• Небольшая подборка полезных ресурсов, которые предлагают нам функционал "одноразовых записок".
• Onetimesecret;
• Read2burn;
• Protectedtext;
• Coded pad;
• Securenote;
• Cryptgeon;
• Snote;
• Secserv;
• Wipenote;
• Не забывайте про самое объемное и актуальное руководство по обеспечению анонимности и безопасности в сети: https://anonymousplanet.org/guide.html
#Приватность #Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
👍14⚡11❤5
👆🏼 Power Glove.
• Вам знакома картинка выше? Уверен, что да! Этот кадр был взят из короткометражной пародии на боевики 80-х «Кунг фьюри». Но дело тут не в корометражке, а в перчатке, которая была в арсенале персонажа и существовала на самом деле:
• В 1989 году Nintendo выпустила перчатку Power Glove, которая позволяла управлять происходящим на экране при помощи движения руки. Метод отслеживания движений, используемый в Power Glove, был довольно остроумен. В саму перчатку была встроена пара ультразвуковых трансмиттеров, передающих звук на частоте 40 кГц. УЗ-излучение фиксировалось специальным модулем, который требовалось закрепить на телевизоре: миниатюрное устройство определяло на основе полученных данных положение руки в пространстве и генерировало управляющие сигналы.
• К продвижению Power Glove в Nintendo подошли весьма рационально. Для перчатки были выпущены два стартовых эксклюзива — 3D-головоломка Super Glove Ball и бит-ем-ап Bad Street Brawler, которые можно было без проблем пройти на обычном геймпаде, однако при использовании инновационного контроллера в играх появлялись дополнительные движения. Аналогичные идеи лежали в основе Glove Pilot, Manipulator Glove Adventure и Tech Town, однако эти игры так и не добрались до релиза, поскольку Power Glove провалилась в продажах: аппарат был сложен в использовании, да и цена $80 не особо способствовала росту его популярности.
• Зато Power Glove оставила отпечаток в массовой культуре. Так, например, отсылку на необычный контроллер можно встретить в фильме ужасов «Кошмар на улице Вязов 6», где похожим девайсом пользуется Фредди Крюгер, а в короткометражной пародии на боевики 80-х «Кунг фьюри» гениальный Хакермен (на картинке) использует уже настоящий Power Glove для взлома пространственно-временного континуума.
#Разное
• Вам знакома картинка выше? Уверен, что да! Этот кадр был взят из короткометражной пародии на боевики 80-х «Кунг фьюри». Но дело тут не в корометражке, а в перчатке, которая была в арсенале персонажа и существовала на самом деле:
• В 1989 году Nintendo выпустила перчатку Power Glove, которая позволяла управлять происходящим на экране при помощи движения руки. Метод отслеживания движений, используемый в Power Glove, был довольно остроумен. В саму перчатку была встроена пара ультразвуковых трансмиттеров, передающих звук на частоте 40 кГц. УЗ-излучение фиксировалось специальным модулем, который требовалось закрепить на телевизоре: миниатюрное устройство определяло на основе полученных данных положение руки в пространстве и генерировало управляющие сигналы.
• К продвижению Power Glove в Nintendo подошли весьма рационально. Для перчатки были выпущены два стартовых эксклюзива — 3D-головоломка Super Glove Ball и бит-ем-ап Bad Street Brawler, которые можно было без проблем пройти на обычном геймпаде, однако при использовании инновационного контроллера в играх появлялись дополнительные движения. Аналогичные идеи лежали в основе Glove Pilot, Manipulator Glove Adventure и Tech Town, однако эти игры так и не добрались до релиза, поскольку Power Glove провалилась в продажах: аппарат был сложен в использовании, да и цена $80 не особо способствовала росту его популярности.
• Зато Power Glove оставила отпечаток в массовой культуре. Так, например, отсылку на необычный контроллер можно встретить в фильме ужасов «Кошмар на улице Вязов 6», где похожим девайсом пользуется Фредди Крюгер, а в короткометражной пародии на боевики 80-х «Кунг фьюри» гениальный Хакермен (на картинке) использует уже настоящий Power Glove для взлома пространственно-временного континуума.
