На днях я получил свой первый профессиональный сертификат об обучении. Прошел курс "Анализ безопасности мобильных приложений" от CyberED. Теперь я оффициально умею ломать Андроид и IOs мобилки 😎
TLDR. Общие впечатления в целом: 7/10.
Можете поставить положительные реакции и мне будет приятно.
Спасибо товарищам из @radcop_online за оплату обучения ❤️
[Следующим постом] мой субъективный обзор. Не реклама :)
#cert #cybered #mobile
TLDR. Общие впечатления в целом: 7/10.
Можете поставить положительные реакции и мне будет приятно.
Спасибо товарищам из @radcop_online за оплату обучения ❤️
[Следующим постом] мой субъективный обзор. Не реклама :)
#cert #cybered #mobile
👏39❤9🏆7🔥6👍4🤡3👎1🍾1
[Начало тут]
Сфера безопасности мобильных приложений давно была мне интересна, примерно пару лет назад я лишь слегка её коснулся. Тогда для меня вся суть работы заключалась в исследовании мобильного API. Конечно же, безопасность мобилок представляет из себя гораздо более глубокую стезю.
У нас, в кооперативе @radcop_online, поощряется и поддерживается желание развиваться в профессиональном и личностном смысле. Поэтому мне с радостью оплатили обучение и я принялся за изучение учебных материалов.
Тезисно о курсе и его организации:
- Мне понравился формат обучения. Фокус на практику - это супер важно;
- Понравилось, что были записи занятий и асинхронный формат обучения. Во время активной фазы курса я совмещал работу, 4 вечерние тренировки в зале и один день публичных выступлений. Это всё в неделю. Была также возможность очно присутвовать на трансляции и задавать вопросы онлайн;
- Мне понравился преподаватель. Было интересно узнавать детали уязвимостей и слышать истории из практики про всякие мелочи, которые могут повлиять на процесс тестирования безопасности мобилок;
- Мне понравились домашки, хоть их было и не много. Домашка с обходом механизмов защиты активностей в мобильном приложении вновь заставила меня почувствовать то самое трепетное ощущение "всемогущества", которое иногда возникает во время проектов. Итоговой домашкой было написание отчета о тестировании на проникновение тестового мобильного приложения. Было прикольно;
- Понравились другие участники курса. Со мной в группе были люди с техническим бекграундом. Было интересно слушать обсуждения прикладных вопросов;
- Понравился список тем и их содержание. Прошлись по основным вещам, которые могут понадобиться для работы. Конечно, это верхушка айсберга, но этого достаточно для общего понимания процесса и выполнения проектов.
- Понравилось, что было два занятия в неделю. Каждое занятие длится по 3 часа и я смотрел в записи на скорости x1.5. В совокупность весь курс занял два месяца.
- Мне НЕ понравилась обучающая платформа LMS. UI кажется неудобным, а UX медленным. Свои задачи выполняет, но хотелось бы иметь более интуитивный и отзывчивый интерфейс. С платформой я взаимодействовал по-минимуму: смотрел рекомендации к уроку, домашки и темы.
Спасибо команде CyberED за организацию и подготовку этого курса :)
#cert #cybered #mobile
Сфера безопасности мобильных приложений давно была мне интересна, примерно пару лет назад я лишь слегка её коснулся. Тогда для меня вся суть работы заключалась в исследовании мобильного API. Конечно же, безопасность мобилок представляет из себя гораздо более глубокую стезю.
У нас, в кооперативе @radcop_online, поощряется и поддерживается желание развиваться в профессиональном и личностном смысле. Поэтому мне с радостью оплатили обучение и я принялся за изучение учебных материалов.
Тезисно о курсе и его организации:
- Мне понравился формат обучения. Фокус на практику - это супер важно;
- Понравилось, что были записи занятий и асинхронный формат обучения. Во время активной фазы курса я совмещал работу, 4 вечерние тренировки в зале и один день публичных выступлений. Это всё в неделю. Была также возможность очно присутвовать на трансляции и задавать вопросы онлайн;
- Мне понравился преподаватель. Было интересно узнавать детали уязвимостей и слышать истории из практики про всякие мелочи, которые могут повлиять на процесс тестирования безопасности мобилок;
- Мне понравились домашки, хоть их было и не много. Домашка с обходом механизмов защиты активностей в мобильном приложении вновь заставила меня почувствовать то самое трепетное ощущение "всемогущества", которое иногда возникает во время проектов. Итоговой домашкой было написание отчета о тестировании на проникновение тестового мобильного приложения. Было прикольно;
- Понравились другие участники курса. Со мной в группе были люди с техническим бекграундом. Было интересно слушать обсуждения прикладных вопросов;
- Понравился список тем и их содержание. Прошлись по основным вещам, которые могут понадобиться для работы. Конечно, это верхушка айсберга, но этого достаточно для общего понимания процесса и выполнения проектов.
