Эдвард Сноуден. Личное дело.
В 2013 году Эдвард Сноуден, агент ЦРУ и сотрудник АНБ, шокировал мир, разорвав связь с американской разведкой и раскрыв особо секретную информацию. Он обнародовал доказательства того, что правительство США установило глобальную систему слежки, собирая звонки, текстовые сообщения и электронные письма граждан всего мира. В «Личном деле» Сноуден впервые рассказывает читателям свою историю: как он помогал создать эту систему массового наблюдения, а затем, испытывая угрызения совести, пытался ее уничтожить.
Мемуары Сноудена – это биография мальчишки, который вырос в свободном Интернете и в итоге стал его совестью и защитником. Это глубоко личная история, в которой, как в зеркале, отражается поразительная трансформация не только Америки, но и всего мира в целом. Сочетая трогательные рассказы о «хакерской» юности и становлении Интернета с безжалостной «внутренней кухней» американской разведки, книга Сноудена представляет собой важнейшие мемуары цифровой эпохи.
💾 Скачать из облака
#книга
В 2013 году Эдвард Сноуден, агент ЦРУ и сотрудник АНБ, шокировал мир, разорвав связь с американской разведкой и раскрыв особо секретную информацию. Он обнародовал доказательства того, что правительство США установило глобальную систему слежки, собирая звонки, текстовые сообщения и электронные письма граждан всего мира. В «Личном деле» Сноуден впервые рассказывает читателям свою историю: как он помогал создать эту систему массового наблюдения, а затем, испытывая угрызения совести, пытался ее уничтожить.
Мемуары Сноудена – это биография мальчишки, который вырос в свободном Интернете и в итоге стал его совестью и защитником. Это глубоко личная история, в которой, как в зеркале, отражается поразительная трансформация не только Америки, но и всего мира в целом. Сочетая трогательные рассказы о «хакерской» юности и становлении Интернета с безжалостной «внутренней кухней» американской разведки, книга Сноудена представляет собой важнейшие мемуары цифровой эпохи.
💾 Скачать из облака
#книга
Android: уязвимость StrandHogg и обход ограничений на доступ к камере и микрофону
Сегодня в выпуске: подробности уязвимости StrandHogg, которая позволяет подменить любое приложение в любой версии Android; обход защиты на доступ к камере, микрофону и местоположению; обход защиты на снятие скриншотов; хорошие и плохие приемы программирования на Kotlin; псевдонимы типов данных и инлайновые классы в Kotlin; а также статистика по версиям Android от PornHub и подборка библиотек для программистов.
Содержание статьи
Почитать
StrandHogg — уязвимость с «подменой» приложений
Обход защиты на снятие скриншотов
Обход ограничения на доступ к камере, микрофону и местоположению в фоне
Разработчику
Хорошие и плохие приемы программирования на Kotlin
Typealias в Kotlin
Инлайновые классы в Kotlin
Корректное выделение текста на фоне
Статистика распределения версий Android
Инструменты
Библиотеки
💾 Скачать из облака
Сегодня в выпуске: подробности уязвимости StrandHogg, которая позволяет подменить любое приложение в любой версии Android; обход защиты на доступ к камере, микрофону и местоположению; обход защиты на снятие скриншотов; хорошие и плохие приемы программирования на Kotlin; псевдонимы типов данных и инлайновые классы в Kotlin; а также статистика по версиям Android от PornHub и подборка библиотек для программистов.
Содержание статьи
Почитать
StrandHogg — уязвимость с «подменой» приложений
Обход защиты на снятие скриншотов
Обход ограничения на доступ к камере, микрофону и местоположению в фоне
Разработчику
Хорошие и плохие приемы программирования на Kotlin
Typealias в Kotlin
Инлайновые классы в Kotlin
Корректное выделение текста на фоне
Статистика распределения версий Android
Инструменты
Библиотеки
💾 Скачать из облака
The Complete Beginner Network Penetration Testing Course for 2019 ENG
15-часовой обучающий курс на YouTube. Содержание курса - базовые знания и умения.
