Forwarded from AppSec Guy
O'zbekistonda Kiber Xavfsizlik haqida shu sohada o'qiyotgan oddiy talaba sifatida fikrim.
Davlat kiber xavfsizlik bo'yicha saviyasini undagi xavfsizlik tizimlari ko'rsatib beradi adashmasam, Masalan Germaniya, Angliyada davlat tizimlarini tekshirish uchun RDP dasturlari bor.
Bunda xavfsizlik hodimlari Bug Bounty'ga o'xshab zaiflik topib berishadi davlatga tizimlaridan, lekin oddiy rahmat olishadi. To'g'ri hechnarsa bermasa nima keragi bor deyishadi, lekin katta foydasi borligini ularda bemalol ko'rsak bo'ladi! Biz o'zimizni ITHub (IT davlati) qilmoqchimiz lekin aynan shu sohada ancha oqsayabmiz.
Pastroq tushamiz - tashkilotlar. Amerika misolida ko'rsak ular tashkilotlarga o'zlari kiber xavfsizlik bo'yicha talablar beradi va hamma shu talablarni bajarishi kerak. Hatto o'zlari xavfsizlik bo'yicha muhim tizimlar ko'tarib, o'zlari tekinga o'qitishni ham yo'lga qo'yishgan. Bizda bo'lsa talablar faqatgina 1ta moddada qo'shib o'tilgan halos.
Shu yerda, talablar bo'lmasa, hechkim xavfsizlikni tushunmasa qo'shimcha mablag' ajratishni xohlamaydi. Natijada tashkilotlar o'rtasida xavfsizlik yomon bo'lgan xizmatlar ko'payadi. Bu xizmatlarda bo'lsa butun davlat, aholining eng kerakli ma'lumotlari, mablag'lari bo'ladi.
Talab, qiziqish, mablag' bo'lmagandan keyin kiber xavfsizlik uchun ish joylari kamayadi, rostdan davlatimizda ish joylari judaa kam, yashirib o'tirmaslik kerak.
Tanishlarim kiber xavfsizlik bo'yicha tashkilot ochishni rejalashtiryabdi, faqat boshqa rivojlangan dalvatda, o'zini davlatida emas. Sababi xavfsizlik hechkimga qiziq emas.
Ko'zga ko'ringan yangilik bo'lsa tahminan $150,000 mablag' bilan yaxshi loyixalar uchun tashkillanyotgan 'President Tech Award' bo'lyabdi, eng yaxshi loyixa bo'lsa online ovoz berish orqali tanlanadi. Huddi OpenBudget'ga o'xshab ovoz toplanadi..
Umuman agar davlatimizga kiber urush boshlansa, bir haftada tugasa kerak butun davlat .. Buni mendan kattalaram gapirgan) Insop berib qolar.
Davlat kiber xavfsizlik bo'yicha saviyasini undagi xavfsizlik tizimlari ko'rsatib beradi adashmasam, Masalan Germaniya, Angliyada davlat tizimlarini tekshirish uchun RDP dasturlari bor.
Bunda xavfsizlik hodimlari Bug Bounty'ga o'xshab zaiflik topib berishadi davlatga tizimlaridan, lekin oddiy rahmat olishadi. To'g'ri hechnarsa bermasa nima keragi bor deyishadi, lekin katta foydasi borligini ularda bemalol ko'rsak bo'ladi! Biz o'zimizni ITHub (IT davlati) qilmoqchimiz lekin aynan shu sohada ancha oqsayabmiz.
Pastroq tushamiz - tashkilotlar. Amerika misolida ko'rsak ular tashkilotlarga o'zlari kiber xavfsizlik bo'yicha talablar beradi va hamma shu talablarni bajarishi kerak. Hatto o'zlari xavfsizlik bo'yicha muhim tizimlar ko'tarib, o'zlari tekinga o'qitishni ham yo'lga qo'yishgan. Bizda bo'lsa talablar faqatgina 1ta moddada qo'shib o'tilgan halos.
