30 поисковых систем для исследователей кибербезопасности (часть 1 из 3)

Это первая из трех частей поисковых систем, используемых исследователями безопасности.
https://shly.link/EGTEU

AM LIVE: 20 сентября в 11:00
онлайн-конференция
DLP для кадровой безопасности организации

В прямом эфире расскажем как минимизировать кадровые риски организации, вовремя обнаружить злонамеренные и нежелательные действия сотрудников, повысить лояльность и эффективность работы персонала.

Ключевые вопросы:
- Что такое кадровая безопасность?
- Технологии и практика применения DLP для кадровой безопасности
- Сценарии применения DLP для целей кадровой безопасности
- Перспективы применения и эволюции DLP для кадровой безопасности

Полная программа и регистрация:
https://live.anti-malware.ru/dlp-for-staff-security?utm_refcode=a994d958588b2b83e21e519e9818a904716a189a

Google и Microsoft могут получить ваши пароли через проверку орфографии веб-браузера

Расширенные функции проверки орфографии в веб-браузерах Google Chrome и Microsoft Edge передают данные формы, включая личную информацию (PII) и, в некоторых случаях, пароли, в Google и Microsoft соответственно.

Хотя это может быть известной и предполагаемой функцией этих веб-браузеров, она вызывает опасения по поводу того, что происходит с данными после передачи и насколько безопасной может быть практика, особенно когда речь идет о полях пароля.

И Chrome, и Edge поставляются с включенными базовыми средствами проверки орфографии. Но такие функции, как расширенная проверка орфографии Chrome или Microsoft Editor, когда пользователь включает их вручную, представляют потенциальную угрозу конфиденциальности.
https://shly.link/PvRqz

Анонимный подбор имен пользователей Active Directory с контроллеров домена путем злоупотребления запросами LDAP Ping (cLDAP).

https://shly.link/ghP4zA

Как найти уязвимости SQL-инъекций в 2022 году?
____

Внедрение SQL (также известное как внедрение языка структурированных запросов) — одна из самых популярных и серьезных уязвимостей.
Это одна из самых распространенных и опасных уязвимостей в Интернете.

Это вредоносный код, который можно использовать для обхода функций безопасности операционных систем.

Эта функциональность дает злоумышленникам максимальную свободу в создании и манипулировании остальной структурой и содержимым веб-сайта, позволяя им получить полный контроль над ним.

Плохая сторона SQL-инъекции заключается в том, что ее трудно обнаружить и остановить во время ее использования.

Обнаружение уязвимости SQL Injection может быть ужасающим, поскольку позволяет злоумышленнику получить прямой доступ и потенциально скомпрометировать базовые данные на вашем сайте.

В этой статье я покажу вам, что такое внедрение SQL и как его найти.

https://shly.link/tQRRB

AdGuard выпускает первый в мире блокировщик рекламы на основе Manifest V3
__________

Manifest V3, новый API расширений Chrome, больше не является иллюзорной угрозой. Теперь это новая реальность, в которой десятки расширений для блокировки рекламы, включая расширение для браузера AdGuard, будут ( или не будут ) работать.

https://shly.link/EHBEW

😎 Об информационной безопасности просто и интересно 😎

Роскомнадзор подсчитал, что только за 2022 год в сеть утекло уже более 40 баз данных с информацией о россиянах.

Что делать, если данные утекли?

Рассказываем об этом на нашем канале по информационной безопасности!

✔️ Вам пишет мошенник: распознаем хитрости обманщика и не поддаёмся
✔️ Как мягко и настойчиво донести до коллег важность ИБ?
✔️ Безопасная разработка и где она обитает: как писать приложения и не боятся за код
✔️ Новости из мира ИБ
✔️ Как прийти в профессию инженера по ИБ и остаться там

А также делимся книгами, сайтами, полезными подборками, которые помогут безопаснику в его деле.

Подписывайтесь, ждем вас: https://t.iss.one/Info_Sec

LinWinPwn: — сценарий bash, который автоматизирует ряд проверок перечисления Active Directory и уязвимостей.

https://shly.link/ghahdF

Инструмент Hydra для атаки грубой силы

Hydra — это предустановленный инструмент в Kali Linux, используемый для перебора имени пользователя и пароля к различным службам, таким как ftp, ssh, telnet, MS-SQL и т. д. Ниже приведен список всех протоколов, поддерживаемых Hydra.

https://shly.link/psthR

Как Google, Microsoft, Lyft, GitLab и Atlassian находят и устраняют уязвимости

Способность вашей организации находить и устранять уязвимости в кодовой базе имеет значительные финансовые последствия, не говоря уже о влиянии на бренд. Большинство компаний вложили средства в инструменты сканирования безопасности, чтобы найти известные уязвимости, но они не помогают быстро их исправить. Они также не помогают смягчить уязвимости нулевого дня.

Загрузите это руководство, чтобы узнать:

Как Google, Microsoft, Lyft, GitLab и Atlassian находят и устраняют уязвимости в соответствующих кодовых базах
Какие возможности необходимы для быстрого устранения известной уязвимости
Как эти компании реагируют на уязвимости нулевого дня
https://about.sourcegraph.com/guides/sg-how-companies-fix-vulnerabilities.pdf

SQL-инъекция

Введение
Внедрение SQL (SQLI) — это тип атаки путем внедрения, который позволяет выполнять вредоносные команды SQL.