Timestamps:
0:00 - Course Introduction/whoami
6:12 - Part 1: Introduction, Notekeeping, and Introductory Linux
1:43:45 - Part 2: Python 101
3:10:05 - Part 3: Python 102 (Building a Terrible Port Scanner)
4:23:14 - Part 4: Passive OSINT
5:41:41 - Part 5: Scanning Tools & Tactics
6:56:42 - Part 6: Enumeration
8:31:22 - Part 7: Exploitation, Shells, and Some Credential Stuffing
9:57:15 - Part 8: Building an AD Lab, LLMNR Poisoning, and NTLMv2 Cracking with Hashcat
11:13:20 - Part 9: NTLM Relay, Token Impersonation, Pass the Hash, PsExec, and more
12:40:46 - Part 10: MS17-010, GPP/cPasswords, and Kerberoasting
13:32:33 - Part 11: File Transfers, Pivoting, Report Writing, and Career Advice
🖥 Смотреть
📌️️️️️️️️️️️️️️️️️ GitHub
📌 Сайт автора
#курс
15-часовой обучающий курс на YouTube. Содержание курса - базовые знания и умения.
Timestamps:
0:00 - Course Introduction/whoami
6:12 - Part 1: Introduction, Notekeeping, and Introductory Linux
1:43:45 - Part 2: Python 101
3:10:05 - Part 3: Python 102 (Building a Terrible Port Scanner)
4:23:14 - Part 4: Passive OSINT
5:41:41 - Part 5: Scanning Tools & Tactics
6:56:42 - Part 6: Enumeration
8:31:22 - Part 7: Exploitation, Shells, and Some Credential Stuffing
9:57:15 - Part 8: Building an AD Lab, LLMNR Poisoning, and NTLMv2 Cracking with Hashcat
11:13:20 - Part 9: NTLM Relay, Token Impersonation, Pass the Hash, PsExec, and more
12:40:46 - Part 10: MS17-010, GPP/cPasswords, and Kerberoasting
13:32:33 - Part 11: File Transfers, Pivoting, Report Writing, and Career Advice
🖥 Смотреть
📌️️️️️️️️️️️️️️️️️ GitHub
📌 Сайт автора
#курс
Тотальная проверка. Используем API VirusTotal в своих проектах
Ты наверняка не раз пользовался услугами сайта virustotal.com, чтобы проверить, не содержат ли бинарники вредоносных функций, либо протестировать собственные наработки. У этого сервиса есть бесплатный API, работу с которым на Python мы и разберем в этой статье.
Содержание статьи
Получаем API Key
Версии API
API VirusTotal. Версия 2
API VirusTotal. Версия 3
Заключение
💾 Скачать из облака
#xakep
Ты наверняка не раз пользовался услугами сайта virustotal.com, чтобы проверить, не содержат ли бинарники вредоносных функций, либо протестировать собственные наработки. У этого сервиса есть бесплатный API, работу с которым на Python мы и разберем в этой статье.
Содержание статьи
Получаем API Key
Версии API
API VirusTotal. Версия 2
API VirusTotal. Версия 3
Заключение
💾 Скачать из облака
#xakep
Как стать хакером. Сборник практических сценариев, позволяющих понять, как рассуждает злоумышленник
Эдриан Прутяну
2020
Данная книга представляет собой руководство по защите веб-приложений от вредоносных воздействий. Рассматривая всевозможные уязвимости с позиции злоумышленника, автор дает читателям ключ к надежной защите своих ресурсов.
В книге рассматриваются наиболее часто встречающиеся уязвимости и показано, как хакер может использовать их в своих целях. Наряду с этим приводятся практические советы по предупреждению атак. Рассмотрены сценарии, в которых целью атаки может быть популярная система управления контентом или контейнерное приложение и его сеть.
Издание предназначено опытным разработчикам веб-приложений, специалистам по DevOps, а также будет полезно всем читателям, интересующимся хакерскими атаками и их противодействию.
💾 Скачать из облака
#книга
Эдриан Прутяну
2020
Данная книга представляет собой руководство по защите веб-приложений от вредоносных воздействий. Рассматривая всевозможные уязвимости с позиции злоумышленника, автор дает читателям ключ к надежной защите своих ресурсов.
