Forwarded from RedTeam brazzers
Продолжаем серию наших ламповых встреч в формате собеседования. На подходе наша четвертая по счету и заключительная встреча в этом формате с подписчиками канала. Как всегда, я и Роман зададим вам несколько вопросов на темы:
- Тировая архитектура;
- Системы, "ломающие" тировую архитектуру;
- Обход защиты конечных точек.
Если вы пропустили предыдущие выпуски, то можете послушать их на яндексе.
До встречи сегодня (8 января) в 18:00 по мск.
- Тировая архитектура;
- Системы, "ломающие" тировую архитектуру;
- Обход защиты конечных точек.
Если вы пропустили предыдущие выпуски, то можете послушать их на яндексе.
До встречи сегодня (8 января) в 18:00 по мск.
👍15🎉6
Forwarded from YAH - Pentest Tools (ArroizX)
Puredns - отличный инструмент для резолвинга доменов и брутфорса поддоменов. Он работает поверх С'шного Massdns (высокопроизводительный инструмент для резолвинга доменов), однако, в отличии от него Puredns фильтрует отравленные DNS-ответы и вайлдкарды с помощью своих алгоритмов.
Этапы работы тулзы:
1) С помощью Massdns происходит очень быстрый резолвинг всех доменов и поддоменов сайта. После этого полученный результат нужно отфильтровать, так как он содержит отравленные DNS-ответы и вайлдкарды.
2) Puredns использует свой алгоритм обнаружения вайлдкардов для нахождения и извлечения всех корневых поддоменов с вайлдкардом из полученного ранее результата.
3) На последнем этапе происходит фильтрация от отравленных DNS-ответов, для этого используется Massdns вместе со списком доверенных DNS-резолверов (8.8.8.8 и 8.8.4.4).
Для того, чтобы инструмент работал быстрее и эффективнее нужно сначала составить словарик проверенных и рабочих резолверов. Чтобы это сделать нужно сначала получить список публичных резолверов, а после отфильтровать из них те, что дают только валидные ответы с помощью инструмента DNS Validator.
Также стоит упомянуть, что использовать тулзу надо только с VPS, так как роутер может не выдержать то количество запросов, которое отправит Puredns!
Применение:
Выполнить брутфорс поддоменов, используя словарь all.txt:
Этапы работы тулзы:
1) С помощью Massdns происходит очень быстрый резолвинг всех доменов и поддоменов сайта. После этого полученный результат нужно отфильтровать, так как он содержит отравленные DNS-ответы и вайлдкарды.
2) Puredns использует свой алгоритм обнаружения вайлдкардов для нахождения и извлечения всех корневых поддоменов с вайлдкардом из полученного ранее результата.
3) На последнем этапе происходит фильтрация от отравленных DNS-ответов, для этого используется Massdns вместе со списком доверенных DNS-резолверов (8.8.8.8 и 8.8.4.4).
Для того, чтобы инструмент работал быстрее и эффективнее нужно сначала составить словарик проверенных и рабочих резолверов. Чтобы это сделать нужно сначала получить список публичных резолверов, а после отфильтровать из них те, что дают только валидные ответы с помощью инструмента DNS Validator.
Также стоит упомянуть, что использовать тулзу надо только с VPS, так как роутер может не выдержать то количество запросов, которое отправит Puredns!
Применение:
Выполнить брутфорс поддоменов, используя словарь all.txt:
puredns bruteforce all.txt domain.comВыполнить резолвинг доменов из domains.txt, вывести найденные домены с помощью ключа -q и передать домены тулзе httprobe для проверки работоспособности HTTP-сервера:
cat domains.txt | puredns resolve -q | httprobe
👍7
Forwarded from YAH - Pentest Tools (ArroizX)
Katana - быстрый сrawler от создателей Nuclei, Httpx, Interactsh и др.