#Разное
👍44🔥18❤5🤩5💩1🐳1
• Пентестеры выявляют уязвимости в безопасности, атакуя сети точно так же, как это делают злоумышленники. Чтобы стать пентестером высокого уровня, нам необходимо освоить наступательные концепции безопасности, использовать проверенную методологию и постоянно тренироваться.
• В этой статье вас ждет база — те вещи, которые должен знать каждый начинающий пентестер, занимающийся аудитами внутренней инфраструктуры.
#Пентест #ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
👍18🔥5❤2💩2
• Из названия можно предположить, что это какой-то вид оболочки (некоторого доступа к определённым ресурсам), как например, SSH для доступа к удалённой машине или обычная консоль в #Linux, которая также является видом оболочки.
• Reverse — обозначает тип оболочки, всё дело в том, что смысл такой оболочки заключается в коннекте (связи) с удалённым хостом и постоянном взаимодействии с ним. То есть, вы выполняете команду на некоторой машине, после которой данная машина подключается к другой и предоставляет доступ вместе с этим подключением. Как можно предположить, данная вещь используется после эксплуатации уязвимости (например RCE) для закрепления на атакуемой машине и удобного взаимодействия с ней.
• В этой статье мы узнаем, как получить Reverse Shell за несколько простых шагов и разберем несколько инструментов: https://www.hackingarticles.in/easy-way-to-generate-reverse-shell/
#Пентест
Please open Telegram to view this post
VIEW IN TELEGRAM
👍18🔥6❤🔥4❤2😁1
This media is not supported in your browser
VIEW IN TELEGRAM
• Раньше я очень любил простоту Windows.
A:\ для флоппика, C:\ для системы, D:\ для дистрибутивов игр, фото и видео, E:\ для CD-ROM. Всё просто!• А теперь обратите внимание на gif к этому посту, так наглядно показан минимальный минимум, который встретится Вам в большинстве UNIX-подобных систем.
• Если нужно подробное описание, то информация есть на вики: https://ru.wikipedia.org/wiki/FHS
#Linux
Please open Telegram to view this post
VIEW IN TELEGRAM
👍72🔥13👎4⚡3😁2
• Автоматизация CI/CD - полный курс на простом языке;
• Установка на Linux Ubuntu;
• Администрирование Jenkins;
• Управление Plugins;
• Простейшие Jobs включая Deployment;
• Добавление Slave/Node;
• Удалённое и локальное управление через CLI Client;
• Деплоим из GitHub;
• Автоматизация запуска Build Job из GitHub - Build Triggers;
• Автоматизация запуска Build из GitHub - trigger from GitHub, webhook;
• Build с параметрами;
• Deploy в AWS Elastic Beanstalk - пример решения задания на интервью для DevOps Engineer;
• Запуск Groovy Script - обнуление счетчика Build;
• Основы Pipeline и Jenkinsfile.
В дополнение:
• Сравнение систем CI/CD;
• Установка, описание работы агентов;
• Управление удаленными серверами;
• Первый pipeline;
• Простой docker build;
• Запуск сборки по комиту;
• Скрытие паролей в пайпах;
• Multibranch pipeline или обнаружение веток.
#DevOps #Jenkins #RU #Курс
Please open Telegram to view this post
VIEW IN TELEGRAM
👍25🔥12
Analyze and reorganize core networking structs (socks, netdev, netns, mibs) to optimize cacheline consumption and set up build time warnings to safeguard against future header changes. This improves TCP performances with many concurrent connections up to 40%.
• В состав кодовой базы, на основе которой формируется ядро Linux 6.8, принят набор изменений, значительно повышающих производительность TCP-стека. В случаях обработки множества параллельных TCP-соединений ускорение может достигать 40%.
• Улучшение стало возможно, потому что переменные в структурах сетевого стека (socks, netdev, netns, mibs) располагались по мере добавления, что было определено историческими причинами. Пересмотр размещения переменных в структурах с целью повышения эффективности работы с процессорным кэшем (минимизации использование строк кэша на стадии передачи данных) и оптимизации доступа к переменным привёл к заметному увеличению скорости работы TCP, особенно в случае большого числа одновременных TCP соединений.
