Media is too big
VIEW IN TELEGRAM
Wi‑Fi-пентест в последнее время теряет популярность. Пробив корпоративной Wi‑Fi-точки не обещает перетекания во внутреннюю сеть. А самые интересные точки работают чаще всего только по EAP‑TLS.
— Протокол EAP‑TLS считается самым безопасным решением для аутентификации в корпоративных сетях. На то есть основная причина: использование PKI для авторизации клиента и сервера.
#Web #WiFi |
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1
14–15 ноября в Центре международной торговли а Москве состоится IX ежегодный SOC-Forum — ключевое и ожидаемое событие в сфере кибербезопасности в России.
В этом году в программе пять тематических треков с дискуссиями, практикумами и более чем 90 докладами.
Технические треки: практикумы по направлениям Offense и Defense, а также по выявлению и реагированию на инциденты.
Бизнесово-технологический трек: доклады по выявлению угроз, реагированию на инциденты и предотвращению кибератак.
Два бизнес-трека: регуляторы представят свои ключевые доклады по развитию угроз, а эксперты обсудят основные тренды в киберугрозах и в защите, развитие стратегий и фреймворков в ИБ, а также в формате «прожарки» расскажут о реальных взломах и клиентском опыте тестирования ИБ-продуктов.
Регистрация: https://forumsoc.ru/?utm_source=pr&utm_medium=email&utm_campaign=press_release
В этом году в программе пять тематических треков с дискуссиями, практикумами и более чем 90 докладами.
Технические треки: практикумы по направлениям Offense и Defense, а также по выявлению и реагированию на инциденты.
Бизнесово-технологический трек: доклады по выявлению угроз, реагированию на инциденты и предотвращению кибератак.
Два бизнес-трека: регуляторы представят свои ключевые доклады по развитию угроз, а эксперты обсудят основные тренды в киберугрозах и в защите, развитие стратегий и фреймворков в ИБ, а также в формате «прожарки» расскажут о реальных взломах и клиентском опыте тестирования ИБ-продуктов.
Регистрация: https://forumsoc.ru/?utm_source=pr&utm_medium=email&utm_campaign=press_release
👍2
Бывают ситуации когда необходима анонимность, но VPN под рукой нет. И VPN вряд ли можно назвать анонимным инструментом, ведь вы на него заходите как правило со своего IP (если это не двойной VPN), а значит оставляете следы, даже если не ведутся логи.
oniongrok - способ в одну команду пробросить доступ через скрытые службы Tor, с временным или постоянным .onion адресом. oniongrok работает через перенаправление портов и не требует общедоступный IPv4 или IPv6.
— Формально это децентрализованный способ создания практически неостановимых глобальных сетевых туннелей.
#Web #Tor |
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6
Subfinder - это мощный инструмент поиска, который можно использовать для создания полного списка поддоменов, активных в любом доменном имени.
В этой статье мы рассмотрим инструмент, который призван помочь Red-team создать полную карту поддоменов своей цели: мы говорим о Subfinder, одном из лучших доступных инструментов обнаружения поддоменов, который поможет в задачах по сбору информации.
#Web #subdomain |
Please open Telegram to view this post
VIEW IN TELEGRAM
Media is too big
VIEW IN TELEGRAM
Доклад посвящен исследованию безопасности веб‑приложений, использующих gRPC, при помощи Burp Suite. Этот инструмент не имеет встроенных возможностей для десериализации protobuf, а имеющиеся на данный момент расширения не являются широко распространенными и имеют ограниченную функциональность для тестирования gRPC.
— gRPC это архитектура и система API, она основана на модели удаленного вызова процедур (RPC). Хотя модель RPC обширна, gRPC обладает особой реализацией.
Цель доклада — повысить осведомленность о тестировании gRPC. Также в ходе выступления он представит собственное расширение для исследования gRPC.
#OFFZONE #gRPC #BurpSuite |
Please open Telegram to view this post
VIEW IN TELEGRAM
Анализ уязвимостей является ключевым аспектом кибербеза, который включает в себя выявление слабых мест и потенциальных угроз в системах и приложениях.
В этом руководстве мы рассмотрим различные инструменты и методы, используемые при анализе уязвимостей. Эта статья проливает свет на основные инструменты, такие как OpenVAS, Nexpose, Nikto, Vega, Arachni, GDB, Wireshark, Burp Suite, OWASP ZAP и sqlmap.
#Tools #Vulnerability |
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1🤔1
В этом материале речь пойдёт об инструменте SSRFire, автоматизированном инструменте, используемом для обнаружения уязвимостей. Кроме того, этот инструмент может быть использован для выявления уязвимостей XSS и Open Redirect.
#Web #SSRF #CSRF #XSS |
Please open Telegram to view this post
VIEW IN TELEGRAM
❤1
— GitHub репозиторий, содержащий анонимные HTTP, SOCKS4, SOCKS5 прокси, которые обновляются и проверяются примерно каждые 15 минут.
Репозиторий состоит из 4 папок:
- proxies - прокси с любым уровнем анонимности.
- proxies anonymous - анонимные прокси.
- proxies geolocation - идентично proxies, но к каждому прокси
приложена информация о геолокации.
- proxies geolocation anonymous - идентично proxies anonymous, но к каждому прокси приложена информация о геолокации.