Shu yerda, talablar bo'lmasa, hechkim xavfsizlikni tushunmasa qo'shimcha mablag' ajratishni xohlamaydi. Natijada tashkilotlar o'rtasida xavfsizlik yomon bo'lgan xizmatlar ko'payadi. Bu xizmatlarda bo'lsa butun davlat, aholining eng kerakli ma'lumotlari, mablag'lari bo'ladi.
Talab, qiziqish, mablag' bo'lmagandan keyin kiber xavfsizlik uchun ish joylari kamayadi, rostdan davlatimizda ish joylari judaa kam, yashirib o'tirmaslik kerak.
Tanishlarim kiber xavfsizlik bo'yicha tashkilot ochishni rejalashtiryabdi, faqat boshqa rivojlangan dalvatda, o'zini davlatida emas. Sababi xavfsizlik hechkimga qiziq emas.
Ko'zga ko'ringan yangilik bo'lsa tahminan $150,000 mablag' bilan yaxshi loyixalar uchun tashkillanyotgan 'President Tech Award' bo'lyabdi, eng yaxshi loyixa bo'lsa online ovoz berish orqali tanlanadi. Huddi OpenBudget'ga o'xshab ovoz toplanadi..
Umuman agar davlatimizga kiber urush boshlansa, bir haftada tugasa kerak butun davlat .. Buni mendan kattalaram gapirgan) Insop berib qolar.
π12π₯4π’4π2π¨βπ»1
Portswiggerda yangi API dasturlar xavfsizligi bo'yicha labaratoriyalar chiqarilibdi.
GraphQL API yirik tashkilotlar o'rtasida ko'p ishlatiladi, xavfsizlik hodimlari ham bu API uchun alohida dasturlar ishlab chiqishgan, umuman APIda grafik oyna bilan nima qayerda ishlashini ko'rishdan yaxshi narsa bormi ..
Web dasturdan tashqariga chiqib turinglar ;)
https://portswigger.net/web-security/graphql
GraphQL API yirik tashkilotlar o'rtasida ko'p ishlatiladi, xavfsizlik hodimlari ham bu API uchun alohida dasturlar ishlab chiqishgan, umuman APIda grafik oyna bilan nima qayerda ishlashini ko'rishdan yaxshi narsa bormi ..
Web dasturdan tashqariga chiqib turinglar ;)
https://portswigger.net/web-security/graphql
portswigger.net
GraphQL API vulnerabilities | Web Security Academy
GraphQL vulnerabilities generally arise due to implementation and design flaws. For example, the introspection feature may be left active, enabling ...
π₯5π3β€1
Bizda yangi loyiha!π₯
Kiber xavfsizlik va Xakerlik haqida hazillar uchun alohida kanal ochdik, qo'llab-quvvatlaysizlar degan umiddamizβ
Spoiler:
Kanaldagi kantentlarni hamma yoshga birdaniga to'g'rilash qiyin.
Ulanish: @meme0x00
Kiber xavfsizlik va Xakerlik haqida hazillar uchun alohida kanal ochdik, qo'llab-quvvatlaysizlar degan umiddamizβ
Spoiler:
Kanaldagi kantentlarni hamma yoshga birdaniga to'g'rilash qiyin.
Ulanish: @meme0x00
π28π4π¨βπ»1
Media is too big
VIEW IN TELEGRAM
π₯ KIOPTRIX level 2 (1.1) π₯
- SQL Injection β Login bypass -
- OS Command Injection -
- Web site Deface -
βοΈManba bilan tarqating βοΈ
β @TuranSecurity β
- SQL Injection β Login bypass -
- OS Command Injection -
- Web site Deface -
βοΈManba bilan tarqating βοΈ
β @TuranSecurity β
π₯22π3π¨βπ»2
π₯ - Solstice vm - π₯
- 2.5 soatlik dars -
- 12-avgust 16:00 -
βοΈBizni qo'llab quvvatlang βοΈ
βοΈYaqinlaringizga ulashing βοΈ
@TuranSecurity
- 2.5 soatlik dars -
- 12-avgust 16:00 -
βοΈBizni qo'llab quvvatlang βοΈ
βοΈYaqinlaringizga ulashing βοΈ
@TuranSecurity
π₯30π7β€1
Turan Security
π₯ - Solstice vm - π₯ - 2.5 soatlik dars - - 12-avgust 16:00 - βοΈBizni qo'llab quvvatlang βοΈ βοΈYaqinlaringizga ulashing βοΈ @TuranSecurity
Malum bir sabablarga ko'ra dars 12-avgustga qoldirildi.
