MySQL является одной из самых популярных БД в Интернете и для большинства прикладного ПО так или иначе установленого на базе Linux. Получение несанкционированного доступа к БД, к примеру, в случае web-сайта может привести к его полной компроментации или сбою в работе. Неудивительно, что после этого MySQL становится одной из ключевых целей при атаке хакера и весьма критичным обьектом ИТ-инфрастуктуры при тестировании на проникновение.
Сегодя в паблике небольшой гайд по основам поиска и эксплуатации уязвимостей в MySQL, примеры некоторых сценариев тестирования, описание основных тулз и как всегда практика применения
#pentest #kali
http://telegra.ph/Ataki-na-MySQL-teoriya-instrumenty-primery-i-praktika-04-25
Сегодя в паблике небольшой гайд по основам поиска и эксплуатации уязвимостей в MySQL, примеры некоторых сценариев тестирования, описание основных тулз и как всегда практика применения
#pentest #kali
http://telegra.ph/Ataki-na-MySQL-teoriya-instrumenty-primery-i-praktika-04-25
Telegraph
Атаки на MySQL: теория, инструменты, примеры и практика
Intro MySQL — одна из самых распространенных СУБД. Ее можно встретить повсюду, но наиболее часто она используется многочисленными сайтами. Именно поэтому безопасность базы данных — очень важный вопрос, ибо если злоумышленник получил доступ к базе, то есть…
Количество устройств в сети по всему миру с каждым годом неуклонно растет, параллельно этому увеличивается и объем сетевого оборудования призванного обрабатывать все возрастающий трафик. Поэтому DDoS-атаки сегодня это бич современного Интернета, ведь данную атаку на черном рынке хакерских услуг может заказать даже школьник. И стоит ли говорить, что DDoS отныне стало одним из инструментов недобросовестной конкуренции..
Сегодня в нашем паблике (часть 1) кратко о то, что такое DDoS, какие существуют разновидности атак, основные инструменты для тестирования и очерк о том к чему все это ведет
#hacktools
http://telegra.ph/DDoS-teoriya-instrumenty-ataki-i-varianty-zashchity-05-01
Сегодня в нашем паблике (часть 1) кратко о то, что такое DDoS, какие существуют разновидности атак, основные инструменты для тестирования и очерк о том к чему все это ведет
#hacktools
http://telegra.ph/DDoS-teoriya-instrumenty-ataki-i-varianty-zashchity-05-01
Telegraph
DDoS: теория, инструменты, атаки и варианты защиты (часть 1)
Теория для новичков DoS (от англ. Denial of Service — отказ в обслуживании) — хакерская атака на вычислительную систему с целью довести её до отказа, то есть создание таких условий, при которых легальные пользователи системы не могут получить доступ к предоставляемым…
Вторая часть нашего паблика с ликбезом о DDoS-атаках. Сегодня в выпуске все внимание сосредоточено только практике защиты Linux (+ Apache, nginx, PHP), а так же сетевого оборудования (switch, routers) и общих рекомендаций по фильтрации не легитимного трафика
#hacktools
http://telegra.ph/DDoS-teoriya-instrumenty-ataki-i-varianty-zashchity-chast-2-05-01
#hacktools
http://telegra.ph/DDoS-teoriya-instrumenty-ataki-i-varianty-zashchity-chast-2-05-01
Telegraph
DDoS: теория, инструменты, атаки и варианты защиты (часть 2)
И так, у нас вторая часть краткого ликбеза по защите от DDoS-атак. В этой статье все внимание настройке стандартных штатных механизмов безопасности от сетевых атак. Статьи @w2hack в тему: Первая часть паблика по DDoS-атакам доступна тут Статья о тестировании…
👍1
Свежий релиз дистрибутива Kali Linux 2018.2 (01.05.2018)
Для загрузки подготовлен полный iso-образ (2.8 Гб) и сокращённый образ (865 Мб). Сборки доступны для архитектур x86, x86_64, ARM (armhf и armel, Raspberry Pi, ARM Chromebook, Odroid). Помимо базовой сборки с GNOME и урезанной версии предлагаются варианты с Xfce, KDE, MATE, LXDE и Enlightenment e17. В комплект входит коллекция эксплоитов и более 300 специализированных утилит для проверки безопасности.
В новом выпуске задействовано ядро Linux 4.15, включена защита от атак Spectre и Meltdown, значительно расширена поддержка GPU AMD, добавлена поддержка расширений AMD Secure Encrypted Virtualization для шифрования виртуальной памяти
http://www.opennet.ru/opennews/art.shtml?num=48521
Для загрузки подготовлен полный iso-образ (2.8 Гб) и сокращённый образ (865 Мб). Сборки доступны для архитектур x86, x86_64, ARM (armhf и armel, Raspberry Pi, ARM Chromebook, Odroid). Помимо базовой сборки с GNOME и урезанной версии предлагаются варианты с Xfce, KDE, MATE, LXDE и Enlightenment e17. В комплект входит коллекция эксплоитов и более 300 специализированных утилит для проверки безопасности.
