🎯 Сонастройка внутри команды — underrated суперсила
Каждое утро созваниваемся с командой. Говорим, кто чем занимается, что нашли, где залипли. Иногда просто делимся, как настроение, что бесит, что радует.
Был случай я вывалился из проекта — личные сложности, тяжело было собраться. Переживал, что торможу всех. Поделился этим на созвоне. И сразу стало легче. Просто потому что никто не осудил, все поняли.
В тот момент прям почувствовал, зачем всё это.
📡 Сонастройка с командой — это не формальность, а поддержка, которая реально работает.
Не нужно держать всё в себе или делать вид, что "всё ок".
Раньше относился к таким встречам скептически — странная штука, не моё. Сейчас понимаю — они и держат.
Не только по задачам, но и по людям.
🤝 Лучше десять минут живого разговора, чем день в тишине с кучей лишних мыслей в голове.
Каждое утро созваниваемся с командой. Говорим, кто чем занимается, что нашли, где залипли. Иногда просто делимся, как настроение, что бесит, что радует.
Был случай я вывалился из проекта — личные сложности, тяжело было собраться. Переживал, что торможу всех. Поделился этим на созвоне. И сразу стало легче. Просто потому что никто не осудил, все поняли.
В тот момент прям почувствовал, зачем всё это.
📡 Сонастройка с командой — это не формальность, а поддержка, которая реально работает.
Не нужно держать всё в себе или делать вид, что "всё ок".
Раньше относился к таким встречам скептически — странная штука, не моё. Сейчас понимаю — они и держат.
Не только по задачам, но и по людям.
🤝 Лучше десять минут живого разговора, чем день в тишине с кучей лишних мыслей в голове.
🔥5🙏2🤝2❤1
🧪 Что из этого может привести к полноценному RCE?
Anonymous Quiz
80%
Форма загрузки изображений, но без проверки содержимого
16%
JSON endpoint, который возвращает данные без Content-Type
0%
Комментарий в HTML: <!-- TODO: remove admin panel -->
4%
Страница логина без X-Frame-Options хедера
В мае 2025 года произошёл инцидент, который заставил многих задуматься о безопасности своих контактов. Неизвестный злоумышленник, используя технологии искусственного интеллекта, клонировал голос главы администрации Белого дома Сьюзи Уайлс и рассылал сообщения с просьбами о переводе денег и составлении списков на помилование. Некоторые получатели даже начали выполнять эти просьбы, прежде чем заподозрили неладное .
Этот случай подчёркивает, насколько убедительными могут быть современные фишинговые атаки, особенно когда они подкреплены технологией deepfake. Если раньше мы опасались писем от "наследных принцев", то теперь стоит быть настороже даже при получении сообщений от знакомых голосов.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥5❤1👏1🤓1👨💻1
Какой метод сканирования покажет скрытые параметры в JS?
Anonymous Quiz
44%
nuclei
4%
subfinder
40%
linkfinder
12%
dnsx
❤3
Какой заголовок стоит подставить для проверки CORS?
Anonymous Quiz
8%
X-Requested-With: XMLHttpRequest
65%
Origin: evil.com
4%
Referer: evil.com
23%
X-Forwarded-For: evil.com
❤4
📦 Открытый Swagger — находка на каждом втором проекте
Очень часто на проектах попадается открытая Swagger-документация (/swagger, /api-docs, /v2/api-docs, /swagger-ui.html). Это — огромный риск
🧠 Что раскрывает Swagger:
Полный список всех API-эндпоинтов, включая приватные.
Методы (GET, POST, PUT, DELETE) — можно сразу тестить бизнес-логику.
Все параметры и структура запроса, включая тела, вложенные поля, типы.
Иногда — автоматически подставленный токен (в UI авторизации).
Возможность выполнять запросы прямо из браузера без доп. инструментов.
⚠️ Чем это опасно:
Быстрый поиск уязвимостей типа IDOR, Auth Bypass, PUT/DELETE без auth.
Выявление админских методов, внутренних API, незадокументированных фич.
Утечка токенов или ключей прямо в UI (особенно в dev/stage окружениях).
Автоматизация через nuclei — можно отсканировать тысячи доменов на наличие Swagger за минуты.
✅ Что должен сделать защитник:
❌ Удалить Swagger из production-окружения.
