Как там по активностям? Приём заявок закончится уже завтра⚡️
Наша команда пентестеров не осталась в стороне и приняла участие в одной из номинаций.
Каждая работа - это большой труд и формализация опыта, каждая премия и каждое выступление делает на шаг ближе к тому уровню, который хотелось бы достичь в своей карьере.
Успехов участникам и вдохновения тем, кто планирует новое и интересное для себя🌟
Наша команда пентестеров не осталась в стороне и приняла участие в одной из номинаций.
Каждая работа - это большой труд и формализация опыта, каждая премия и каждое выступление делает на шаг ближе к тому уровню, который хотелось бы достичь в своей карьере.
Успехов участникам и вдохновения тем, кто планирует новое и интересное для себя
Please open Telegram to view this post
VIEW IN TELEGRAM
❤🔥7❤6💯4
Forwarded from Just Security
Ждем заявки от профи и новичков, грейд не важен, важен лишь пытливый ум и способность донести свои результаты до жюри. Мы обращаем внимание на развернутое повествование, описание контекста и вводных, примеры эксплуатации, скрины и пруфы наличия уязвимостей.
Конкуренция в разных номинациях разная, у каждого есть шанс на победу.
1. Пробив WEB
2. Пробив инфраструктуры
3. Девайс
4. «**ck the logic» — За находку самых топовых логических баг.
5. «Раз bypass, два bypass» — За самый красивый обход средств защиты информации.
6. «Ловись рыбка» — За самый оригинальный фишинг или попытку засоциалить сотрудников. Оценивается всё: нагрузка, текст фишинга, использование нестандартных инструментов.
Пробив периметра. Три райтапа победителя Pentest award в номинации «Пробив».
Взлом Seedr. Райтап — победитель Pentest award в номинации «Пробив».
Нескучные байпасы. Работы — победители Pentest award в номинации «Bypass».
**ck the logic. Три исследования логических багов получившие Pentest award.
LPE на казенном макбуке. Злоупотребляем установкой VS Code для локального повышения привелегий.
ChatGPT на рыбалке. Выманиваем пароль при помощи QR-кода и чат-бота.
#pentestaward
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
#realcase
🌟 Воскресная история о том, как в один день баг смартфона оказался чем-то большим, чем казалось
Как хакеры уничтожили «цифровую жизнь» IT-журналиста за считанные минуты. История Мэтта Хоннана
Приятного прочтения📔
Был обычный летний пятничный вечер, Мэтт пришел домой в дурном настроении, потому что у него внезапно выключился iPhone. А когда он подключил телефон к зарядному устройству и взглянул на дисплей, то увидел там не девушку-виденье, а экран первоначальной настройки с надписью «Hello!» на разных языках — кто-то дистанционно стер всю информацию на его смартфоне.
Как хакеры уничтожили «цифровую жизнь» IT-журналиста за считанные минуты. История Мэтта Хоннана
Приятного прочтения
Please open Telegram to view this post
VIEW IN TELEGRAM
Хабр
Как хакеры уничтожили «цифровую жизнь» IT-журналиста за считанные минуты. История Мэтта Хоннана
Даже если ты прожженный компьютерный журналист и блогер, написавший сотни статей о высоких технологиях, хакеры могут превратить твою цифровую жизнь в руины за считанные минуты. Именно это произошло в...
Bypass_WAF_at_Scale.pdf
2.9 MB
#pentest #redteam
🥇 Не позволяйте WAF остановить вас!
Последние два года были интересными...
Я наблюдаю гораздо более активное внедрение облачных, программных и аппаратных WAF.
Помню, как 5 лет назад WAF устанавливались только на абсолютно критических и основных ресурсах. По разным причинам: стоимость и удобство использования были самыми важными.
Лаконичный доклад с ссылками на статьи и утилиты, собранный на основе действующих способов и подходов ( в том числе упоминается nowafpls, ссылку на плагин приводили выше на канале).
Приятного прочтения💾
Последние два года были интересными...
Я наблюдаю гораздо более активное внедрение облачных, программных и аппаратных WAF.
