Друзья, для вас очередная выжимка из моих закладок на различные Awesome листы с GitHub не тему пен-теста, реверса, социально инженерии, форензики, DevOps, SDLC, облачной безопасности, а так же трюков, советов, шпаргалок по работе с Linux и тулзами

#education

Awesome Penetration Testing
https://bit.ly/2Jrnezp
https://bit.ly/3jYzGDe
https://bit.ly/2JFzhtj
https://bit.ly/36jBeDp
https://bit.ly/2TVWc5n
https://bit.ly/3k28qDT
https://bit.ly/2I4n3tn

Pentesting bible
https://bit.ly/2TSMJeX

Awesome Reverse shells
https://bit.ly/2TQ2ALs

Awesome Red Teaming
https://bit.ly/3jXcfKS
https://bit.ly/3esEobC
https://bit.ly/32c6bbf
https://bit.ly/32e58rh
https://bit.ly/362JwiF

Awesome Social Engineering
https://bit.ly/2TVsOfC

Awesome Forensics
https://bit.ly/2JtjsFI

Awesome list of digital forensic tools
https://bit.ly/2Gs4ajs

Awesome Anti-forensic
https://bit.ly/38djnAy

Awesome DevOps
https://bit.ly/3mVLbNZ
https://bit.ly/3mVLxUP

Awesome DevSecOps
https://bit.ly/3k69yGZ
https://bit.ly/3jVhMkP

Awesome DevSecOps на русском языке
https://bit.ly/2I31oBW

Awesome SDLC
https://bit.ly/3jYARCE

Awesome blockchain security tools
https://bit.ly/38fDXQD

Awesome Cloud Security
https://bit.ly/34XcZLB

Reverse Engineering resources
https://bit.ly/2I32ihO
https://bit.ly/361zLBr
https://bit.ly/38oHfRV
https://bit.ly/2Jwoe5j

RetroReversing
https://bit.ly/3lbzdiR

Awesome Malware Analysis
https://bit.ly/3p4Y5v1
https://bit.ly/3mWSntb
https://bit.ly/2TV9y1y
https://bit.ly/38hBaXn

Awesome Hacking Resources
https://bit.ly/32fvvND
https://bit.ly/3mN70yU

Tips, tricks, cheetsheet
https://bit.ly/3eqSnyj
https://bit.ly/34Zj4r3

Awesome WAF
https://bit.ly/3oVAyfR

Awesome IDP\IPS
https://bit.ly/3kXz7uN

Apple OS X and other products security awesome
https://bit.ly/329j3Pi

Awesome cybersecurity, infosec
https://bit.ly/32diV1s
https://bit.ly/3kY0hlp

#web #pentest

Что: The Standoff (организатор PT)
Где: онлайн
Когда: с 12 по 17 ноября 2020

С 12 ноября стартует масштабная кибербитва защитников и нападающих The Standoff.

Пять дней красные команды (Red Team) будут тестировать на прочность инфраструктуру виртуального мегаполиса, а защитники в синим лагере (Blue Team) — им в этом противостоять. В ходе борьбы на платформе будут выступать российские и зарубежные спикеры на темы, охватывающие все аспекты современной инфобезопасности.

Узнать подробнее о спикерах, зарегистрироваться участником или аккредитоваться как журналист можно уже сейчас.

Присоедиться кибербитве сезона The Standoff

Друзья, для тех кто присоединился к нашему комьюнити недавно либо по каким-то причинам еще не знает, список авторских ресурсов:

w2hack chat - основной чат комьюнити
https://bit.ly/3lbmtIW

w2hack storage - отдельная группа, где вы можете свободно временно или постоянно размещать свой контент без ограничений на модерацию, самостоятельно его тегировать, а так же делиться новостями и предлагать посты к размещению в основной паблик.
@w2h_storage

w2hack feedack - бот для обратной связи, если у вас нет личного вопроса, вы хотите поделиться интересным материалом, книгой, архивом, софтом, ссылкой, статьей, идеей, просто что-то сказать от себя, пожалуйста, пишите, все самое лучшее и интересное обязательно будет опубликовано и\или разделено между участниками нашего сообщества!
@w2hack_feed_bot

