Media is too big
VIEW IN TELEGRAM
Ты достоин гораздо большего чем тебе говорят! Ценность нужно самому себе выставлять, и потом работать над ней что бы эта ценность была подтверждена качеством
Если ты молодой, и может отец, может мать не сказали тебе, не скажет это твое окружение - что вы достойны намного большего. Цену нужно самому себе выставлять, набивать, понимаешь. И потом работать, работать над этим что бы эта цена была подтверждена, подтверждена качеством!
Артем Долгин (с) | Artemus Dolgin (с)
#great
Если ты молодой, и может отец, может мать не сказали тебе, не скажет это твое окружение - что вы достойны намного большего. Цену нужно самому себе выставлять, набивать, понимаешь. И потом работать, работать над этим что бы эта цена была подтверждена, подтверждена качеством!
Артем Долгин (с) | Artemus Dolgin (с)
#great
Успейте подать заявку на Pentest Award 2025 до 30 июня!
Это отраслевая награда для специалистов по тестированию на проникновение, которая проводится уже в третий раз. Основная задача премии — выделить лучших специалистов и показать их вклад в развитие российского пентеста.
Участие бесплатное, финалисты получат технику apple и максимальный почет сообщества этичных хакеров. Церемония награждения будет проходить 1 августа в Москве.
Заявка на премию — это рассказ о лучшем проекте в свободной форме. Не нужно раскрывать эксплоиты, любые шаги в цепочке эксплуатации могут быть полностью анонимны, а детали могут быть скрыты, важно отразить сам подход и идею.
Подать заявку и узнать больше информации можно на сайте — https://award.awillix.ru/
Это отраслевая награда для специалистов по тестированию на проникновение, которая проводится уже в третий раз. Основная задача премии — выделить лучших специалистов и показать их вклад в развитие российского пентеста.
Участие бесплатное, финалисты получат технику apple и максимальный почет сообщества этичных хакеров. Церемония награждения будет проходить 1 августа в Москве.
Заявка на премию — это рассказ о лучшем проекте в свободной форме. Не нужно раскрывать эксплоиты, любые шаги в цепочке эксплуатации могут быть полностью анонимны, а детали могут быть скрыты, важно отразить сам подход и идею.
Подать заявку и узнать больше информации можно на сайте — https://award.awillix.ru/
2025 Cybersecurity Attack Playbooks
The cybersecurity threat landscape is evolving more rapidly than ever and the new 2025 playbooks illustrate the extent to which attacks have become multi-faceted and advanced.
From AI-driven phishing and quantum computing threat to fileless malware, deepfakes social engineering, and supply chain attacks, this thorough guide defines a framework for responding to the most critical threats of the day.
🔍 Every playbook includes:
✔️ Strategies for preparation
✔️ Triaging and detection workflows
✔️ Analysis and elimination processes
✔️ Recovery procedures and takeaways
#pentest
The cybersecurity threat landscape is evolving more rapidly than ever and the new 2025 playbooks illustrate the extent to which attacks have become multi-faceted and advanced.
From AI-driven phishing and quantum computing threat to fileless malware, deepfakes social engineering, and supply chain attacks, this thorough guide defines a framework for responding to the most critical threats of the day.
🔍 Every playbook includes:
✔️ Strategies for preparation
✔️ Triaging and detection workflows
✔️ Analysis and elimination processes
✔️ Recovery procedures and takeaways
#pentest
2025 Cybersecurity Attack Playbooks.pdf
644.3 KB
2025 Cybersecurity Attack Playbooks
Window Privilege Escalation: Automated Script by HackingAtricles, 2025
In this article, we will shed light on some of the automated noscripts that can be used to perform Post Exploitation and Enumeration aer geting inital accesses to Windows OS based Devices.
When an atacker atacks a Windows Operating System most of the me they will get a base shell or meterpreter session. This shell is limited in the actions it can perform. So, in order to elevate privileges, we need to enumerate different files, directories, permissions, logs and SAM files. The number of files inside a Windows OS is very overwhelming. Hence, doing this task manually is very difficult even when you know where to look. So, why not automate this task using noscripts.
Basically, privilege escalation is a phase that comes aer the atacker has compromised the victim’s machine where he tries to gather critical information related to systems such as hidden password and weak configured services or applications and etc. All this information helps the atacker to make the post exploit against the machine for geting the higher-privileged shell.
🔽 🔽 W2Hack special for curiously people🔽 🔽
#windows
In this article, we will shed light on some of the automated noscripts that can be used to perform Post Exploitation and Enumeration aer geting inital accesses to Windows OS based Devices.
When an atacker atacks a Windows Operating System most of the me they will get a base shell or meterpreter session. This shell is limited in the actions it can perform. So, in order to elevate privileges, we need to enumerate different files, directories, permissions, logs and SAM files. The number of files inside a Windows OS is very overwhelming. Hence, doing this task manually is very difficult even when you know where to look. So, why not automate this task using noscripts.