#Новости #Linux
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥70👍29❤3
Please open Telegram to view this post
VIEW IN TELEGRAM
👍63🤣46🔥9❤4😁3
• По ссылке ниже можно найти бесплатную коллекцию заданий, которые научат Вас атаковать и защищать приложения, использующие GraphQL.
• Академия предоставляет подробные уроки, из которых Вы узнаете о различных уязвимостях и передовых методах обеспечения защиты.
Список доступных уроков:
- Prevent Mutation Brute-Force Attacks;
- Implement Object-Level Authorization;
- Disable Debug Mode for Production;
- Combat SQL Injections;
- Limit Query Complexity;
- Implement Field-Level Authorization;
- Configure HTTP Headers for User Protection;
- Validate JSON Inputs;
- Implement Resolver-Level Authorization.
В будущем будут опубликованы и другие уроки:
- Mitigate Server Side Request Forgery;
- Implement Rate-Limiting for Bot Deterrence;
- Abort Expensive Queries for Protection;
- Configure a Secure API Gateway;
- Limit Query Batching to Safeguard Resources;
- Implement List Pagination;
- Secure Third-Party API Interactions.
#API #GraphQL
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥17👍13❤2🤨1
infosec
Photo
🖱 Зарождение компьютерной мышки.
• Начнем с того, что изобретателем мышки считается Дуглас Энгельбарт — учёный, который стремился не просто изобретать, но и делать свои изобретения простыми и доступными. Первый прототип был разработан в 1964 году, а само устройство в заявке на патент обозначалось как «Индикатор положения XY для системы с дисплеем».
• Мышь Энгельбарта была сделана из дерева (фото 1), имела удобный для человеческой руки размер и вообще выглядела как стимпанк до того, как появился сам стимпанк. Под деревянной «спинкой» располагались схема и два металлических колёсика, а на спинке — не очень-то удобная кнопка. Вторым неудобством был шнур, который шёл не вперёд, а мешался под всей рукой пользователя. Мышкой можно было рисовать линии и передвигать курсор по экрану.
• Идея создания устройства для перемещения по столу пришла в голову Энгельбарту в 1964 году, когда он участвовал в конференции по компьютерной графике. Он размышлял о том, как перемещать курсор на дисплее компьютера. Вернувшись на работу, он передал копию эскиза Уильяму Инглишу, сотруднику и инженеру-механику, который с помощью чертежника изготовил сосновый корпус для размещения механического содержимого.
• Когда и при каких обстоятельствах возник термин «мышь», достоверно установить невозможно. Сам Энгельбарт говорил, что не помнит, почему устройство назвали именно так. Возможно, что коробка с проводом просто напоминала мелкого грызуна с хвостом.
• Первым мышам движение передавалось через большие выступающие колеса, прикрепленные к потенциометрам. Колеса располагались под прямым углом и определяли движение устройства по осям X и Y на рабочем столе: https://www.yorku.ca/mack/axia.html
• Дальнейшее развитие мышь получила в исследовательском центре Xerox в Пало-Альто, наиболее заметным изменением стало введение шарикового механизма. В продаже она появилась в 1981 году на рабочей станции Xerox Star, примерно через 15 лет после ее изобретения.
• Кстати, Дуглас Энгельбарт не получил за свой патент ни цента. Патент истек как раз перед тем, как устройство стало широко использоваться на всех компьютерах мира. Но это не значит, что учёный влачил нищее существование — за свои другие изобретения (в том числе разработки, связанные с гипертекстом) он получил более полумиллиона долларов. А мышка так и осталась его гордостью и вкладом в развитие не только компьютерной техники, но и всего человечества (только подумайте, чего были бы мы лишены без мыши).
#Разное
• Начнем с того, что изобретателем мышки считается Дуглас Энгельбарт — учёный, который стремился не просто изобретать, но и делать свои изобретения простыми и доступными. Первый прототип был разработан в 1964 году, а само устройство в заявке на патент обозначалось как «Индикатор положения XY для системы с дисплеем».