#info

Cyber Security Eye - YouTube канал на котором выложены все ранее вышедшие видео с ответами на ваши вопросы, записи стримов и будут выходить новые выпуски подкастов
https://www.youtube.com/channel/UC3eh6dBcJGXwCVT4n9XxFBQ

CyberSecBastion - паблик посвящен исключительно вопросам построения и реализации SecDevOps, Secure SDLC (цикл безопасной разработки ПО) и SecApp (безопасности ПО/приложений). Все материалы будут публиковаться только на английской языке
@CyberSecBastion

CyberSec way to EU, USA - паблик посвящен теме трудовой эмиграции из РФ в страны Европейского союза (EU), Соединенных Штатов Америки (USA), Канады (Canada) и быть может в какой-то степени азиатский регион (Сингапур, ГонКонг, Южная Корея). Изучение английского языка, поиск работы в отраслях IT\CyberSec, особенности трудового и гражданского права этих стран, советы и рекомендации по оформлению визы, легальные пути эмиграции как высококвалифицированный специалист, подготовка к переезду, нюансы жизни и прочее
@Way2EU2USA

#info

На днях был анонсироан ресурс CyberDefenders - тренировочная платформа, ориентированная на Defence CyberSec, цель которой качать скиллы Blue team, т.е. защитников ИТ-инфраструктры. Со слов разработчика тх миссия состоит в том, чтобы помочь аналитикам по безопасности улучшить свои практические навыки защиты с помощью набора задач, стоящих перед синими командами, так ими предлагается простой и быстрый способ on-demand выделенных и одноразовых "облачных" лабораторий, необходимых для тестирования и разработки методов обнаружения.

FAQs CyberDefenders
https://bit.ly/3p5URap

Labs
https://bit.ly/2U58Fnl

Challenges
https://bit.ly/3ldTAM7

GitHub
https://bit.ly/3laLl3u

#education #pentest #forensic

Друзья, те кто видит себя в penetration test, готовится\участвует в CTF или WarGames, новые выпуски обучалок и разборов заданий от комбюнити SPbCTF @spbctfnews, сезон осень 2020

Pwn 5. Как работают указатели и зачем их перетирать
https://news.1rj.ru/str/spbctfnews/471

Таймлесс-дебаггер qira
https://news.1rj.ru/str/spbctfnews/466

Бинарные фишки pwntools
https://news.1rj.ru/str/spbctfnews/461
https://news.1rj.ru/str/spbctfnews/460

Переполнение буфера. Перетирание переменных
https://news.1rj.ru/str/spbctfnews/458

Разбор недели про дебаггеры и переполнения
https://news.1rj.ru/str/spbctfnews/454

Введение в бинарную эксплуатацию. Память. Дебаггер edb
https://news.1rj.ru/str/spbctfnews/452
https://news.1rj.ru/str/spbctfnews/451

Разбор недели про шеллкоды и ROP-цепочки
https://news.1rj.ru/str/spbctfnews/468
https://news.1rj.ru/str/spbctfnews/465

Разбор тасков по пывну
https://news.1rj.ru/str/spbctfnews/467

#ctf #education #pentest

Российские ̷р̷е̷п̷ ̷х̷у̷е̷п̷ исполнители Тимати и Моргенштерн за клип El Problema длящейся всего 4 минуты заработали 50 млн рублей. Чуть позже Тимати при участии ранее принадлежащих BlackStar Records исполнителей - Джигана и Егора Крида заработали еще несколько миллионов рублей за совместный клип Rolls Royce еще до момента его выхода на большой экран. Они не напрягаясь, делая по сути ̷х̷у̷й̷н̷ю̷ не сложную работу заработали в раз столько денег, что даже самый заряженный спец в cyber security с кучей проф сертификатов, выступлениями на эвентах, большим практическим опытом и наличию chief\head позиции не заработает (честно) за всю свою жизнь (особенно в РФ).