🔐 Закрыть его auth'ом и доступом только по VPN или IP whitelist.
🌍 Проверить, не открыт ли staging/dev (обычно там Swagger открыт по умолчанию).
🔎 Прогнать свои домены nuclei -tags panel -severity low,medium.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3❤2🔥1👨💻1
JavaScript как источник информации при пентесте
Клиентские JS-файлы часто содержат технические детали, полезные для разведки и подготовки атаки. В них можно найти:
➖ Секреты и токены (api_key, auth_token, client_secret)
➖ Эндпоинты API, включая скрытые (/internal, /admin, /debug)
➖ Флаги функциональности (isAdmin=true, betaMode=1)
➖ Ссылки на инфраструктуру (s3, gcs, azureblob)
Цели анализа:
1️⃣ Составить карту запросов и эндпоинтов
— пригодится для обхода авторизации, IDOR, SSRF
2️⃣ Найти прямые ссылки на внутренние ресурсы
— панели администрирования, dev-инфраструктура, сторедж
3️⃣ Выявить скрытые параметры
— например, debug=true, admin_override, X-Access-Level
Мини-сценарий для пентеста:
Практическое применение:
➡️ Найденный токен — использовать с curl, Postman или через AWS CLI
➡️ Флаг debug=true может активировать уязвимую функциональность
➡️ Неизвестный endpoint — потенциальная точка входа для LFI, IDOR или SSRF
Клиентские JS-файлы часто содержат технические детали, полезные для разведки и подготовки атаки. В них можно найти:
Цели анализа:
1️⃣ Составить карту запросов и эндпоинтов
— пригодится для обхода авторизации, IDOR, SSRF
2️⃣ Найти прямые ссылки на внутренние ресурсы
— панели администрирования, dev-инфраструктура, сторедж
3️⃣ Выявить скрытые параметры
— например, debug=true, admin_override, X-Access-Level
Инструменты:
LinkFinder — извлечение путей из JS
SecretFinder — поиск токенов и ключей
subjs — сбор всех JS-файлов с сайта
Мини-сценарий для пентеста:
subfinder -d internal.target.com -silent | httpx -match-js -paths / -o js_hosts.txt
cat js_hosts.txt | subJS | tee js_urls.txt
cat js_urls.txt | LinkFinder.py -i stdin -o cli > endpoints.txt
cat js_urls.txt | SecretFinder.py -i stdin -o cli > secrets.txt
Практическое применение:
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥5👍3❤2🥰1👏1🤓1🤝1
.git - директория как источник информации при пентесте
Если .git/ директория доступна снаружи, это один из самых опасных векторов: с её помощью можно восстановить структуру проекта и получить чувствительные данные.
➖ Структура репозитория (архитектура, пути, названия компонентов)
➖ История изменений с возможными утечками токенов
➖ Конфиги и ключи из прошлого (.env, .pem, config.php)
➖ Доступ к приватным Git-сервисам (через config, remote)
Цели анализа:
1️⃣ Восстановить исходный код проекта
— анализ логики, уязвимостей, жестко заданных секретов
2️⃣ Найти приватные ключи, токены, логи
— которые были случайно закоммичены и затем удалены
3️⃣ Идентифицировать точки подключения к CI/CD, облаку
— через .git/config, .gitmodules, .env
4️⃣ Обойти .gitignore и восстановить удалённые файлы
— если файл исключён из коммитов, но был в истории — его можно восстановить
Мини-сценарий для пентеста:
Практическое применение:
➡️ Извлечённый .env может содержать DB-пароли, API-ключи, SMTP/Slack/Webhook данные
➡️ Анализ git log покажет уязвимые коммиты и забытые файлы
➡️ Из config можно получить приватный git remote с доступом через SSH
➡️ Используя git log -- <filename> можно восстановить удалённый или заигноренный файл
Если .git/ директория доступна снаружи, это один из самых опасных векторов: с её помощью можно восстановить структуру проекта и получить чувствительные данные.