• Мышь Энгельбарта была сделана из дерева (фото 1), имела удобный для человеческой руки размер и вообще выглядела как стимпанк до того, как появился сам стимпанк. Под деревянной «спинкой» располагались схема и два металлических колёсика, а на спинке — не очень-то удобная кнопка. Вторым неудобством был шнур, который шёл не вперёд, а мешался под всей рукой пользователя. Мышкой можно было рисовать линии и передвигать курсор по экрану.
• Идея создания устройства для перемещения по столу пришла в голову Энгельбарту в 1964 году, когда он участвовал в конференции по компьютерной графике. Он размышлял о том, как перемещать курсор на дисплее компьютера. Вернувшись на работу, он передал копию эскиза Уильяму Инглишу, сотруднику и инженеру-механику, который с помощью чертежника изготовил сосновый корпус для размещения механического содержимого.
• Когда и при каких обстоятельствах возник термин «мышь», достоверно установить невозможно. Сам Энгельбарт говорил, что не помнит, почему устройство назвали именно так. Возможно, что коробка с проводом просто напоминала мелкого грызуна с хвостом.
• Первым мышам движение передавалось через большие выступающие колеса, прикрепленные к потенциометрам. Колеса располагались под прямым углом и определяли движение устройства по осям X и Y на рабочем столе: https://www.yorku.ca/mack/axia.html
• Дальнейшее развитие мышь получила в исследовательском центре Xerox в Пало-Альто, наиболее заметным изменением стало введение шарикового механизма. В продаже она появилась в 1981 году на рабочей станции Xerox Star, примерно через 15 лет после ее изобретения.
• Кстати, Дуглас Энгельбарт не получил за свой патент ни цента. Патент истек как раз перед тем, как устройство стало широко использоваться на всех компьютерах мира. Но это не значит, что учёный влачил нищее существование — за свои другие изобретения (в том числе разработки, связанные с гипертекстом) он получил более полумиллиона долларов. А мышка так и осталась его гордостью и вкладом в развитие не только компьютерной техники, но и всего человечества (только подумайте, чего были бы мы лишены без мыши).
#Разное
👍45🔥22❤9
• На хабре опубликована полезная статья, в которой вы найдете полезные скрипты, советы и reg-файлы для отключения обновления, синхронизаций, телеметрии и т.д.
• А если вы используете Windows 11, Win Server 2016 или 2019, то вот вам инструкция от майков: https://learn.microsoft.com/
• P.S. Всегда помните, что любые попытки отключения сетевых возможностей ОС Windows 10 приводят к проблемам. Перечисленные способы не исключение.
• Правильная стратегия «затыкания рта Windows» должна быть следующей:
- Полностью обновить ОС.
- Инсталляция и настройка требуемых сторонних программ.
- Отключение «паразитного» сетевого трафика.
#Windows #Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
👍60🔥12🥰4❤2
• Держите ссылки на очень объемный и полезный репозиторий, который включает в себя топ отчеты HackerOne. Репо постоянно поддерживают в актуальном состоянии, что поможет вам узнать много нового и полезного (варианты эксплуатации различных уязвимостей, векторы атак и т.д.).
Tops 100:
• Top 100 upvoted reports;
• Top 100 paid reports.
Tops by bug type:
• Top XSS reports;
• Top XXE reports;
• Top CSRF reports;
• Top IDOR reports;
• Top RCE reports;
• Top SQLi reports;
• Top SSRF reports;
• Top Race Condition reports;
• Top Subdomain Takeover reports;
• Top Open Redirect reports;
• Top Clickjacking reports;
• Top DoS reports;
• Top OAuth reports;
• Top Account Takeover reports;
• Top Business Logic reports;
• Top REST API reports;
• Top GraphQL reports;
• Top Information Disclosure reports;
• Top Web Cache reports;
• Top SSTI reports;
• Top Upload reports;
• Top HTTP Request Smuggling reports;
• Top OpenID reports;
• Top Mobile reports;
• Top File Reading reports;
• Top Authorization Bypass reports;
• Top Authentication Bypass reports;
• Top MFA reports.
