Библиотека разработчика
18.3K subscribers
18 photos
5 videos
2 files
446 links
Самая актуальная литература по программированию и разработке.

Copyright: @camprobot

Обратная связь: @earlsky

РКН: https://clck.ru/3FnoCY
Download Telegram
​​Хочешь научиться манипулировать людьми и заставлять их делать то, что хочешь ты?
Тогда советую подписаться на самый крутой канал в сфере Социальной Инженерии

Автор рассказывает, как взломать человека, сделать так, чтобы человек сам рассказал Вам нужную информацию, выдал свой пароль или предоставил полный доступ в систему.

- Социальная Инженерия.
- НЛП | Профайлинг.
- Анонимность и безопасность в сети интернет.
- Хакинг | Пентест.
- OSINT.
- Даркнет и всё что с ним связано.
- Лучшая литература о психологии, профайлингу, манипуляции человека.
- Полезный и интересный видеоматериал.

Никакой воды, только Social Engineering.

Я сам читаю этот канал и Вам тоже советую 👉🏻 https://t.iss.one/Social_engineering_club
​​Большой проброс. Оттачиваем искусство pivoting на виртуалках с Hack The Box

Умение пользоваться техникой pivoting — проброса трафика к жертве (и обратно) через промежуточные хосты — жизненно важный скилл для этичного хакера, он пригодится при тестировании на проникновение любой корпоративной сетки. В этой статье мы превратим прохождение двух несложных виртуалок с Hack The Box в полезную шпаргалку по проксированию соединений во время пентеста.

Содержание статьи
Granny
Разведка
Веб
Шелл от имени NT AUTHORITY\NETWORK SERVICE
Шелл от имени NT AUTHORITY\SYSTEM
Grandpa
Разведка
Веб
Pivoting
Подготовка
Точка опоры
SOCKS-сервер с помощью Metasploit
Зомби-прокси
Реверсивный SSH-туннель
Реверсивный проброс портов
Проброс портов до локального сервиса

💾 Скачать из облака

#xakep
​​Полный Курс По Кибербезопасности: Анонимный серфинг в сети (Том 3)

Изучите практические навыки, позволяющие сохранять анонимность в Интернете и поддерживать полную конфиденциальность даже против хорошо обеспеченного противника с глобальным влиянием. Охватывает все основные платформы, включая Windows, MacOS, Linux. iOS и Android.

В курсе подробно рассказано обо всех лучших методах анонимности и конфиденциальности. В том числе;
• Tor
• VPN - виртуальные частные сети
• Прокси-серверы - HTTP, HTTPS, SOCKs и Web
• SSH Secure Shell
• Операционные системы Live - Tails, Knoppix, Puppy Linux, Jondo live, Tiny Core Linux
• OPSEC - Безопасность операций
• I2P - Невидимый интернет-проект
• JonDoNym
• Внешние соединения - Горячие точки и Кафе
• Мобильные, Сотовые телефоны и Сотовые сети
• Пуленепробиваемый хостинг
• и другие.

Данный курс пришел к нам из-за рубежа. Кто немного знает английский — тот поймет, ничего сложного нет. Будет полезно всем, кто увлекается безопасностью и всем, кто посещал вебинары Вектора.

💾 Диск Mail.ru
​​Whonix OS - Анонимная операционная система

Whonix - это свободная и открытая операционная система, особое внимание уделяющая анонимности, приватности и безопасности. Она использует анонимную сеть TOR и основана на Debian GNU Linux.

Чем Whonix полезен для вас? Что ж, этот дистрибутив поможет спрятать назначенный вам интернет-провайдером IP-адрес, это поможет предотвратить слежку интернет-провайдера за вами, это может предотвратить вашу идентификацию со стороны веб-сайтов, это может предотвратить вашу идентификацию вредоносными программами и это может помочь вам преодолеть цензуру.

Смотрите полный обзор Whonix в облаке

🖥 Смотреть
​​Эдвард Сноуден. Личное дело.

В 2013 году Эдвард Сноуден, агент ЦРУ и сотрудник АНБ, шокировал мир, разорвав связь с американской разведкой и раскрыв особо секретную информацию. Он обнародовал доказательства того, что правительство США установило глобальную систему слежки, собирая звонки, текстовые сообщения и электронные письма граждан всего мира. В «Личном деле» Сноуден впервые рассказывает читателям свою историю: как он помогал создать эту систему массового наблюдения, а затем, испытывая угрызения совести, пытался ее уничтожить.

Мемуары Сноудена – это биография мальчишки, который вырос в свободном Интернете и в итоге стал его совестью и защитником. Это глубоко личная история, в которой, как в зеркале, отражается поразительная трансформация не только Америки, но и всего мира в целом. Сочетая трогательные рассказы о «хакерской» юности и становлении Интернета с безжалостной «внутренней кухней» американской разведки, книга Сноудена представляет собой важнейшие мемуары цифровой эпохи.