На фоне других подобных тулз его выделяют следующие особенности:
1) Помимо обычного режима работы поддерживается также и режим Headless
2) Парсинг и затем последующий сrawling Javascript-файлов
3) Настраиваемое автоматическое заполнение форм на сайтах
4) Детальное управление скоупом
5) Настраиваемый вывод работы тулзы
6) Инструмент отлично подходит для работы в связке с другими тулзами
7) Есть большое количество ключей, благодаря которым можно гибко настроить работу инструмента
Применение:
Передать тулзе Httpx список доменов, чтобы она дальше передала Katan'е список URL-адресов, на которых работает HTTP, для дальнейшего сrawling'а
На фоне других подобных тулз его выделяют следующие особенности:
1) Помимо обычного режима работы поддерживается также и режим Headless
2) Парсинг и затем последующий сrawling Javascript-файлов
3) Настраиваемое автоматическое заполнение форм на сайтах
4) Детальное управление скоупом
5) Настраиваемый вывод работы тулзы
6) Инструмент отлично подходит для работы в связке с другими тулзами
7) Есть большое количество ключей, благодаря которым можно гибко настроить работу инструмента
Применение:
Передать тулзе Httpx список доменов, чтобы она дальше передала Katan'е список URL-адресов, на которых работает HTTP, для дальнейшего сrawling'а
cat domains | httpx | katanaПрокраулить домен example.com, включая ссылки не из скоупа, результат вывести в json и передать тулзе jq, которая поможет с выводом именного нужного вам аутпута
katana -u https://example.com -json -do | jq .
👍10
На правах рекламы собственных проектов;) Присоединяйтесь к нашим новым профессиональным трекам!
Еще больше на сайте cyber-ed.ru.
Еще больше на сайте cyber-ed.ru.
Forwarded from CyberED (CyberEd)
Начнем рабочую неделю со статистики 👀 В SuperJob посчитали, что за 2022 год вакансий в ИБ стало больше на 96%, а резюме – наоборот – меньше на 5%. Так что с прошлого года на рынке труда кибербезопасности продолжается эра соискателя. Самое время получить новую специальность🧑💻А мы поможем вам в этом!
📆Календарь старта образовательных программ в феврале:
☝️у вас еще есть возможность попасть!
📍6 февраля стартует новый курс Профессия – ХАКЕР. Поток бесплатный, количество мест ограничено!
📍16 февраля – профессиональный трек Специалист по тестированию на проникновение веб-приложений
📍17 февраля – профессиональный трек Специалист по тестированию на проникновение ИТ-инфраструктуры
📍21 февраля – курс Введение в тестирование на проникновение
📍27 февраля – базовый трек Администратор безопасности
До встречи на занятиях!
📆Календарь старта образовательных программ в феврале:
☝️у вас еще есть возможность попасть!
📍6 февраля стартует новый курс Профессия – ХАКЕР. Поток бесплатный, количество мест ограничено!
📍16 февраля – профессиональный трек Специалист по тестированию на проникновение веб-приложений
📍17 февраля – профессиональный трек Специалист по тестированию на проникновение ИТ-инфраструктуры
📍21 февраля – курс Введение в тестирование на проникновение
📍27 февраля – базовый трек Администратор безопасности
До встречи на занятиях!
🔥7
Forwarded from Positive Events
🔥 В этом году у нас большие планы по развитию Standoff, и сегодня мы начинаем кастинг на роль контент-мейкера для наших мероприятий и соцсетей 📸
Нам нужен человек, который станет образом и голосом Standoff, и будет вносить свой творческий вклад в разработку и запуск видео разных форматов. Так что, если тебе интересна сфера ИБ, ты не боишься камеры, а ещё и умеешь пилить тиктоки, – ты наш кандидат. Понимание специфики ИБ будет плюсом, но не станет решающим критерием при выборе победителя.
Чтобы поучаствовать в кастинге, до 21 февраля заполни короткую гугл-форму.
Авторы десяти лучших видео будут приглашены на финальный этап в Москву. Победитель получит постоянную работу в команде, максимальный простор для творческой самореализации и поддержку самых смелых идей 🥊
Мы в Standoff за равные возможности, поэтому никаких ограничений по полу, возрасту, ориентации и музыкальным предпочтениям кандидатов у нас нет.
