#Yangilik #Kurs
Offensive SQL - kiber xavfsizlik hodimlari uchun SQL dasturlash tili kursi🔥
Batafsil ma'lumot uchun yuqoridagi videoni ko'ring.

Daraja: boshlang'ich;
Davomiyligi: ~3 soat;
Turi: Dasturlash;
Narxi: ~ 300,000 so'm

Dars to'liq Youtube platformasiga yuklandi, ko'rish uchun shu yerni bosing.Ertaga keyingi ikkinchi kurs yuklanadi in shaa Alloh.

@TuranSecurity

#Kurs #Uzbanons
Offensive Python - kiber xavfsizlik hodimlari uchun Python dasturlash tili kursi🪓

Daraja: O'rta;
Talablar: Boshlang'ich python bilimlari;
Davomiyligi: ~ 15 soat;
Turi: Dasturlash;
(Eski) Narxi: ~ 500.000 so'm

Kurs mavzulari:
Python dasturlash tili orqali
- Port scan qilish;
- MAC manzil o'zgartirish;
- Hashlarni crack qilish;
- FTP-SSH brute force;
- Reverse shell;
- Botnet tuzish;
- Forensics;
uchun dastur tuzish.

Egasidan ruhsat so'ragan holatda kurs(Axloqsiz python) Youtube platformasiga yuklandi. Ko'rish uchun shu yerni bosing.

@TuranSecurity

#Kurs #Yangilanish
Pentest 101 video kursi yana sotuvda🔥

Yangilanishlar:
- SMS hujum websaytlar orqali qanday qilinadi?
- Savdo websaytlari qanday buziladi?
- CMSlarni pentest qilish;
- XSS ni RCE ga aylantirish;
- Zaifliklar va alohida zaiflik guruhlari:
- Amaliyot va 4 xil labaratoriya;
- Privilege escalation ni RCE ga aylantirish va ushbu zaifliklar uchun himoya usullari!

Daraja: 101 (boshlang'ich);
Turi: Pentest;
Davomiyligi: 25 soat;
Narxi: 800,000 so'm

Murojaat uchun: @Turan_admin

Xakerlar Linux kernel ko'dlarini o'g'irlashibdi shu maqola bo'yicha... Va bu ishni Lapsus$ amalga oshirgan.

P.S. Linux operatsion tizimi Windows operatsion tizimidan farqli ko'dlari ochiq holatda turadi (open source), shuni o'g'irlashibdi😁😂

@TuranSecurity

SSDLC - secure software development lifecycle

SDLC - bu dasturlarni tez va oson ishlab chiqarilishi va yangilanishini o'z ichiga olgan jarayon. Bunda oddiyroq tushuntirilsa, birinchi rejalashtiriladi, ko'dlar yoziladi, keyin foydalanishga chiqariladi.

Secure SDLC:
Dastur xavfsizligini ta'minlash maqsadida shu jarayonga xavfsizlik qo'shimchalari qo'shish mumkin.

Hozir bu postni o'qiyotgan dasturchilarni ko'zi chiqib ketishi aniq, sababi shuncha ishlar, sifat tekshirishlaridan keyin yana ularga qo'shimcha ish paydo bo'ladi deb o'ylashadi.. Aslida bu jarayonga xavfsizlikni qo'shish kampaniya va jamoani vaqti va mablag'ini tejaydi.

Qanday?
Aytaylik dastur ishga tushirildi, endi xavfsizligini tekshirishadi va ancha ko'p topilgan teshiklardan keyin ko'dni butunlay boshidan yozib chiqishadi. Buni oldindan oldini olish va ancha xavfsiz qilish mumkin.
1) Rejalashtirish jarayonida bo'lishi mumkin xavf yozib chiqiladi va ko'dlarni yozish paytida oldini olishga harakat qilinadi.
2) Ko'd yozish vaqtida ko'dlarni xavfsizligi tekshiriladi.
3) Shu jarayon vaqtida third party dasturlar ham tekshiriladi.
4) Ko'd yozish tugatilsa tayyor dastur qayta tekshiriladi.
5) Ko'd yuklanyotgan tizim ham tekshiriladi.
Shunday davom etaveradi..

Bu dastur ishlab chiqarishni orqaga tortadi shundaymi?
Yo'q/Ha! Dastur ishlab chiqarish paytida shundoq ham u tekshiriladi (QA test),shu vaqtda xavfsizlikni ham tekshirsa bo'ladi. Aqlli xavfsizlik hodimi dasturchiga xalaqt bermaslikga harakat qiladi har doim, va ishini kerakli paytda qiladi , shunday qilib jamoa orqaga tortilmaydi.

