🗣Книга: Unix и Linux: руководство системного администратора

Это современное и полное руководство по инсталляции, настройке и обслуживанию любой системы на основе FreeBSD или Linux, включая системы, предоставляющие базовую инфраструктуру Интернета и облачную инфраструктуру. Обновленное с учетом новых дистрибутивов и облачных сред, это всестороннее руководство охватывает лучшие практики для всех аспектов системного администрирования, включая управление хранением данных.

⏺ Скачать: здесь

#books #Linux | 💀 Этичный хакер

😈 Тестирование безопасности API: кейсы, инструменты и рекомендации

— При анализе защищенности API приложений почти всегда находят кучу уязвимостей.

На примере реальных проектов за последние несколько лет спикер Рамазан Рамазанов расскажет, как ломают API, какие недостатки чаще всего встречаются и как сделать API безопаснее.

#Web #API | 💀 Этичный хакер

📶 OSINT Template Engine — инструмент для сбора информации

— Инструмент для сбора информации OSINT, который использует настраиваемые шаблоны для сбора данных из различных источников.

Он позволяет создавать новые шаблоны и изменять существующие, что позволяет гибко реагировать на изменяющиеся эндпоинты источников сбора и получать всегда только актуальную информацию.

⏺ Ссылка на источник

#OSINT #Tools | 💀 Этичный хакер

😈 SQLmap: разбор инструмента

Сегодня разберём тулсу в наборе каждого пентестера, это один из самых мощных инструментов, когда дело доходит до уязвимости SQL-инъекции.

В статье разберём различные типы команд SQLmap, которые могут пригодиться при использовании различных сценариев SQL-инъекции.

🗣 Ссылка на чтиво

#SQL #Web | 💀 Этичный хакер

😈 Как происходит взлом БД(Ч.1)

В этой статье разберём тему SQL-инъекций, а точнее на практическом примере рассмотрим процесс взлома БД на машине от VulnWeb.

SQL инъекция — это один из самых доступных способов взлома сайта. Суть таких инъекций – внедрение в данные (передаваемые через GET, POST запросы или значения Cookie) произвольного SQL кода.

🗣 Ссылка на чтиво

#SQL #Injection #Web | 💀 Этичный хакер

😈 Как происходит взлом БД(Ч.2)

В этой статье продолжим тему SQL-инъекций, а точнее на практическом примере рассмотрим процесс взлома БД по средством GET-запроса.

SQL инъекция — это один из самых доступных способов взлома сайта. Суть таких инъекций – внедрение в данные (передаваемые через GET, POST запросы или Cookie) произвольного SQL кода.

🗣 Ссылка на чтиво

upd: исправили ссылку на статью, теперь всё корректно.

#SQL #Injection #Web | 💀 Этичный хакер

😈 10 советов по использованию Burp Suite

Burp Suite — это платформа, предназначенная для проведения аудита веб-приложения, как в ручном, так и в автоматических режимах, позволяющая улучшить и ускорить процесс атаки.

В этой статье поведуем вам о некоторых советах в использовании Burp Suite. К концу статьи вы узнаете новые фишки которые, возможно, были упущены из виду.

🗣 Ссылка на чтиво

#BurpSuite | 💀 Этичный хакер

📚 Репозиторий: All Android и iOS

В нём содержатся уязвимости Android/iOS, приложения для обеспечения безопасности Android/iOS, отчеты и презентации, лучшие практики и исследования по безопасности.

Кроме того, имеются и инструменты криминалистики, дизассемблеров, разработки, динам/стат анализа, обфускаторы и деобфускаторы, онлайн-анализат, дистрибутивы и т.д.

🗣Ссылка на GitHub

#infosec #Tools | 💀 Этичный хакер

😈 Руслан Ахметзянов — TestOps 101

Про TestOps говорят уже несколько лет, а воз и ныне там.

— Katalon, Microsoft и Smartbear предлагают свои определения, а консенсус не предвидится. Так что же это такое? Нужны ли нам технологии для максимальной автоматизации тестирования? Что может помешать на пути к ней?