- Понравилось, что было два занятия в неделю. Каждое занятие длится по 3 часа и я смотрел в записи на скорости x1.5. В совокупность весь курс занял два месяца.
- Мне НЕ понравилась обучающая платформа LMS. UI кажется неудобным, а UX медленным. Свои задачи выполняет, но хотелось бы иметь более интуитивный и отзывчивый интерфейс. С платформой я взаимодействовал по-минимуму: смотрел рекомендации к уроку, домашки и темы.
Спасибо команде CyberED за организацию и подготовку этого курса :)
#cert #cybered #mobile
Telegram
Path Secure
На днях я получил свой первый профессиональный сертификат об обучении. Прошел курс "Анализ безопасности мобильных приложений" от CyberED. Теперь я оффициально умею ломать Андроид и IOs мобилки 😎
TLDR. Общие впечатления в целом: 7/10.
Можете поставить положительные…
TLDR. Общие впечатления в целом: 7/10.
Можете поставить положительные…
🔥19❤🔥1❤1👍1
Привет!
Я проводил множество собесов для админов и пентестеров, менторил несколько человек по разным аспектам наступательной информационной безопасности, сам участвовал в собесах. Мне нравится как разные вопросы позволяют пролить свет на глубину знаний человека в той или иной области.
Решил создать и курировать репозиторий с вопросами по наступательной безопасности на русском языке. Почему-то я не нашел такой репозиторий сразу. На английском языке таких огромное колличество и все они имею свои плюсы и минусы.
Этот репозиторий содержит в себе компиляцию вопросов по наступательной безопасности (offensive security). Используя этот материал, можно подготовиться к предстоящему собеседованию или прикинуть какие области знаний Вами не покрыты для самостоятельного обучения. Хороший интервьюер всегда задаст более глубокий и уточняющий вопрос, а соискателю будет невероятно полезно осознавать что еще ему стоит подучить или хотя бы иметь ввиду.
Проект является личной инициативой и несет в себе исключительно альтруистические цели. Проект является открытым, каждый желающий может сделать форк или предложить изменения в существующий список вопросов мне в личку в телеге (@curiv). Порядок вопросов и их категория носят субъективный характер. Репозиторий будет наполняться с течением времени, список источников представлен в последнем разделе. Вопросы будут агрегироваться из источников, список источников также будет пополняться. Если оставите положительные реакции, то мне будет приятно ❤️
https://github.com/curiv/russian-offensive-security-questions
#pentest #interview #repository
Я проводил множество собесов для админов и пентестеров, менторил несколько человек по разным аспектам наступательной информационной безопасности, сам участвовал в собесах. Мне нравится как разные вопросы позволяют пролить свет на глубину знаний человека в той или иной области.
Решил создать и курировать репозиторий с вопросами по наступательной безопасности на русском языке. Почему-то я не нашел такой репозиторий сразу. На английском языке таких огромное колличество и все они имею свои плюсы и минусы.
Этот репозиторий содержит в себе компиляцию вопросов по наступательной безопасности (offensive security). Используя этот материал, можно подготовиться к предстоящему собеседованию или прикинуть какие области знаний Вами не покрыты для самостоятельного обучения. Хороший интервьюер всегда задаст более глубокий и уточняющий вопрос, а соискателю будет невероятно полезно осознавать что еще ему стоит подучить или хотя бы иметь ввиду.
Проект является личной инициативой и несет в себе исключительно альтруистические цели. Проект является открытым, каждый желающий может сделать форк или предложить изменения в существующий список вопросов мне в личку в телеге (@curiv). Порядок вопросов и их категория носят субъективный характер. Репозиторий будет наполняться с течением времени, список источников представлен в последнем разделе. Вопросы будут агрегироваться из источников, список источников также будет пополняться. Если оставите положительные реакции, то мне будет приятно ❤️
https://github.com/curiv/russian-offensive-security-questions
#pentest #interview #repository
GitHub
GitHub - curiv/russian-offensive-security-questions: Репозиторий содержит список вопросов по наступальной безопасности.
Репозиторий содержит список вопросов по наступальной безопасности. - GitHub - curiv/russian-offensive-security-questions: Репозиторий содержит список вопросов по наступальной безопасности.
2👍62🔥27❤🔥10❤9
Делаем с ребятами из ИБ сообщества благотворительную активность.
Собираем средства на компенсацию билетов на PHDays перспективным студентам и школьникам. Бюджет формируется за счёт неравнодушных донатеров (напишите в личку, если хотите помочь).
Очень рад, что принимаю в этом участие в качестве организатора. Более подробная инфа по ссылке:
https://t.iss.one/yrrp_official/6
Репост и участие приветствуется!
Собираем средства на компенсацию билетов на PHDays перспективным студентам и школьникам. Бюджет формируется за счёт неравнодушных донатеров (напишите в личку, если хотите помочь).
Очень рад, что принимаю в этом участие в качестве организатора. Более подробная инфа по ссылке:
https://t.iss.one/yrrp_official/6
Репост и участие приветствуется!