В новом выпуске задействовано ядро Linux 4.15, включена защита от атак Spectre и Meltdown, значительно расширена поддержка GPU AMD, добавлена поддержка расширений AMD Secure Encrypted Virtualization для шифрования виртуальной памяти
http://www.opennet.ru/opennews/art.shtml?num=48521
www.opennet.ru
Релиз дистрибутива для исследования безопасности систем Kali Linux 2018.2
Состоялся релиз дистрибутива Kali Linux 2018.2, предназначенного для тестирования систем на предмет наличия уязвимостей, проведения аудита, анализа остаточной информации и выявления последствий атак злоумышленников. Все оригинальные наработки, созданные в…
👍2
Подборка всех имеющихся инструкций и гайдов по конфигурации безопасного ПО, ОС, СУБД, СЕТИ, WEB и других сервисов от АНБ до вендоров программного и аппаратного обеспечения
#hardening
http://telegra.ph/Gajdy-ANB-i-drugie-doki-po-bezopasnoj-nastrojke-OS-i-setevogo-oborudovaniya-05-04
#hardening
http://telegra.ph/Gajdy-ANB-i-drugie-doki-po-bezopasnoj-nastrojke-OS-i-setevogo-oborudovaniya-05-04
Telegraph
Гайды АНБ и другие доки по безопасной настройке ОС и сетевого оборудования
Intro Когда давно на Хабре я читал новость про утечку секретных данных из АНБ - Агенства Национальной безопасности США. Среди прочих шпионских доков были и те, что привлекли всеобщее внимание технических экспертов по безопасности, а именно гайды и инструкции…
🔥1
All_security_guide_w2hack.rar
77.9 MB
Набор гайдов и инструкций по конфигурации безопасного окружения
👍2
Сегодня у нас в паблике небольшой пост с вводным словом по digital forensic, а так же обзор на основные книги, сайты, форумы, учебные курсы, площадки для изучения и оттачивания своих навыков по расследованию кибер-инцидентов
#forensic
http://telegra.ph/Nemnogo-resursov-po-forenzike-rassledovanii-kiber-prestuplenij-05-20
#forensic
http://telegra.ph/Nemnogo-resursov-po-forenzike-rassledovanii-kiber-prestuplenij-05-20
Telegraph
Немного ресурсов по форензике (расследовании кибер-преступлений)
Форензика как деятельность Вообще, «форензика» — это калька с английского слова forensics, которое, в свою очередь, является сокращенной формой от forensic science, «судебная наука», то есть наука об исследовании доказательств. В русском это понятие чаще…
❤1🔥1
CCNA это первая ступень в профессиональной сертификации сетевых инженеров Cisco. Экзамен подразумевает под собой тест с ответами на теоретические вопросы и решение небольших практических задачек, например, деление исходного адресного пространства на небольшие подсетки. И тут, за неимением каких-либо калькуляторов и скриптов под рукой, нужно уметь рассчитать все это вручную
#education #cisco
http://telegra.ph/Gotovimsya-k-CCNA-delenie-seti-na-podseti-metodom-kvadrata-05-31
#education #cisco
http://telegra.ph/Gotovimsya-k-CCNA-delenie-seti-na-podseti-metodom-kvadrata-05-31
Telegraph
Готовимся к CCNA: деление сети на подсети методом квадрата
Шпаргалка по делению простых сетей на подсети методом квадрата. Наиболее простой и наглядный способ разделить небольшую сеть на необходимое число подсетей с заданным количеством хостов. Часто используется на тестах CCNA Немного теории Маска подсети — битовая…
🔥1
Одной из больших проблем обеспечения внутренней корпоративной безопасности компании является контроль распространения конфиденциального контента (файлы, документы, письма, печать и т.д.) . И первое, что приходит на ум, это установка DLP-решения на конечные пользовательские хосты, которые будут контролировать всю активность юзеров. Однако, внедрение таких систем может оказаться не всем по карману, и как вариант тут на выручку может прийти нативная технология Microsoft Windows Rights поставляемая "из коробки" в серверных редакциях Windows. Она, безусловно уступает всему функционалу DLP, но вполне сможет обеспечить базовую защиту всех офисных документов
#windows #hardening
http://telegra.ph/Zashchita-dokumentov-ot-hishcheniya-s-pomoshchyu-Windows-Rights-Management-Services-ot-Microsoft-05-31
#windows #hardening
http://telegra.ph/Zashchita-dokumentov-ot-hishcheniya-s-pomoshchyu-Windows-Rights-Management-Services-ot-Microsoft-05-31
Telegraph
Защита документов от хищения с помощью Rights Management Services от Microsoft
Введение в технологию Microsoft Windows Rights Management Services Больше всего компании боятся утечки конфиденциальных данных, составляющих коммерческую тайну, будь то стратегические планы или реальные объемы продаж. Последнее время широкое распространение…
Что бы оттюнинговать свой смартфон на Andorid большинство пользователей рутуют свой аппарат или вовсе прибегает к перепрошивке на кастомные версии. Однако, и то и другое дело весьма рисковое, и к тому же лишает гарантии, если телефон был недавно куплен в магазине. Для то бы удалить "неудаляемые" стандартные приложения, разблокировать PIN или графический ключ, отключить левые сервисы, оптимизировать производительность достаточно будет подключиться к аппарату с помощью тулзы ADB из набора стандартного SDK, это практически тот же терминал, что в Linux с аналогичными командами, и что не мало важно, привилегиями root'а без перепрошивки девайса.