💾 Скачать из облака

#книга
​​Android: уязвимость StrandHogg и обход ограничений на доступ к камере и микрофону

Сегодня в выпуске: подробности уязвимости StrandHogg, которая позволяет подменить любое приложение в любой версии Android; обход защиты на доступ к камере, микрофону и местоположению; обход защиты на снятие скриншотов; хорошие и плохие приемы программирования на Kotlin; псевдонимы типов данных и инлайновые классы в Kotlin; а также статистика по версиям Android от PornHub и подборка библиотек для программистов.

Содержание статьи
Почитать
StrandHogg — уязвимость с «подменой» приложений
Обход защиты на снятие скриншотов
Обход ограничения на доступ к камере, микрофону и местоположению в фоне
Разработчику
Хорошие и плохие приемы программирования на Kotlin
Typealias в Kotlin
Инлайновые классы в Kotlin
Корректное выделение текста на фоне
Статистика распределения версий Android
Инструменты
Библиотеки

💾 Скачать из облака
​​The Complete Beginner Network Penetration Testing Course for 2019 ENG

15-часовой обучающий курс на YouTube. Содержание курса - базовые знания и умения.

Timestamps:
0:00
- Course Introduction/whoami
6:12 - Part 1: Introduction, Notekeeping, and Introductory Linux
1:43:45 - Part 2: Python 101
3:10:05 - Part 3: Python 102 (Building a Terrible Port Scanner)
4:23:14 - Part 4: Passive OSINT
5:41:41 - Part 5: Scanning Tools & Tactics
6:56:42 - Part 6: Enumeration
8:31:22 - Part 7: Exploitation, Shells, and Some Credential Stuffing
9:57:15 - Part 8: Building an AD Lab, LLMNR Poisoning, and NTLMv2 Cracking with Hashcat
11:13:20 - Part 9: NTLM Relay, Token Impersonation, Pass the Hash, PsExec, and more
12:40:46 - Part 10: MS17-010, GPP/cPasswords, and Kerberoasting
13:32:33 - Part 11: File Transfers, Pivoting, Report Writing, and Career Advice

🖥 Смотреть

📌️️️️️️️️️️️️️️️️️ GitHub
📌 Сайт автора

#курс
​​Тотальная проверка. Используем API VirusTotal в своих проектах

Ты наверняка не раз пользовался услугами сайта virustotal.com, чтобы проверить, не содержат ли бинарники вредоносных функций, либо протестировать собственные наработки. У этого сервиса есть бесплатный API, работу с которым на Python мы и разберем в этой статье.

Содержание статьи
Получаем API Key
Версии API
API VirusTotal. Версия 2
API VirusTotal. Версия 3
Заключение

💾 Скачать из облака

#xakep
​​Как стать хакером. Сборник практических сценариев, позволяющих понять, как рассуждает злоумышленник
Эдриан Прутяну
2020

Данная книга представляет собой руководство по защите веб-приложений от вредоносных воздействий. Рассматривая всевозможные уязвимости с позиции злоумышленника, автор дает читателям ключ к надежной защите своих ресурсов.

В книге рассматриваются наиболее часто встречающиеся уязвимости и показано, как хакер может использовать их в своих целях. Наряду с этим приводятся практические советы по предупреждению атак. Рассмотрены сценарии, в которых целью атаки может быть популярная система управления контентом или контейнерное приложение и его сеть.

Издание предназначено опытным разработчикам веб-приложений, специалистам по DevOps, а также будет полезно всем читателям, интересующимся хакерскими атаками и их противодействию.

💾 Скачать из облака

#книга
​​Обзор эксплоитов. Критические баги в vBulletin, InfluxDB и Django

Сегодня мы поговорим сразу о нескольких уязвимостях. Одна из них была найдена в популярном форумном движке vBulletin и позволяет атакующему выполнять произвольный код, не имея никаких прав, — от такого безобразия его отделяет лишь один POST-запрос. Также я потреплю старичка Django в поисках SQL-инъекций и покажу, как работает обход авторизации в базе данных InfluxDB.

Содержание статьи
RCE через загрузку аватара в vBulletin
RCE через виджет в vBulletin
Обход аутентификации в InfluxDB
SQL-инъекция в Django

💾 Скачать из облака

#xakep
​​Отключаем слежку в Windows 10

С помощью Disable Windows 10 Tracking можно отключить или удалить службы, отвечающие за сбор и передачу различных данных Microsoft, в том числе данных телеметрии. Кроме того пользователям предлагается очистить логи диагностических инструментов, заблокировать доступ ко всем доменам, в подключении к которым была замечена «десятка» энтузиастами, остановить сбор данных Защитником Windows и Контролем Wi-Fi.