Tops by program:
• Top Mail.ru reports;
• Top HackerOne reports;
• Top Shopify reports;
• Top Nextcloud reports;
• Top Twitter reports;
• Top X (formerly Twitter) reports;
• Top Uber reports;
• Top Node.js reports;
• Top shopify-scripts reports;
• Top Legal Robot reports;
• Top U.S. Dept of Defense reports;
• Top Gratipay reports;
• Top Weblate reports;
• Top VK.com reports;
• Top New Relic reports;
• Top LocalTapiola reports;
• Top Zomato reports;
• Top Slack reports;
• Top ownCloud reports;
• Top GitLab reports;
• Top Ubiquiti Inc. reports;
• Top Automattic reports;
• Top Coinbase reports;
• Top Verizon Media reports;
• Top Starbucks reports;
• Top Paragon Initiative Enterprises reports;
• Top PHP (IBB) reports;
• Top Brave Software reports;
• Top Vimeo reports;
• Top OLX reports;
• Top concrete5 reports;
• Top Phabricator reports;
• Top Localize reports;
• Top Qiwi reports;
• Top WordPress reports;
• Top The Internet reports;
• Top Open-Xchange reports;
#Отчет #Пентест
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥33👍14❤7
• Nginx — это веб-сервер, на котором работает треть всех сайтов в мире. Но если забыть или проигнорировать некоторые ошибки в настройках, можно стать отличной мишенью для атакующих. Благодаря этому материалу, можно понять какие ошибки в конфигурациях встречаются чаще всего и как их исправить.
Attacks:
• Nginx Configuration Vulnerability;
• Exploiting Trailing Slash Misconfiguration;
• Exploiting Parent Directory Access;
• Impact Without Trailing Slash on Alias;
• Combined Impact.
Defend Against Attacks:
• Update Nginx;
• Configuration Check;
• Use Configuration Management;
• Security Headers;
• Access Control;
• Directory Listing;
• Alias Traversal Protection;
• HTTP to HTTPS Redirect;
• SSL Configuration;
• Rate Limiting;
• Connection Limits;
• Custom Error Pages;
• Gzip Compression;
• Client-Side Caching;
• HTTP2 Protocol;
• Secure File Permissions;
• Web Application Firewall (WAF);
• Monitoring and Logging;
• SSH Hardening;
• Firewall Configuration;
• Two-Factor Authentication;
• Regular Backups;
• Deny Hidden Files;
• IP Whitelisting;
• Disable Unused Modules;
• Use Trailing Slash in Alias Directives;
• Regular Expression Matching;
• Implement Strict Location Paths.
#Nginx #devsecops
Please open Telegram to view this post
VIEW IN TELEGRAM
👍23🔥22❤3🫡2✍1
• В продолжение поста про пентест Wi-Fi: материал включает в себя объемный список инструментов для анализа защищенности Wi-Fi.
• Список разбит на категории и содержит краткое описание ПО с необходимыми ссылками:
- Личный топ инструментов;
- Denial of Service (DoS) \ Deauthentication;
- Атаки на шифрование;
- WEP/WPA/WPA2 ;
- WPS ;
- Атаки на Enterprise;
- Инъекции;
- Evil twin / Fake AP / MITM ;
- Wardriving ;
- Различные иные инструменты;
- Сбор информации;
- Защита / Обнаружение;
- Мониторинг.
#Пентест #ИБ #Hack
Please open Telegram to view this post
VIEW IN TELEGRAM
👍23🔥12
🗞 Новости обновлений к этому часу: Wine 9.0, VirtualBox 7.0.14 и MySQL 8.3.0.
• Вышел релиз Wine 9.0, в который включили начальную поддержку драйвера Wayland, WoW64 и улучшения для Direct3D. Также в новой версии: обновлён драйвер Vulkan; завершена работа над DirectMusic; внедрили экспорт протоколов URI/URL как обработчиков URL на Linux-рабочем столе; начали использовать версию Windows 10 по умолчанию в новых префиксах Wine. В версию внедрили сотни исправлений и функций для запуска современных Windows-игр и приложений вне экосистемы Microsoft.
