#BurpSuite #Pentest
Allaqachon yangi kursni sizlar uchun "chopish" boshlangan🪓

Vaqt ketyazmaymiz, to'liq chiqquncha bemalol kirib yozilgan darslarni ko'rib turishingiz mumkin...

Kurs Pentest sohasidagi eng asosiy dasturlardan biri Burp Suite haqida.

Havola: Burp Suite 101

Cloud security va uni kelajagi.

Siz masofiy server sotib olsangiz uni masofadan sizga ulab berishadi, serverga(qurilmaga) ketgan elektr, uni ichidagi qo'shimcha sxemalar, bular hammasiga sarmoya ketadi. Hozirgi kunda masoviy serverni kamroq sarmoya bilan sotib olish usulini yo'lga qo'yishgan bu Cloud...

Cloud bu internet tarmog'idagi bo'sh joy, unga fayllar yuklab ,saqlab, bemalol tortib olsangiz bo'ladi. Shu o'rinda virtual, virtualization(virtulizatsiya) haqida deyarli hamma eshitgan, Virtualizatsiya nima? Virtualizatsiya qozoqchada aytsak bitta qurilmada bir-biriga aralashtirmagan holatda bir-necha tizimlarni(Linux, Windows,etc.) o'rnatishga yordam beradigan texnalogiya. Cloud huddi shundan foydalangan holatda bitta qurilma o'zida bir-necha tizimni sizga beradi, shu xizmat cloud computing bo'ladi. Cloud computing foydalarini sanab berolmayman, post cho'zilib ketadi... Shunchaki tasavvur qiling sizda faqat windows tizimi bor edi, yana bitta tizim uchun alohida kampyuter olish o'rniga shunchaki virtualizatsiya orqali windows oldiga boshqa tizim qo'shib olyabsiz shu kampyuter o'ziga. Mazzami? :)

Cloud computingda xavfsizlik yoki Firewall tizim bilan birga tayyor holatda beriladi sizga, qolganini eplab olish sizni ya'ni Cloud Security engineerni qo'lida. Hozirdan Cloud computing Firewall'larni chetga surishni boshladi. Cloud computing kengayyabdi, qayerdan bildim? Bo'sh ishni o'rni ko'p, hodimlar kam.

Cloud computing o'rganish haqida gap ketsa hursand bo'lib ketaman) Amazon, Microsoft har bir Cloud xavfsizligi uchun kurslarni tekin qilib qo'ygan. Sertifikatlari esa 5-6 barobar arzon. Ish haqini oddiy pentesterdan ko'proq ham degan gaplar eshitdim. Nima bo'lsa ham Cloud xavfsizligi bilan pentesterni solishtirolmaymiz. Bittasida tekshiradi, ikkinchisda ham tekshirib , ham to'g'rilaydi.

#Qabul #PEH
Yangilangan PEH (Practical ethical hacking) kursimiz uchun 3-guruhga qabul ochiq🔥

Kursda nimalar o'rganasiz?

▪️Tarmoq (Networking)
▪️Linux Administratorligi
▪️Script yozish(Python & Bash)
▪️Web dasturlar xavfsizligi🌚
▪️Windows va Linux huquqlarni aylanib o'tish(Privilege Escalation)
▪️Tarmoq Xavfsizligi🪓

Kurs davomiyligi : 7 oy
Kurs narxi : 400.000 so'm/oy
Video darslik: 2,500,000 so'm
Darslar davomiyligi : 45-90 minut
Haftasiga: 3 kun

Bonus : Telefonda web dasturlar xavfsizligi🪓

Nega aynan shu kurs?
Practical - har bir bilimlar amaliyot orqali ko'rsatib beriladi!
Qabul uchun: @pentester_admin

Jamoamizdan #maslahat

Ko'pchilik o'quvchilar offline darslar ochishni so'rashadi. Nega? - desak, offline ta'lim sifatli va tushunarli bo'larmish.