➖ Структура репозитория (архитектура, пути, названия компонентов)
➖ История изменений с возможными утечками токенов
➖ Конфиги и ключи из прошлого (.env, .pem, config.php)
➖ Доступ к приватным Git-сервисам (через config, remote)
Цели анализа:
1️⃣ Восстановить исходный код проекта
— анализ логики, уязвимостей, жестко заданных секретов
2️⃣ Найти приватные ключи, токены, логи
— которые были случайно закоммичены и затем удалены
3️⃣ Идентифицировать точки подключения к CI/CD, облаку
— через .git/config, .gitmodules, .env
4️⃣ Обойти .gitignore и восстановить удалённые файлы
— если файл исключён из коммитов, но был в истории — его можно восстановить
Инструменты:
git-dumper — скачивает и собирает .git в локальный репозиторий
GitTools — модульный набор: finder, extractor, dumper
wget/curl — для ручной загрузки .git файлов при ограничениях
Мини-сценарий для пентеста:
git-dumper https://target.com/.git/ ./recovered_repo
cd recovered_repo
git log --oneline
git show <commit_id>
Практическое применение:
➡️ Извлечённый .env может содержать DB-пароли, API-ключи, SMTP/Slack/Webhook данные
➡️ Анализ git log покажет уязвимые коммиты и забытые файлы
➡️ Из config можно получить приватный git remote с доступом через SSH
➡️ Используя git log -- <filename> можно восстановить удалённый или заигноренный файл
🔥6👨💻2👍1
У вас есть доступ к https://target.com/.git/. Какой файл в первую очередь поможет восстановить структуру репозитория?
Anonymous Quiz
22%
.git/config
30%
.git/index
35%
.git/HEAD
13%
.git/refs/heads/master
На прошлой неделе стало известно, что OpenAI получила судебное предписание, обязывающее компанию сохранять все журналы чатов с ChatGPT, включая ранее удалённые. Это связано с иском, поданным The New York Times и другими медиакомпаниями, которые утверждают, что модели OpenAI могли генерировать тексты, близкие к оригиналам их материалов, защищённых авторским правом.
Истцы считают, что в удалённых чатах пользователей могут содержаться доказательства нарушений, поэтому потребовали сохранить всю историю взаимодействий. Суд удовлетворил это требование, несмотря на то, что OpenAI заявила об угрозе приватности сотен миллионов пользователей по всему миру.
Согласно заявлению OpenAI, постановление касается всех пользователей ChatGPT (включая Free, Plus и Pro), а также всех, кто работает через API. Исключение составляют клиенты ChatGPT Enterprise, ChatGPT Edu и те, кто использует режим Zero Data Retention — в этих случаях пользовательские данные не сохраняются вовсе.
OpenAI подчёркивает, что данные не будут автоматически передаваться истцам. Они будут храниться в отдельной защищённой системе, доступ к которой получит только ограниченный круг сотрудников по юридическим основаниям.
Компания уже подала апелляцию и ходатайствует о приостановке исполнения постановления. В заявлении также отмечается, что в текущих условиях становится затруднительным соблюдение требований европейского законодательства о защите данных (GDPR), в частности права на удаление личной информации.
OpenAI опубликовала FAQ, в котором разъясняется, какие данные затрагивает постановление и как компания планирует выполнять новые требования при сохранении безопасности и конфиденциальности пользователей.
Истцы считают, что в удалённых чатах пользователей могут содержаться доказательства нарушений, поэтому потребовали сохранить всю историю взаимодействий. Суд удовлетворил это требование, несмотря на то, что OpenAI заявила об угрозе приватности сотен миллионов пользователей по всему миру.
Согласно заявлению OpenAI, постановление касается всех пользователей ChatGPT (включая Free, Plus и Pro), а также всех, кто работает через API. Исключение составляют клиенты ChatGPT Enterprise, ChatGPT Edu и те, кто использует режим Zero Data Retention — в этих случаях пользовательские данные не сохраняются вовсе.
OpenAI подчёркивает, что данные не будут автоматически передаваться истцам. Они будут храниться в отдельной защищённой системе, доступ к которой получит только ограниченный круг сотрудников по юридическим основаниям.
Компания уже подала апелляцию и ходатайствует о приостановке исполнения постановления. В заявлении также отмечается, что в текущих условиях становится затруднительным соблюдение требований европейского законодательства о защите данных (GDPR), в частности права на удаление личной информации.
OpenAI опубликовала FAQ, в котором разъясняется, какие данные затрагивает постановление и как компания планирует выполнять новые требования при сохранении безопасности и конфиденциальности пользователей.