В книге рассматриваются наиболее часто встречающиеся уязвимости и показано, как хакер может использовать их в своих целях. Наряду с этим приводятся практические советы по предупреждению атак. Рассмотрены сценарии, в которых целью атаки может быть популярная система управления контентом или контейнерное приложение и его сеть.
Издание предназначено опытным разработчикам веб-приложений, специалистам по DevOps, а также будет полезно всем читателям, интересующимся хакерскими атаками и их противодействию.
💾 Скачать из облака
#книга
Обзор эксплоитов. Критические баги в vBulletin, InfluxDB и Django
Сегодня мы поговорим сразу о нескольких уязвимостях. Одна из них была найдена в популярном форумном движке vBulletin и позволяет атакующему выполнять произвольный код, не имея никаких прав, — от такого безобразия его отделяет лишь один POST-запрос. Также я потреплю старичка Django в поисках SQL-инъекций и покажу, как работает обход авторизации в базе данных InfluxDB.
Содержание статьи
RCE через загрузку аватара в vBulletin
RCE через виджет в vBulletin
Обход аутентификации в InfluxDB
SQL-инъекция в Django
💾 Скачать из облака
#xakep
Сегодня мы поговорим сразу о нескольких уязвимостях. Одна из них была найдена в популярном форумном движке vBulletin и позволяет атакующему выполнять произвольный код, не имея никаких прав, — от такого безобразия его отделяет лишь один POST-запрос. Также я потреплю старичка Django в поисках SQL-инъекций и покажу, как работает обход авторизации в базе данных InfluxDB.
Содержание статьи
RCE через загрузку аватара в vBulletin
RCE через виджет в vBulletin
Обход аутентификации в InfluxDB
SQL-инъекция в Django
💾 Скачать из облака
#xakep
Отключаем слежку в Windows 10
С помощью Disable Windows 10 Tracking можно отключить или удалить службы, отвечающие за сбор и передачу различных данных Microsoft, в том числе данных телеметрии. Кроме того пользователям предлагается очистить логи диагностических инструментов, заблокировать доступ ко всем доменам, в подключении к которым была замечена «десятка» энтузиастами, остановить сбор данных Защитником Windows и Контролем Wi-Fi.
В сегодняшнем видеоуроке мы рассмотрим этот инструмент и разберемся, как его правильно использовать
🖥 Смотреть
#видео
С помощью Disable Windows 10 Tracking можно отключить или удалить службы, отвечающие за сбор и передачу различных данных Microsoft, в том числе данных телеметрии. Кроме того пользователям предлагается очистить логи диагностических инструментов, заблокировать доступ ко всем доменам, в подключении к которым была замечена «десятка» энтузиастами, остановить сбор данных Защитником Windows и Контролем Wi-Fi.
В сегодняшнем видеоуроке мы рассмотрим этот инструмент и разберемся, как его правильно использовать
🖥 Смотреть
#видео
Защищенный код
Ховард Майкл, Лебланк Дэвид
В этой книге разработчики найдут советы и рекомендации по защите создаваемых приложений на всех этапах процесса создания ПО — от проектирования безопасных приложений до написания надежного кода, способного устоять перед атакам хакеров.
Здесь рассказывается о моделировании угроз, планировании процесса разработки защищенных приложений, проблемах локализации и связанных с ней опасностях, недостатках файловых систем, поддержке секретности в приложениях и анализе исходного кода на предмет безопасности.
Авторы иллюстрируют свой рассказ примерами программ на самых разных языках — от C до Perl. Издание обогащено знанием, полученным авторами в процессе реализации Windows Security Push — инициативы по укреплению защиты продуктов Microsoft. Интересно, что эту книгу Билл Гейтс объявил обязательным чтением в Microsoft.
💾 Скачать из облака
#книга
Ховард Майкл, Лебланк Дэвид
В этой книге разработчики найдут советы и рекомендации по защите создаваемых приложений на всех этапах процесса создания ПО — от проектирования безопасных приложений до написания надежного кода, способного устоять перед атакам хакеров.
Здесь рассказывается о моделировании угроз, планировании процесса разработки защищенных приложений, проблемах локализации и связанных с ней опасностях, недостатках файловых систем, поддержке секретности в приложениях и анализе исходного кода на предмет безопасности.