Kiber xavfsizlik huddi boshqa IT sohalardek oddiy soha, va huddi o'sha sohalardek qiyin.Birorta sohada mutahasis bo'lmoqchimisiz , o'zingizni qiynashingiz kerak.
Kiber xavfsizlikda har kuni yangi narsalar, yangi hujumlar o'ylab topiladi va doim yangilanib,qo'shilib turadi. Sizga offline darslarda hammasi o'rgatildi deylik, ertaga ish topilgan paytda sizdan yuqori aytilgan har kungi yangiliklarni o'rganish talab qilinadi. Hatto ishga olyotganda yangiliklarni qanaqa qabul qilishingizgacha so'rab olishadi ba'zida. Hullas o'sha paytda sizga offline dars bergan o'quvchilaringiz har bir narsani har kuni bitta-bitta tushuntirib berolmaydi,hammasini erkin o'rganishingiz kerak.

Chet el hisobida ham offline dars beradigan markazlar sanoqli kiber xavfsizlikda.Hozirdan erkin o'rganishni o'rganing(Google) :) Muvaffaqiyatga qiyinchliksiz erishilmaydi, oson bo'lganda hamma qilardi.

Kiber xavfsizlikdagi sertifikatlar soha va daraja bo'yicha jadvali:
https://pauljerimy.com/security-certification-roadmap/

P.S. CEH sertifikatini hazillashib eJPT dan pastga qo'yib qo'yishgan. Jiddiy qabul qilmanglar, rostdan keragi yo'q.

#BugBounty
Nega davlatimizda Bug Bounty dasturlar ishga tushirilmayabdi? Qanday ishga tushira olamiz?

Bug Bounty dasturlar ishga tushmayotganligiga sabab yetarli, kimdur hali bu yo'nalish muhimligini tushunib yetmagan va pul sarflashni istamaydi. Yana kimdadur boshqa sabablar...

Shu e'tiborsizlikni deb saqlashga urinyotgan pullari, tashkilotlari qaytib kelmas bo'lib ketishini hali tushunishmagan.

Cho'zmasdan yechimga o'tsak, asosiy sabab mablag' muammosi deylik, Bug Bountyga o'xshash kiber xavfsizlikda yana bir yo'nalish bor VDP (Vulnerability disclosure programm). Bug Bountydan farqi bu yo'nalishda maqtov yorlig'i berish bilan kifolanishadi ), ha shu yo'l bilan xavfsizliklarini tekinga tekshirtirib olishadi! Qaysi ahmoq tekinga tekshiradi? Masalan aytaylik siz NASAni buzdingiz,ularda SOC jamoasi yaxshi ishlashini bilasiz yoki yomon odam emassiz, maqtanish uchun albatta zaiflikni topshirib isbot sifatida ulardan maqtov yorlig'i olasiz albatta ).

Bizni davlatda ham davlat tuzilmalariga huddi shunday VDP dasturlar ochish mumkin,zaiflik topshirganlarga rahmat ma'nosida sayt (gov.uz) chekkasiga ismlarini yozib berishsa shu yetarli hozircha. Qanday? Biz jamoa bilan birinchi qatorda turib yordam berishga harakat qilamiz,boshqalar bizga ergashishiga erishsak yetarli.

Buni ba'zi yomon tomonlari bor,masalan to'g'ri kelganiga saytga payload kiritishga ruhsat beriladi, bunga ham bizda yechimlar bor.

Suniy aql (AI) kiber xavfsizlik hodimlari ishlarini tortib ola oladimi?

Kiber xavfsizlikda hujumlar o'tkazish uchun, hujumlarni oldini olish va aniqlash uchun allaqachon avtomatik dasturlar mavjud. Bular blue team sohasiga qisman ta'sir qila olgan halos. Va bu shunchaki ishni tezlatishga yordam bera olgan halos,butun ishni dasturlarga kam-kamdan yuklashadi.

Sababi kiber xavfsizlikda hammasi boshqacha fikrlashdan iborat(thinking out of the box), yangicha hujum yangicha himoyani talab qiladi. AI esa fikrlash qobilyati bo'lgani bilan insonchalik fikrlamaydi...

