Появилось желание создать Telegram-канал, в котором бы я делился своими материалами, мыслями, целями и новостями из мира пентестов и кибербезопасности в целом.
Вы, возможно, задаетесь вопросом: почему именно "пентестер на мотоцикле"?😁
Давайте разберемся!
С одной стороны, мотоциклы (спортивки, нейкеды, стриты, круизеры) — это моя любовь, страсть и цель на ближайшее будущее. Тут обязательно буду публиковать фотографии своего мотика (как только сдам на права и куплю его), красивые фоточки с покатушек и прочее.
С другой стороны, мотоцикл ассоциируется со скоростью. Учитывая, что я уже на первом курсе и являюсь частью команды пентестеров кооператива RAD COP, связь становится очевидной. Я стремлюсь узнавать как можно больше и как можно раньше. Хватаю любую интересную информацию и готов делиться ею с вами!
Я открыт для общения, сотрудничества и буду рад любому участнику канала. Ваши вопросы, комментарии и предложения всегда приветствуются!
⚠️ Дополнение к каналу! Я НЕ призываю вас ни к каким противозаконным действиям. Вся информация в канал публикуется лишь в образовательных целях! За злоумышленные деяния грозит уголовная ответственность.
⚠️ Channel disclaimer! I do NOT encourage any illegal activities. All information shared here is for educational purposes only! Malicious acts are subject to criminal prosecution.
▔▔▔▔▔▔▔▔◥
Боты:
@hackerbiker_memes_bot — предложка мемов для сториса
Навигация по каналу:
#кейс — разбор инцидента на реальном проекте.
#OSCP — новость про мою подготовку и сдачу OSCP+.
#hacktricks — новость про мою подготовку и сдачу HackTricks.
#github — интересный GitHub репозиторий.
#статья — интересная и познавательная статья.
#хакинг — описание интересной уязвимости/атаки, не связанной с проектом.
#bugbounty — разбор найденной уязвимости на программе Bug Bounty.
#выступление — новость про моё выступление где-то.
#материал — полезный материал-методичка для проведения атак и не только.
#новость — разбор важной новости из СМИ.
#инструмент — интересный/полезный инструмент для пентеста.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥13❤1
Хоть еще не публиковал нигде данный канал, но пусть останется ради истории)
Поздравляю всех безопасников с днем защиты информации!
Поздравляю всех безопасников с днем защиты информации!
🎉6
This media is not supported in your browser
VIEW IN TELEGRAM
Одна из самых моих любимых веб-уязвимостей — это XSS! С ней можно очень хорошо повеселиться😁
Кто не знает, у меня есть своя полезная нагрузка для хранимого XSS со скримерами))
▎Функции моего payload (полезной нагрузки):
Данный "вредонос" я использовал в дипломной работе проф курсов в Нетологии во время пентеста одного из веб-приложений черным ящиком. Не завидую другим сдающим дипломку в тот момент студентам, которых я мог напугать😁
Вы тоже можете где-то НА ТЕСТОВЫХ ПРОЕКТАХ запустить данный код)
Код для запуска есть на GitHub.
⚠️ Предупреждение: Использование вне тестовых стендов — нарушение закона. Автор не несёт ответственности за злоупотребление полезной нагрузки.
#github
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7🔥3
upd. Как же телеграм шакалит качество😁
Please open Telegram to view this post
VIEW IN TELEGRAM
❤🔥6
Application programming interface
В рамках академии в кооперативе RAD COP я проходил одну лабу — VAmPI. В ней я на практике изучил топ уязвимости API, которые могут быть в реальных проектах! И уже есть реальные кейсы😉
Мне настолько понравилась эта лаба, что решил написать статью по ее подробному разбору и прохождению на Habr.
▎В рамках данной статьи мы узнаем:
Буду рад положительному голосу за статью и хороший комментарий😁
#статья
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8
❤6❤🔥3🔥2
Сегодня в университете освежил знания по одной интересной информации из мира ИБ: уровни возможностей нарушителей. Чем выше уровень — тем бóльшую опасность они представляют.
Таблица 8.1 "Методический документ. Методика оценки угроз безопасности информации" (утв. ФСТЭК России 05.02.2021).
Сколько их и в чем отличия? Вот краткий конспектик.
===============================
🔐 Уровень 1: Базовые возможности нарушителей
Нарушители на этом уровне обладают минимальными навыками и используют известные уязвимости и инструменты, доступные в Интернете. Их действия часто ограничены физическим доступом к оборудованию и направлены на применение общедоступных методов.
👤 Виды нарушителей:
➡️ Хакеры с базовыми знаниями
➡️ Поставщики и обслуживающий персонал
➡️ Авторизованные пользователи
➡️ Бывшие сотрудники
===============================
🔐 Уровень 2: Повышенные возможности нарушителей
Нарушители на этом уровне обладают всеми навыками базовых нарушителей, но имеют более глубокое понимание инструментов и технологий. Они могут модифицировать доступные средства для повышения эффективности атак и самостоятельно разрабатывать сценарии угроз. Обычно состоят в группировках, где два лица и более, действующие по единому плану.