👍5🔥2👏1👨💻1
Эксперт Positive Technologies Егор Филатов обнаружил критическую уязвимость в системном приложении Shortcuts (Быстрые команды) на macOS. Проблема получила идентификатор BDU:2025-02497 и оценку 9.8 по CVSS 3.0.
📌 Уязвимость позволяла выполнить произвольный код в системе при запуске вредоносного макроса. Пользователю достаточно открыть .shortcut-файл — и защита macOS (включая sandbox и Gatekeeper) может быть обойдена.
🎯 Уязвимы macOS Monterey, Ventura, Sonoma и ранние сборки Sequoia (Shortcuts 7.0 / 2607.1.3). Apple выпустила исправление в macOS Sequoia 15.5.
🪧 Рекомендации:
- Обновиться до актуальной версии ОС;
- Не запускать быстрые команды из непроверенных источников;
- Проверять содержимое ~/Library/Shortcuts.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3🔥3✍2😁1👨💻1
🔐 Методики обхода 2FA, которые стоит учитывать при анализе веб-приложений
Двухфакторная аутентификация считается стандартом безопасности, но на практике существует ряд техник, позволяющих её обойти. Ниже — наиболее часто срабатывающие подходы, актуальные в рамках программ Bug Bounty:
1️⃣ Повторное использование OTP — одноразовые коды в некоторых случаях можно применять повторно.
2️⃣ Манипуляция ответом сервера — изменение значения "verify":false на "verify":true может привести к обходу.
3️⃣ Отсутствие CSRF-защиты при отключении 2FA — позволяет отправить жертве iframe с отключением защиты.
4️⃣ Утечка OTP в ответе сервера — часто код подтверждения присутствует в response при регистрации или сбросе пароля.
5️⃣ Использование предсказуемых значений — например, 000000 или null, если сервер не проверяет корректность ввода.
📌 Проверку можно выполнять через BurpSuite, используя Repeater и функцию перехвата ответов сервера на запросы регистрации или входа.
Двухфакторная аутентификация считается стандартом безопасности, но на практике существует ряд техник, позволяющих её обойти. Ниже — наиболее часто срабатывающие подходы, актуальные в рамках программ Bug Bounty:
Рекомендуется проверять:🔜 есть ли ограничение на количество попыток ввода кода,🔜 не остаются ли активными сессии после включения 2FA,🔜 уязвим ли функционал резервных кодов и восстановления пароля к CSRF или подмене заголовков (Host, X-Forwarded-Host).
📌 Проверку можно выполнять через BurpSuite, используя Repeater и функцию перехвата ответов сервера на запросы регистрации или входа.
Please open Telegram to view this post
VIEW IN TELEGRAM
👏2❤1⚡1🔥1
📡 Управление ведётся через Telegram-канал. Как инфостилеры попали в билд — пока неизвестно, возможно, помог инсайдер. Dev-команда молчит, игра всё ещё в Steam.
Это уже третий кейс с заражёнными играми на платформе за 2025 год. Ранее EncryptHub успел поучаствовать и в 0-day репортах для Microsoft, и во взломах сотен компаний по всему миру.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥5❤1👏1
Forwarded from Path Secure (CuriV)
Привет-привет!
Ищу к нам в команду опытного специалиста для самостоятельного выполнения проектов по пентесту внешки/внутрянки. Для некоторых самоуправление является бременем, а для кого-то благодатью. Если интересно, то откликайтесь!
Вот здесь немного о том, в какой парадигме мы живем:
https://t.iss.one/pathsecure/370
Далее заголовок вакансии:
У нас необычный и интересный формат конкурсного собеседования, который уже был опробирован на других позициях :)
Детали здесь:
https://hh.ru/vacancy/123321284
Контакт для связи с HR:
@marina_du
Всем хорошего дня!
Ищу к нам в команду опытного специалиста для самостоятельного выполнения проектов по пентесту внешки/внутрянки. Для некоторых самоуправление является бременем, а для кого-то благодатью. Если интересно, то откликайтесь!
Вот здесь немного о том, в какой парадигме мы живем:
https://t.iss.one/pathsecure/370
Далее заголовок вакансии:
Мы —первый в России производственный кооператив в сфере ИБ, где нет бюрократии, зато есть свобода действий, энергия стартапа и команда, которая ценит экспертизу и обмен знаниями.