Авторы иллюстрируют свой рассказ примерами программ на самых разных языках — от C до Perl. Издание обогащено знанием, полученным авторами в процессе реализации Windows Security Push — инициативы по укреплению защиты продуктов Microsoft. Интересно, что эту книгу Билл Гейтс объявил обязательным чтением в Microsoft.
💾 Скачать из облака
#книга
Видео разборы, презентации и другие доки от комьюнити SpbCTF (университет ИТМО, Питер) по мат части CTF, осенне-зимняя сессия 2019
(1) Разбор тасков на симметричные шифры
https://youtu.be/Jisyzz2ALk0
(2) Разбор 35 тасков про кодирование данных и буквенные шифры
https://forkbomb.ru/tasks
(3) Разбор тасков с последней тренировки по вебу
https://youtu.be/9KOt1yHKjGk
(4) Разбор тасков на LFI-XXE-CVE
https://youtu.be/mU0hu_hvinM
(5) Разбор тасков на XSS
https://youtu.be/IQTJOxzhOWk
(6) Разбор тасков на Burp Suite
https://youtu.be/-SbBD7RRSEM
(7) Разбор про инъекции в вебе
https://youtu.be/u0fA4IS4oK4
(8) Разбор начальных веб-тасков
https://youtu.be/vMYbZ_jZJfk
#полезно
(1) Разбор тасков на симметричные шифры
https://youtu.be/Jisyzz2ALk0
(2) Разбор 35 тасков про кодирование данных и буквенные шифры
https://forkbomb.ru/tasks
(3) Разбор тасков с последней тренировки по вебу
https://youtu.be/9KOt1yHKjGk
(4) Разбор тасков на LFI-XXE-CVE
https://youtu.be/mU0hu_hvinM
(5) Разбор тасков на XSS
https://youtu.be/IQTJOxzhOWk
(6) Разбор тасков на Burp Suite
https://youtu.be/-SbBD7RRSEM
(7) Разбор про инъекции в вебе
https://youtu.be/u0fA4IS4oK4
(8) Разбор начальных веб-тасков
https://youtu.be/vMYbZ_jZJfk
#полезно
Атаки на Active Directory. Разбираем актуальные методы повышения привилегий
Чтобы скомпрометировать контроллер домена, мало найти известную уязвимость, получить учетные данные пользователя или обнаружить ошибку в настройке политики безопасности. Это обеспечит тебе минимальный доступ, но его может не хватить для достижения всех намеченных целей. Поэтому залог успешной атаки — получение повышенных системных привилегий в Active Directory. О методах решения этой увлекательной задачи мы и поговорим.
Содержание статьи
Пароли из SYSVOL и GPP
Учетные данные в SYSVOL
Настройки групповой политики
DNSAdmins
Делегирование Kerberos
Неограниченное делегирование
Ограниченное делегирование
Ограниченное делегирование на основе ресурсов
Небезопасные права доступа к объекту групповой политики
Небезопасные права доступа ACL
Доменные трасты
DCShadow
Exchange
Sysadmin SQL Server
Заключение
💾 Скачать из облака
#xakep
Чтобы скомпрометировать контроллер домена, мало найти известную уязвимость, получить учетные данные пользователя или обнаружить ошибку в настройке политики безопасности. Это обеспечит тебе минимальный доступ, но его может не хватить для достижения всех намеченных целей. Поэтому залог успешной атаки — получение повышенных системных привилегий в Active Directory. О методах решения этой увлекательной задачи мы и поговорим.
Содержание статьи
Пароли из SYSVOL и GPP
Учетные данные в SYSVOL
Настройки групповой политики
DNSAdmins
Делегирование Kerberos
Неограниченное делегирование
Ограниченное делегирование
Ограниченное делегирование на основе ресурсов
Небезопасные права доступа к объекту групповой политики
Небезопасные права доступа ACL
Доменные трасты
DCShadow
Exchange
Sysadmin SQL Server
Заключение
💾 Скачать из облака
#xakep
Записная книжка шифропанка. Сборник в 10 книгах
Мэем, Хьюз
Движение шифропанков, сформировавшееся в начале девяностых, активно прибегало к «криптографическому оружию», с целью провокации социальных и политических изменений. Термин «шифропанки» впервые употребила Джуд Милхон (хакер, программист и редактор) в качестве игры слов, в адрес группы криптоанархистов.
