) https://habr.com/ru/users/bo0om/posts/
(5) https://habr.com/ru/company/dsec/blog/
(6) https://habr.com/ru/company/neobit/blog/
(7) https://habr.com/ru/company/pt/blog/
(8) https://habr.com/ru/company/kaspersky/blog/
(9) https://habr.com/ru/company/cisco/blog/
(10) https://habr.com/ru/company/group-ib/

#SecDevOps #SSDLC

Great Team and Hi-Tech Company
(11) https://habr.com/ru/company/avito/blog/
(12) https://habr.com/ru/company/mailru/blog/
(13) https://habr.com/ru/company/avito/blog/
(14) https://m.habr.com/ru/users/RTteam/posts/
(15) https://m.habr.com/ru/users/Cloud4Y/posts/
(16) https://habr.com/ru/company/tuturu/blog/
(17) https://habr.com/ru/users/xakepru/posts/

DevOps, k8s, Docker, SecDevOps
(18) https://habr.com/ru/company/flant/blog/
(19) https://m.habr.com/ru/users/Finnix/posts/
(20) https://m.habr.com/ru/users/shurup/posts/
(21) https://m.habr.com/ru/users/pxeno/posts/
(22) https://habr.com/ru/company/cian/blog/

SDLC, Secure SDLC
(23) https://habr.com/ru/company/tinkoff/blog/
(24) https://habr.com/ru/company/qiwi/blog/

Разное про облака, разработку, сервера и т.д.
(25) https://m.habr.com/ru/users/redhatrussia/
(26) https://m.habr.com/ru/users/1cloud/posts/

Интересности и не принужденное чтение
(27) https://habr.com/ru/company/roskomsvoboda/blog/
(28) https://habr.com/ru/company/qrator/blog/
(29) https://habr.com/ru/users/it_man/posts/

#SecDevOps #SSDLC

Друзья, ниже в PDF файле анонс Cyber Security Bootcamp, который я предложил для вас и за который вы проголосовали.

Для тех кто хочет поддержать любым donate официальная страничка
https://sobe.ru/na/cybersecbootcamp

Для тех у кого сервисы Яндекс залочены номер карты Qiwi
4890 4946 9631 9177

#info

Краткое описание проекта и первых тем

Друзья, ранее я уже публиковал пост https://news.1rj.ru/str/w2hack/576 с селебрии киберсека из РФ, и как тоже уже говорил, я рос и учился у всех кого мог, сейчас уже вы можете брать у них лучшее, ниже их twitter аккаунты

Short List

https://twitter.com/difezza
https://twitter.com/DarkReading
https://twitter.com/InfoSecHotSpot
https://twitter.com/SecurityTube
https://twitter.com/i_bo0om
https://twitter.com/a66ot
https://twitter.com/BetepO_ok
https://twitter.com/_mohemiv
https://twitter.com/sergeybelove

#celebrety

Хочу сказать всем, кто на одной волне, всем ребятам кто топит за безопасность, всем землякам и местным В РФ, ребятам с Украины, Белоруссии, других стран не смотря на происходящую политическую дичь и информационно войну, мы остаемся братья славяне. Большой пламенный привет тем, кто говорит на русском языке, трудится, живет в EU, USA, всем нашим! И я буду рад поработать с каждым если судьба предоставит такой шанс. Артем Долгин (Artemus Dolgin), Москва – Житомир, пионерская улица, за то что вдохновляет!

#info

Довольна частая ситуация – приходите на job interview или уже на работу, а там софт, который вы никогда не юзали. Варианты – либо быстро учишься сам, догоняешь либо тебе говорят farewell, и ты безработный. Ясное дело, что все знать невозможно, важно понимать матчать, уметь читать доки и думать головой. Что бы хоть как-то подготовиться в «домашних условиях» нужно погонять демки на стендах, но не всех есть такая возможность. Поэтому в помощь trial доступы, Live Demo коммерческих продуктов, Web GUI для популярных средств защиты. Ниже то, что я когда-то собирал для себя, где-то нужно регаться на e-mail, где-то сразу live web доступ