Bu degani AI kiber xavfsizlik hodimi ishini tortib ololmaydi!
P.O.V. : Siz faqat ko'rsatilgan hujumni qayta qilib berarkansiz,sizda erkin fikrlash,yangi hujum o'ylab topa olish qobilyati yo'q ekan demak AI sizni ishsiz qoldiradi.🪓

#Tekin #Imtihon #Sertifikat
'Google cloud'da rasmdagi imtihon & sertifikatlar tekinga berilyabdi.

PCSE - Professional Cloud Security Engineer cloud xavfsizligi hodimlari uchun sertifikatlari orasiga yaxshi kalleksiya bo'la oladi.

Bularni tekinga olish uchun shu yerni bosing va karparativ(shaxsiy bo'lmagan) email manzil orqali ro'yhatdan o'ting.(o'zimizni temp-mail orqali ammalasa bo'ladi) Aytishlari bo'yicha o'rinlar cheklangan.

@TuranSecurity | Eng yaxshi ustozlar🔥

#Yangilik #Kurs
Offensive SQL - kiber xavfsizlik hodimlari uchun SQL dasturlash tili kursi🔥
Batafsil ma'lumot uchun yuqoridagi videoni ko'ring.

Daraja: boshlang'ich;
Davomiyligi: ~3 soat;
Turi: Dasturlash;
Narxi: ~ 300,000 so'm

Dars to'liq Youtube platformasiga yuklandi, ko'rish uchun shu yerni bosing.Ertaga keyingi ikkinchi kurs yuklanadi in shaa Alloh.

@TuranSecurity

#Kurs #Uzbanons
Offensive Python - kiber xavfsizlik hodimlari uchun Python dasturlash tili kursi🪓

Daraja: O'rta;
Talablar: Boshlang'ich python bilimlari;
Davomiyligi: ~ 15 soat;
Turi: Dasturlash;
(Eski) Narxi: ~ 500.000 so'm

Kurs mavzulari:
Python dasturlash tili orqali
- Port scan qilish;
- MAC manzil o'zgartirish;
- Hashlarni crack qilish;
- FTP-SSH brute force;
- Reverse shell;
- Botnet tuzish;
- Forensics;
uchun dastur tuzish.

Egasidan ruhsat so'ragan holatda kurs(Axloqsiz python) Youtube platformasiga yuklandi. Ko'rish uchun shu yerni bosing.

@TuranSecurity

#Kurs #Yangilanish
Pentest 101 video kursi yana sotuvda🔥

Yangilanishlar:
- SMS hujum websaytlar orqali qanday qilinadi?
- Savdo websaytlari qanday buziladi?
- CMSlarni pentest qilish;
- XSS ni RCE ga aylantirish;
- Zaifliklar va alohida zaiflik guruhlari:
- Amaliyot va 4 xil labaratoriya;
- Privilege escalation ni RCE ga aylantirish va ushbu zaifliklar uchun himoya usullari!

Daraja: 101 (boshlang'ich);
Turi: Pentest;
Davomiyligi: 25 soat;
Narxi: 800,000 so'm

Murojaat uchun: @Turan_admin

Xakerlar Linux kernel ko'dlarini o'g'irlashibdi shu maqola bo'yicha... Va bu ishni Lapsus$ amalga oshirgan.

P.S. Linux operatsion tizimi Windows operatsion tizimidan farqli ko'dlari ochiq holatda turadi (open source), shuni o'g'irlashibdi😁😂

@TuranSecurity

SSDLC - secure software development lifecycle

SDLC - bu dasturlarni tez va oson ishlab chiqarilishi va yangilanishini o'z ichiga olgan jarayon. Bunda oddiyroq tushuntirilsa, birinchi rejalashtiriladi, ko'dlar yoziladi, keyin foydalanishga chiqariladi.