π12π₯1
This media is not supported in your browser
VIEW IN TELEGRAM
Xavfsizlik 101 - 0 dan boshlab Kiber Xavfsizlik darsligi.
O'zbek tilida birinchi - xar hil sohalar, sohadagi asosiy ustunlarni misollar bilan tushuntirib beriladigan darslik. (Batafsil video orqali bilib olishingiz mumkin)
@TuranSecurity
O'zbek tilida birinchi - xar hil sohalar, sohadagi asosiy ustunlarni misollar bilan tushuntirib beriladigan darslik. (Batafsil video orqali bilib olishingiz mumkin)
@TuranSecurity
π103π₯29π¨βπ»8π2
Hasker kim?
Kimlardur hazillarimiz orqali Hasker kimligini allaqachon tushinib oldi. Lekin yana kimlardur bizni: 'Noto'g'ri yozdi', - deb Hacker deb o'qishibdi..
Hasker bu o'zi hechnarsani bilmasligini bilmaydigan odam. Kiber xavfsizlikda bunaqa odamlar talaygina - amerika raqami sotishadi, bioga soat qo'yishadi va boshqa ishlar qilib ohirida o'zini Xaker deb hisoblaydi.
Hasker bo'lish unchalik yomon narsamas va bu kiber xavfsizlikka birinchi qadam deb hisoblasak bo'ladi ba'zida, eng yomoni shu botqoqda ohirigacha qolish - o'smaslik, o'rganmaslik.
Shu postni har qanday haskerlarni forumiga yetib borishini xohlardik, kimnidur o'zini-o'zi aldab yurishidan qutqarib qolishga yordam bergan bo'lasiz.
@TuranSecurity
Kimlardur hazillarimiz orqali Hasker kimligini allaqachon tushinib oldi. Lekin yana kimlardur bizni: 'Noto'g'ri yozdi', - deb Hacker deb o'qishibdi..
Hasker bu o'zi hechnarsani bilmasligini bilmaydigan odam. Kiber xavfsizlikda bunaqa odamlar talaygina - amerika raqami sotishadi, bioga soat qo'yishadi va boshqa ishlar qilib ohirida o'zini Xaker deb hisoblaydi.
Hasker bo'lish unchalik yomon narsamas va bu kiber xavfsizlikka birinchi qadam deb hisoblasak bo'ladi ba'zida, eng yomoni shu botqoqda ohirigacha qolish - o'smaslik, o'rganmaslik.
Shu postni har qanday haskerlarni forumiga yetib borishini xohlardik, kimnidur o'zini-o'zi aldab yurishidan qutqarib qolishga yordam bergan bo'lasiz.
@TuranSecurity
π28π₯5π2π¨βπ»2π1
Aldanyabsiz | Bizdagi majburiyatlar
1. Soha ko'p kiber xavfsizlikda, huddi dasturchilikka o'xshaydi. Dasturchilik o'rganaman deb kelishsa - backend, frontend deb so'ramasdan o'zimizda borini sotib yuborolmaymiz. Threat hunting, GRC, etc lar balki sizga qiziqdur? Soha tanlashga yordam berib, keyin bor bo'lsa sotamiz.
2. Sifatli darsliklar - xalqaro darajaga mos tushadigan, har bir kurs darajaga bo'lingan (boshlang'ich, o'rta, yuqori), amaliyot bilan.