Telegram
Young Researchers Reward Program
⚡️Конкурс!⚡️
Наши друзья из Positive Technologies предоставили нам 6 проходок на PhD для проведения благотворительного конкурса. Читаем инфу ниже!
📎 Описание конкурса:
Вы пишете обезличенный отчет, в котором рассказываете о своей самой интересной баге,…
Наши друзья из Positive Technologies предоставили нам 6 проходок на PhD для проведения благотворительного конкурса. Читаем инфу ниже!
📎 Описание конкурса:
Вы пишете обезличенный отчет, в котором рассказываете о своей самой интересной баге,…
2🔥12🤡10❤5💩5🖕3👍1
На хабре вышла моя статья про автоматизацию отчетов с помощью PwnDOC.
Мне очень нравится, что удалось подсветить фундаментальную проблему ограниченного времени в контексте оформления отчетов. Достаточно много полезных и интересных ссылок в тексте, советую каждую протыкать и ознакомиться.
Статья получилась в необычном для меня формате - гайд по использованию и внедрению инструмента. Кажется, мне удалось достаточно подробно и пошагово рассказать о плюсах автоматизации и PwnDoc в частности. Удивительно, что так мало информации в русскоязычном поле.
Читайте, ставьте реакции :)
https://habr.com/ru/companies/radcop/articles/827660/
PS: Через несколько дней сдаю OSCP и по итогам будет большой-большой пост :)
Мне очень нравится, что удалось подсветить фундаментальную проблему ограниченного времени в контексте оформления отчетов. Достаточно много полезных и интересных ссылок в тексте, советую каждую протыкать и ознакомиться.
Статья получилась в необычном для меня формате - гайд по использованию и внедрению инструмента. Кажется, мне удалось достаточно подробно и пошагово рассказать о плюсах автоматизации и PwnDoc в частности. Удивительно, что так мало информации в русскоязычном поле.
Читайте, ставьте реакции :)
https://habr.com/ru/companies/radcop/articles/827660/
PS: Через несколько дней сдаю OSCP и по итогам будет большой-большой пост :)
Хабр
Автоматизация отчётов пентестера с помощью PwnDoc
Введение В этом обзоре я расскажу о своем опыте работы с PwnDoc — инструментом который может быть полезен в автоматизации оформления отчетной документации по проектам. Многие...
158🔥23👍9🤯2🤡2💩1👀1
На почту упало сообщение о небольшом изменении в OSCP.
С первого ноября 2024 года OSCP серт превращается в(тыкву) OSCP+. Что это значит?
- будут внесены изменения в Active Directory set. Больше упора на компрометацию домена методом серого ящика;
- OSCP+ будет действовать 3 года. Обычный OSCP серт остается действительным навсегда как и был;
- Бонусные очки исчезают как класс подобно другим сертификациям offensive security. Бонусных очков там нет;
- Для тех, у кого уже есть OSCP, есть возможность прокачать грейд до OSCP+ за 199$, если оплатить экзамен до 31 марта 2025 года.
- стратегии сдачи экзамена с бонусными очками больше не работают. Зато есть новые, теперь AD является обязательной частью.
Больше инфы здесь:
[1] https://help.offsec.com/hc/en-us/articles/29840452210580-Changes-to-the-OSCP
[2] https://help.offsec.com/hc/en-us/articles/29865898402836-OSCP-Exam-Changes
6 сентября будет вебинар с разбором обновлений
https://learn.offsec.com/oscpwebinar
PS: а админ будет пробовать вторую попытку сдачи OSCP через неделю 🤝
#oscp
С первого ноября 2024 года OSCP серт превращается в
- будут внесены изменения в Active Directory set. Больше упора на компрометацию домена методом серого ящика;
- OSCP+ будет действовать 3 года. Обычный OSCP серт остается действительным навсегда как и был;
- Бонусные очки исчезают как класс подобно другим сертификациям offensive security. Бонусных очков там нет;
- Для тех, у кого уже есть OSCP, есть возможность прокачать грейд до OSCP+ за 199$, если оплатить экзамен до 31 марта 2025 года.
- стратегии сдачи экзамена с бонусными очками больше не работают. Зато есть новые, теперь AD является обязательной частью.
Больше инфы здесь:
[1] https://help.offsec.com/hc/en-us/articles/29840452210580-Changes-to-the-OSCP
[2] https://help.offsec.com/hc/en-us/articles/29865898402836-OSCP-Exam-Changes
6 сентября будет вебинар с разбором обновлений
https://learn.offsec.com/oscpwebinar
PS: а админ будет пробовать вторую попытку сдачи OSCP через неделю 🤝
#oscp
62👍12🔥1
Вчера отправил на проверку отчёт для OSCP.
В первый раз я прокололся на простых и очевидных вещах. Ранее называл это "не повезло", сейчас же осознаю, что это был человеческий фактор: усталость и невнимательность. Мне не хватило баллов, чтобы набрать самый минимум. Я пренебрег сном, чтобы сделать хоть что-то. Кажется, это было глубокой ошибкой. И во второй раз я решил изменить тактику.