В сегодняшнем видеоуроке мы рассмотрим этот инструмент и разберемся, как его правильно использовать

🖥 Смотреть

#видео
​​Защищенный код
Ховард Майкл, Лебланк Дэвид

В этой книге разработчики найдут советы и рекомендации по защите создаваемых приложений на всех этапах процесса создания ПО — от проектирования безопасных приложений до написания надежного кода, способного устоять перед атакам хакеров.

Здесь рассказывается о моделировании угроз, планировании процесса разработки защищенных приложений, проблемах локализации и связанных с ней опасностях, недостатках файловых систем, поддержке секретности в приложениях и анализе исходного кода на предмет безопасности.

Авторы иллюстрируют свой рассказ примерами программ на самых разных языках — от C до Perl. Издание обогащено знанием, полученным авторами в процессе реализации Windows Security Push — инициативы по укреплению защиты продуктов Microsoft. Интересно, что эту книгу Билл Гейтс объявил обязательным чтением в Microsoft.

💾 Скачать из облака

#книга
Видео разборы, презентации и другие доки от комьюнити SpbCTF (университет ИТМО, Питер) по мат части CTF, осенне-зимняя сессия 2019

(1) Разбор тасков на симметричные шифры
https://youtu.be/Jisyzz2ALk0

(2) Разбор 35 тасков про кодирование данных и буквенные шифры
https://forkbomb.ru/tasks

(3) Разбор тасков с последней тренировки по вебу
https://youtu.be/9KOt1yHKjGk

(4) Разбор тасков на LFI-XXE-CVE
https://youtu.be/mU0hu_hvinM

(5) Разбор тасков на XSS
https://youtu.be/IQTJOxzhOWk

(6) Разбор тасков на Burp Suite
https://youtu.be/-SbBD7RRSEM

(7) Разбор про инъекции в вебе
https://youtu.be/u0fA4IS4oK4

(8) Разбор начальных веб-тасков
https://youtu.be/vMYbZ_jZJfk

#полезно
​​Атаки на Active Directory. Разбираем актуальные методы повышения привилегий

Чтобы скомпрометировать контроллер домена, мало найти известную уязвимость, получить учетные данные пользователя или обнаружить ошибку в настройке политики безопасности. Это обеспечит тебе минимальный доступ, но его может не хватить для достижения всех намеченных целей. Поэтому залог успешной атаки — получение повышенных системных привилегий в Active Directory. О методах решения этой увлекательной задачи мы и поговорим.

Содержание статьи
Пароли из SYSVOL и GPP
Учетные данные в SYSVOL
Настройки групповой политики
DNSAdmins
Делегирование Kerberos
Неограниченное делегирование
Ограниченное делегирование
Ограниченное делегирование на основе ресурсов
Небезопасные права доступа к объекту групповой политики
Небезопасные права доступа ACL
Доменные трасты
DCShadow
Exchange
Sysadmin SQL Server
Заключение

💾 Скачать из облака

#xakep
​​Записная книжка шифропанка. Сборник в 10 книгах
Мэем, Хьюз

Движение шифропанков, сформировавшееся в начале девяностых, активно прибегало к «криптографическому оружию», с целью провокации социальных и политических изменений. Термин «шифропанки» впервые употребила Джуд Милхон (хакер, программист и редактор) в качестве игры слов, в адрес группы криптоанархистов.

Расцвет деятельности анонимных ремейлеров пришелся на 1997 год, но активисты движения продолжали вести криптовойны за свободу интернета. Многие из них продолжают боевые действия до сих пор, наряду с последователями идей шифропанков 2го и 3го поколений, которые изрядно трансформировали идеалы 90х. Джулиан Ассанж, главный редактор и вдохновитель проекта WikiLeaks, стал одним из лидеров шифропанковского движения в 1990х, наряду с Тимом Мэем, Эриком Хьюзом и Джоном Гилмором.

Список книг
1. Кто такие шифропанки?
2. PGP для email и txt, шифрование и расшифровка
3. TrueCrypt & VeraCrypt, шифрование файлов и дисков
4. Tor в любом браузере
5. Как пользоваться i2pd
6. RetroShare, мануал для начинающих
7. RetroShare для опытных юзеров
8. Perfect Dark: установка, настройка, использование
9. KDX, полное руководство
10. WASTE, W.a.s.t.e. и WASTE again

💾 Скачать из облака MailRu
​​Каша из топора. Как я стал сам себе интернет-провайдером

Ты прочел верно: я установил у себя дома дата-центр и стал сам себе провайдером. Не то чтобы я проснулся однажды утром и такой: «Чем бы заняться сегодня? Стану собственным интернет-провайдером». Все происходило постепенно. Как в сказке «Каша из топора» — в какой-то момент я посмотрел и понял: черт побери, да я же сделал собственный дата-центр! И если ты спросишь: «Почему?», я отвечу просто: «Почему бы и нет?»

