https://habr.com/ru/articles/811973/

Написали статью о том как делать сегментирование сканирование сети с помощью SeteZor

Наша компания неоднократно проводила собеседования на должность пентестера. Работали со студентами на практике. Посмотрели на людей, показали себя, что говорится. И выявили основную проблему: мало кто из кандидатов реально хотят вкалывать, чтоб стать пентестером. Это сложная и нудная работа, которая требует глубокого погружения в тематику. Если ты работаешь по вебу, то нужно как минимум научиться кодить на уровне не ниже Jun+. Для того, чтобы понимать как работают те или иные уязвимости - нужно уметь визуализировать работу. Если ты работаешь по внутрянке - нужно уметь визуализировать то как работают сети на модели OSI. Нужно уметь настраивать ПО, чтобы знать настройки по умолчанию и понимать где есть проблемы из коробки.

Основная же масса кандидатов дальше понятийного аппарата не уходят. На тематических сайтах очень модно стало обмениваться вопросами на собеседованиях, чтоб зазубрить понятийный аппарат. Таким образом ребята пытаются читерить.

Кого вы пытаетесь обмануть? Сами себя? Ну прошли вы собес. Ну поработали на испытательном сроке. А дальше что? Хакерство это не модная тусовка, не возможность лёгкой наживы. Это образ мышления.

Основная масса крупных компаний набирают себе таких "зубрил". Которые ничего, кроме сканера запустить не могут. Да, возможно жажда лёгкой наживы имеет место быть, и через пару лет, как это было неоднократно - рынок сам расставит все по своим местам. В результате этой гонки выживут и станут крупными те, кто реально работал и стремился развиваться и расти. Это именно наш подход и он тоже имеет место быть и он единственный правильный. А все читеры в конечном итоге потратят все лёгкие деньги и останутся у разбитого корыта. Это сугубо выбор каждого.

Всего доброго и хорошей всем рабочей недели.

phdays 2 впечатляет своим масштабом. Походу все ИБшники России собрались. Большое спасибо ребятам из PT за отличную организацию. Мы тут ещё два дня. Если есть желание встретиться, пообщаться - пишите.

Некоторые коллеги до сих пор руками изучают логи nmap при тестировании на проникновение. Хорошо, когда сеть /24. Но что вы делаете с такими сетями? SeteZor вам в помощь. Красота, правда? 😊

https://habr.com/ru/articles/840766/
Написали туториал. Как рулить окунем. Через SeteZor.

Многим известен ресторан: "Хочу пури". Одна из их фишек - можно оплатить заказ с помощью qr кода, пример приложили. Так вот, нашли у них небольшую уязвимость. Qr код ведёт по следующей ссылке: https://tapper.cloud/hochu-puri-9048/28
Где 28 - номер столика. 9048 вероятно номер заведения. В данной ссылке отсутствует какая-либо система проверки и любой может перебрать номер столика и попранковать над официантами и посетителями. Например вызвать официанта и попросить что-то сделать.

Весёлых пранков. 😁

Не мог не зарепостить с другого нашего канала ))). Добавили крутые фичи: VM, SNMP brute, сриншотер. Тестируйте, отписывайтесь по доработкам, багам и т.п.

https://github.com/lmsecure/Setezor/releases/tag/0.10.0b
# Что нового?
- SNMP
- Подбор community string по IP адресу с определением прав доступа
- Web Screenshoter
- Интеграция с Playwright. Теперь можно получать снимок страницы по ссылке
- Vulnerabilities manager
- Ручное добавление уязвимостей
- Возможность прикреплять подтверждающие скриншоты для уязвимости
- Network Map
- Добавлена возможность вручную создавать, удалять и редактировать узлы и грани
- Инструменты были объединены в группы на странице Tools

Ещё немного красоты. На этот раз построили спарсив snmp ))

Здравствуйте, наши маленькие любители хакинга. 🤓
Вот уже на протяжении двух лет, мы развиваем Setezor. Думаем, что те кто им пользовался уже наверняка оценили наш вклад в опенсоурс сообщество. А те кто ещё не успел - настоятельно рекомендуем. ))
В этом году мы собрали отличную команду разработчиков, которые не оставляют в покое свои засаленные клавиатуры и пилят фичи днём и ночью, специально для Вас.
Настало время обратиться к Вам, за помощью. Проекту очень нужна обратная связь. Мы выходим на новый уровень и собираем требования по функционалу. Пожалуйста, отпишитесь в комментариях, что по вашему мнению стоит добавить в Setezor

Всех с наступающим новым годом. Уходящий год был трудным, но не менее интересным. Мы многое сделали. Ещё больше сделаем в следующем году.