Нам нужен человек, который станет образом и голосом Standoff, и будет вносить свой творческий вклад в разработку и запуск видео разных форматов. Так что, если тебе интересна сфера ИБ, ты не боишься камеры, а ещё и умеешь пилить тиктоки, – ты наш кандидат. Понимание специфики ИБ будет плюсом, но не станет решающим критерием при выборе победителя.
Чтобы поучаствовать в кастинге, до 21 февраля заполни короткую гугл-форму.
Авторы десяти лучших видео будут приглашены на финальный этап в Москву. Победитель получит постоянную работу в команде, максимальный простор для творческой самореализации и поддержку самых смелых идей 🥊
Мы в Standoff за равные возможности, поэтому никаких ограничений по полу, возрасту, ориентации и музыкальным предпочтениям кандидатов у нас нет.
🔥5👍1🤯1
Forwarded from PT SWARM
PortSwigger's Top 10 web hacking techniques of 2022
Welcome to the Top 10 Web Hacking Techniques of 2022, community-powered effort to identify the most important and innovative web security research published in the last year.
🥇 Account hijacking using dirty dancing in sign-in OAuth-flows
🥈 Browser-Powered Desync Attacks: A New Frontier in HTTP Request Smuggling
🥉 Zimbra Email - Stealing Clear-Text Credentials via Memcache injection
4️⃣ Hacking the Cloud with SAML
5️⃣ Bypassing .NET Serialization Binders
6️⃣ Making HTTP header injection critical via response queue poisoning
7️⃣ Worldwide Server-side Cache Poisoning on All Akamai Edge Nodes
8️⃣ Psychic Signatures in Java
9️⃣ Practical client-side path-traversal attacks
🔟 Exploiting Web3's Hidden Attack Surface: Universal XSS on Netlify's Next.js Library
The entire nomination list you can find here: https://portswigger.net/research/top-10-web-hacking-techniques-of-2022-nominations-open
Welcome to the Top 10 Web Hacking Techniques of 2022, community-powered effort to identify the most important and innovative web security research published in the last year.
🥇 Account hijacking using dirty dancing in sign-in OAuth-flows
🥈 Browser-Powered Desync Attacks: A New Frontier in HTTP Request Smuggling
🥉 Zimbra Email - Stealing Clear-Text Credentials via Memcache injection
4️⃣ Hacking the Cloud with SAML
5️⃣ Bypassing .NET Serialization Binders
6️⃣ Making HTTP header injection critical via response queue poisoning
7️⃣ Worldwide Server-side Cache Poisoning on All Akamai Edge Nodes
8️⃣ Psychic Signatures in Java
9️⃣ Practical client-side path-traversal attacks
🔟 Exploiting Web3's Hidden Attack Surface: Universal XSS on Netlify's Next.js Library
The entire nomination list you can find here: https://portswigger.net/research/top-10-web-hacking-techniques-of-2022-nominations-open
🔥12👍2
Forwarded from CyberED (CyberEd)
💥ИБ специалистов не хватает в 90% российских компаний
Поговорили с Егором Богомоловым, управляющим директором CyberEd, что сейчас происходит на рынке ИБ, какие специалисты наиболее востребованы и что ждет отрасль кибербезопасности в ближайшее время. Читать интервью по ссылке
😎Эксперты сходятся во мнении, что рынок информационной безопасности в России находится на стадии активного роста. А это значит, что сейчас лучшее время, чтобы начать строить карьеру в ИБ.
В CyberEd в ближайший месяц стартуют несколько программ, после которых вы смело сможете претендовать на повышение или перейти в ИБ из другой профессиональной сферы.
Новые программы профессиональной переподготовки:
📌 профессиональный трек «Специалист по защите корпоративной инфраструктуры»
📌 профессиональный трек «Специалист по безопасной разработке приложений»
В марте-начале апреля запускаются новые потоки на курсах:
📌 Реагирование на инциденты и компьютерная криминалистика в ОС Windows
📌 Аналитик SOC
📌 Угрозы корпоративной инфраструктуры
📌 Введение в информационную безопасность
📌 Операционная система Linux
Записаться на курсы можно на нашем сайте или в телеграм @CyberRusBot
Поговорили с Егором Богомоловым, управляющим директором CyberEd, что сейчас происходит на рынке ИБ, какие специалисты наиболее востребованы и что ждет отрасль кибербезопасности в ближайшее время. Читать интервью по ссылке
😎Эксперты сходятся во мнении, что рынок информационной безопасности в России находится на стадии активного роста. А это значит, что сейчас лучшее время, чтобы начать строить карьеру в ИБ.