Помню, как 5 лет назад WAF устанавливались только на абсолютно критических и основных ресурсах. По разным причинам: стоимость и удобство использования были самыми важными.
Лаконичный доклад с ссылками на статьи и утилиты, собранный на основе действующих способов и подходов ( в том числе упоминается nowafpls, ссылку на плагин приводили выше на канале).
Приятного прочтения
Please open Telegram to view this post
VIEW IN TELEGRAM
#soc
👍 Инструменты и техники для синих команд
Больше 65 инструментов и техник собраны по категориям.
🖥 Репозиторий отлично подойдёт новичкам в инфобезе и тем, кто изучает работу синих команд.
Больше 65 инструментов и техник собраны по категориям.
🖥 Репозиторий отлично подойдёт новичкам в инфобезе и тем, кто изучает работу синих команд.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤🔥5
#tools #redteam
💰 Remote Kerberos Relay
Данный проект содержит в себе применение инструментов KrbRelay и KrbRealayUp, техники DCOM и эксплойт SilverPotato ( база для доработки на Red Team) .
Его автор благодарит комьюнити за отсутствие POC на CertifiedDCOM and SilverPotato. В связи с этим нельзя не сослаться на апрельскую статью Прикольный вопрос с собеса или как релеить Kerberos (принцип работы KrbRelay / KrbRelayUP).
🟢 Приятного прочтения и изучения инструмента
Данный проект содержит в себе применение инструментов KrbRelay и KrbRealayUp, техники DCOM и эксплойт SilverPotato ( база для доработки на Red Team) .
Его автор благодарит комьюнити за отсутствие POC на CertifiedDCOM and SilverPotato. В связи с этим нельзя не сослаться на апрельскую статью Прикольный вопрос с собеса или как релеить Kerberos (принцип работы KrbRelay / KrbRelayUP).
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - CICADA8-Research/RemoteKrbRelay: Remote Kerberos Relay made easy! Advanced Kerberos Relay Framework
Remote Kerberos Relay made easy! Advanced Kerberos Relay Framework - CICADA8-Research/RemoteKrbRelay
#realcase #pentest
📱 Маленькие большие коробочки
Обзорный доклад о тестировании внешнего периметра. Маленькие коробочки - наши домашние устройства, коробочки побольше - коммутационное офисное оборудование.
Приведено много статистики уязвимых торчащих наружу устройств, прогнозы по атакам на отечественные сетевые решения. А также интересное обсуждение законности сканирования Интернета, комментарии выступающих по этому поводу.
Краткую выжимку о маленьких коробочках можно почитать здесь.
Приятного просмотра✅
Обзорный доклад о тестировании внешнего периметра. Маленькие коробочки - наши домашние устройства, коробочки побольше - коммутационное офисное оборудование.
Приведено много статистики уязвимых торчащих наружу устройств, прогнозы по атакам на отечественные сетевые решения. А также интересное обсуждение законности сканирования Интернета, комментарии выступающих по этому поводу.
Краткую выжимку о маленьких коробочках можно почитать здесь.
Приятного просмотра
Please open Telegram to view this post
VIEW IN TELEGRAM
YouTube
Маленькие большие коробочки
Сделаем акцент на управлении, контроле и менеджменте, зарождающих страсть в сердцах хакеров. Покопаем разнообразные маленькие и большие коробочки — черного и различных оттенков серого, — которые обитают в ваших сетях, и не сделаем им больно (но это неточно).…
#itnews #infosec
⚠️ Пользователи Android предупредили о растущей угрозе вредоносного ПО Rafel RAT
Исследователи безопасности предостерегли людей от трояна Rafel, инструмента удаленного доступа с открытым исходным кодом (RAT), предназначенного для устройств Android.
Собрав образцы вредоносного ПО и проанализировав около 120 C2, CPR определила Соединенные Штаты, Китай и Индонезию как наиболее пострадавшие страны. Большинство зараженных устройств были телефонами Samsung, за ними следовали Xiaomi, Vivo и Huawei.