Кого мы ищем?
Специалиста, который заинтересован работать в неформальных коллективах или осознает, что подготовлен к нему и мечтает преодолеть отчуждение крупных корпораций и классических фирм, чтобы попасть именно в такой, даже ценой комфорта и безопасности.
Подумайте, пожалуйста, готовы ли Вы к такому и нужно ли это именно Вам на данном этапе жизни и эволюции?
У нас необычный и интересный формат конкурсного собеседования, который уже был опробирован на других позициях :)
Как устроено наше сотрудничество?
Вы откликаетесь на вакансию.
1) Мы проводим предварительный отбор резюме и просим выполнить небольшое задание по профилю вакансии.
2) Отобранные кандидаты приглашаются на неформальное онлайн-знакомство (обсуждаем соответствие по ценностям нашего кооператива и предлагает пройти тестовую игру для синхронизации, проявляемся, задаем друг другу вопросы, погружаемся в культуру).
3) Голосуем внутри за кандидатов на основе записи встречи-знакомства.
4) HR дообсуждает с выбранными кандидатами условия (уже 1-1).
5) С финальным списком отобранных товарищей проводим онлайн психометрический тест (ПИФ Экопси: измеряет аналитические способности, открытость изменениям, способность доводить дело до конца, лидерские качества).
6) Принимаем окончательное решение по предложению наиболее подходящему, на наш взгляд, кандидату и синхронизируемся с ним по договоренностям.
Нам не нужно «идеальное» резюме. Ценим искренность, стремление эффективно доводить проекты до согласованного результата, реальные компетенции и готовность к диалогу и ответственности за взятые на себя обязательства.
Детали здесь:
https://hh.ru/vacancy/123321284
Контакт для связи с HR:
@marina_du
Всем хорошего дня!
Telegram
Path Secure
Хочу поделиться радостью от успешной реализации социального института!
Примерно год назад я задумался, что нам в кооперативе RAD COP жизненно необходимо создать процесс системной подготовки будущих товарищей пентестеров. Причем под системностью я понимаю…
Примерно год назад я задумался, что нам в кооперативе RAD COP жизненно необходимо создать процесс системной подготовки будущих товарищей пентестеров. Причем под системностью я понимаю…
❤3🔥1🤝1
Всем привет! 🤝 Давно не был на связи.
Недавно поступила идея написать скрипт для пассивной разведки. Очень часто нужно быстро собрать информацию о заказчике и хотелось бы сделать это одной кнопкой. В итоге с коллегой собрали инструменты до кучи и что из этого получилось скоро поделимся.
Недавно поступила идея написать скрипт для пассивной разведки. Очень часто нужно быстро собрать информацию о заказчике и хотелось бы сделать это одной кнопкой. В итоге с коллегой собрали инструменты до кучи и что из этого получилось скоро поделимся.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4❤2🔥1
Forwarded from Пентестер на мотоцикле
Закончился мой потрясающий отпуск, возвращаюсь к созданию контента.
Сложа руки не сидел, вместе с коллегой делали классный инструмент для 100% пассивной разведки на внешнем периметре. Сейчас он готов для локального использования, но у меня есть планы опубликовать его на этом канале. Как только всё сложится и будет готово, обязательно сообщу!
Всем добра)
Please open Telegram to view this post
VIEW IN TELEGRAM
💯6👍2
ZeroNights 2025: Call for Papers открыт!
Конференция ZeroNights сохраняет свою тематическую направленность — только беспристрастно отобранные доклады о проблемах информационной безопасности.
В этом году программный комитет принимает заявки в двух направлениях:
🔹 Offensive Track — современные техники атак, багхантерство, методы выявления и эксплуатации уязвимостей.
🔹 SecOps Track — практическая защита: от кода до инфраструктуры, реальные кейсы SecOps и рабочие подходы к AppSec.
📅 Дедлайн подачи заявок — 12 октября 2025 (включительно).
🎤 Форматы выступлений: 30 или 45 минут.
📍 Формат участия: только офлайн.
💡 Организаторы поощряют эксклюзивные материалы: если ваш доклад ранее нигде не публиковался, можно рассчитывать на денежное вознаграждение.
👉 Если у вас есть исследование, практический опыт или новые идеи в области Offensive или SecOps — самое время подать заявку!
