infosec
55.1K subscribers
1.33K photos
73 videos
86 files
1.54K links
Copyright: @SEAdm1n

Вакансии: @infosec_work

Информационная безопасность. Литература для ИТ специалистов. Пентест, DevOps, Администрирование.

Преобрести рекламное размещение: https://telega.in/c/it_secur

РКН: https://vk.cc/cN3VCI
Download Telegram
😁51👏13🔥91
Security Study Plan.

• A Practical Study Plan to become a successful cybersecurity engineer based on roles like Pentest, AppSec, Cloud Security, DevSecOps and so on with free/paid resources, tools and concepts to excel.

Common Skills for Security Study Plan;
AWS Security Study Plan;
GCP Security Study Plan;
Azure Security Study Plan;
DevSecOps Study Plan;
Docker Security Study Plan;
Kubernetes Security Study Plan;
Web Penetration Testing Study Plan;
Application Security Testing Plan;
API Security Study Plan;
Network Security Study Plan.

https://github.com/jassics/security-study-plan

#AppSec #Security #DevSecOps #Cloud
9🔥32👍2
Forwarded from SHADOW:Group
🔐nOAUTH | Захват аккаунта через Microsoft OAuth

На сайтах, где идентификация идет по Email и есть возможность войти через Microsoft OAuth есть риск захвата аккаунта.

Дело в том, что Azure не проверяет установленную в аккаунте почту, что позволяет вам указать почту жертвы и войти на уязвимый сайт через OAUTH от ее имени.

- Жертва регается на сайте через свою почту.
- Заходим в Azure AD и меняем свою почту на почту жертвы.
- Заходим на сайт через Microsoft OAuth и получаем доступ к аккаунту жертвы.

Видео PoC

#web #ato #oauth
Please open Telegram to view this post
VIEW IN TELEGRAM
👍143🤯2
👩‍💻 Kubernetes Goat.

• The Kubernetes Goat is designed to be an intentionally vulnerable cluster environment to learn and practice Kubernetes security;

• Sensitive keys in codebases;
• DIND (docker-in-docker) exploitation;
• SSRF in the Kubernetes (K8S) world;
• Container escape to the host system;
• Docker CIS benchmarks analysis;
• Kubernetes CIS benchmarks analysis;
• Attacking private registry;
• NodePort exposed services;
• Helm v2 tiller to PwN the cluster;
• Analyzing crypto miner container;
• Kubernetes namespaces bypass;
• Gaining environment information;
• DoS the Memory/CPU resources;
• Hacker container preview;
• Hidden in layers;
• RBAC least privileges misconfiguration;
• KubeAudit - Audit Kubernetes clusters;
• Falco - Runtime security monitoring & detection;
• Popeye - A Kubernetes cluster sanitizer;
• Secure network boundaries using NSP;
• Cilium Tetragon - eBPF-based Security Observability and Runtime Enforcement;
• Securing Kubernetes Clusters using Kyverno Policy Engine.

https://github.com/madhuakula/kubernetes-goat

#Kubernetes #security
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1855
Информационная безопасность в облаке: с чего начать

• В 2023 году вышел Стандарт по защите облачной инфраструктуры от Yandex Cloud — с рекомендациями в области защиты данных. С помощью описанных мер и инструментов бизнес может обезопасить свои инфраструктуры и IT-системы.

• Рост потребления сервисов Security составил 3,4 раза (данные за первое полугодие текущего года), а пользователи выполнили уже более 1,5 млн сканирований своих IT-систем. Кроме того, в Yandex Cloud доступна SmartCaptcha, отражающая зловредный роботизированный трафик на сайтах компаний‑клиентов, составляющий в среднем 50% от общего объёма трафика.

• Ссылка: https://cloud.yandex.ru/docs/security/standard/all

#Security #RU
👍186👎3😁1
📶 Visual guide to SSH tunneling and port forwarding.

• Наглядные примеры построения SSH туннелей для решения различных задач: https://ittavern.com/visual-guide-to-ssh-tunneling-and-port-forwarding/

• Дополнительно: Визуальное руководство по туннелям SSH.

#SSH #security
Please open Telegram to view this post
VIEW IN TELEGRAM
13🔥9👍41🤩1
Please open Telegram to view this post
VIEW IN TELEGRAM
👍65
Please open Telegram to view this post
VIEW IN TELEGRAM
👍31🔥13
🔐 Shufflecake. Создание скрытых разделов на диске.

Shufflecake: plausible deniability for multiple hidden filesystems on Linux — инструмент для создания скрытых и зашифрованных разделов на диске, которые остаются не заметны даже при соответствующей экспертизе.

➡️ https://codeberg.org/shufflecake/shufflecake-c

#Linux #Security
Please open Telegram to view this post
VIEW IN TELEGRAM
👍19🤔7
🔑 A Compendium of Access Control on Unix-Like OSes.

• Вероятно, что это самое объемное руководство о контроле доступов в разных ОС (оглавление на скриншотах выше): https://venam.net/blog/unix/2023/02/28/access_control.html

• PDF версия: https://venam.net/blog/pdf/access_control/access_control.pdf

#security
👍20🔥8
👩‍💻 The SELinux Notebook.

• Держите бесплатную книгу по SELinux, цель которой — стать самой актуальной и всеобъемлющей книгой охватывающей компоненты ядра Linux, библиотеки, инструменты, политики и т.д.

Abbreviations and Terminology;
SELinux Overview;
Core Components;
Mandatory Access Control (MAC);
SELinux Users;
Role-Based Access Control (RBAC);
Type Enforcement (TE);
Security Context;
Subjects;
Objects;
Computing Security Contexts;
Computing Access Decisions;
Domain and Object Transitions;
Multi-Level and Multi-Category Security;
Types of SELinux Policy;
Permissive and Enforcing Modes;
Auditing Events;
Polyinstantiation Support;
PAM Login Process;
Linux Security Module and SELinux;
Userspace Libraries;
Networking Support;
Virtual Machine Support;
X-Windows Support;
SE-PostgreSQL Support;
Apache-Plus Support;
SELinux Configuration Files;
SELinux Policy Languages;
The Reference Policy;
Hardening SELinux;
Implementing SELinux-aware Applications;
Embedded Systems;
SE for Android;
Appendix A - Object Classes and Permissions;
Appendix B - libselinux API Summary;
Appendix C - SELinux Commands;
Appendix D - Debugging Policy - Hints and Tips;
Appendix E - Policy Validation Example.

➡️ Скачать в PDF можно отсюда.

#SELinux
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥29👍1342
👩‍💻 Awesome PowerShell.

• Большая подборка различного материала для изучения PowerShell: книги, курсы, статьи, подсказки, команды и т.д.:

- API Wrapper;
- Blogs;
- Books;
- Build Tools;
- Code and Package Repositories;
- Commandline Productivity;
- Communities;
- Data;
- Documentation Helper;
- Editors and IDEs;
- Frameworks;
- Interactive Learning;
- Logging;
- Module Development Templates;
- Package Managers;
- Parallel Processing;
- Podcasts;
- Security;
- SharePoint;
- SQL Server;
- Testing;
- Themes;
- UI;
- Videos;
- Webserver;
- Misc.

• Не забывайте про дополнительный материал, который опубликован в нашем канале:

- Коллекция примеров пошаговых сценариев администрирования систем с помощью PowerShell;
- Полезные заметки о командах PowerShell;
- Мини-курс: Windows PowerShell 5. [Часть 1], [Часть 2];
- Книга: PowerShell Security. (RU).

#PowerShell
Please open Telegram to view this post
VIEW IN TELEGRAM
👍178🔥6