А теперь опрос ниже, скажи свое мнение!

Друзья, напоминаю, сегодня 09.11.2020 состоится 5-й подкаст, начало в 14.20 msk time zone

Обучающий видео курс "SQL Injection. Основы и способы эксплуатации" от Pentestit Lab, 2014 год, запись с экрана

Внедрение SQL-кода (англ. SQL injection) — один из распространённых способов взлома сайтов и программ, работающих с базами данных, основанный на внедрении в запрос произвольного SQL-кода. Это в зависимости от типа используемой СУБД и условий внедрения, может дать возможность атакующему выполнить произвольный запрос к базе данных (например, прочитать содержимое любых таблиц, удалить, изменить или добавить данные), получить возможность чтения и/или записи локальных файлов и выполнения произвольных команд на атакуемом сервере.

В программу курса входят этапы:
+ Разбор сути SQLi;
+ Методы и способы утилизации SQLi;
+ Разбор сложных SQL инъекций ("Blind SQLi").

План занятия:
+ Создание и подготовка площадки для экспериментов;
+ Демонстрация уязвимости и ее разбор;
+ Утилизация SQLi: использования уязвимости, как промежуточное звено атаки;
+ Демонстрация слепых SQLi и методы утилизации.

#web #pentest

SQL Injection. Основы и способы эксплуатации (2014)

#web #pentest

Книга "Шелл-хантинг, или все технические моменты поиска и защиты от шеллов" от Pensionary, 2013 год, PDF, язык русский

«Веб-шелл» (WEB-Shell) вредоносный скрипт (программа), который злоумышленники используют для управления чужими сайтами и серверами: выполнения команд терминала, перебора паролей, доступа к файловой системе и т.п. Для размещения скрипта чаще всего используются уязвимости в коде сайта или подбор паролей.

Из книги вы узнаете:
+ что такое шеллы, принцип работы, как они попадают на сайт;
+ зачем ломают сайты и как на этом зарабатывают;
+ как настроить сайт и хостинг для минимизации угрозы взлома;
+ как обнаружить размещение шелла, устранить последствия и методы профилактики

#book #web #pentest

Учебные пособия (Guide [PDF]) к обучающему курсу "SQL Injection. Основы и способы эксплуатации"

#book #web #pentest

Обучающий видео курс "Тестирование на проникновение с использованием Metasploit Framework", 2013 год, запись с экрана (PCRec)

Константин Левин, инструктор из компании PentestIT, расскажет о работе с профессиональным инструментом пентестеров - фреймворком Metasploit. Будут продемонстрированы практически все этапы тестирования на проникновение: от разведки и сбора информации до написания собственных модулей, эксплойтов, используя Metasploit Framefork.

Содержание курса:

Занятие I
- Введение в Metasploit;
- Сбор информации и сканирование;
- ОС — оценка уязвимости и эксплуатации.

Занятие II
- Краткий обзор прошлого занятия;
- Эксплуатация на стороне клиента и обход антивирусов;
- Использование Meterpreter для исследования скомпрометированной цели;
- Продвинутый Meterpreter скриптинг.

Занятие III
- Краткий обзор прошлого занятия;
- Работа с модулями;
- Работа с эксплоитами;
- Работа с Armitage.

#pentest #metasploit

Занятие I
- Введение в Metasploit;
- Сбор информации и сканирование;
- ОС — оценка уязвимости и эксплуатации.

#pentest #metasploit

Занятие II
- Краткий обзор прошлого занятия;
- Эксплуатация на стороне клиента и обход антивирусов;
- Использование Meterpreter для исследования скомпрометированной цели;
- Продвинутый Meterpreter скриптинг.

#pentest #metasploit