Конференция ZeroNights сохраняет свою тематическую направленность — только беспристрастно отобранные доклады о проблемах информационной безопасности.
В этом году программный комитет принимает заявки в двух направлениях:
🔹 Offensive Track — современные техники атак, багхантерство, методы выявления и эксплуатации уязвимостей.
🔹 SecOps Track — практическая защита: от кода до инфраструктуры, реальные кейсы SecOps и рабочие подходы к AppSec.
📅 Дедлайн подачи заявок — 12 октября 2025 (включительно).
🎤 Форматы выступлений: 30 или 45 минут.
📍 Формат участия: только офлайн.
💡 Организаторы поощряют эксклюзивные материалы: если ваш доклад ранее нигде не публиковался, можно рассчитывать на денежное вознаграждение.
👉 Если у вас есть исследование, практический опыт или новые идеи в области Offensive или SecOps — самое время подать заявку!
👍3🔥3👏2🤝1
МВД РФ сообщило, что после ограничения звонков в мессенджерах Telegram и WhatsApp (Meta, признана экстремистской и запрещена в РФ) мошенники массово переключились на сервис Google Meet 📞.
Google Meet резко вырос в популярности и занял второе место среди бесплатных приложений в App Store .
По данным ведомства, количество звонков с международных номеров через сотовую связь выросло до 83% 📈, но главным каналом для связи с жертвами стал именно Google Meet. Также преступные группы тестируют FaceTime и мессенджер Max.
Мошенники быстро адаптируются: их кол-центры, базы и схемы не могут простаивать. Интерес к Google Meet объясняется его распространенностью (предустановлен на большинстве Android-смартфонов 📱) и сложностью расследований — оперативно получить данные у Google практически невозможно 🔒.
Google Meet резко вырос в популярности и занял второе место среди бесплатных приложений в App Store .
По данным ведомства, количество звонков с международных номеров через сотовую связь выросло до 83% 📈, но главным каналом для связи с жертвами стал именно Google Meet. Также преступные группы тестируют FaceTime и мессенджер Max.
Мошенники быстро адаптируются: их кол-центры, базы и схемы не могут простаивать. Интерес к Google Meet объясняется его распространенностью (предустановлен на большинстве Android-смартфонов 📱) и сложностью расследований — оперативно получить данные у Google практически невозможно 🔒.
❤1👍1🥴1🌚1🍌1🤨1🤓1👀1🤪1🙊1
Forwarded from RAD COP
Как защитить бизнес от хакеров, шифровальщиков, утечек и потери работоспособности
3 сентября специалисты по анализу защищенности РАД КОП расскажут об информационной безопасности на примерах распространённых уязвимостей из собственной практики пентестов (или, как принято говорить в отечественных стандартах, тестирования на проникновение).
🎙 Вебинар пройдет в формате диалога, будет наполнен практическими кейсами и инсайтами.
Вебинар поможет заинтересованным участникам найти свой ответ на вопрос: зачем нужна информационная безопасность, как устроены распространенные хакерские атаки и что можно сделать, чтобы не пополнить ряды тех, кто был «зашифрован», столкнулся с утечкой персональных данных клиентов или привлек внимание правоохранительных органов.
↕️ Что обсудим:
— Краткий ликбез по ключевым терминам, ИТ и ИБ концепциям, которые определяют контекст хакерских атак и их последствий для собственников, государства, пользователей/клиентов/сотрудников;
— Уязвимости API и логики работы веб-приложений, которые статистически часто лежат в основе успешных атак и приводят к утечкам данных, нарушениям работоспособности организаций;
— Социальную инженерию, сценарии которой задействованы в половине корпоративных атак, включая целевой фишинг и мошенничество с установлением физического контакта с жертвой;
— Защищённость внутреннего периметра: локальная сеть и инфраструктура организации, которые могут быть недоступны извне, и в атаках на которые часто играют свою роль инсайдеры и безалаберные сотрудники с удаленным доступом;
— Первопричины и риски, которые стоят за этими уязвимостями, как через подход «люди-процессы-технологии» можно приоритезировать соответствующие задачи, и в чем сходство управления уязвимостями и тайм-менеджмента.