#video | 💀 Этичный хакер

😈 Как происходит взлом БД(Ч.3)

Итак, в этой статье опишем финальную часть нашей серии постов про SQL Injection, в котором мы на практическом примере взламываем БД веб-сайта.

🗣 Ссылка на чтиво

#SQL #Injection #Web | 💀 Этичный хакер

😈 5 Google Dorks которые должен знать каждый

Google Dork или Google Dork Queries (GDQ) — это набор запросов для выявления грубейших дыр в безопасности. Всего, что должным образом не спрятано от поисковых роботов.

В этой статье рассмотрим какие запросы необходимы для обнаружения скрытой информации и уязвимостей, которые можно благодаря лишь поисковому запросу.

🗣 Ссылка на чтиво

#Dorks #OSINT #Recon #Web | 💀 Этичный хакер

📚 Репозиторий: APT Notes

В нём содержатся различные публичные документы, официальные документы и статьи о целевых кибератаках(APT).

APT-атака (Advanced Persistent Threat) – это целевая продолжительная атака повышенной сложности, задача которой является обнаружение на устройстве пользователя секретной, конфиденциальной или любой ценной информации и использование ее в интересах киберпреступников.

🗣Ссылка на GitHub

#infosec | 💀 Этичный хакер

🔎 sniffer — анализ сетевого трафика

— Информация, особенно конфиденциальная представляет повышенный интерес для злоумышленников. Для того чтобы избежать утечек, предотвратить направленные атаки на информационные ресурсы прибегают к анализу сетевого трафика.

Современный альтернативный сниффер сетевого трафика, работающий в терминале, который предназначен для устранения неполадок в сети.

Его можно запустить в любое время для анализа процессов или соединений, вызывающих увеличение сетевого трафика, без загрузки каких-либо модулей ядра.

🗣 Ссылка на GitHub

#Web #sniffer #Tools | 💀 Этичный хакер

📚Книга: Великий Китайский Файрвол

— Интернет начинался как развиваемый энтузиастами островок свободы, но с тех пор им научились управлять – как государства, так и крупные корпорации. Фраза «интернет помнит все» обрела второй смысл – контент стал подконтролен, иллюзия анонимности исчезла, а любое неосторожное сообщение может создать массу трудностей автору.

Книга рассказывает о том, как Китай первым в мире научился управлять интернетом и как другие страны перенимали его опыт.

🗣Ссылка на книгу

#firewall #books | 💀 Этичный хакер

😈 Исследуем темную сторону Shodan

— База Shodan включает в себя различные устройства и оборудование, среди которого не только детские радионяни, роутеры, IP-телефоны и принтеры, но и сети светофоров, системы отопления зданий и даже целые промышленные предприятия, водоочистные сооружения и электростанции.

Этот «темный Google» способен обнаружить все, что подключено к Интернету. Итак, в этой статье на практике покажем, какие запросы делать, чтобы получать доступ к незащищённым устройствам.

🗣 Ссылка на чтиво

#Shodan #OSINT #Recon | 💀 Этичный хакер

✔️ White Phoenix - инструмент восстановления данных

— Этот инструмент восстанавливает содержимое из файлов, зашифрованных программами-вымогателями с использованием «прерывистого шифрования».

Прерывистое шифрование - это когда программа-вымогатель отказывается от шифрования всего файла, вместо этого шифруя только часть каждого файла, часто блоки фиксированного размера или только начало целевых файлов. Есть несколько причин, по которым злоумышленники предпочитают прерывистое шифрование полному шифрованию. Наиболее очевидным является скорость.