Сегодня в нашей лаборатории обзор ADB и гайд по основным командам, что помогут тебе оттюнинговать смартфон на свой вкус
#android
http://telegra.ph/Pochuvstvuj-sebya-rootom-s-ADB-tyuninguem-Android-smartfon-na-svoj-lad-05-31
Сегодня в нашей лаборатории обзор ADB и гайд по основным командам, что помогут тебе оттюнинговать смартфон на свой вкус
#android
http://telegra.ph/Pochuvstvuj-sebya-rootom-s-ADB-tyuninguem-Android-smartfon-na-svoj-lad-05-31
Telegraph
Почувствуй себя root'ом с ADB: тюнингуем Android смартфон на свой лад
Введение ADB (Android Debug Bridge - Отладочный мост Android) - инструмент, который устанавливается вместе с Android-SDK и позволяет управлять устройством на базе ОС Android. Работает на всех Android-устройствах, где данный функционал не был намеренно заблокирован…
Продолжаем исследование безопасности отечественной ERP-системы 1С:Предприятие. Сегодня кейс из практики пен-теста показывающий как через небрежно защищенные базы данных 1С не относящихся к финансово-значимым БД можно получить доступ к MS SQL Server и эскалировать с помощью Metasploit Framework привилегии до уровня системы
#pentest #1C #metasploit
http://telegra.ph/Kejs-iz-praktiki-pen-testa-vzlom-MS-SQL-Server-cherez-ne-zashchishchennuyu-bazu-1S-06-04
#pentest #1C #metasploit
http://telegra.ph/Kejs-iz-praktiki-pen-testa-vzlom-MS-SQL-Server-cherez-ne-zashchishchennuyu-bazu-1S-06-04
Telegraph
Кейс из практики пен-теста: взлом MS SQL Server через не защищенную базу 1С
Into Сегодня мы расскажем, как можно получить права локального администратора на сервере MS Windows Server 2016 через незащищенную базу 1С: Предприятие 8. Во время выполнения внутреннего тестирования на проникновение мы столкнулись с крайне редкой ситуацией…
Как бы хороша не была Windows 10 с постоянно выходящими Update Pack'ами, современными фичами в виде Cortana м набирающим обороты AI, приложениями Edge, OneDrive и т.д., разработчики не обошли стороной тему слежения за пользователями и сбора других сторонних данных со всех устройств, где установлена данная система. И такие обстоятельства не всем окажутся по душе. Поэтому сегодня у нас в лаборатории подробный гайд как нескольким способами отклонения левых сервисов слежения и защиты своей конфиденциальности
#hardening #windows #privacy
http://telegra.ph/Polnyj-gajd-po-otklyucheniyu-fich-slezheniya-v-Windows-10-06-04
#hardening #windows #privacy
http://telegra.ph/Polnyj-gajd-po-otklyucheniyu-fich-slezheniya-v-Windows-10-06-04
Telegraph
Полный гайд по отключению фич слежения в Windows 10
В чем собственно проблема? С момента выхода новой версии ОС от Microsoft, в Интернете появилась масса информации о слежке Windows 10 и о том, что ОС шпионит за своими пользователями, непонятным образом использует их личные данные и не только. Windows 10 собирает…
По многочисленным просьбам, друзья, кто грызет гранит и истощенных учебой, в помощь вам курс лекций по основам безопасности (в том числе практической - Linux, C++, tcpdump) от ВМК МГУ и докторов Яндекса. Видос уже старый, но для новичков в теме ИБ кое-что можно почерпнуть
#education
http://telegra.ph/Video-kursy-po-bezopasnosti-ot-VMK-MGU-imeni-M-V-Lomonosova-i-kompanii-YAndeks-06-05
#education
http://telegra.ph/Video-kursy-po-bezopasnosti-ot-VMK-MGU-imeni-M-V-Lomonosova-i-kompanii-YAndeks-06-05
Telegraph
Видео курсы по безопасности от ВМК МГУ имени М. В. Ломоносова и компании Яндекс
1.Вводный видеокурс по информационной безопасности Сотрудники факультета ВМК МГУ имени М. В. Ломоносова и компании Яндекс начали читать спецкурс по информационной безопасности, который растянулся на целый учебный год, и разбит на два тематических раздела:…