Basically, privilege escalation is a phase that comes aer the atacker has compromised the victim’s machine where he tries to gather critical information related to systems such as hidden password and weak configured services or applications and etc. All this information helps the atacker to make the post exploit against the machine for geting the higher-privileged shell.
#windows
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Window Privilege Escalation - Automated Script.pdf
3.6 MB
Window Privilege Escalation: Automated Script by HackingAtricles, 2025
Много лет назад были времена когда я был выпускником универа, стартовал с ноля, искал свой путь, первую работу, создавал свой интеллект и строил свое тело, учил языки и искал информацию, самообучался, пробовал и терпел неудачи, продолжал попытки и выстреливал, переезжал, жил в нескольких городах, посмотрел несколько стран, менял ниши и нашел свое истинное дело. В те моменты мне часто не хватало информации, не было возможности обратиться за экспертной помощью, вокруг единицы кто поддерживал и верил пока на балансе минус, а у пошарпанной двери старые потертые кроссы. Я знаю по себе как может быть ценно важное слово, дело, совет и помощь в нужный, критический момент. И, вот, сейчас пришло то самое время когда я могу поделиться тем что знаю, что умею с тобой - таким же как я много лет назад, амбициозным, голодным до побед и ищущим свою путь.
Если ты еще учишься или уже работаешь, ты в кибербезе или ИТ, ты ищешь свой путь и вектор в лучшую жизнь. Ты готов меняться, искать, пробовать и впитывать опыт. У тебя есть что спросить - это тот самый повод нам пообщаться. Я поделюсь знаниями и мнением, багажом, что у меня есть что бы ты смог воплотить все самое лучшее что в тебе есть! 🤝
#info
Please open Telegram to view this post
VIEW IN TELEGRAM
THE OWASP TOP TEN: A RESTAURANT TALE by MoS, 2025
This document uses a restaurant analogy to illustrate the OWASP Top Ten application security vulnerabilities, highlighting common application security flaws.
From a guest 𝘀𝗻𝗲𝗮𝗸𝗶𝗻𝗴 𝗶𝗻𝘁𝗼 𝘁𝗵𝗲 𝗸𝗶𝘁𝗰𝗵𝗲𝗻 (𝗕𝗿𝗼𝗸𝗲𝗻 𝗔𝗰𝗰𝗲𝘀𝘀 𝗖𝗼𝗻𝘁𝗿𝗼𝗹), to 𝗰𝗵𝗲𝗳𝘀 𝘂𝘀𝗶𝗻𝗴 𝗽𝗼𝗶𝘀𝗼𝗻𝗲𝗱 𝗺𝘂𝘀𝗵𝗿𝗼𝗼𝗺𝘀 (Insecure Design), this creative MoS guide serves you the most critical web vulnerabilities, plated with real-world analogies that even your grandma would get.
✅ Simple
✅ Visual
✅ Memorable
#web #fun
This document uses a restaurant analogy to illustrate the OWASP Top Ten application security vulnerabilities, highlighting common application security flaws.
From a guest 𝘀𝗻𝗲𝗮𝗸𝗶𝗻𝗴 𝗶𝗻𝘁𝗼 𝘁𝗵𝗲 𝗸𝗶𝘁𝗰𝗵𝗲𝗻 (𝗕𝗿𝗼𝗸𝗲𝗻 𝗔𝗰𝗰𝗲𝘀𝘀 𝗖𝗼𝗻𝘁𝗿𝗼𝗹), to 𝗰𝗵𝗲𝗳𝘀 𝘂𝘀𝗶𝗻𝗴 𝗽𝗼𝗶𝘀𝗼𝗻𝗲𝗱 𝗺𝘂𝘀𝗵𝗿𝗼𝗼𝗺𝘀 (Insecure Design), this creative MoS guide serves you the most critical web vulnerabilities, plated with real-world analogies that even your grandma would get.
✅ Simple
✅ Visual
✅ Memorable
#web #fun
THE OWASP TOP TEN_A RESTAURANT TALE.pdf
31 MB
THE OWASP TOP TEN: A RESTAURANT TALE by MoS , 2025
Новая методология AppSec Table Top: как эффективно и безболезненно выстроить процессы безопасной разработки
Отрасль AppSec (application security) в России находится в стадии активного развития. Даже компании со зрелыми процессами безопасной разработки сталкиваются с рядом уникальных вызовов:
📌 острой нехваткой специалистов и экспертизы;
📌 отсутствием методологии и модели оценки зрелости, приближенных к российским реалиям и учитывающих требования регуляторов;
📌 необходимостью разъяснять R&D-командам потребность во внедрении безопасной разработки в цикл создания ПО.
Это усложняет применение международных стандартных методов AppSec и требует адаптации к специфическим российским условиям.