3. Hasker kimligini tushuntirish.
4. Keyingi qadamlar uchun Roadmaplar bera olish.
5. Kerakli vaqtda yordam bera olish.
etc.
Agar siz boshqa joydan kiber xavfsizlik kursi so'rasangiz va ular sizni to'g'ri kelgan, o'zida bor darsga qo'shib yuborsa yaxshigina aldanyabsiz...
Bu post orqali boshqa akademiyalarni tomirini chopish niyyatimiz yo'q, lekin bu Kiber xavfsizlik sohasidagi yozilmagan standartlar va har bir o'quv tizimlari shunday tuzilgan.
@TuranSecurity | Kiber xavfsizlik
1. Soha ko'p kiber xavfsizlikda, huddi dasturchilikka o'xshaydi. Dasturchilik o'rganaman deb kelishsa - backend, frontend deb so'ramasdan o'zimizda borini sotib yuborolmaymiz. Threat hunting, GRC, etc lar balki sizga qiziqdur? Soha tanlashga yordam berib, keyin bor bo'lsa sotamiz.
2. Sifatli darsliklar - xalqaro darajaga mos tushadigan, har bir kurs darajaga bo'lingan (boshlang'ich, o'rta, yuqori), amaliyot bilan.
3. Hasker kimligini tushuntirish.
4. Keyingi qadamlar uchun Roadmaplar bera olish.
5. Kerakli vaqtda yordam bera olish.
etc.
Agar siz boshqa joydan kiber xavfsizlik kursi so'rasangiz va ular sizni to'g'ri kelgan, o'zida bor darsga qo'shib yuborsa yaxshigina aldanyabsiz...
Bu post orqali boshqa akademiyalarni tomirini chopish niyyatimiz yo'q, lekin bu Kiber xavfsizlik sohasidagi yozilmagan standartlar va har bir o'quv tizimlari shunday tuzilgan.
@TuranSecurity | Kiber xavfsizlik
π₯18π8π7
Bir marta bitta scammer bizni adminga Surhandaryodanligini, ancha og'ir kasalligini, boqadigan odami yo'qligini aytib isbot uchun hujjatlarini tashlab bergandi. Keyin yordam uchun pul so'radi.
Hujjatlar orasida eng qizig'i "O'lganligi Haqida guvohnoma" bor ekan, kasalligini isbotlash uchun... XD
Scammer rus tilida gapirganligi uchun hujjatda nima borligini o'zi ham tushunmagan.
Keyin biz ham uni qo'lida qanaqa telefon turganligi va aslida u Angrenda o'tirganini tashlab bergandik))
@TuranSecurity
Hujjatlar orasida eng qizig'i "O'lganligi Haqida guvohnoma" bor ekan, kasalligini isbotlash uchun... XD
Scammer rus tilida gapirganligi uchun hujjatda nima borligini o'zi ham tushunmagan.
Keyin biz ham uni qo'lida qanaqa telefon turganligi va aslida u Angrenda o'tirganini tashlab bergandik))
@TuranSecurity
π71π11π₯2π2π¨βπ»2
Turan Security
#Bug_Bounty #Alibaba Shogird ustozdan o'tmasa shogird emasβπ₯ Bug bounty dastur - sizga yirik kampaniyalar o'zlarini tizimini buzib ko'rish taklifini beradi. Buzib kira olsangiz va ularga qanday buzib kirganingizni ko'rsata olsangiz sizni pul yoki boshqa narsalarβ¦
Bug bounty sohasini Kiber xavfsizlikdagi frilanserlik deb atasak bo'ladi.Hechkim sizni ishga olishi shartmas, hechqanday qo'shimcha qog'ozbozliksiz istagan vaqtingizda ishlay olasiz, xohlasangiz yarim kechasi yoki dam olish kuni...