Для тех у кого нет возможности проходить полноценный курс CCNA, но все же нужно получить навыки сетевого администрирования сегодня предлагаем обратить внимание на пак видео уроков от NetSkills. Минимум теории, максимум практики, лабы в PC и доступное объяснение самых важных вещей на русском языке
#education #cisco
http://telegra.ph/Uchebka-po-CCNA-samoe-osnovnoe-dlya-nastrojki-setevogo-oborudovaniya-06-05
#education #cisco
http://telegra.ph/Uchebka-po-CCNA-samoe-osnovnoe-dlya-nastrojki-setevogo-oborudovaniya-06-05
Telegraph
Учебка по CCNA: самое основное для настройки сетевого оборудования
Описание Перед вами практический курс для новичков в мире сетевых технологий. Посмотрев данный материал вы научитесь пользоваться программным симулятором Cisco Packet Tracer и познакомитесь с основными понятиями, технологиями и приемами, которые используются…
Сегодня в нашей лаборатории разбор еще одного простого, но эффективного способа поиметь (к херам:D доменного админа Windows Server путем извлечения "не надежно зашифрованного" ключа из Group Policy Preferences
#pentest #windows
http://telegra.ph/Vylavlivaem-parol-domennogo-admina-Windows-putem-selekcii-iz-Group-Policy-Preferences-06-06
#pentest #windows
http://telegra.ph/Vylavlivaem-parol-domennogo-admina-Windows-putem-selekcii-iz-Group-Policy-Preferences-06-06
Telegraph
Вылавливаем пароль доменного админа Windows путем селекции из Group Policy Preferences
Into Много раз уже писалось, что задавать пароли через Group Policy Preferences небезопасно, так как они хоть и сохраняются в зашифрованном виде, но ключ шифрования всем известен. Интересно, что в Windows Server 2012 редактор групповых политик даже предупреждение…
Linux очень гибкая система и позволяет root'у контролировать почти все происходящее в ней. Эту фичу мы сегодня и используем для усиления безопаcности нашего сервера. Речь пойдет о выставлении лимитов на системные и пользовательcкие процессы (RAM, HDD, Swap, Threads), что позволит сохранить стабильность работы ОС при появлении зомби-процесса, атаки "Отказ-в-обслуживании" и истощении пула вычислительных ресурсов в других случаях
#linux #hardening
http://telegra.ph/Usilivaem-zashchitu-Linux-servera-putem-limitirovaniya-ispolzovaniya-resursov-06-07
#linux #hardening
http://telegra.ph/Usilivaem-zashchitu-Linux-servera-putem-limitirovaniya-ispolzovaniya-resursov-06-07
Telegraph
Усиливаем защиту Linux сервера путем лимитирования использования ресурсов
Ведение Одна из хороших особенностей систем на базе Linux заключается в том, что вы можете контролировать почти все, что в ней есть (если, ты конечно root:). Это, к примеру, дает админу отличный контроль над его системой и более эффективное использование…
Разбор нескольких заданий начальной и средней сложности с некогда прошедших CTF-соревнований на тему реверсинга и исследований бинарного кода без наличия исходных кодов
#ctf
http://telegra.ph/Razbor-neskolkih-zadanij-iz-CTF-po-reversu-06-08
#ctf
http://telegra.ph/Razbor-neskolkih-zadanij-iz-CTF-po-reversu-06-08
Telegraph
Разбор нескольких заданий из CTF по реверсу
Into Существует два варианта проведения соревнований. В нашем случае мы остановимся на reverse — исследование программ без исходного кода (реверс-инжиниринг) Обратная разработка — исследование некоторого устройства или программы, а также документации на него…
Еще один разбор нескольких наиболее доступынх и понятных task-based заданий с CTF-соревнований на SkyDog 2016
#ctf
http://telegra.ph/Razbor-task-based-zdanij-s-CTF-SkyDog-2016-06-08
#ctf
http://telegra.ph/Razbor-task-based-zdanij-s-CTF-SkyDog-2016-06-08
Telegraph
Разбор task-based зданий с CTF SkyDog 2016
Greetz:) На этот раз будем разбирать решение CTF с недавней конференции по информационной безопасности SkyDog Con с помощью VulnHub. Начинаем Скачиваем образ для VirtualBox, запускаем и как обычно смотрим вывод nmap`а: sudo nmap 192.168.1.174 -sV -sC -p1…