Два дня экзамена я работал исключительно по Pomodoro таймеру (25 мин работы, 5 минут отдыха). Это ощущалось продуктивно. Я часто не замечал, как пролетают циклы. Вторая попытка в целом оказалась более удачной. Я быстро собрал нужные векторы и уже через 9 часов необходимые баллы были набраны. Под вечер я уже был сильно измотан, но с осознанием, что самое сложное позади. Следующим днём я писал отчёт. Суммарно ушло 6 часов. Здесь я много отдыхал, но скрупулёзно перепроверял каждый пункт. Кажется, что перечитал финальную версию раз 10.
Что же, посмотрим насколько удачной оказалась вторая попытка. Ожидайте ответ в течении 10 рабочих дней.
#certification
В первый раз я прокололся на простых и очевидных вещах. Ранее называл это "не повезло", сейчас же осознаю, что это был человеческий фактор: усталость и невнимательность. Мне не хватило баллов, чтобы набрать самый минимум. Я пренебрег сном, чтобы сделать хоть что-то. Кажется, это было глубокой ошибкой. И во второй раз я решил изменить тактику.
Два дня экзамена я работал исключительно по Pomodoro таймеру (25 мин работы, 5 минут отдыха). Это ощущалось продуктивно. Я часто не замечал, как пролетают циклы. Вторая попытка в целом оказалась более удачной. Я быстро собрал нужные векторы и уже через 9 часов необходимые баллы были набраны. Под вечер я уже был сильно измотан, но с осознанием, что самое сложное позади. Следующим днём я писал отчёт. Суммарно ушло 6 часов. Здесь я много отдыхал, но скрупулёзно перепроверял каждый пункт. Кажется, что перечитал финальную версию раз 10.
Что же, посмотрим насколько удачной оказалась вторая попытка. Ожидайте ответ в течении 10 рабочих дней.
#certification
52🔥42👍9⚡2❤2
Path Secure
Вчера отправил на проверку отчёт для OSCP. В первый раз я прокололся на простых и очевидных вещах. Ранее называл это "не повезло", сейчас же осознаю, что это был человеческий фактор: усталость и невнимательность. Мне не хватило баллов, чтобы набрать самый…
Океееей, это оказалось быстрее, чем я думал :)
Экзамен успешно сдан. Теперь я сертифицированный специалист по наступательной безопасности. Можно поздравить в личке или здесь в комментариях 🎉
Впереди новые вершины. В 2025 начну подготовку к OSEP.
Также хочу провести стрим с ответами на вопросы. Ставь лайк, если нужно!
Экзамен успешно сдан. Теперь я сертифицированный специалист по наступательной безопасности. Можно поздравить в личке или здесь в комментариях 🎉
Впереди новые вершины. В 2025 начну подготовку к OSEP.
Также хочу провести стрим с ответами на вопросы. Ставь лайк, если нужно!
65🔥145🎉31👍30❤12
Path Secure
Океееей, это оказалось быстрее, чем я думал :) Экзамен успешно сдан. Теперь я сертифицированный специалист по наступательной безопасности. Можно поздравить в личке или здесь в комментариях 🎉 Впереди новые вершины. В 2025 начну подготовку к OSEP. Также…
Хей, хей!
Статья-рефлексия по итогам OSCP c пылу с жару на Хабр.
Получилась довольно хорошо. Рад, что удалось добраться и зафиксировать свой опыт. Содержание статьи:
1. Введение
2. Подготовка
3. Первая попытка
4. Вторая попытка
5. Заключение
6. Конспект обработанных рекомендаций из разных видео по OSCP
Еще загрузил свой читшит. Туда же положу шаблон отчета в формате markdown:
https://github.com/curiv/oscp-cheatsheet
Буду очень рад реакциям, репостам, комментариям и вопросам. Стрим с раззбором все ещё в силе. Заранее сделаю анонс
#certification #oscp #article
Статья-рефлексия по итогам OSCP c пылу с жару на Хабр.
Получилась довольно хорошо. Рад, что удалось добраться и зафиксировать свой опыт. Содержание статьи:
1. Введение
2. Подготовка
3. Первая попытка
4. Вторая попытка
5. Заключение
6. Конспект обработанных рекомендаций из разных видео по OSCP
Еще загрузил свой читшит. Туда же положу шаблон отчета в формате markdown:
https://github.com/curiv/oscp-cheatsheet
Буду очень рад реакциям, репостам, комментариям и вопросам. Стрим с раззбором все ещё в силе. Заранее сделаю анонс
#certification #oscp #article
Хабр
Системный подход к успешной сдаче OSCP 2024
Введение Широко известная в узких кругах организация «Offensive Security» является флагманом в области кибербезопасности, предлагая специалистам уникальные образовательные программы и сертификационные...