Чтобы решить проблему, необходимо развивать местную экспертизу, разрабатывать свой подход к защите веб-приложений и создавать открытые ресурсы. Поэтому мы сформировали собственную методологию безопасной разработки — AppSec Table Top.
❗️ Официальная страница
⛳️ Статья на Хабре
#SecDevOps
Отрасль AppSec (application security) в России находится в стадии активного развития. Даже компании со зрелыми процессами безопасной разработки сталкиваются с рядом уникальных вызовов:
📌 острой нехваткой специалистов и экспертизы;
📌 отсутствием методологии и модели оценки зрелости, приближенных к российским реалиям и учитывающих требования регуляторов;
📌 необходимостью разъяснять R&D-командам потребность во внедрении безопасной разработки в цикл создания ПО.
Это усложняет применение международных стандартных методов AppSec и требует адаптации к специфическим российским условиям.
Чтобы решить проблему, необходимо развивать местную экспертизу, разрабатывать свой подход к защите веб-приложений и создавать открытые ресурсы. Поэтому мы сформировали собственную методологию безопасной разработки — AppSec Table Top.
❗️ Официальная страница
⛳️ Статья на Хабре
#SecDevOps
Пример небезопасной network policy в default namespace для pod'ов в среде AWS (via K8s)
В примере указан базовый конфиг с построчными комментариями некоторых weak безопасности. А теперь в комментарии предложи свое видение - какие строки изменить\добавить команды или параметры что бы сделать этот конфиг максимально безопасным!
🔻 YAML файл с исходником смотри ниже 🔻
#SecDevOps
В примере указан базовый конфиг с построчными комментариями некоторых weak безопасности. А теперь в комментарии предложи свое видение - какие строки изменить\добавить команды или параметры что бы сделать этот конфиг максимально безопасным!
🔻 YAML файл с исходником смотри ниже 🔻
#SecDevOps
weak_network_policy_yaml_2025_g1ef.yaml
1.8 KB
Пример небезопасной network policy в default namespace для pod'ов в среде AWS (via K8s)
Кто каким образом борется с false-positive сработками в практике Static Application Security Testing??
False positive в контексте SAST (статическое тестирование безопасности приложений) — ситуация, когда анализатор сообщает об уязвимости, хотя на самом деле её нет в коде.
Некоторые причины возникновения ложных срабатываний:
⛳️ Устаревшие или общие наборы правил. SAST-инструменты используют предопределённые правила для выявления уязвимостей. Если они не специфичны для проекта, то могут возникать ненужные предупреждения.
⛳️ Ограничения статического анализа кода. Поскольку SAST-инструменты не выполняют код, они могут неверно интерпретировать работу определённых функций и отмечать безопасный код как угрозу.
⛳️ Уникальный или пользовательский код. Если в проекте используются уникальные шаблоны кодирования или пользовательские библиотеки, то SAST-инструмент может не полностью их понимать, что приводит к ложным срабатываниям.
Доп материалы:
❗️ Limitations
⚠️ The Myth of False Positives
#talk
False positive в контексте SAST (статическое тестирование безопасности приложений) — ситуация, когда анализатор сообщает об уязвимости, хотя на самом деле её нет в коде.
Некоторые причины возникновения ложных срабатываний:
⛳️ Устаревшие или общие наборы правил. SAST-инструменты используют предопределённые правила для выявления уязвимостей. Если они не специфичны для проекта, то могут возникать ненужные предупреждения.
⛳️ Ограничения статического анализа кода. Поскольку SAST-инструменты не выполняют код, они могут неверно интерпретировать работу определённых функций и отмечать безопасный код как угрозу.
⛳️ Уникальный или пользовательский код. Если в проекте используются уникальные шаблоны кодирования или пользовательские библиотеки, то SAST-инструмент может не полностью их понимать, что приводит к ложным срабатываниям.
Доп материалы:
❗️ Limitations
⚠️ The Myth of False Positives
#talk
Это пример (sample) не безопасного конфига реализации подхода Infrastructure-as-Code (IaC) на базе синтаксиса Terraform для стандартной среды на AWS
По строчно указаны все имеющиеся weak в коде. А теперь в комментарии напиши, какие команды\параметры нужно добавить\заменить что бы этот сэмпл стал максимально адекватно безопасный!
🔻Файл конфига выложен ниже под текущим постом🔻
⚠️ Ответ на таску будет опубликован через сутки
#SecDevOps
По строчно указаны все имеющиеся weak в коде. А теперь в комментарии напиши, какие команды\параметры нужно добавить\заменить что бы этот сэмпл стал максимально адекватно безопасный!
🔻Файл конфига выложен ниже под текущим постом🔻
#SecDevOps
Please open Telegram to view this post
VIEW IN TELEGRAM
Terraform_weak_AWS_default_sample_]w2hack].txt
3.2 KB
Это пример (sample) не безопасного конфига реализации подхода Infrastructure-as-Code (IaC) на базе синтаксиса Terraform для стандартной среды на AWS