🛠 Ключевые характеристики:
➡️ Используют фреймворки и наборы инструментов для реализации угроз.
➡️ Знают, как работают системы и сети, а также защитные механизмы.
➡️ Могут атаковать как известные, так и неизвестные уязвимости.
👥 Виды нарушителей:
➡️ Преступные группы
➡️ Конкурирующие организации
➡️ Поставщики вычислительных услуг
➡️ Специалисты по установке и настройке систем
➡️ Системные администраторы
===============================
🔐 Уровень 3: Средние возможности нарушителей
Нарушители на этом уровне обладают всеми навыками предыдущих уровней и способны прорабатывать более сложные атаки. Они могут приобретать информацию об уязвимостях и инструменты на специализированных платных ресурсах, а также разрабатывать собственные инструменты для реализации угроз.
🛠 Ключевые характеристики:
➡️ Анализ программного обеспечения для выявления уязвимостей.
➡️ Глубокие знания о системах и защитных механизмах.
➡️ Возможность проводить атаки в группах.
👥 Виды нарушителей:
➡️ Террористические и экстремистские группировки.
➡️ Разработчики программного обеспечения и средств для атак.
===============================
🔐 Уровень 4: Высокие возможности нарушителей
Нарушители на этом уровне обладают всеми навыками предыдущих уровней и имеют доступ к исходному коду программного обеспечения и аппаратных средств. Они способны внедрять уязвимости и закладки, а также разрабатывать сложные методы атак с привлечением специалистов.
🛠 Ключевые характеристики:
➡️ Доступ к уязвимостям "нулевого дня" (0-day — новые уязвимости, против которых еще не разработаны меры защиты).
➡️ Внедрение закладок на этапе поставки ПО.
➡️ Создание специализированных средств для скрытного проникновения.
➡️ Долговременное и незаметное осуществление атак.
👥 Виды нарушителей:
➡️ Специальные службы иностранных государств.
#материал
Таблица 8.1 "Методический документ. Методика оценки угроз безопасности информации" (утв. ФСТЭК России 05.02.2021).
Сколько их и в чем отличия? Вот краткий конспектик.
===============================
Нарушители на этом уровне обладают минимальными навыками и используют известные уязвимости и инструменты, доступные в Интернете. Их действия часто ограничены физическим доступом к оборудованию и направлены на применение общедоступных методов.
===============================
Нарушители на этом уровне обладают всеми навыками базовых нарушителей, но имеют более глубокое понимание инструментов и технологий. Они могут модифицировать доступные средства для повышения эффективности атак и самостоятельно разрабатывать сценарии угроз. Обычно состоят в группировках, где два лица и более, действующие по единому плану.
🛠 Ключевые характеристики:
===============================
Нарушители на этом уровне обладают всеми навыками предыдущих уровней и способны прорабатывать более сложные атаки. Они могут приобретать информацию об уязвимостях и инструменты на специализированных платных ресурсах, а также разрабатывать собственные инструменты для реализации угроз.
🛠 Ключевые характеристики:
===============================
Нарушители на этом уровне обладают всеми навыками предыдущих уровней и имеют доступ к исходному коду программного обеспечения и аппаратных средств. Они способны внедрять уязвимости и закладки, а также разрабатывать сложные методы атак с привлечением специалистов.
🛠 Ключевые характеристики:
#материал
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥10👍4❤3
Дипфейки
Вчера вечером скачал архив на 7 ГБ в надежде, что все сработает. Спойлер: сработало)
Deepfake Offensive Toolkit умеет менять лицо пользователя на лицо из загруженной фотографии в приложуху. Есть 3 режима: в реальном времени, фото, видео.
Инструмент создан для проведения тестирования на проникновение, например, в системы проверки личности и видеоконференций. Может использоваться аналитиками по безопасности, членами Red Team и исследователями биометрии.
Дипфейк в реальном времени работает по простой схеме:
Веб-камера —> обработка в реальном времени —> виртуальная камера (окошко).
Поугарал с друзьями, заодно решил сделать пост, ведь в инструменте не нужно разбираться часами, все работает из коробки. На GPU нагрузки не заметил.
🧐 Как вы думаете, лица каких известных людей я подделал? Пишите в комментариях!
Подсказка:два стримера Twitch и один ютубер .
🖥 GitHub
🖥 GIF с настройками
#github
Вчера вечером скачал архив на 7 ГБ в надежде, что все сработает. Спойлер: сработало)
Deepfake Offensive Toolkit умеет менять лицо пользователя на лицо из загруженной фотографии в приложуху. Есть 3 режима: в реальном времени, фото, видео.
Инструмент создан для проведения тестирования на проникновение, например, в системы проверки личности и видеоконференций. Может использоваться аналитиками по безопасности, членами Red Team и исследователями биометрии.
Дипфейк в реальном времени работает по простой схеме:
Веб-камера —> обработка в реальном времени —> виртуальная камера (окошко).
Поугарал с друзьями, заодно решил сделать пост, ведь в инструменте не нужно разбираться часами, все работает из коробки. На GPU нагрузки не заметил.
🧐 Как вы думаете, лица каких известных людей я подделал? Пишите в комментариях!
Подсказка:
#github
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍13❤3🔥3