WhatsApp dasturida yangi zaiflik🍯

WhatsApp dasturining android qurilmalari uchun chiqarilgan versiyasida chatga ' wa.me/settings ' yuborish orqali application level DoS amalga oshirish mumkin.

Bu degani chatga shu ' wa.me/settings ' yozuvi yuborilsa chat hamma uchun ishlamay qoladi.Chat shaxsiy chat, guruhlar bo'lishi mumkin.

Tuzatish!:
Agar sizga shunday yozuv yuborishsa va sizda chatlar ishlamay qolsa WhatsAppga sayt orqali ulaning (web.whatsapp.com) va yozuvni o'chirib tashlang.

@TuranSecurity

Endi choy ustida gaplashamiz!

Yaqinda Youtube kanalimizda jonli tarzda darslar o'tkazishni boshlaymiz. Darslar tarmoq orqali Host va Tizimlarga buzib kirish haqida bo'ladi.

Darslarni PEH 101 kursi o'qituvchisi olib boradi, darsdan qolib ketmaslik uchun kanalimizga ulanib oling,birinchi dars vaqtini yaqinda e'lon qilamiz :)

Youtube kanalimiz:
https://www.youtube.com/@turansecurity

Hasker bo'lishdan charchaganlar uchun yangilik!

Yangilangan amaliy xakkerlik kursi (PEH 101)

Bo'limlar:

▪️Linux - Xakerlar Linuxni tizimni qanday boshqaradi?
▪️Network - Xakerlik uchun zarur tarmoq haqidagi bilimlar.
▪️WAPT - Xakerlar websaytlarga qanday buzib kiradi?
▪️Network pentest - Xakerlar qanday qilib tarmoq orqali hujumlar amalga oshiradi?
▪️PrivEsc -  Local tizimlarda Xakerlar qanday qilib to'liq boshqaruvni qo'lga kiritadi?

Davomiylik: 3 oy;
(Haftada 3 kun, 45 - 90m)
To'lov : Kelishamiz 🤝
Boshlash uchun nimalar bilish kerak?
- Hechnarsa!

Darslar ko'pchilik so'ragandek online tarzda olib boriladi.
Aloqa uchun: @turan_admin

Video Darslar:
Pentest 101 - boshlang'ich darajada web dasturlar xavfsizligini tekshirish va ta'minlash haqidagi video kurs

PEH 101 - amaliy axloqiy xakerlik video kursi

Offensive SQL - kiber xavfsizlik hodimlari uchun SQL dasturlash tili kursi (Tekin)

Offensive Python - kiber xavfsizlik hodimlari uchun Python dasturlash tili kursi (Tekin)

Burp Suite 101 - Burp Suite dasturi haqidagi kurs (Tekin)

Onlayn Darslar:
PEH 101 - amaliy axloqiy xakerlik darslari.

SecEngineering 101 - Kiber xavfsizik muhandisligi

Mundarija:
* 101 - boshlang'ich daraja
* 201 - yuqori daraja
* 301 - Yuqori +

Yordam?
Maktab o'quvchisi va talabalar uchun video darsliklarga 50% chegirma mavjud.

Qanday qilib mashinalarni kalitsiz buzish mumkin?

Buni Relaying Attack deyishadi, kiber xavfsizlikda relay degani kalitni yoki parolni o'g'irlab olib boshqa joyga qo'yishga harakat qilish desak bo'ladi..

Aytaylik mashina pulti mashinani ochish uchun signal yuboradi, xaker shu signalni o'zi yozib olishi mumkin maxsus qurilma bilan, keyin o'zi shu signalni mashinaga yuboradi..

Mashina bo'lsa signalni pultdan keldi deb o'ylaydi, aslida bu sohta bo'ladi. Shunday qilib mashinaga buzib kirsa bo'ladi.

Bizda bu uchun himoya bormi?

Hozirgi mashinalarda aynan shu hujum uchun alohida himoya dasturlari bo'ladi, GM da 10 yildan keyinam chiqmasa kerak :)

@TuranSecurity

Qurbon Hayiti muborak!

Hammaga bayramni DDoS'larsiz o'tkazish nasib qilsin.

