Window Privilege Escalation - Automated Script.pdf
3.6 MB
Window Privilege Escalation: Automated Script by HackingAtricles, 2025
Много лет назад были времена когда я был выпускником универа, стартовал с ноля, искал свой путь, первую работу, создавал свой интеллект и строил свое тело, учил языки и искал информацию, самообучался, пробовал и терпел неудачи, продолжал попытки и выстреливал, переезжал, жил в нескольких городах, посмотрел несколько стран, менял ниши и нашел свое истинное дело. В те моменты мне часто не хватало информации, не было возможности обратиться за экспертной помощью, вокруг единицы кто поддерживал и верил пока на балансе минус, а у пошарпанной двери старые потертые кроссы. Я знаю по себе как может быть ценно важное слово, дело, совет и помощь в нужный, критический момент. И, вот, сейчас пришло то самое время когда я могу поделиться тем что знаю, что умею с тобой - таким же как я много лет назад, амбициозным, голодным до побед и ищущим свою путь.
Если ты еще учишься или уже работаешь, ты в кибербезе или ИТ, ты ищешь свой путь и вектор в лучшую жизнь. Ты готов меняться, искать, пробовать и впитывать опыт. У тебя есть что спросить - это тот самый повод нам пообщаться. Я поделюсь знаниями и мнением, багажом, что у меня есть что бы ты смог воплотить все самое лучшее что в тебе есть! 🤝
#info
Please open Telegram to view this post
VIEW IN TELEGRAM
THE OWASP TOP TEN: A RESTAURANT TALE by MoS, 2025
This document uses a restaurant analogy to illustrate the OWASP Top Ten application security vulnerabilities, highlighting common application security flaws.
From a guest 𝘀𝗻𝗲𝗮𝗸𝗶𝗻𝗴 𝗶𝗻𝘁𝗼 𝘁𝗵𝗲 𝗸𝗶𝘁𝗰𝗵𝗲𝗻 (𝗕𝗿𝗼𝗸𝗲𝗻 𝗔𝗰𝗰𝗲𝘀𝘀 𝗖𝗼𝗻𝘁𝗿𝗼𝗹), to 𝗰𝗵𝗲𝗳𝘀 𝘂𝘀𝗶𝗻𝗴 𝗽𝗼𝗶𝘀𝗼𝗻𝗲𝗱 𝗺𝘂𝘀𝗵𝗿𝗼𝗼𝗺𝘀 (Insecure Design), this creative MoS guide serves you the most critical web vulnerabilities, plated with real-world analogies that even your grandma would get.
✅ Simple
✅ Visual
✅ Memorable
#web #fun
This document uses a restaurant analogy to illustrate the OWASP Top Ten application security vulnerabilities, highlighting common application security flaws.
From a guest 𝘀𝗻𝗲𝗮𝗸𝗶𝗻𝗴 𝗶𝗻𝘁𝗼 𝘁𝗵𝗲 𝗸𝗶𝘁𝗰𝗵𝗲𝗻 (𝗕𝗿𝗼𝗸𝗲𝗻 𝗔𝗰𝗰𝗲𝘀𝘀 𝗖𝗼𝗻𝘁𝗿𝗼𝗹), to 𝗰𝗵𝗲𝗳𝘀 𝘂𝘀𝗶𝗻𝗴 𝗽𝗼𝗶𝘀𝗼𝗻𝗲𝗱 𝗺𝘂𝘀𝗵𝗿𝗼𝗼𝗺𝘀 (Insecure Design), this creative MoS guide serves you the most critical web vulnerabilities, plated with real-world analogies that even your grandma would get.
✅ Simple
✅ Visual
✅ Memorable
#web #fun
THE OWASP TOP TEN_A RESTAURANT TALE.pdf
31 MB
THE OWASP TOP TEN: A RESTAURANT TALE by MoS , 2025
Новая методология AppSec Table Top: как эффективно и безболезненно выстроить процессы безопасной разработки
Отрасль AppSec (application security) в России находится в стадии активного развития. Даже компании со зрелыми процессами безопасной разработки сталкиваются с рядом уникальных вызовов:
📌 острой нехваткой специалистов и экспертизы;
📌 отсутствием методологии и модели оценки зрелости, приближенных к российским реалиям и учитывающих требования регуляторов;
📌 необходимостью разъяснять R&D-командам потребность во внедрении безопасной разработки в цикл создания ПО.
Это усложняет применение международных стандартных методов AppSec и требует адаптации к специфическим российским условиям.
Чтобы решить проблему, необходимо развивать местную экспертизу, разрабатывать свой подход к защите веб-приложений и создавать открытые ресурсы. Поэтому мы сформировали собственную методологию безопасной разработки — AppSec Table Top.