Secure SDLC:
Dastur xavfsizligini ta'minlash maqsadida shu jarayonga xavfsizlik qo'shimchalari qo'shish mumkin.

Hozir bu postni o'qiyotgan dasturchilarni ko'zi chiqib ketishi aniq, sababi shuncha ishlar, sifat tekshirishlaridan keyin yana ularga qo'shimcha ish paydo bo'ladi deb o'ylashadi.. Aslida bu jarayonga xavfsizlikni qo'shish kampaniya va jamoani vaqti va mablag'ini tejaydi.

Qanday?
Aytaylik dastur ishga tushirildi, endi xavfsizligini tekshirishadi va ancha ko'p topilgan teshiklardan keyin ko'dni butunlay boshidan yozib chiqishadi. Buni oldindan oldini olish va ancha xavfsiz qilish mumkin.
1) Rejalashtirish jarayonida bo'lishi mumkin xavf yozib chiqiladi va ko'dlarni yozish paytida oldini olishga harakat qilinadi.
2) Ko'd yozish vaqtida ko'dlarni xavfsizligi tekshiriladi.
3) Shu jarayon vaqtida third party dasturlar ham tekshiriladi.
4) Ko'd yozish tugatilsa tayyor dastur qayta tekshiriladi.
5) Ko'd yuklanyotgan tizim ham tekshiriladi.
Shunday davom etaveradi..

Bu dastur ishlab chiqarishni orqaga tortadi shundaymi?
Yo'q/Ha! Dastur ishlab chiqarish paytida shundoq ham u tekshiriladi (QA test),shu vaqtda xavfsizlikni ham tekshirsa bo'ladi. Aqlli xavfsizlik hodimi dasturchiga xalaqt bermaslikga harakat qiladi har doim, va ishini kerakli paytda qiladi , shunday qilib jamoa orqaga tortilmaydi.

WhatsApp dasturida yangi zaiflik🍯

WhatsApp dasturining android qurilmalari uchun chiqarilgan versiyasida chatga ' wa.me/settings ' yuborish orqali application level DoS amalga oshirish mumkin.

Bu degani chatga shu ' wa.me/settings ' yozuvi yuborilsa chat hamma uchun ishlamay qoladi.Chat shaxsiy chat, guruhlar bo'lishi mumkin.

Tuzatish!:
Agar sizga shunday yozuv yuborishsa va sizda chatlar ishlamay qolsa WhatsAppga sayt orqali ulaning (web.whatsapp.com) va yozuvni o'chirib tashlang.

@TuranSecurity

Endi choy ustida gaplashamiz!

Yaqinda Youtube kanalimizda jonli tarzda darslar o'tkazishni boshlaymiz. Darslar tarmoq orqali Host va Tizimlarga buzib kirish haqida bo'ladi.

Darslarni PEH 101 kursi o'qituvchisi olib boradi, darsdan qolib ketmaslik uchun kanalimizga ulanib oling,birinchi dars vaqtini yaqinda e'lon qilamiz :)

Youtube kanalimiz:
https://www.youtube.com/@turansecurity

Hasker bo'lishdan charchaganlar uchun yangilik!

Yangilangan amaliy xakkerlik kursi (PEH 101)

Bo'limlar:

▪️Linux - Xakerlar Linuxni tizimni qanday boshqaradi?
▪️Network - Xakerlik uchun zarur tarmoq haqidagi bilimlar.
▪️WAPT - Xakerlar websaytlarga qanday buzib kiradi?
▪️Network pentest - Xakerlar qanday qilib tarmoq orqali hujumlar amalga oshiradi?
▪️PrivEsc -  Local tizimlarda Xakerlar qanday qilib to'liq boshqaruvni qo'lga kiritadi?

Davomiylik: 3 oy;
(Haftada 3 kun, 45 - 90m)
To'lov : Kelishamiz 🤝
Boshlash uchun nimalar bilish kerak?
- Hechnarsa!

Darslar ko'pchilik so'ragandek online tarzda olib boriladi.
Aloqa uchun: @turan_admin