Читать далее…

#xakep
​​Анатомия кибератаки: начинающий взлом с Metasploit
Udemy

Чему вы научитесь
• Понять шаги кибер-атаки
• Понимать основные методологии, инструменты и методы, используемые хакерами при эксплуатации сетей и информационных систем.

Что вы получите в курсе:
• Видео лекции, которые являются веселыми, интересными и просвещающими
• Пошаговое руководство по созданию собственной лаборатории тестирования на проникновение для использования в курсе
• Лаборатории для каждого шага хакерской методологии
◦ Вы можете наблюдать за инструктором, чтобы лучше понять угрозу, или научиться проводить атаку самостоятельно, используя Metasploit!
• Практикуйте вопросы, чтобы обеспечить овладение каждым разделом курса
• Прочная основа для дальнейшего изучения или подготовки к сертификации
◦ Этот курс является отличной основой для проведения сертифицированных исследований этического хакера (CEH) или тестирования на проникновение!

Язык: Английский + субтитры

💾 Скачать

#курс
​​Раскрытие информации и стратегии обращения с идентификационными данными в социальных сетях

В этом видео мы поговорим о том, как много персональной информации вы раскрываете в социальных сетях, которыми вы пользуетесь, на форумах, или когда заполняете анкеты, и вообще всегда, когда вы предоставляете информацию о себе. И мы рассмотрим стратегии обращения с личными данными в процессе раскрытия персональной информации, для ограничения раскрытия вашей информации перед злоумышленниками.

🖥 Смотреть
Обновленный Top 10 API секурных багов от проекта OWASP

Оригинальная страница проекта
https://www.owasp.org/index.php/OWASP_API_Security_Project

Превью от AirLock
https://www.airlock.com/fileadmin/content/07_Airlock-PDFs/OWASP_Top_10-API-2019-eng.pdf

Примеры (сценарии)
часть 1 - https://devops.com/breaking-down-the-owasp-api-security-top-10-part-1/
часть 2 - https://devops.com/breaking-down-the-owasp-api-security-top-10-part-2/

Перевью RC от комьюнити OWASP
https://www.owasp.org/images/5/59/API_Security_Top_10_RC.pdf

#полезно
​​Сетевой фактор. Интернет и общество. Взгляд
Мирошников Б. Н.

Интернет как социальное явление, оказывается, может быть и источником больших проблем. Книга содержит неравнодушные размышления и наблюдения профессионала о становлении непростых отношений триады человек общество государство с глобальной сетью Интернет, о некоторых негативных последствиях бездумного внедрения информационных технологий в нашу жизнь, о природе и влиянии Интернета на различные аспекты человеческого бытия.

У этой книги необычный автор, который обладает уникальным опытом практической работы на высоком государственном уровне: он создавал в России подразделения борьбы с преступлениями в сфере информационных технологий в структурах ФСБ и МВД, разоблачившие тысячи киберпреступников, участвовал в разработке теории и практики обеспечения информационной безопасности, в развитии международного сотрудничества по противодействию противоправному использованию глобальных инфокоммуникационных сетей. Данный период его жизни дал бесценный опыт, осмысление которого составляет эмпирическую основу представленных в книге «Сетевой фактор» размышлений и обобщений.

💾 Скачать из облака

#книга
​​Боковое перемещение в Active Directory. Разбираем техники Lateral Movement при атаке на домен

Предположим, ты успешно раздобыл учетные записи пользователей в сети с контроллером домена Active Directory и даже смог повысить собственные привилегии. Казалось бы, можно расслабиться и почивать на лаврах. Как бы не так! Что, если мы захватили не всю сеть, а ее определенный сегмент? Нужно разобраться, как продвигаться по сети дальше, искать новые точки входа, опоры для проведения разведки и дальнейшего повышения привилегий!

Содержание статьи
Техника Lateral Movement через ссылки Microsoft SQL Server
Введение в ссылки
Схема эксплуатации изнутри сети
Схема эксплуатации извне
Как автоматизировать обнаружение пути эксплуатации
Pass the hash
System Center Configuration Manager
Windows Server Update Services
О WSUS
Атака на WSUS
Распыление паролей
Автоматизация Lateral Movement
GoFetch
ANGRYPUPPY
DeathStar
Заключение

💾 Скачать из облака