— White Phoenix в настоящее время поддерживает следующие типы файлов: pdf', 'docx', 'docm', 'dotx', 'dotm', 'odt', 'xlsx', 'xlsm', 'xltx', 'xltm', 'xlsb', 'xlam', 'ods''pptx', 'pptm', 'ptox', 'potm', 'ppsx', 'ppsm', 'odp', 'zip'

🗣 Ссылка на GitHub

#Encryption #Tools | 💀 Этичный хакер

🔎 5 инструментов для GEOINT расследований

Часто в OSINT расследованиях приходиться иметь дело с выяснением местоположения по снимку. Для многих не секрет, что важна каждая деталь, поэтому чтобы поиски были более результативными, предлагаем ознакомиться с инструментами подборки.

⬜️ EarthCam — агрегатор рабочих веб-камер по всему миру;
⬜️ Geoestimation — оценивает местоположение фотографии с помощью ИИ;
⬜️ Airportwebcams — агрегатор веб-камер в различных аэропортах мира;
⬜️ Peakvisor — cодержит данные о более 1 000 000 гор по всему миру, часто используется в расследованиях для опознавания локации по очертанию рельефа на заднем плане;
⬜️ F4Map — карта мира с 3D-зданиями и тенями от них в различное время суток.

#OSINT #GEOINT | 💀 Этичный хакер

⌨ JSON Web Token

JSON Web Token — это JSON объект, который определен в открытом стандарте RFC 7519. Он считается одним из безопасных способов передачи информации между двумя участниками.

Для его создания необходимо определить заголовок (header) с общей информацией по токену, полезные данные (payload), такие как id пользователя, его роль и т.д. и подписи (signature).

— Инструменты для автоматизации JWT-атаки:

1. jwtXploiter — это Python-инструмент, предназначенный для автоматизации взлома JWT. Он позволяет проверить соответствие всех известных CVE для JWT и поддерживает различные виды атак на JWT, начиная от простого взлома и до выполнения атак с использованием самозаверяющих токенов!

2. JSON Web Tokens - это дополнение для Burpsuite, которое автоматизирует распространенные атаки на JWT. Кроме того, оно позволяет быстро выполнять кодирование / декодирование и проверку токенов.

3. JWT Tool - это широко используемый инструмент на языке Python, который позволяет производить проверку всех возможных атак, которые могут уязвимо существовать в веб-приложении.

4. JWT Editor - это дополнение для Burpsuite, которое обеспечивает возможность удобно изменять JWT-токены и быстро проверять различные методы обхода.

#Web #JWT #Tools | 💀 Этичный хакер

👩‍💻 ZboxFS — зашифрованная файловая система

ZboxFS - это файловая система, ориентированная на конфиденциальность и предназначенная для безопасного хранения файлов приложения.

— Цель ZboxFS - помочь приложениям безопасно, конфиденциально и надежно хранить файлы. Он встраивается в ваше приложение и предоставляет зашифрованную виртуальную файловую систему.

❗️ ZboxFS инкапсулирует файлы и каталоги в зашифрованное хранилище, предоставляя виртуальную файловую систему и эксклюзивный доступ для авторизованных приложений.

ZboxFS можно использовать на GNU/ Linux, macOS, Windows и Android.

🗣 Ссылка на GitHub
🗣 Ссылка на оф. сайт
🗣 Ссылка на документацию

#Forensics #Data #Tools | 💀 Этичный хакер

😡 EXIF - данные, метаданные.

Файлы EXIF​​(сменный формат файлов изображений) хранят важные данные о фотографиях. Почти все цифровые камеры создают эти файлы данных каждый раз, когда вы делаете новый снимок.

— Метаданные изображения относятся к конкретным деталям и информации, касающейся конкретного файла фотографии.

Инструменты для работы с EXIF:
1. Exiftool
2. Exifprobe
3. MetaData2Go
4. ExifMeta
5. OnlineExifViewer

Не уследив за метаданными, вас может привести к неприятностям, как к примеру Джона Макафи однажды рассекретили Vice.

Журналисты Vice забыли одну важную деталь, что iPhone сохраняет в метаданных GPS-координаты. Они быстро изменили фотографию, выложили версию со стёртыми EXIF-полями, но было уже поздно.

#OSINT #EXIF | 💀 Этичный хакер