Расцвет деятельности анонимных ремейлеров пришелся на 1997 год, но активисты движения продолжали вести криптовойны за свободу интернета. Многие из них продолжают боевые действия до сих пор, наряду с последователями идей шифропанков 2го и 3го поколений, которые изрядно трансформировали идеалы 90х. Джулиан Ассанж, главный редактор и вдохновитель проекта WikiLeaks, стал одним из лидеров шифропанковского движения в 1990х, наряду с Тимом Мэем, Эриком Хьюзом и Джоном Гилмором.
Список книг
1. Кто такие шифропанки?
2. PGP для email и txt, шифрование и расшифровка
3. TrueCrypt & VeraCrypt, шифрование файлов и дисков
4. Tor в любом браузере
5. Как пользоваться i2pd
6. RetroShare, мануал для начинающих
7. RetroShare для опытных юзеров
8. Perfect Dark: установка, настройка, использование
9. KDX, полное руководство
10. WASTE, W.a.s.t.e. и WASTE again
💾 Скачать из облака MailRu
Мэем, Хьюз
Движение шифропанков, сформировавшееся в начале девяностых, активно прибегало к «криптографическому оружию», с целью провокации социальных и политических изменений. Термин «шифропанки» впервые употребила Джуд Милхон (хакер, программист и редактор) в качестве игры слов, в адрес группы криптоанархистов.
Расцвет деятельности анонимных ремейлеров пришелся на 1997 год, но активисты движения продолжали вести криптовойны за свободу интернета. Многие из них продолжают боевые действия до сих пор, наряду с последователями идей шифропанков 2го и 3го поколений, которые изрядно трансформировали идеалы 90х. Джулиан Ассанж, главный редактор и вдохновитель проекта WikiLeaks, стал одним из лидеров шифропанковского движения в 1990х, наряду с Тимом Мэем, Эриком Хьюзом и Джоном Гилмором.
Список книг
1. Кто такие шифропанки?
2. PGP для email и txt, шифрование и расшифровка
3. TrueCrypt & VeraCrypt, шифрование файлов и дисков
4. Tor в любом браузере
5. Как пользоваться i2pd
6. RetroShare, мануал для начинающих
7. RetroShare для опытных юзеров
8. Perfect Dark: установка, настройка, использование
9. KDX, полное руководство
10. WASTE, W.a.s.t.e. и WASTE again
💾 Скачать из облака MailRu
Каша из топора. Как я стал сам себе интернет-провайдером
Ты прочел верно: я установил у себя дома дата-центр и стал сам себе провайдером. Не то чтобы я проснулся однажды утром и такой: «Чем бы заняться сегодня? Стану собственным интернет-провайдером». Все происходило постепенно. Как в сказке «Каша из топора» — в какой-то момент я посмотрел и понял: черт побери, да я же сделал собственный дата-центр! И если ты спросишь: «Почему?», я отвечу просто: «Почему бы и нет?»
Читать далее…
#xakep
Ты прочел верно: я установил у себя дома дата-центр и стал сам себе провайдером. Не то чтобы я проснулся однажды утром и такой: «Чем бы заняться сегодня? Стану собственным интернет-провайдером». Все происходило постепенно. Как в сказке «Каша из топора» — в какой-то момент я посмотрел и понял: черт побери, да я же сделал собственный дата-центр! И если ты спросишь: «Почему?», я отвечу просто: «Почему бы и нет?»
Читать далее…
#xakep
Анатомия кибератаки: начинающий взлом с Metasploit
Udemy
Чему вы научитесь
• Понять шаги кибер-атаки
• Понимать основные методологии, инструменты и методы, используемые хакерами при эксплуатации сетей и информационных систем.