📣 Власти могут упростить гражданам отказ от обработки персональных данных
Заместитель руководителя Роскомнадзора Милош Вагнер на сессии «Персональные данные — зона особого внимания» в рамках Петербургского международного юридического форума заявил, что граждане должны получить возможность «отзывать согласие на обработку персональных данных в один клик». Чиновник пояснил, что сейчас «большинство согласий далеко не в интересах человека и точно уж не осознанно им даются».
Инициатива Роскомнадзора может быть реализована через платформу управления согласиями на базе портала «Госуслуги», которую Минцифры анонсировало весной, считает знакомый с ситуацией источник “Ъ”. В марте в министерстве отмечали, что для полного запуска платформы в личном кабинете на «Госуслугах» нужны законодательные изменения, которые сейчас прорабатываются. К сервису подключены 280 организаций, из них 150 — финансовые, 76 — МФЦ и 43 — образовательные. Предполагается, что технология будет расширена на другие отрасли, говорит собеседник “Ъ”. В Минцифры на запрос не ответили.
🏝 «Лаборатория Касперского» открыла приём заявок для спикеров на Kaspersky Industrial Cybersecurity Conference
«Лаборатория Касперского» открыла приём заявок на выступление на Kaspersky Industrial Cybersecurity Conference. Конференция будет проходить с 25 по 27 сентября в ставшем уже традиционным месте — городе Сочи.
Исследователи безопасности предостерегли людей от трояна Rafel, инструмента удаленного доступа с открытым исходным кодом (RAT), предназначенного для устройств Android.
Собрав образцы вредоносного ПО и проанализировав около 120 C2, CPR определила Соединенные Штаты, Китай и Индонезию как наиболее пострадавшие страны. Большинство зараженных устройств были телефонами Samsung, за ними следовали Xiaomi, Vivo и Huawei.
Заместитель руководителя Роскомнадзора Милош Вагнер на сессии «Персональные данные — зона особого внимания» в рамках Петербургского международного юридического форума заявил, что граждане должны получить возможность «отзывать согласие на обработку персональных данных в один клик». Чиновник пояснил, что сейчас «большинство согласий далеко не в интересах человека и точно уж не осознанно им даются».
Инициатива Роскомнадзора может быть реализована через платформу управления согласиями на базе портала «Госуслуги», которую Минцифры анонсировало весной, считает знакомый с ситуацией источник “Ъ”. В марте в министерстве отмечали, что для полного запуска платформы в личном кабинете на «Госуслугах» нужны законодательные изменения, которые сейчас прорабатываются. К сервису подключены 280 организаций, из них 150 — финансовые, 76 — МФЦ и 43 — образовательные. Предполагается, что технология будет расширена на другие отрасли, говорит собеседник “Ъ”. В Минцифры на запрос не ответили.
«Лаборатория Касперского» открыла приём заявок на выступление на Kaspersky Industrial Cybersecurity Conference. Конференция будет проходить с 25 по 27 сентября в ставшем уже традиционным месте — городе Сочи.
Please open Telegram to view this post
VIEW IN TELEGRAM
Powershell - Cheatsheet .pdf
1.1 MB
#cheatsheet
📱 Powershell cheatsheet
Шпаргалка по PowerShell - краткое, но удобное руководство по работе с расширенной командной оболочкой как для новичков, так и для опытных администраторов. Во второй половине файла представлено описание команд для пентестеров.
Шпаргалка по PowerShell - краткое, но удобное руководство по работе с расширенной командной оболочкой как для новичков, так и для опытных администраторов. Во второй половине файла представлено описание команд для пентестеров.
Please open Telegram to view this post
VIEW IN TELEGRAM
#pentest #beginners
📎 Вопросы к собеседованию на позицию пентестера
Порядка 60 разделов, содержащих по несколько вопросов, ждут Вас по ссылке ниже.
✏️ Хороший свежий чек-лист для начинающих специалистов, только- только планирующих начать свой профессиональный путь в рядах атакующих.
А с известной похожей русскоязычной подборкой можно ознакомиться по ссылке.