32🔥37👍8❤4😁2
Вот и подходит к концу 2024 год. Всех поздравляю с грядущим инкрементом 🎉
Проведу стрим на канале в эту среду (25.12) в 20 МСК.
Буду рад пообщаться, рассказать про OSCP, про мою роль тимлида, о том как делать кучу проектов в месяц паралельно, о том как работает академия пентестеров в РАД КОП.
Год назад уже проводил такое: https://t.iss.one/pathsecure/347
Увидимся на стриме!
Проведу стрим на канале в эту среду (25.12) в 20 МСК.
Буду рад пообщаться, рассказать про OSCP, про мою роль тимлида, о том как делать кучу проектов в месяц паралельно, о том как работает академия пентестеров в РАД КОП.
Год назад уже проводил такое: https://t.iss.one/pathsecure/347
Увидимся на стриме!
1🔥21👍4❤1
Некоторое время назад взялся за старую задачку из беклога: нужно было объединить словари с паролями.
Сложность в том, что размер словарей был большим. 200 гигов и 56 гигов.
С большой вероятностью многие строчки будут дублироваться, а значит нужно убирать дубликаты. Я сразу понял, что решать такую задачу влоб (используя стандартные GNU утилиты sort и uniq нельзя). В связи с этим я пообщался с дата-сатанистами и объяснил свою задачу. Мне посоветовали воспользоваться duckdb.
Это форк sqlite на rust и это колоночная бд с кучей оптимизаций. Я решил попробовать. Установка очень простая, кажется, я выкачал бинарник на сервер и всё.
Кстати, о сервере. Это было достаточно смешно и интересно. У меня было где-то 3-4 итерации. Сперва я закупил виртуалку с 16 ядер и 32 гигов оперативной памяти. Я сразу же упёрся в производительность процессора, а потом в количество оперативной памяти, потому то duckdb буферизирует данные в оперативной памяти для обработки. Далее я увеличил размер оперативной памяти примерно до 60 и процессор до 32 ядер. На второй итерации я упёрся в производительность диска, потому что всё, что не помещается в оперативную память пишется на диск. Спустя несколько итераций я дошел до мегавиртуалки с 500 гигами оперативы и 64 ядрами процессораа, а также супер быстрыми дисками со скоростью 1000 мб/сек. 300 гигов рамы мне не хватало для задачи удаления нечитаемых символов.
В целом опыт достаточно забавный. Суммарно на всё ушло две субботы. Чуть больше познакомился с облачными вычислениями. По итогу имеется большой словарь, представляющий собой компиляцию из других словарей. Суммарный объем выше даже меньше, чем я предполагал, примерно 180 гигов. Всё веселье вышло примерно в 5к рублей. В целом совсем не много для исследовательского проекта в рамках бизнес задачи. Думаю, что всё можно было сделать суммарно часа за 2, если сразу взять большую виртуалку и загрузить словари в облачное хранилище, а также копировать и вставлять готовые команды.
А как вы решаете такие задачи? Поделитесь в комментариях!
Ниже полезные команды, которые мне понадобились для выполнения этой задачи:
Расширяем лимит для записи на диск, иначе загрузка может внезапно обрубиться:
Задаем число потоков для одновременной обработки:
Указывает максимальный объём оперативной памяти для использования:
Создание таблицы из файла без заголовка:
Чтение файла и загрузка его в таблицу:
Также можно вычищать пустые сиволы из строк по регулярке:
Удалить строки короче 8 символов
Выгрузка базы в текстовый файл:
#rnd #wordlists #duckdb
Сложность в том, что размер словарей был большим. 200 гигов и 56 гигов.
С большой вероятностью многие строчки будут дублироваться, а значит нужно убирать дубликаты. Я сразу понял, что решать такую задачу влоб (используя стандартные GNU утилиты sort и uniq нельзя). В связи с этим я пообщался с дата-сатанистами и объяснил свою задачу. Мне посоветовали воспользоваться duckdb.
Это форк sqlite на rust и это колоночная бд с кучей оптимизаций. Я решил попробовать. Установка очень простая, кажется, я выкачал бинарник на сервер и всё.
Кстати, о сервере. Это было достаточно смешно и интересно. У меня было где-то 3-4 итерации. Сперва я закупил виртуалку с 16 ядер и 32 гигов оперативной памяти. Я сразу же упёрся в производительность процессора, а потом в количество оперативной памяти, потому то duckdb буферизирует данные в оперативной памяти для обработки. Далее я увеличил размер оперативной памяти примерно до 60 и процессор до 32 ядер. На второй итерации я упёрся в производительность диска, потому что всё, что не помещается в оперативную память пишется на диск. Спустя несколько итераций я дошел до мегавиртуалки с 500 гигами оперативы и 64 ядрами процессораа, а также супер быстрыми дисками со скоростью 1000 мб/сек. 300 гигов рамы мне не хватало для задачи удаления нечитаемых символов.