Что вы получите в курсе:
• Видео лекции, которые являются веселыми, интересными и просвещающими
• Пошаговое руководство по созданию собственной лаборатории тестирования на проникновение для использования в курсе
• Лаборатории для каждого шага хакерской методологии
◦ Вы можете наблюдать за инструктором, чтобы лучше понять угрозу, или научиться проводить атаку самостоятельно, используя Metasploit!
• Практикуйте вопросы, чтобы обеспечить овладение каждым разделом курса
• Прочная основа для дальнейшего изучения или подготовки к сертификации
◦ Этот курс является отличной основой для проведения сертифицированных исследований этического хакера (CEH) или тестирования на проникновение!
Язык: Английский + субтитры
💾 Скачать
#курс
Udemy
Чему вы научитесь
• Понять шаги кибер-атаки
• Понимать основные методологии, инструменты и методы, используемые хакерами при эксплуатации сетей и информационных систем.
Что вы получите в курсе:
• Видео лекции, которые являются веселыми, интересными и просвещающими
• Пошаговое руководство по созданию собственной лаборатории тестирования на проникновение для использования в курсе
• Лаборатории для каждого шага хакерской методологии
◦ Вы можете наблюдать за инструктором, чтобы лучше понять угрозу, или научиться проводить атаку самостоятельно, используя Metasploit!
• Практикуйте вопросы, чтобы обеспечить овладение каждым разделом курса
• Прочная основа для дальнейшего изучения или подготовки к сертификации
◦ Этот курс является отличной основой для проведения сертифицированных исследований этического хакера (CEH) или тестирования на проникновение!
Язык: Английский + субтитры
💾 Скачать
#курс
Раскрытие информации и стратегии обращения с идентификационными данными в социальных сетях
В этом видео мы поговорим о том, как много персональной информации вы раскрываете в социальных сетях, которыми вы пользуетесь, на форумах, или когда заполняете анкеты, и вообще всегда, когда вы предоставляете информацию о себе. И мы рассмотрим стратегии обращения с личными данными в процессе раскрытия персональной информации, для ограничения раскрытия вашей информации перед злоумышленниками.
🖥 Смотреть
В этом видео мы поговорим о том, как много персональной информации вы раскрываете в социальных сетях, которыми вы пользуетесь, на форумах, или когда заполняете анкеты, и вообще всегда, когда вы предоставляете информацию о себе. И мы рассмотрим стратегии обращения с личными данными в процессе раскрытия персональной информации, для ограничения раскрытия вашей информации перед злоумышленниками.
🖥 Смотреть
Обновленный Top 10 API секурных багов от проекта OWASP
Оригинальная страница проекта
https://www.owasp.org/index.php/OWASP_API_Security_Project
Превью от AirLock
https://www.airlock.com/fileadmin/content/07_Airlock-PDFs/OWASP_Top_10-API-2019-eng.pdf
Примеры (сценарии)
часть 1 - https://devops.com/breaking-down-the-owasp-api-security-top-10-part-1/
часть 2 - https://devops.com/breaking-down-the-owasp-api-security-top-10-part-2/
Перевью RC от комьюнити OWASP
https://www.owasp.org/images/5/59/API_Security_Top_10_RC.pdf
#полезно
Оригинальная страница проекта
https://www.owasp.org/index.php/OWASP_API_Security_Project
Превью от AirLock
https://www.airlock.com/fileadmin/content/07_Airlock-PDFs/OWASP_Top_10-API-2019-eng.pdf
Примеры (сценарии)
часть 1 - https://devops.com/breaking-down-the-owasp-api-security-top-10-part-1/
часть 2 - https://devops.com/breaking-down-the-owasp-api-security-top-10-part-2/
Перевью RC от комьюнити OWASP
https://www.owasp.org/images/5/59/API_Security_Top_10_RC.pdf
#полезно
Сетевой фактор. Интернет и общество. Взгляд
Мирошников Б. Н.
Интернет как социальное явление, оказывается, может быть и источником больших проблем. Книга содержит неравнодушные размышления и наблюдения профессионала о становлении непростых отношений триады человек общество государство с глобальной сетью Интернет, о некоторых негативных последствиях бездумного внедрения информационных технологий в нашу жизнь, о природе и влиянии Интернета на различные аспекты человеческого бытия.