➡️ Подробное описание обновления: https://gitlab.winehq.org/
• Компания Oracle опубликовала корректирующий релиз системы виртуализации VirtualBox 7.0.14, в котором отмечено 14 исправлений. Одновременно сформировано обновление прошлой ветки VirtualBox 6.1.50 с 7 изменениями, в числе которых поддержка пакетов с ядром из дистрибутивов RHEL 9.4 и 8.9, а также реализация возможности импорта и экспорта образов виртуальных машин с контроллерами накопителей NVMe и носителем, вставленным в виртуальный привод CD/DVD.
➡️ Источник и описание релиза: https://www.opennet.ru/
• Стала доступна новая версия СУБД MySQL 8.3.0. Одним из основных изменений является устранение 25 уязвимостей, из которых одна (CVE-2023-5363, затрагивает OpenSSL) может быть эксплуатирована удалённо. Наиболее серьёзной проблеме, которая связана с использованием протокола Kerberos, присвоен уровень опасности 8.8. Менее опасные уязвимости с уровнем опасности 6.5 затрагивают оптимизатор, UDF, DDL, DML, репликацию, систему привилегий и средства для шифрования.
➡️ Источник и описание релиза: https://www.opennet.ru/
#Новости #Разное
• Вышел релиз Wine 9.0, в который включили начальную поддержку драйвера Wayland, WoW64 и улучшения для Direct3D. Также в новой версии: обновлён драйвер Vulkan; завершена работа над DirectMusic; внедрили экспорт протоколов URI/URL как обработчиков URL на Linux-рабочем столе; начали использовать версию Windows 10 по умолчанию в новых префиксах Wine. В версию внедрили сотни исправлений и функций для запуска современных Windows-игр и приложений вне экосистемы Microsoft.
• Компания Oracle опубликовала корректирующий релиз системы виртуализации VirtualBox 7.0.14, в котором отмечено 14 исправлений. Одновременно сформировано обновление прошлой ветки VirtualBox 6.1.50 с 7 изменениями, в числе которых поддержка пакетов с ядром из дистрибутивов RHEL 9.4 и 8.9, а также реализация возможности импорта и экспорта образов виртуальных машин с контроллерами накопителей NVMe и носителем, вставленным в виртуальный привод CD/DVD.
• Стала доступна новая версия СУБД MySQL 8.3.0. Одним из основных изменений является устранение 25 уязвимостей, из которых одна (CVE-2023-5363, затрагивает OpenSSL) может быть эксплуатирована удалённо. Наиболее серьёзной проблеме, которая связана с использованием протокола Kerberos, присвоен уровень опасности 8.8. Менее опасные уязвимости с уровнем опасности 6.5 затрагивают оптимизатор, UDF, DDL, DML, репликацию, систему привилегий и средства для шифрования.
#Новости #Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
👍31🔥4💘4
This media is not supported in your browser
VIEW IN TELEGRAM
😁109🤣55👍26👏9🙉2😱1👾1
• Децентрализация — отсутствие единого центра контроля и единой точки отказа. Одни из важных принципов которые используются в децентрализованных проектах — являются такие вещи как Zero-config и нулевое доверие.
• Другими словами — сервис можно считать полностью децентрализованным, если для его запуска достаточно просто запустить приложение без дальнейшего ввода каких-либо данных для подключения. Нулевое доверие означает, что атака типа MITM должна быть в принципе не осуществима из-за реализации протокола.
• По итогу, сервисы, которые расцениваются как полностью децентрализованные, отвечают следующим требованиям: открытый исходный код, Zero-Config, защита от MITM на уровне протокола и низкий порог входа. Примеры приводить не буду, просто загляните в эту коллекцию ресурсов, выбирайте нужную категорию и переходите по ссылке:
- Cloud and Storage;
- Collaborative web editors;
- Cryptocurrencies and markets;
- Developer tools and frameworks;
- Hosting and media;
- Identity;
- Messaging;
- Networking;
- Protocols;
- Search Engines;
- Social Networks;
- Telephony.
• В дополнение: "Почему нам нужна децентрализация интернета".
#Конфиденциальность #ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
👍36🍾7❤5