Предыдущие посты с подобной тематикой:

https://news.1rj.ru/str/w2hack/177

*********
IDS\IPS
Test drive USM (Unified Security Management) Anywhere
http://soc.att.com/36hs7ED
SELKS - is a turnkey Suricata-based IDS/IPS/NSM ecosystem with its own graphic rule manager and basic threat hunting capabilities
https://bit.ly/3czUb7s

************************
Logs, monitoring, dashbords

Grafana Play Home - то как могут (и должны) выглядеть дашборды визуализируемые в Grafana
https://bit.ly/30dQGyu
Prometheus Live Demo
https://bit.ly/30vAf0P
Zabbix
https://bit.ly/30aXSv5

**************************
WAF (Web Application Firewall)

Sucuri
https://bit.ly/3i6WBeN
ModSecurity Demonstration Projects
https://bit.ly/2S3zaZ8

**************************
Firewall, VPN, Network security

pfSense DEMO
https://bit.ly/3cENNLX
конфиг под стенд
https://bit.ly/3j9MqaB

***********
UTM\NGFW

SonicWall Live Demo
https://bit.ly/3391G2b
https://bit.ly/3kNbwwq
Fortinet NGFW
https://bit.ly/36cdXon
https://bit.ly/3iexFlv
FortiGate UTM Demo
https://bit.ly/344g5f7

*******************
Vulnerability Scanner

InsightVM Demo
https://bit.ly/336z49w
Lansweeper IT Discovery
https://bit.ly/3jnFQO9

*****
SIEM

Pratum Web-based Demo
https://bit.ly/3kOvcQs
Fortinet SIEM Product Demo
https://bit.ly/3kWxn4S
AlienVault OSSIM
http://soc.att.com/3mZPR64
Live Demo: SIEM Security
https://bit.ly/2EI3YMc
ELK
https://bit.ly/2EEnqJE
InsightIDR in Action
https://bit.ly/2S4KeW5
Adlumin Live Demo
https://bit.ly/3mY5pY3
Sumo Logic
https://bit.ly/3n1X7P8

Друзья, анонсирую первую лекцию из Cyber Security BootCamp by w2hack, с платформой и датой проведения пока определяюсь, вход для всех бесплатный, кто не сможет присоединиться – останется видеозапись.

И так, Agenda первого выпуска CybSecBootCamp#1

+ Аудит ИБ и Тестирование на проникновение – как подготовиться?
+ С чего начинать тестирование?
+ Как определить объем работ и посчитать стоимость своих услуг?
+ Первичный сбор данных, планирование работ, составление action plan
+ Какие обязательные пункты требуются в договоре с заказчиком?
+ Сервисы для тестирования ИТ-инфраструктуры заказчика удаленно без физического присутствия на площадке.
+ Как писать итоговый отчет, как защищать свое компетентное экспертное мнение?
+ Косяки с которыми я сталкивался в своей практике

Чуть позже добавлю ссылку на вход

#info

Друзья, довольно часто на job interview можно получить таски с траблшутингом системы. Вам дают VM тачку, она грузится без Х-сов и на экране диагностические сообщения, ваша задача промониторить систему, найти трабл и зарезолвить его. Да, это не совсем ИБ, но скилл нужный как лично себе так и если будут такие ситуации, так что база Linux – 100% must have не важно какую специализацию ты выбираешь! Ниже гайды, команды, сценарии для сетевого траблшутинга, такой кейс, к примеру, дает компания Flant при приеме на работу DevOps

Network troubleshooting (LPIC-2) topic 214
https://ibm.co/36fzxZ3

LPIC-1 102 Basic network troubleshooting
https://bit.ly/33cbE2P

Troubleshooting network issues
https://bit.ly/3n3ZQHs
Другие топики из того же дока, вдруг кому пригодится
https://bit.ly/34c3Ehi

#cisco #tricks

Сборник книг, мануалов, документации по сетевому анализатору WireShark, 100% must have инструмента для технического спеца.

В архиве материалы на русском и английском языках, темы от траблшутинга до выявления сетевых атак. Пригодится на наших лекциях CyberSecBootCamp by w2hack

Pentest AD mind map - карта тулз и подходов к тестированию защищенности каталога Active Directory

#pentest #windows

Pentest AD mind map в качестве