В целом опыт достаточно забавный. Суммарно на всё ушло две субботы. Чуть больше познакомился с облачными вычислениями. По итогу имеется большой словарь, представляющий собой компиляцию из других словарей. Суммарный объем выше даже меньше, чем я предполагал, примерно 180 гигов. Всё веселье вышло примерно в 5к рублей. В целом совсем не много для исследовательского проекта в рамках бизнес задачи. Думаю, что всё можно было сделать суммарно часа за 2, если сразу взять большую виртуалку и загрузить словари в облачное хранилище, а также копировать и вставлять готовые команды.
А как вы решаете такие задачи? Поделитесь в комментариях!
Ниже полезные команды, которые мне понадобились для выполнения этой задачи:
Расширяем лимит для записи на диск, иначе загрузка может внезапно обрубиться:
PRAGMA max_temp_directory_size='200GiB'Задаем число потоков для одновременной обработки:
PRAGMA threads = 32Указывает максимальный объём оперативной памяти для использования:
PRAGMA memory_limit = '244GB';Создание таблицы из файла без заголовка:
CREATE TABLE "merged_passwords" as select * from read_csv_auto('rockyou2021.txt', header=false, columns={'password':'TEXT'}, ignore_errors=true);Чтение файла и загрузка его в таблицу:
insert into merged_passwords SELECT DISTINCT * from read_csv_auto('bigfile.txt', header=false, ignore_errors=True);Также можно вычищать пустые сиволы из строк по регулярке:
update merged_passwords set password = regexp_replace(password, '\00', ' ','g')Удалить строки короче 8 символов
DELETE FROM merged WHERE LENGTH(password) < 8;Выгрузка базы в текстовый файл:
COPY merged_passwords to 'merged.txt' (HEADER FALSE);#rnd #wordlists #duckdb
1🔥29👍7❤2🤔1🤝1
Хочу поделиться радостью от успешной реализации социального института!
Примерно год назад я задумался, что нам в кооперативе RAD COP жизненно необходимо создать процесс системной подготовки будущих товарищей пентестеров. Причем под системностью я понимаю достаточно крупные области знаний:
- Хард скиллы (уметь выполнять пентест проекты, настраивать инфраструктуру, писать отчеты, отвечать на технические вопросы и т.д. );
- Софт скиллы (уметь защищать отчет, общаться с Заказчиком, работать в команде, говорить о свои потребностях и ценностях, уметь говорить о проблемах и т.д.);
- Культурная составляющая (мы существуем в рамках самоуправляемой организации, исповедуем лучшие практики социократии 3.0, стремимся к бирюзовости в терминах спиральной динамики, а также к уровню индивидуалиста по вертикальному развитию личности и т. д. - это всё является огромный культурным базисом нашей компании);
- Личная эффективность (Как мы справляемся с большим количеством задач и держим контекст, как мы формируем наш день и наши привычки, как хорошо мы спим, питаемся и занимаемся спортом и т. д.).
- - -
Я посчитал это достаточно безопасным, чтобы попробовать. В целом получилось даже лучше, чем я ожидал и результатом я доволен. Сейчас уже набрался и вот-вот стартанёт второй поток. К слову, обучение абсолютно бесплатное, но требует от кандидатов максимально вовлеченности и отдачи. Все заявки проходили через меня и через некоторый процесс онбординга. Сейчас хочу поделиться отзывами первых выпускников:
1) Александр (Podozritelny)
https://t.iss.one/podozritelnaya_activnost/30
2) Александр (DAFFIER)
https://t.iss.one/hackerbiker/42
3) Константин (Konstanto)
https://t.iss.one/failauth/18
Поддержите ребят лайками и подпиской на их личные телеграм каналы. Думаю, что им будет очень приятно от этого. Мне тоже будет приятно от реакций на этот пост!
#self #academy #feedback
Примерно год назад я задумался, что нам в кооперативе RAD COP жизненно необходимо создать процесс системной подготовки будущих товарищей пентестеров. Причем под системностью я понимаю достаточно крупные области знаний:
- Хард скиллы (уметь выполнять пентест проекты, настраивать инфраструктуру, писать отчеты, отвечать на технические вопросы и т.д. );
- Софт скиллы (уметь защищать отчет, общаться с Заказчиком, работать в команде, говорить о свои потребностях и ценностях, уметь говорить о проблемах и т.д.);
- Культурная составляющая (мы существуем в рамках самоуправляемой организации, исповедуем лучшие практики социократии 3.0, стремимся к бирюзовости в терминах спиральной динамики, а также к уровню индивидуалиста по вертикальному развитию личности и т. д. - это всё является огромный культурным базисом нашей компании);
- Личная эффективность (Как мы справляемся с большим количеством задач и держим контекст, как мы формируем наш день и наши привычки, как хорошо мы спим, питаемся и занимаемся спортом и т. д.).