От лица всей команды желаем всего самого доброго. ❤️ Спасибо, что Вы с нами.

Лайфхак: получаем бесплатную пиццу в Додо Пицца

Уязвимости бывают не только в компьютерных системах и людях. Все то что сделано человеком - может быть взломано человеком. 3го дня нашли уязвимость в бизнес процессе приготовления додо пиццы.

Если не хочется читать то вот инструкция: в пятницу вечером (18:00) заказываем большую пиццу - получаем еще одну бесплатно.

В чем суть: основной поток на конвейере приготовления пицц поставлен на средние пиццы. Оно и понятно. Заказывают в основном средние пиццы. Мы делали заказ на большую пиццу - кассир сообщил время приготовления, 15 минут. Как это происходит. Сначала они делают заказы на средние пиццы. Только после этого приступают к нестандартным заказам. При этом конвейер по производству значительно начинает тормозить, поскольку движения поворов отточены до автоматизма на средние пиццы. В итоге время ожидания увеличилось до 30-40 минут. В приложении от заказа до доставки даётся 1 час. В противном случае Додо - пиццу дарят в подарок.
Т.о. заказав большую пиццу в час пик мы кратно увеличиваем вероятность того, что они не успевают за час приготовить и доставить.

P.S.: поэксперементируйте. Есть большая вероятность, что и в обычное время они не успеют, например заказ мы делали на большую и маленькую пиццу в субботу днём. Сработало. )

https://github.com/lmsecure/Setezor/releases/tag/0.20.1b

Dashboard

Был полностью переработан Dashboard

Изменено отображение графиков
Добавлены таблицы cpe2.3 и уязвимости
Добавлена общая таблица показывающая программное обеспечение которое находится на 4 уровне модели OSI
Зимнее оформление

Программные_агенты

Раньше сканирование производил сервер - это была имитация агента, сейчас мы создали полонценнного программного агента.
Наш "Агент Смит" сканирует сеть взаимодействуя со всеми инструментам «Сетезор», он умеет подключаться не только через сервер, но и через другого "Агента Смита".
Было добавлено

Возможность запуска инструментов с агентов

Теперь агентов можно подключить по цепочке и запускать с них инструменты, каждый агент обладает своим AES-256 ключом шифруя все передаваемые данные

При создании агентов добавлена возможность выбрать его родителя, для создания цепочки вызовов, после чего необходимо подключить нужные для работы интерфейсы

Изменены таблицы с информацией

Теперь во вкладке информации находятся следующие таблицы:

L7_SOFTWARE - отображает программное обеспечение на 7 уровне модели OSI.
L4_SOFTWARE - отображает программное обеспечение на 4 уровне модели OSI.
IP_MAC_PORT - показывает информацию о найденных связках IP-адресах, портах и MAC-адресах.
DOMAIN_IP - показываетп принадлежность доменов к IP-адресу.
L7_SOFT_VULN_LINK - показывает уязвимости найденные на 7 уровне модели OSI.
l4_SOFT_VULN_LINK - показывает уязвимости найденные на 4 уровне модели OSI

Task manager

Был добавлен task manager, в котором есть 4 вкладки с текущим состоянием задач

Created - страница с создаными задачами с их параметрами, с этой страницы происходит запуск задач
Started - страница с запущенными задачами
Failed - страница с провалеными задачами
Finished - страница с завершенными задачами, которые можно перезапустить с теми же параметрами

Переработали sidebar

https://habr.com/ru/companies/lmsecurity/articles/860016/

Наша статья по атакам на 1с. Первая часть. Клиентская частт

https://github.com/lmsecure/Setezor/releases/tag/0.24.0b

Новый релиз Сетезора.
Начали свои изыскания в области групповой работы с сетезором в рамках тестирования на проникновение. А именно добавили возможность инвайтить пользователей в проекты. Добавили возможность добавлять комментарии к узлу.

На следующей неделе постараемся выкатить онлайн версию сетезора. Сейчас пока тестируем. В чем разница спросите вы? А все очень просто в онлайне будет больше аналитики и фич, которые не будут включены в опенсоурс версию. +Удобство. Не нужно разворачивать серверную часть на своих мощностях. Подключили агента и можно анализировать сеть.

Кто узнает кадр из фильма? ))

У нас хорошие новости. Открыли онлайн версию Сетезора:
https://online.setezor.net
Чем отличается на данный момент от опенсоурс версии:
- Формирование отчётов
- Срезы по сканам

Из преимуществ:
- ненадо разворачивать серверную часть. Раскатили агента на вдске. Подключили к онлайну и можно работать.