Типы SQL-инъекций:

Внедрение на основе ошибок
Инъекция на основе союза
Слепая SQL-инъекция...

https://shly.link/BDWks

Приглашаем принять участие в масштабном ежегодном IT-соревновании “Лидеры цифровой трансформации”, где тысячи талантливых специалистов создадут сервисы для улучшения жизни горожан.

Что ждет тебя?

📍 Призовой фонд 20 000 000 рублей
📍 10 востребованных городом задач
📍 Подарки от партнеров и эксклюзивный мерч для финалистов
📍 Уникальный опыт, который сможешь отразить в портфолио
📍 Шанс найти будущего работодателя или попасть на стажировку

Принять участие могут все желающие от 18 лет, в составе команд от 2 до 5 человек. Объединяйся с друзьями или организаторы помогут тебе собрать команду для участия.

Приглашаются:
🔹 Front/ back/ fullstack разработчики
🔹 Product и project-менеджеры
🔹 Data scientists, engineers
🔹 Дизайнеры
🔹 Маркетологи
🔹 Аналитики
🔹 IT-предприниматели
⠀
Переходи на сайт и регистрируйся:
🔗 https://clck.ru/328SZT

В Telegram-чате конкурса ты узнаешь подробности и найдешь команду:
🔗 https://t.iss.one/leaders_2022

Кэширование некэшируемых объектов — злоупотребление путаницей синтаксического анализатора URL (метод отравления веб-кэша)

Вот как мне удалось отравить кеш тысяч страниц в Glassdoor с помощью отраженного и сохраненного XSS

https://shly.link/ga6bv

Linux для хакеров — основы для начинающих в сфере кибербезопасности

Время научиться пользоваться операционной системой среднего хакера 🐧.

В этой статье мы совершим небольшой экскурс по:

Операционная система Linux
Управление пакетами
Файловая структура Linux.
Интерфейс командной строки
И вы также узнаете, как обновить свой дистрибутив Linux.

https://shly.link/ov0Qp

Развенчание мифов о HTTPS

Большинство экспертов по безопасности рекомендуют везде использовать HTTPS. Это, несомненно, хороший совет, который вы должны применить.

Однако это часто вводит в заблуждение большинство пользователей, в том числе технически подкованных.

https://shly.link/devQdmc

10 основных навыков, необходимых для того, чтобы стать профессионалом в области кибербезопасности в 2022 году

Хотите стать инженером по кибербезопасности в 2022 году? Вот 10 основных навыков, которые вам нужно освоить, чтобы стать экспертом по кибербезопасности в 2022 году.
https://shly.link/NdjHp

Скрытые преобразователи DNS и как скомпрометировать вашу инфраструктуру

Анализируя закрытые резолверы DNS в Интернете, мы обнаружили множество интернет-провайдеров и хостинг-провайдеров, уязвимых для тривиальных атак Каминского . Это позволяет злоумышленнику манипулировать разрешением DNS-имен тысяч систем. Как следствие, возможны перенаправления электронной почты, захват учетных записей и даже компрометация целых систем. Закрытые преобразователи DNS по всему миру затронуты.
https://shly.link/FFZeh

Кураторский список инструментов для реагирования на инциденты

Тщательно подобранный список инструментов и ресурсов для реагирования на инциденты безопасности, предназначенный для помощи аналитикам безопасности и командам DFIR .
https://github.com/meirwah/awesome-incident-response

📚Коллекция различных удивительных списков для хакеров, пентестеров и исследователей безопасности
https://shly.link/ghTCQA

📚Кураторский список потрясающих руководств, инструментов и ресурсов по хакерству
https://shly.link/ghJozy

📚Тщательно подобранный список потрясающих курсов и учебных ресурсов по информационной безопасности.
https://shly.link/ghKLKi

📚Кураторский список потрясающих ресурсов Threat Intelligence
https://shly.link/gh4xtr

📚Коллекция отличного программного обеспечения, библиотек, документов, книг, ресурсов и интересных вещей о безопасности.
https://shly.link/gh1XPi

📚Этот список предназначен для всех, кто хочет узнать о безопасности веб-приложений, но не имеет отправной точки.
https://shly.link/ghAay3

📚Коллекция ресурсов, связанных с безопасностью Android.
https://shly.link/ghwhuQ

📚Кураторский список различных инструментов вознаграждения за обнаружение ошибок
https://shly.link/gh1krw

📚Коллекция потрясающих однострочных скриптов, специально предназначенных для подсказок по поиску ошибок.
https://shly.link/ghmmJi

📚Коллекция потрясающих инструментов и ресурсов для обеспечения безопасности API.
https://shly.link/ghhMb

📚Кураторский список восхитительных сценариев и ресурсов Bash.
https://shly.link/ghCVHg

📚Коллекция потрясающих ресурсов, инструментов и других блестящих вещей для тестирования на проникновение.
https://shly.link/ghVLsH

📚Кураторский список ресурсов Awesome Kubernetes Security
https://shly.link/ghTxr7

📚Машинное обучение для кибербезопасности
https://shly.link/ghugii