Muhimi ish vaqtida qanaqadur zerikarli ish emas - yirik,jiddiy tashkilotlarni buzyotgan bo'lasiz. Keyin bizni shogirdlarga o'xshab maqtanib yurasiz. ;)
@TuranSecurity
Muhimi ish vaqtida qanaqadur zerikarli ish emas - yirik,jiddiy tashkilotlarni buzyotgan bo'lasiz. Keyin bizni shogirdlarga o'xshab maqtanib yurasiz. ;)
@TuranSecurity
π₯12π10π5
#OS #Linux
Mobexler - Ubuntu tizimi ustiga ko'tarilgan Mabil dasturlar xavfsizligini tekshirish uchun ishlab chiqilgan tizim.
Mabil dasturlar xavfsizligi sohasi uchun dasturlar hodimlar kam e'tibor bergani uchun odatda eski bo'ladi. Natijada tizimni har doim yangilab turish o'ta katta muammolarga sabab bo'ladi. Mobexler aynan shu muammolarga yechim bera oladi.
Tizim ichida maxsus mabil dasturlar xavfsizligi uchun dasturlar mavjud, masalan, MobSF, drozer, objection, Frida va h.k. Bu o'ta katta qulaylik degani...
Tizimni yuklash uchun link qoldirmaymiz, google.
Web dastur xavfsizligidan tashqariga chiqib turinglar!
@TuranSecurity
Mobexler - Ubuntu tizimi ustiga ko'tarilgan Mabil dasturlar xavfsizligini tekshirish uchun ishlab chiqilgan tizim.
Mabil dasturlar xavfsizligi sohasi uchun dasturlar hodimlar kam e'tibor bergani uchun odatda eski bo'ladi. Natijada tizimni har doim yangilab turish o'ta katta muammolarga sabab bo'ladi. Mobexler aynan shu muammolarga yechim bera oladi.
Tizim ichida maxsus mabil dasturlar xavfsizligi uchun dasturlar mavjud, masalan, MobSF, drozer, objection, Frida va h.k. Bu o'ta katta qulaylik degani...
Tizimni yuklash uchun link qoldirmaymiz, google.
Web dastur xavfsizligidan tashqariga chiqib turinglar!
@TuranSecurity
π₯4π3π2π’2
Apache serverda Nginx server?
Web dasturlar xavfsizligini tekshirish davomida 100% hodimlar shunaqa narsaga duch kelishgan.
Ba'zi holatlarda Nginx/1.18.0 serveriga duch kelamiz, keyin exploit topib uni ishlatib ko'ramiz. Ishlamagandan keyin tekshiruv davomida hatolik orasidan (banner) chiqib keladi qarasak serverni Apache deb ko'rsatiladi)
Buni bug deb qabul qilamizmi?
Yo'q! Balki tizim egasi atayin server sozlamasini o'zgartirib, Nginx chiqadigan qilgandur? Bunaqa bo'lish ehtimolini 10% deb hisoblaymiz, qolgan 90% chi?
Reverse proxy serverlar haqida gapirib o'tiryamiz,qisqacha aytsak Reverse proxy server haqiqiy server va bizni o'rtamizda turadi huddi Burp Suite dasturidek va xavfsizlik ta'minlash uchun ishlatiladi,hullas javob oddiy: Haqiqiy server Apache sifatida ko'tariladi va Reverse Proxy serverini Nginx sifatida ko'tarishadi. (2 - rasm)
Natijada Orqa tomondagi server Apache va o'rtadagi server Nginx sifatida ko'rinadi.
@TuranSecurity
Web dasturlar xavfsizligini tekshirish davomida 100% hodimlar shunaqa narsaga duch kelishgan.
Ba'zi holatlarda Nginx/1.18.0 serveriga duch kelamiz, keyin exploit topib uni ishlatib ko'ramiz. Ishlamagandan keyin tekshiruv davomida hatolik orasidan (banner) chiqib keladi qarasak serverni Apache deb ko'rsatiladi)
Buni bug deb qabul qilamizmi?