У этой книги необычный автор, который обладает уникальным опытом практической работы на высоком государственном уровне: он создавал в России подразделения борьбы с преступлениями в сфере информационных технологий в структурах ФСБ и МВД, разоблачившие тысячи киберпреступников, участвовал в разработке теории и практики обеспечения информационной безопасности, в развитии международного сотрудничества по противодействию противоправному использованию глобальных инфокоммуникационных сетей. Данный период его жизни дал бесценный опыт, осмысление которого составляет эмпирическую основу представленных в книге «Сетевой фактор» размышлений и обобщений.
💾 Скачать из облака
#книга
Мирошников Б. Н.
Интернет как социальное явление, оказывается, может быть и источником больших проблем. Книга содержит неравнодушные размышления и наблюдения профессионала о становлении непростых отношений триады человек общество государство с глобальной сетью Интернет, о некоторых негативных последствиях бездумного внедрения информационных технологий в нашу жизнь, о природе и влиянии Интернета на различные аспекты человеческого бытия.
У этой книги необычный автор, который обладает уникальным опытом практической работы на высоком государственном уровне: он создавал в России подразделения борьбы с преступлениями в сфере информационных технологий в структурах ФСБ и МВД, разоблачившие тысячи киберпреступников, участвовал в разработке теории и практики обеспечения информационной безопасности, в развитии международного сотрудничества по противодействию противоправному использованию глобальных инфокоммуникационных сетей. Данный период его жизни дал бесценный опыт, осмысление которого составляет эмпирическую основу представленных в книге «Сетевой фактор» размышлений и обобщений.
💾 Скачать из облака
#книга
Боковое перемещение в Active Directory. Разбираем техники Lateral Movement при атаке на домен
Предположим, ты успешно раздобыл учетные записи пользователей в сети с контроллером домена Active Directory и даже смог повысить собственные привилегии. Казалось бы, можно расслабиться и почивать на лаврах. Как бы не так! Что, если мы захватили не всю сеть, а ее определенный сегмент? Нужно разобраться, как продвигаться по сети дальше, искать новые точки входа, опоры для проведения разведки и дальнейшего повышения привилегий!
Содержание статьи
Техника Lateral Movement через ссылки Microsoft SQL Server
Введение в ссылки
Схема эксплуатации изнутри сети
Схема эксплуатации извне
Как автоматизировать обнаружение пути эксплуатации
Pass the hash
System Center Configuration Manager
Windows Server Update Services
О WSUS
Атака на WSUS
Распыление паролей
Автоматизация Lateral Movement
GoFetch
ANGRYPUPPY
DeathStar
Заключение
💾 Скачать из облака
Предположим, ты успешно раздобыл учетные записи пользователей в сети с контроллером домена Active Directory и даже смог повысить собственные привилегии. Казалось бы, можно расслабиться и почивать на лаврах. Как бы не так! Что, если мы захватили не всю сеть, а ее определенный сегмент? Нужно разобраться, как продвигаться по сети дальше, искать новые точки входа, опоры для проведения разведки и дальнейшего повышения привилегий!
Содержание статьи
Техника Lateral Movement через ссылки Microsoft SQL Server
Введение в ссылки
Схема эксплуатации изнутри сети
Схема эксплуатации извне
Как автоматизировать обнаружение пути эксплуатации
Pass the hash
System Center Configuration Manager
Windows Server Update Services
О WSUS
Атака на WSUS
Распыление паролей
Автоматизация Lateral Movement
GoFetch
ANGRYPUPPY
DeathStar
Заключение
💾 Скачать из облака
Основы веб-хакинга. Более 30 примеров уязвимостей
Peter Yaworski и Eugene Burmakin
Книга рассказывает об этичном использовании софта для поиска уязвимостей в безопасности и о том, что научиться взламывать не всегда легко. С небольшими исключениями, существующие книги являются чрезмерно технологическими, посвящая лишь одну главу уязвимостям в сайтах или не включают примеров из реального мира. Эта книга отличается от них.