#Web #Proxy |
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4
Media is too big
VIEW IN TELEGRAM
— Ни для кого не секрет, что атакующие довольно часто используют службу Windows Remote Management для перемещений по инфраструктуре. В докладе спикер расскажет о том, какие артефакты будут указывать на использование WinRM.
Также поговорим о недокументированном артефакте этой службы и как при помощи него быстро выявить эксплуатируемые атакующими хосты, в том числе когда журналы событий были удалены.
#Windows #WinRM |
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4❤1
Media is too big
VIEW IN TELEGRAM
DNS — это глобальная система для преобразования доменных имён в IP-адреса сайтов. Когда пользователь пытается получить доступ к веб-адресу, например example.com, его веб-браузер или приложение выполняет запрос к DNS-серверу, передавая ему название сайта (имя хоста).
— DNS-сервер преобразует имя хоста в числовой IP-адрес (DNS to IP), к которому веб-браузер может подключиться.
В этом видеоматериале вы узнаете как получить исчерпывающую информацию о DNS целевого веб-сайта.
#DNS #Recon |
Please open Telegram to view this post
VIEW IN TELEGRAM
❤1
Тестирование на проникновение — это процесс оценки безопасности компьютерных систем или сетей путем имитации атаки злоумышленника. Цель пентеста — выявить уязвимости и устранить их, чтобы повысить уровень защищенности.
— В процессе пентеста используются различные методологии, стратегии, инструменты и модели нарушителей. В этом материале рассмотрим контрольный список тестирования Android приложений.
#Android #Methodology |
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3
Manyverse - это приложение/социальная сеть, построенная на одноранговом протоколе SSB, доступное для компьютеров и мобильных устройств.
— Сообщения, лайки, профили, личные сообщения и т. д., все то что вы ожидаете от социальной сети.
Оно не работает в облаке, принадлежащем компании, вместо этого сообщения ваших друзей и все ваши социальные данные полностью хранятся в вашем устройстве.
#Web #Network |
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6❤2
API - это интерфейс, позволяющий двум независимым компонентам программного обеспечения обмениваться информацией. API играет роль посредника между внутренними и внешними программными функциями, обеспечивая эффективный обмен информацией.
— В этом всеобъемлющем руководстве простыми словами будут объяснены API, их важность и то, как они работают.
#Web #API |
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3
Media is too big
VIEW IN TELEGRAM
Blind SQL Injection - это тип атаки SQLi, которая задает базе данных истинные или ложные вопросы и определяет истинность на основе ответа приложений. Эта атака часто используется, когда веб-приложение настроено на отображение общих сообщений об ошибках, но при этом не фильтрует код, уязвимый для внедрения SQL.
— В этом видеоматериале мы рассмотрим как можно найти слепую SQL-инъекцию.
#SQL #Injection |
Please open Telegram to view this post
VIEW IN TELEGRAM
❤3👍1🥱1
Nebula - это масштабируемый оверлейный сетевой инструмент для построения защищённых оверлейных сетей, которые могут объединять от нескольких до десятков тысяч территориально разделённых хостов, формируя отдельную изолированную сеть поверх глобальной сети.
— Узлы в сети Nebula взаимодействуют друг с другом напрямую в режиме Р2P - по мере появления необходимости передачи данных между узлами динамически создаются прямые VPN-соединения.
Поддерживается работа в GNU/Linux, FreeBSD, macOS, Windows, iOS и Android.
#Network |
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2
WebSocket — это продвинутая технология, позволяющая открыть постоянное двунаправленное сетевое соединение между браузером пользователя и сервером.
В этой статье рассмотрим, что из себя представляет захват веб-сокета, как обнаружить и каковы последствия.
#WebSocket #Protocol |
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1
Media is too big
VIEW IN TELEGRAM
Уязвимость CSRF – дает возможность злоумышленнику производить различные манипуляции с аккаунтом пользователя от лица самого пользователя, при этом, жертва даже не будет знать об этом.
— В этом видеоматериале поговорим о том, как защитить веб-сайты от данной уязвимости.
#Web #CSRF |
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3🥱1
Media is too big
VIEW IN TELEGRAM
Глубокая генерация изображений лиц из эскизов. Система позволяет пользователям, не имеющим достаточной подготовки к рисованию, создавать высококачественные изображения лиц из набросков от руки.
#Tools #deeplearning |
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥2
Атаки подобного вида осуществляются через формы ввода данных, cookie файлы, заголовки HTTP с последующим внедрением в системную оболочку. Это становится возможным, когда отсутствует контроль вводимых данных или он носит поверхностный характер.
— Если вы нашли Command Injection, а WAF блокирует ключевые слова, то можно попробовать один из способов обхода, заключающийся в добавлении обратного слеша и символа новой строки между словами из черного списка:
c\%0aat /et\%0ac/pas\%0aswd
#Web #RCE | Please open Telegram to view this post
VIEW IN TELEGRAM
❤4
Внедрение кода — это тип уязвимости, возникающий, когда злоумышленник внедряет код в программу, который затем выполняется приложением. Злоумышленник может воспользоваться этой уязвимостью для выполнения произвольного кода и, возможно, получить контроль над приложением или базовой системой.
— В этом материале расскажем, что такое Code Injection, каков принцип работы, шпаргалка и то, как с этим бороться.
#Web #Injection #code |
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5