@TuranSecurity

E'tibor bersak dasturlash tillarini ishga tushirgani alohida o'zini IDE'si bo'ladi, masalan python kodlarni yo'q joydan ishga tushirmaymiz, Linux terminalda python alohida tortvolib, keyin kodlarni ishlatamiz:

# python etc.py

Javascript kodlar ham shunaqa, faqat terminalda javascript kodni ishga tushirib ko'rganmisiz? Umuman hayolga kelmagan bo'lsa kerak a?
Ishga tushirishni iloji bor, masalan Node.js yordamida:

# node etc.js

Node.js ni tarixi uzun hullas bu yaqinda chiqqan narsa deylik, unda JS ni oldin qanday ishga tushirishgan?
- Browser orqali, to'g'rida! JS kodni serverdan browserga jo'natsak ishlayveradi.
Demak Browserlar JS ni ishga tushirish uchun qanaqadur joy. Shu yerda XSS ni eslasak, Bu zaiflikda xaker foydalanuvchi Browserida JS kod ishga tushirardiku.. Demak XSS orqali Browserda xohlagancha kod ishga tushiramiz, Browserni bo'lsa o'sha kodlar boshqaradi.

Masalan:
Yangi duplicate oyna ochish: window.open()

Hozirgi oyna haqida ma'lumot: window.location()

window , funksiya() lar JS dasturchilarga tanish a? Hullas shunaqa qilib Browserni boshqarish mumkin.

Xulosa:
XSS zaifligi bilan cookie o'girlashdan tashqari, foydalanuvchini browserini boshqarsa bo'ladi (sandbox yoki shunga o'xshash browser himoyalarini hisobga olmasa).Boshqarish deganda istisnolar bilan aytsak selfi olish, ba'zida RCE gacha yetkazsa bo'ladi.

Shunaqa narsalarni Offensive JS darsligiga qo'shamiz, tayyor turinglar )

@TuranSecurity

O'zbekistonda Kiber Xavfsizlik haqida shu sohada o'qiyotgan oddiy talaba sifatida fikrim.

Davlat kiber xavfsizlik bo'yicha saviyasini undagi xavfsizlik tizimlari ko'rsatib beradi adashmasam, Masalan Germaniya, Angliyada davlat tizimlarini tekshirish uchun RDP dasturlari bor.

Bunda xavfsizlik hodimlari Bug Bounty'ga o'xshab zaiflik topib berishadi davlatga tizimlaridan, lekin oddiy rahmat olishadi. To'g'ri hechnarsa bermasa nima keragi bor deyishadi, lekin katta foydasi borligini ularda bemalol ko'rsak bo'ladi! Biz o'zimizni ITHub (IT davlati) qilmoqchimiz lekin aynan shu sohada ancha oqsayabmiz.

Pastroq tushamiz - tashkilotlar. Amerika misolida ko'rsak ular tashkilotlarga o'zlari kiber xavfsizlik bo'yicha talablar beradi va hamma shu talablarni bajarishi kerak. Hatto o'zlari xavfsizlik bo'yicha muhim tizimlar ko'tarib, o'zlari tekinga o'qitishni ham yo'lga qo'yishgan. Bizda bo'lsa talablar faqatgina 1ta moddada qo'shib o'tilgan halos.

Shu yerda, talablar bo'lmasa, hechkim xavfsizlikni tushunmasa qo'shimcha mablag' ajratishni xohlamaydi. Natijada tashkilotlar o'rtasida xavfsizlik yomon bo'lgan xizmatlar ko'payadi. Bu xizmatlarda bo'lsa butun davlat, aholining eng kerakli ma'lumotlari, mablag'lari bo'ladi.

Talab, qiziqish, mablag' bo'lmagandan keyin kiber xavfsizlik uchun ish joylari kamayadi, rostdan davlatimizda ish joylari judaa kam, yashirib o'tirmaslik kerak.
Tanishlarim kiber xavfsizlik bo'yicha tashkilot ochishni rejalashtiryabdi, faqat boshqa rivojlangan dalvatda, o'zini davlatida emas. Sababi xavfsizlik hechkimga qiziq emas.

Ko'zga ko'ringan yangilik bo'lsa tahminan $150,000 mablag' bilan yaxshi loyixalar uchun tashkillanyotgan 'President Tech Award' bo'lyabdi, eng yaxshi loyixa bo'lsa online ovoz berish orqali tanlanadi. Huddi OpenBudget'ga o'xshab ovoz toplanadi..

Umuman agar davlatimizga kiber urush boshlansa, bir haftada tugasa kerak butun davlat .. Buni mendan kattalaram gapirgan) Insop berib qolar.

Portswiggerda yangi API dasturlar xavfsizligi bo'yicha labaratoriyalar chiqarilibdi.

GraphQL API yirik tashkilotlar o'rtasida ko'p ishlatiladi, xavfsizlik hodimlari ham bu API uchun alohida dasturlar ishlab chiqishgan, umuman APIda grafik oyna bilan nima qayerda ishlashini ko'rishdan yaxshi narsa bormi ..

Web dasturdan tashqariga chiqib turinglar ;)

https://portswigger.net/web-security/graphql