📱 GitHub
Порядка 60 разделов, содержащих по несколько вопросов, ждут Вас по ссылке ниже.
А с известной похожей русскоязычной подборкой можно ознакомиться по ссылке.
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - HadessCS/Red-team-Interview-Questions: Red team Interview Questions
Red team Interview Questions. Contribute to HadessCS/Red-team-Interview-Questions development by creating an account on GitHub.
🆒5
Incident Response Guide - CREST.pdf
5.6 MB
#soc
✅ Incident Response Guide
В этом руководстве подробно рассказывается о том, как правильно реагировать на инциденты кибербезопасности.
В нем Вы найдете практические советы о том, как быстро и эффективно подготовиться к возможному инциденту, отреагировать на него и принять последующие меры.
Гайд предназначен для того, чтобы Вы могли определить, что означает инцидент кибербезопасности для Вашей организации, создать фундамент для реализации реагирования на инциденты кибербезопасности.
📔 Приятного прочтения
В этом руководстве подробно рассказывается о том, как правильно реагировать на инциденты кибербезопасности.
В нем Вы найдете практические советы о том, как быстро и эффективно подготовиться к возможному инциденту, отреагировать на него и принять последующие меры.
Гайд предназначен для того, чтобы Вы могли определить, что означает инцидент кибербезопасности для Вашей организации, создать фундамент для реализации реагирования на инциденты кибербезопасности.
Please open Telegram to view this post
VIEW IN TELEGRAM
#pentest #tools
💬 WiFi Rubber Ducky
Rubber Ducky — известное хакерское устройство, известное специалистам по информационной безопасности и фанатам того самого сериала Mr. Robot.
Atom Ducky - это HID-устройство (human interface device), управляемое через веб-браузер. Оно предназначено для работы в качестве беспроводного Rubber Ducky, персонального аутентификатора или клавиатуры.
Его основная цель - помочь этичным хакерам получить знания об устройствах Rubber Ducky и интегрировать их использование в повседневную жизнь.
➡️ Познакомиться с миром Rubber Ducky можно в статье Флешка Rubber Ducky стала ещё опаснее
Rubber Ducky — известное хакерское устройство, известное специалистам по информационной безопасности и фанатам того самого сериала Mr. Robot.
Atom Ducky - это HID-устройство (human interface device), управляемое через веб-браузер. Оно предназначено для работы в качестве беспроводного Rubber Ducky, персонального аутентификатора или клавиатуры.
Его основная цель - помочь этичным хакерам получить знания об устройствах Rubber Ducky и интегрировать их использование в повседневную жизнь.
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - FLOCK4H/AtomDucky: WiFi Rubber Ducky with a web interface using CircuitPython
WiFi Rubber Ducky with a web interface using CircuitPython - FLOCK4H/AtomDucky
🆒4
Продуктовый подход — это короткий цикл, в рамках которого весь фокус специалиста, предпринимателя или product-менеджера направлен на продукт. При реализации этого цикла важно действовать быстро и использоваться в качестве вводных метрики и обратную связь клиентов. Эти данные помогают подобрать или придумать ключевое действие, которое можно сделать с продуктом.
В качестве продукта может выступать все, что угодно. Это может быть бизнес, карьера, личное время, финансовая грамотность. Например, если речь идет о личном времени, важно смотреть на собственную эффективность: сколько проектов и личных дел получается сделать за единицу времени. Если рассматривать финансовую грамотность, нужно делать акцент на накопления, возможный прирост капитала и так далее.
Метрика любого продукта помогает генерировать гипотезы и получать обратную связь от клиентов, стейкхолдеров, сотрудников или самого себя. Ответная реакция поможет понять, как можно улучшить продукт.
Приятного просмотра
Please open Telegram to view this post
VIEW IN TELEGRAM
YouTube
Ты все еще нужен бизнесу? Уроки от крупнейшего частного банка России
Слушатели познакомятся с тем, в чем заключается стратегия ведущего мирового цифрового банка по усилению кибербезопасности с помощью продукт-ориентированного подхода, превращающего аналитику, получаемую из данных, в результат, который демонстрирует ценность…