⚙️ Вы научитесь:
— Базовым терминам и ключевым концепциям ИТ и ИБ необходимым для понимания проблематики компьютерных атак;
— Распознавать ключевые уязвимости и их первопричины;
— Оценивать риски, которые несут конкретные сценарии атак;
— Выстраивать внутренние процессы, чтобы снизить уязвимость и повысить устойчивость.
🤝 Кому полезен вебинар:
Техническим специалистам блоков ИТ и ИБ, топ-менеджменту и собственникам организаций, иным лицам интересующимся в информационной безопасности, которые хотят лучше разбираться в проблематике хакерских атак, рисков, в сценариях нападения и методологии выстраивания защиты через приоритезацию и управление.
Дата и время: 3 сентября 17.00
Ссылка для регистрации — https://my.mts-link.ru/j/tmliga/2728011485
Присоединяйтесь, если готовы трансформировать проблемы в преимущества ваших организаций вместе с РАД КОП🤝
#Вебинар #Пентест
3 сентября специалисты по анализу защищенности РАД КОП расскажут об информационной безопасности на примерах распространённых уязвимостей из собственной практики пентестов (или, как принято говорить в отечественных стандартах, тестирования на проникновение).
Вебинар поможет заинтересованным участникам найти свой ответ на вопрос: зачем нужна информационная безопасность, как устроены распространенные хакерские атаки и что можно сделать, чтобы не пополнить ряды тех, кто был «зашифрован», столкнулся с утечкой персональных данных клиентов или привлек внимание правоохранительных органов.
— Краткий ликбез по ключевым терминам, ИТ и ИБ концепциям, которые определяют контекст хакерских атак и их последствий для собственников, государства, пользователей/клиентов/сотрудников;
— Уязвимости API и логики работы веб-приложений, которые статистически часто лежат в основе успешных атак и приводят к утечкам данных, нарушениям работоспособности организаций;
— Социальную инженерию, сценарии которой задействованы в половине корпоративных атак, включая целевой фишинг и мошенничество с установлением физического контакта с жертвой;
— Защищённость внутреннего периметра: локальная сеть и инфраструктура организации, которые могут быть недоступны извне, и в атаках на которые часто играют свою роль инсайдеры и безалаберные сотрудники с удаленным доступом;
— Первопричины и риски, которые стоят за этими уязвимостями, как через подход «люди-процессы-технологии» можно приоритезировать соответствующие задачи, и в чем сходство управления уязвимостями и тайм-менеджмента.
— Базовым терминам и ключевым концепциям ИТ и ИБ необходимым для понимания проблематики компьютерных атак;
— Распознавать ключевые уязвимости и их первопричины;
— Оценивать риски, которые несут конкретные сценарии атак;
— Выстраивать внутренние процессы, чтобы снизить уязвимость и повысить устойчивость.
Техническим специалистам блоков ИТ и ИБ, топ-менеджменту и собственникам организаций, иным лицам интересующимся в информационной безопасности, которые хотят лучше разбираться в проблематике хакерских атак, рисков, в сценариях нападения и методологии выстраивания защиты через приоритезацию и управление.
Дата и время: 3 сентября 17.00
Ссылка для регистрации — https://my.mts-link.ru/j/tmliga/2728011485
Присоединяйтесь, если готовы трансформировать проблемы в преимущества ваших организаций вместе с РАД КОП
#Вебинар #Пентест
Please open Telegram to view this post
VIEW IN TELEGRAM
❤6👍2👨💻1
Всем привет!
Завтра состоится вебинар. С коллегами поделимся живыми кейсами. Поговорим о тайм-менеджменте.
Основная аудитория - это собственники бизнеса. Однако будем рады видеть всех!
https://t.iss.one/failauth/111
Завтра состоится вебинар. С коллегами поделимся живыми кейсами. Поговорим о тайм-менеджменте.
Основная аудитория - это собственники бизнеса. Однако будем рады видеть всех!
https://t.iss.one/failauth/111
Telegram
Fail Auth
Как защитить бизнес от хакеров, шифровальщиков, утечек и потери работоспособности
3 сентября специалисты по анализу защищенности РАД КОП расскажут об информационной безопасности на примерах распространённых уязвимостей из собственной практики пентестов (или…
3 сентября специалисты по анализу защищенности РАД КОП расскажут об информационной безопасности на примерах распространённых уязвимостей из собственной практики пентестов (или…
👍3❤2🔥1