❗️ Официальная страница
⛳️ Статья на Хабре
#SecDevOps
Отрасль AppSec (application security) в России находится в стадии активного развития. Даже компании со зрелыми процессами безопасной разработки сталкиваются с рядом уникальных вызовов:
📌 острой нехваткой специалистов и экспертизы;
📌 отсутствием методологии и модели оценки зрелости, приближенных к российским реалиям и учитывающих требования регуляторов;
📌 необходимостью разъяснять R&D-командам потребность во внедрении безопасной разработки в цикл создания ПО.
Это усложняет применение международных стандартных методов AppSec и требует адаптации к специфическим российским условиям.
Чтобы решить проблему, необходимо развивать местную экспертизу, разрабатывать свой подход к защите веб-приложений и создавать открытые ресурсы. Поэтому мы сформировали собственную методологию безопасной разработки — AppSec Table Top.
❗️ Официальная страница
⛳️ Статья на Хабре
#SecDevOps
Пример небезопасной network policy в default namespace для pod'ов в среде AWS (via K8s)
В примере указан базовый конфиг с построчными комментариями некоторых weak безопасности. А теперь в комментарии предложи свое видение - какие строки изменить\добавить команды или параметры что бы сделать этот конфиг максимально безопасным!
🔻 YAML файл с исходником смотри ниже 🔻
#SecDevOps
В примере указан базовый конфиг с построчными комментариями некоторых weak безопасности. А теперь в комментарии предложи свое видение - какие строки изменить\добавить команды или параметры что бы сделать этот конфиг максимально безопасным!
🔻 YAML файл с исходником смотри ниже 🔻
#SecDevOps
weak_network_policy_yaml_2025_g1ef.yaml
1.8 KB
Пример небезопасной network policy в default namespace для pod'ов в среде AWS (via K8s)
Кто каким образом борется с false-positive сработками в практике Static Application Security Testing??
False positive в контексте SAST (статическое тестирование безопасности приложений) — ситуация, когда анализатор сообщает об уязвимости, хотя на самом деле её нет в коде.
Некоторые причины возникновения ложных срабатываний:
⛳️ Устаревшие или общие наборы правил. SAST-инструменты используют предопределённые правила для выявления уязвимостей. Если они не специфичны для проекта, то могут возникать ненужные предупреждения.
⛳️ Ограничения статического анализа кода. Поскольку SAST-инструменты не выполняют код, они могут неверно интерпретировать работу определённых функций и отмечать безопасный код как угрозу.
⛳️ Уникальный или пользовательский код. Если в проекте используются уникальные шаблоны кодирования или пользовательские библиотеки, то SAST-инструмент может не полностью их понимать, что приводит к ложным срабатываниям.
Доп материалы:
❗️ Limitations
⚠️ The Myth of False Positives
#talk
False positive в контексте SAST (статическое тестирование безопасности приложений) — ситуация, когда анализатор сообщает об уязвимости, хотя на самом деле её нет в коде.
Некоторые причины возникновения ложных срабатываний:
⛳️ Устаревшие или общие наборы правил. SAST-инструменты используют предопределённые правила для выявления уязвимостей. Если они не специфичны для проекта, то могут возникать ненужные предупреждения.
⛳️ Ограничения статического анализа кода. Поскольку SAST-инструменты не выполняют код, они могут неверно интерпретировать работу определённых функций и отмечать безопасный код как угрозу.
⛳️ Уникальный или пользовательский код. Если в проекте используются уникальные шаблоны кодирования или пользовательские библиотеки, то SAST-инструмент может не полностью их понимать, что приводит к ложным срабатываниям.
Доп материалы:
❗️ Limitations
⚠️ The Myth of False Positives
#talk
Это пример (sample) не безопасного конфига реализации подхода Infrastructure-as-Code (IaC) на базе синтаксиса Terraform для стандартной среды на AWS
По строчно указаны все имеющиеся weak в коде. А теперь в комментарии напиши, какие команды\параметры нужно добавить\заменить что бы этот сэмпл стал максимально адекватно безопасный!
🔻Файл конфига выложен ниже под текущим постом🔻
⚠️ Ответ на таску будет опубликован через сутки
#SecDevOps
По строчно указаны все имеющиеся weak в коде. А теперь в комментарии напиши, какие команды\параметры нужно добавить\заменить что бы этот сэмпл стал максимально адекватно безопасный!
🔻Файл конфига выложен ниже под текущим постом🔻
#SecDevOps
Please open Telegram to view this post
VIEW IN TELEGRAM
Terraform_weak_AWS_default_sample_]w2hack].txt
3.2 KB
Это пример (sample) не безопасного конфига реализации подхода Infrastructure-as-Code (IaC) на базе синтаксиса Terraform для стандартной среды на AWS
Разбор каких конфигов/сэмплов с точки зрения безопасности (правила безопасности и анализ слабостей) тебе наиболее интересен?