- - -
Я посчитал это достаточно безопасным, чтобы попробовать. В целом получилось даже лучше, чем я ожидал и результатом я доволен. Сейчас уже набрался и вот-вот стартанёт второй поток. К слову, обучение абсолютно бесплатное, но требует от кандидатов максимально вовлеченности и отдачи. Все заявки проходили через меня и через некоторый процесс онбординга. Сейчас хочу поделиться отзывами первых выпускников:
1) Александр (Podozritelny)
https://t.iss.one/podozritelnaya_activnost/30
2) Александр (DAFFIER)
https://t.iss.one/hackerbiker/42
3) Константин (Konstanto)
https://t.iss.one/failauth/18
Поддержите ребят лайками и подпиской на их личные телеграм каналы. Думаю, что им будет очень приятно от этого. Мне тоже будет приятно от реакций на этот пост!
#self #academy #feedback
16❤34🔥17👍7🤔3🤡2🤝2🥰1
- - -
Чтож, с воодушевлением смотрю в светлое будущее и предвкущаю, что уже через 3 месяца я значительно прокачаюсь в этой теме.
@pathsecure
BTW: я уже успел обработать некоторый общедоступный материал про OSWE (отзывы других людей, статьи, посты, видосы). Кому интересно, то стучитесь в личку :)
Планирую обучаться по выработанной ранее стратегии:
https://habr.com/ru/companies/radcop/articles/861416/
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥33👍7💩4👏2🥱2🤣2🆒2🤯1🤮1🤡1😎1
Всем привет!
Недавно открылся приём заявок на Pentest Award!
https://t.iss.one/justsecurity/382
Ха-ха, возможно, что вы уже видели это упоминание во многих других инфосек каналах. Так вот, теперь и я хочу пригласить Вас поучаствовать в этой премии.
Прошлым летом я принял участие с двумя кейсами и мне удалось пройти в шорт-лист! Новость об этом меня порадовала и было очень приятно. Думаю, что и в этом году я подамся с несколькими кейсами.
Это действительно хорошая возможность рассказать о своей классности и поделиться чем-то интересным. И на этом моменте Вы можете возразить: "Курив, но у меня нет ничего классного и интересного". В связи с этим я призываю вас отбросить в сторону сомнения и синдром самозванца и оформить кейс. Но не для того, чтобы поучаствовать в Pentest Award и войти в шорт-лист или даже победить (это не самоцель), а для самих себя и ради чувства собственной важности (и задно отправьте кейс, ведь он уже готов :))
Недавно открылся приём заявок на Pentest Award!
https://t.iss.one/justsecurity/382
Ха-ха, возможно, что вы уже видели это упоминание во многих других инфосек каналах. Так вот, теперь и я хочу пригласить Вас поучаствовать в этой премии.
Прошлым летом я принял участие с двумя кейсами и мне удалось пройти в шорт-лист! Новость об этом меня порадовала и было очень приятно. Думаю, что и в этом году я подамся с несколькими кейсами.
Это действительно хорошая возможность рассказать о своей классности и поделиться чем-то интересным. И на этом моменте Вы можете возразить: "Курив, но у меня нет ничего классного и интересного". В связи с этим я призываю вас отбросить в сторону сомнения и синдром самозванца и оформить кейс. Но не для того, чтобы поучаствовать в Pentest Award и войти в шорт-лист или даже победить (это не самоцель), а для самих себя и ради чувства собственной важности (и задно отправьте кейс, ведь он уже готов :))
😎11❤4🤡2👍1🔥1
Path Secure
Итак, три месяца подписки пролетели незаметно. Я прошел весь материал курса и прорешал с конспектированием почти все лабы (кроме двух). Какими же выводами я могу поделиться:
TLDR:
1) Лабы хорошие;
2) Материал хороший;
3) Хронометраж важен и полезен;
4) Жестко выделяйте время на обучение;
5) Ведите свой конспект;
6) Подготовьтесь перед тем, как взять курс.
- - -
1) Лабы реально годные. В комментариях под прошлым постом писали обратное, но мне действительно понравилось. У меня не было сложностей с их разворачиванием, поиском и эксплуатацией уязвимостей. В целом всё достаточно гладко.
2) Материал реально годный. Я не специализируюсь на вебе, а особенно на белом ящике, поэтому почти всё мне было в новинку. Особенно дебаг и всякие продвинутые техники SQL-инъекций или подноготная SSTI, или Prototype Pollution (я о таком даже не слышал), или скрейпинг админской страницы через XSS.
3) Я хронометрировал время выполнения каждой лабы. В среднем уходило 8 часов. Это позволило мне в какой-то момент осознать, что сроки горят и надо больше вкладываться. Порешал несколько лаб в отпуске.
4) У меня несколько плотный график из роли тимлида хакеров и помимо проектной деятельности у меня есть стратегирование, встречи 1-1, встречи с проектной командой, пресейлы, разборы входящих, всяческие синхронизации между другими командами. Короче важно-срочных дел много, но так далеко не уедешь. Необходимо жестко бронировать слоты в течении недели на подготовку. Именно так у меня и было - по часу в день. Не всегда удавалось и большую часть я решал на выходных.