В CyberEd в ближайший месяц стартуют несколько программ, после которых вы смело сможете претендовать на повышение или перейти в ИБ из другой профессиональной сферы.
Новые программы профессиональной переподготовки:
📌 профессиональный трек «Специалист по защите корпоративной инфраструктуры»
📌 профессиональный трек «Специалист по безопасной разработке приложений»
В марте-начале апреля запускаются новые потоки на курсах:
📌 Реагирование на инциденты и компьютерная криминалистика в ОС Windows
📌 Аналитик SOC
📌 Угрозы корпоративной инфраструктуры
📌 Введение в информационную безопасность
📌 Операционная система Linux
Записаться на курсы можно на нашем сайте или в телеграм @CyberRusBot
👍12
Волна атак
Будь осторожны!
Сегодня шумит волна попыток украсть акаунты гос. Услуг.
Звонят с темой отмены заявки на удаление акаунта, отправляют вам смс «На восстановление доступа». Если вы отдадите код, ваш аккаунт уйдет злоумышленникам.
Предупредите близких.
Будь осторожны!
Сегодня шумит волна попыток украсть акаунты гос. Услуг.
Звонят с темой отмены заявки на удаление акаунта, отправляют вам смс «На восстановление доступа». Если вы отдадите код, ваш аккаунт уйдет злоумышленникам.
Предупредите близких.
Конференции по кибербезопасности выходят на новый уровень!
PHDays 12 пройдет в Парке Горького!
PHDays 12 пройдет в Парке Горького!
Positive Hack Days 12 пройдет 19–20 мая в Москве! 🎉
PHDays — это культовый форум по кибербезопасности. В этом году он станет еще более открытым и масштабным.
🎙 Уже открыт прием заявок на выступление!
По каким направлениям мы ждем заявок:
🔸противодействие хакерам и реагирование на инциденты,
🔸новые техники и векторы атак, эксплуатация уязвимостей,
🔸разработка и защита приложений,
🔸технологии и безопасность ML в ИБ.
Посмотреть все направления и предложить свой доклад можно до 25 марта на сайте
PHDays — это культовый форум по кибербезопасности. В этом году он станет еще более открытым и масштабным.
🎙 Уже открыт прием заявок на выступление!
По каким направлениям мы ждем заявок:
🔸противодействие хакерам и реагирование на инциденты,
🔸новые техники и векторы атак, эксплуатация уязвимостей,
🔸разработка и защита приложений,
🔸технологии и безопасность ML в ИБ.
Посмотреть все направления и предложить свой доклад можно до 25 марта на сайте
🔥6👍1
Forwarded from Caster
Upcoming Release:
Above: 2.0 (Codename: Joanna) by Caster
6 new protocols support
Increased scan speed
Pyshark involved
Current version
Above: 2.0 (Codename: Joanna) by Caster
6 new protocols support
Increased scan speed
Pyshark involved
Current version
👍9
Всем привет. Вести с полей.
Образование в ИБ как никогда актуальная тема этого года. Если вам интересно послушать, как будут формироваться будущие требования к специалистам, или может дать актуальные вопросы на подумать спикерам - присоединяйтесь!)
Образование в ИБ как никогда актуальная тема этого года. Если вам интересно послушать, как будут формироваться будущие требования к специалистам, или может дать актуальные вопросы на подумать спикерам - присоединяйтесь!)
21 марта в 11:00 мск пройдет прямой эфир от команды Global Digital Space "Как стать ИБ специалистом. Образование в ИТ"
Обсудим проблемы в подготовке ИБ специалистов, начиная от колледжей и вузов до возможных курсов повышения квалификации. Узнаем, чего не хватает, как повышать ценность своего образования, как встраивают программы обучения со стороны ИТ и ИБ компаний.
Эксперты во время эфира постараются ответить на все вопросы участников.
Мероприятие бесплатное, нужно пройти регистрацию.