Anonymous Poll
29%
SAST, DAST, Fuzzing
37%
K8s, Docker, IaC (Terraform), CD/CI, AWS/GCP
34%
SIEM, SOAR, XDR, Uses Case
31%
WAF, Firewall, UTM, NGFW, VPN, Cisco, Huawei Juniper L2/L3
32%
AD, Windows, SQL server, VoIP, etc
2%
Да ничего не нужно, уже сам все умею
0%
Свой вариант (пиши в чат)
30%
Linux, *BSD, MacOS server and desktop
26%
Сэмплы для penetration test
Forwarded from white2hack 📚
Много лет назад были времена когда я был выпускником универа, стартовал с ноля, искал свой путь, первую работу, создавал свой интеллект и строил свое тело, учил языки и искал информацию, самообучался, пробовал и терпел неудачи, продолжал попытки и выстреливал, переезжал, жил в нескольких городах, посмотрел несколько стран, менял ниши и нашел свое истинное дело. В те моменты мне часто не хватало информации, не было возможности обратиться за экспертной помощью, вокруг единицы кто поддерживал и верил пока на балансе минус, а у пошарпанной двери старые потертые кроссы. Я знаю по себе как может быть ценно важное слово, дело, совет и помощь в нужный, критический момент. И, вот, сейчас пришло то самое время когда я могу поделиться тем что знаю, что умею с тобой - таким же как я много лет назад, амбициозным, голодным до побед и ищущим свою путь.
Если ты еще учишься или уже работаешь, ты в кибербезе или ИТ, ты ищешь свой путь и вектор в лучшую жизнь. Ты готов меняться, искать, пробовать и впитывать опыт. У тебя есть что спросить - это тот самый повод нам пообщаться. Я поделюсь знаниями и мнением, багажом, что у меня есть что бы ты смог воплотить все самое лучшее что в тебе есть! 🤝
#info
Please open Telegram to view this post
VIEW IN TELEGRAM
Red Team Operations with Cobalt Strike
Red team operations rely on the ability to emulate tactics and techniques of adversaries in a network. In this path, you will learn how to utilize Cobalt Strike as a command and control framework, using beacons and specialized profiles to conduct necessary techniques for red team operations and pen testing.
#education #pentest
Red team operations rely on the ability to emulate tactics and techniques of adversaries in a network. In this path, you will learn how to utilize Cobalt Strike as a command and control framework, using beacons and specialized profiles to conduct necessary techniques for red team operations and pen testing.
#education #pentest
Red Team Ops with Cobalt Strike.7z
1 GB
Red Team Operations with Cobalt Strike
Defense Evasion with Meterpreter
Learning Defense Evasion is a prerequisite for using Metasploit tooling successfully in a secure environment. This course will teach you how to stay under the radar and evade detection even in highly secure environments.
#education #pentest #metasploit
Learning Defense Evasion is a prerequisite for using Metasploit tooling successfully in a secure environment. This course will teach you how to stay under the radar and evade detection even in highly secure environments.
#education #pentest #metasploit
Media is too big
VIEW IN TELEGRAM
Иммиграционные программы США для талантливых и экстраординарных личностей предоставляют шанс легально иммигрировать в Америку, жить без нарушения закона и достойно зарабатывать, реализовывать свой потенциал, перевезти с собой всю семью.
Если ты имеешь STEM образование, от 5+ лет опыта в индустрии, держишь с своем зачете награды за победы в конкурсах и соревнованиях, являешься авторитетным экспертом, автором ИТ\ИБ контента, участником, спикером или организатором ИТ\ИБ эвентов, твоя команда, где ты участник\лид, сделала большой вклад в ИБ\запустила продукт\вышла в топ рейтинга или просто ты являешься крутым спецом, которому есть что показать - этот шанс для тебя!
Мэн, не будет легко, не будет бесплатно. Потребуется время, самообладание, вера в себя. Да, придется в чем-то начинать с ноля, а где-то снова учиться. Это путь не для всех. Если ты готов, если есть что предложить индустрии, а переезд твоя давняя мечта, то ты в нужном месте! ❗️Пиши нашим специалистам❗️, мы оценим твой кейс, расскажем слабые\сильные стороны, предложим работающую стратегию, и, если ты с нами - начнем это дело вместе!
Немного больше об Америке в Telegram:
Красоты урбанистики и дикой природы США @lennexzeechat
Честный рассказ об Америке от международного студенческого обмена «Work & Travel USA» @iecwat
🇺🇸🇺🇸 Почему подаваться именно с нами: 🇺🇸🇺🇸
📌 У нас более 87% одобрений петиций по иммиграционным типам виз
📌 5 лет на рынке иммиграционных услуг, более 800 довольных и успешно иммигрировавших клиентов по разным типам виз
📌Адекватная стоимость услуг (до 50% стоимости только после одобрения USCIS), рассрочка и гибкая система оплаты
📌 Бот для записи в посольство США, ТГ комьюнити и собственная база знаний по иммиграции
❗️Внимание! Цените свое и чужое время. Все обращения "просто узнать", не по указанной теме, далее грубые, навязчивые, на неграмотном русском, а так же персон не имеющих реальные заслуги или потенциала талантливого\экстраординарного специалиста - будут игнорироваться.
#info
Please open Telegram to view this post
VIEW IN TELEGRAM