Yo'q! Balki tizim egasi atayin server sozlamasini o'zgartirib, Nginx chiqadigan qilgandur? Bunaqa bo'lish ehtimolini 10% deb hisoblaymiz, qolgan 90% chi?
Reverse proxy serverlar haqida gapirib o'tiryamiz,qisqacha aytsak Reverse proxy server haqiqiy server va bizni o'rtamizda turadi huddi Burp Suite dasturidek va xavfsizlik ta'minlash uchun ishlatiladi,hullas javob oddiy: Haqiqiy server Apache sifatida ko'tariladi va Reverse Proxy serverini Nginx sifatida ko'tarishadi. (2 - rasm)
Natijada Orqa tomondagi server Apache va o'rtadagi server Nginx sifatida ko'rinadi.
@TuranSecurity
π3π₯2
Turan Security
Apache serverda Nginx server? Web dasturlar xavfsizligini tekshirish davomida 100% hodimlar shunaqa narsaga duch kelishgan. Ba'zi holatlarda Nginx/1.18.0 serveriga duch kelamiz, keyin exploit topib uni ishlatib ko'ramiz. Ishlamagandan keyin tekshiruv davomidaβ¦
Tavsiya:
Agar web dastur shunaqa holatda duch kelsa, proxy server va haqiqiy server o'rtasida zaiflik qidirishni tavsiya qilamiz,masalan HTTP request smuggling, deception, cachelarni zaharlash va deception kabi...
Agar web dastur shunaqa holatda duch kelsa, proxy server va haqiqiy server o'rtasida zaiflik qidirishni tavsiya qilamiz,masalan HTTP request smuggling, deception, cachelarni zaharlash va deception kabi...
π₯7
Kiber xavfsizlik ish e'lonlari rus tilida chiqarilishi hozirgi ko'plab O'zbekistondagi soha o'rinlarini Rassiyalik mutahasislar eggalayotganini tasdiqlaydi.
Bu degani bizdan kam hodimlar yetishib chiqyabdi. Ish o'rni esa kundan-kunga ko'payaveradi.
@TuranSecurity
Bu degani bizdan kam hodimlar yetishib chiqyabdi. Ish o'rni esa kundan-kunga ko'payaveradi.
@TuranSecurity
π₯12π’7π¨βπ»4π€2
https://telegra.ph/OSCP-vohima-qilishga-arziydimi-08-28
'Ishga kirish uchun OSCP olmoqchi bo'lgan o'quvchilar ishga kirib 1-2 yil ishlab olishi kerak!'
'Ishga kirish uchun OSCP olmoqchi bo'lgan o'quvchilar ishga kirib 1-2 yil ishlab olishi kerak!'
Telegraph
OSCP 'vohima' qilishga arziydimi?
OSCP yoki umuman hozirgi kiber xavfsizlik bozorida sertifikatlar bizga qanday yordam beradi? Sertifikatlardan oladigan asosiy foydamiz bizni osonroq ishga olib kira olishidadir, ya'ni sertifikati bor hodim sertifikati yo'q hodimdan ko'ra ko'proq ishga kirishβ¦
π₯11π¨βπ»3π1
bugbountyhunting.com - Writeup (maqola) izlash uchun qurilma.
Writeup - Kiber xavfsizlik hodimlari biror zaifikni tizimlarda qanday topganini ko'rsatib beradigan maqola. Bunaqa maqolalarni o'zimizda ham topishingiz mumkin.
Bugun kirib XSS zaifligi bo'yicha 404ta maqolani o'qib chiqqan hasker kechagi hasker bo'lmaydi.
@TuranSecurity
Writeup - Kiber xavfsizlik hodimlari biror zaifikni tizimlarda qanday topganini ko'rsatib beradigan maqola. Bunaqa maqolalarni o'zimizda ham topishingiz mumkin.
Bugun kirib XSS zaifligi bo'yicha 404ta maqolani o'qib chiqqan hasker kechagi hasker bo'lmaydi.
@TuranSecurity
π9π4