Ключевые вопросы эфира:
1. Современные реалии в подготовке специалистов в области защиты информации:
- Новые образовательные стандарты в области ИБ
- Профессиональные компетенции преподавателей
- Требования – наличие лабораторий средств защиты информации
2. Основные факторы многоуровневой подготовки в области ИБ
3. Новые подходы в отечественном средне профессиональном образовании к подготовке специалистов по информационной безопасности
4. Система непрерывного образования в области ИБ. Где граница между СПО, ВО и ДПО?
5. Национальная система сертификации и аттестации кадров по ИБ
Участники:
Екатерина Старостина — директор по развитию компании «Орлан»
Оксана Докучаева — главный специалист ЦИБ СБ ГУП "Московский метрополитен"
Шамиль Магомедов — заведующий кафедрой «Интеллектуальные системы информационной безопасности» Института кибербезопасности и цифровых технологий РТУ МИРЭА, к.т.н
Алиса Коренева — начальник отдела криптографического анализа ООО «Код Безопасности», доцент департамента ИБ Финансового университета при Правительстве РФ, к.ф.-м.н.
Егор Богомолов — CEO CyberEd & Singleton Security
Анна Чефранова — генеральный директор, НОЧУ ДПО ЦПК Учебный центр «ИнфоТеКС»
Обсудим проблемы в подготовке ИБ специалистов, начиная от колледжей и вузов до возможных курсов повышения квалификации. Узнаем, чего не хватает, как повышать ценность своего образования, как встраивают программы обучения со стороны ИТ и ИБ компаний.
Эксперты во время эфира постараются ответить на все вопросы участников.
Мероприятие бесплатное, нужно пройти регистрацию.
Ключевые вопросы эфира:
1. Современные реалии в подготовке специалистов в области защиты информации:
- Новые образовательные стандарты в области ИБ
- Профессиональные компетенции преподавателей
- Требования – наличие лабораторий средств защиты информации
2. Основные факторы многоуровневой подготовки в области ИБ
3. Новые подходы в отечественном средне профессиональном образовании к подготовке специалистов по информационной безопасности
4. Система непрерывного образования в области ИБ. Где граница между СПО, ВО и ДПО?
5. Национальная система сертификации и аттестации кадров по ИБ
Участники:
Екатерина Старостина — директор по развитию компании «Орлан»
Оксана Докучаева — главный специалист ЦИБ СБ ГУП "Московский метрополитен"
Шамиль Магомедов — заведующий кафедрой «Интеллектуальные системы информационной безопасности» Института кибербезопасности и цифровых технологий РТУ МИРЭА, к.т.н
Алиса Коренева — начальник отдела криптографического анализа ООО «Код Безопасности», доцент департамента ИБ Финансового университета при Правительстве РФ, к.ф.-м.н.
Егор Богомолов — CEO CyberEd & Singleton Security
Анна Чефранова — генеральный директор, НОЧУ ДПО ЦПК Учебный центр «ИнфоТеКС»
👍2🔥1
YAH
21 марта в 11:00 мск пройдет прямой эфир от команды Global Digital Space "Как стать ИБ специалистом. Образование в ИТ" Обсудим проблемы в подготовке ИБ специалистов, начиная от колледжей и вузов до возможных курсов повышения квалификации. Узнаем, чего не…
А вот и запись мероприятия.
Не скажу, что многое успели обсудить, но если у вас есть вопросы, на которые вам интересно моё мнение, задавайте их в комментариях.
Ссылка: https://www.youtube.com/watch?v=Uogmlhe_FCM
Не скажу, что многое успели обсудить, но если у вас есть вопросы, на которые вам интересно моё мнение, задавайте их в комментариях.
Ссылка: https://www.youtube.com/watch?v=Uogmlhe_FCM
YouTube
Как стать ИБ специалистом. Образование в ИТ | Точки над iT
🔴Поговорили с гостями про существующие проблемы при подготовке ИБ специалистов, начиная от колледжей до вузов и возможных курсов повышения квалификации; что не хватает, как встраивать программы обучения со стороны ИТ компаний, ИБ компаний; как повышать ценность…
👍12