Используя публично описанные уязвимости, "Основы веб-хакинга" объясняет распространенные веб-уязвимости и покажет вам, как начать искать уязвимости и получать за это деньги. Используя более 30 примеров, эта книга описывает такие темы, как:
HTML инъекции
Межсайтовый скриптинг (XSS)
Межсайтовая подмена запроса (CSRF)
Открытые перенаправления
Удаленное исполнение кода (RCE)
Логика приложений
и многое другое...
Каждый пример содежит классификацию атаки, ссылку на отчет, сумму выплаченного вознаграждения, понятное описание и ключевые выводы. После прочтения этой книги ваши глаза откроются, и вы увидите огромное колиство существующих уязвимостей, и вы вряд ли когда-либо сможете смотреть на сайт или API прежними глазами
💾 Скачать из облака
Peter Yaworski и Eugene Burmakin
Книга рассказывает об этичном использовании софта для поиска уязвимостей в безопасности и о том, что научиться взламывать не всегда легко. С небольшими исключениями, существующие книги являются чрезмерно технологическими, посвящая лишь одну главу уязвимостям в сайтах или не включают примеров из реального мира. Эта книга отличается от них.
Используя публично описанные уязвимости, "Основы веб-хакинга" объясняет распространенные веб-уязвимости и покажет вам, как начать искать уязвимости и получать за это деньги. Используя более 30 примеров, эта книга описывает такие темы, как:
HTML инъекции
Межсайтовый скриптинг (XSS)
Межсайтовая подмена запроса (CSRF)
Открытые перенаправления
Удаленное исполнение кода (RCE)
Логика приложений
и многое другое...
Каждый пример содежит классификацию атаки, ссылку на отчет, сумму выплаченного вознаграждения, понятное описание и ключевые выводы. После прочтения этой книги ваши глаза откроются, и вы увидите огромное колиство существующих уязвимостей, и вы вряд ли когда-либо сможете смотреть на сайт или API прежними глазами
💾 Скачать из облака
Песочницы и изоляция приложений в Windows
Песочница - это средство обеспечения безопасности, это отличный инструмент для изоляции в целях предотвращения, обнаружения и смягчения последствий угроз, который я рекомендую использовать там, где это возможно. Песочница - это изолированная среда для запуска приложений или кода. Это виртуальный контейнер для удержания содержимого в этом контейнере.
В этом видео мы рассмотрим некоторые приложения-песочницы, которые вы можете использовать для защиты приложений, взаимодействующих с недоверенными источниками типа интернета. Особенно вам стоит = использовать песочницы для браузеров и почтовых клиентов, это как минимум.
🖥 Смотреть
Песочница - это средство обеспечения безопасности, это отличный инструмент для изоляции в целях предотвращения, обнаружения и смягчения последствий угроз, который я рекомендую использовать там, где это возможно. Песочница - это изолированная среда для запуска приложений или кода. Это виртуальный контейнер для удержания содержимого в этом контейнере.
В этом видео мы рассмотрим некоторые приложения-песочницы, которые вы можете использовать для защиты приложений, взаимодействующих с недоверенными источниками типа интернета. Особенно вам стоит = использовать песочницы для браузеров и почтовых клиентов, это как минимум.
🖥 Смотреть
Легкий софт. Собираем коллекцию компактных программ для Windows
Каждого, кто имеет хоть какое-то отношение к IT, время от времени посещает мысль сделать подборку из крошечного и полезного софта. Во-первых, это просто прикольно. Во-вторых, такие программы можно водрузить на планшет с Windows, где свободное пространство всегда в дефиците.
Содержание статьи
Браузер
Почтовый клиент
Качалка
Мультимедиапрограммы
Графические редакторы и смотрелки картинок
Текстовые редакторы
Мессенджеры
Полезные системные утилиты
Вместо заключения
💾 Скачать из облака
Каждого, кто имеет хоть какое-то отношение к IT, время от времени посещает мысль сделать подборку из крошечного и полезного софта. Во-первых, это просто прикольно. Во-вторых, такие программы можно водрузить на планшет с Windows, где свободное пространство всегда в дефиците.
Содержание статьи
Браузер
Почтовый клиент
Качалка
Мультимедиапрограммы
Графические редакторы и смотрелки картинок
Текстовые редакторы
Мессенджеры
Полезные системные утилиты
Вместо заключения
💾 Скачать из облака