5) Я веду конспект теоретического материала (это поможет быстро освежить знаний), а также формирую чеклист с готовыми командами, чтобы быстро что-то реализовать.
6) Курс реально не новичковый. Требует от вас детальное понимание HTTP протокола; навыков работы с командной строкой; программирование на питоне, js; опыт работы с СУБД;
Думаю, что я передал основные инсайт. Буду рад ответить на вопросы в комментарих.
К посту прикреплена дата сдачи экзамена. В конце июня иду в отпуск, но буду продолжать изучать secure code review и оттачивать навыки написания эксплойтов. После отпуска врываюсь в OSWE, это будет второй серт от offsec. Успехов мне на этом пути. @pathsecure
#oswe #review
TLDR:
1) Лабы хорошие;
2) Материал хороший;
3) Хронометраж важен и полезен;
4) Жестко выделяйте время на обучение;
5) Ведите свой конспект;
6) Подготовьтесь перед тем, как взять курс.
- - -
1) Лабы реально годные. В комментариях под прошлым постом писали обратное, но мне действительно понравилось. У меня не было сложностей с их разворачиванием, поиском и эксплуатацией уязвимостей. В целом всё достаточно гладко.
2) Материал реально годный. Я не специализируюсь на вебе, а особенно на белом ящике, поэтому почти всё мне было в новинку. Особенно дебаг и всякие продвинутые техники SQL-инъекций или подноготная SSTI, или Prototype Pollution (я о таком даже не слышал), или скрейпинг админской страницы через XSS.
3) Я хронометрировал время выполнения каждой лабы. В среднем уходило 8 часов. Это позволило мне в какой-то момент осознать, что сроки горят и надо больше вкладываться. Порешал несколько лаб в отпуске.
4) У меня несколько плотный график из роли тимлида хакеров и помимо проектной деятельности у меня есть стратегирование, встречи 1-1, встречи с проектной командой, пресейлы, разборы входящих, всяческие синхронизации между другими командами. Короче важно-срочных дел много, но так далеко не уедешь. Необходимо жестко бронировать слоты в течении недели на подготовку. Именно так у меня и было - по часу в день. Не всегда удавалось и большую часть я решал на выходных.
5) Я веду конспект теоретического материала (это поможет быстро освежить знаний), а также формирую чеклист с готовыми командами, чтобы быстро что-то реализовать.
6) Курс реально не новичковый. Требует от вас детальное понимание HTTP протокола; навыков работы с командной строкой; программирование на питоне, js; опыт работы с СУБД;
Думаю, что я передал основные инсайт. Буду рад ответить на вопросы в комментарих.
К посту прикреплена дата сдачи экзамена. В конце июня иду в отпуск, но буду продолжать изучать secure code review и оттачивать навыки написания эксплойтов. После отпуска врываюсь в OSWE, это будет второй серт от offsec. Успехов мне на этом пути. @pathsecure
#oswe #review
❤38🔥14👍6😱1🤣1
Привет-привет!
Ищу к нам в команду опытного специалиста для самостоятельного выполнения проектов по пентесту внешки/внутрянки. Для некоторых самоуправление является бременем, а для кого-то благодатью. Если интересно, то откликайтесь!
Вот здесь немного о том, в какой парадигме мы живем:
https://t.iss.one/pathsecure/370
Далее заголовок вакансии:
У нас необычный и интересный формат конкурсного собеседования, который уже был опробирован на других позициях :)
Детали здесь:
https://hh.ru/vacancy/123321284
Контакт для связи с HR:
@marina_du
Всем хорошего дня!
Ищу к нам в команду опытного специалиста для самостоятельного выполнения проектов по пентесту внешки/внутрянки. Для некоторых самоуправление является бременем, а для кого-то благодатью. Если интересно, то откликайтесь!
Вот здесь немного о том, в какой парадигме мы живем:
https://t.iss.one/pathsecure/370
Далее заголовок вакансии:
Мы —первый в России производственный кооператив в сфере ИБ, где нет бюрократии, зато есть свобода действий, энергия стартапа и команда, которая ценит экспертизу и обмен знаниями.
Кого мы ищем?
Специалиста, который заинтересован работать в неформальных коллективах или осознает, что подготовлен к нему и мечтает преодолеть отчуждение крупных корпораций и классических фирм, чтобы попасть именно в такой, даже ценой комфорта и безопасности.
Подумайте, пожалуйста, готовы ли Вы к такому и нужно ли это именно Вам на данном этапе жизни и эволюции?
У нас необычный и интересный формат конкурсного собеседования, который уже был опробирован на других позициях :)
Как устроено наше сотрудничество?
Вы откликаетесь на вакансию.
1) Мы проводим предварительный отбор резюме и просим выполнить небольшое задание по профилю вакансии.
2) Отобранные кандидаты приглашаются на неформальное онлайн-знакомство (обсуждаем соответствие по ценностям нашего кооператива и предлагает пройти тестовую игру для синхронизации, проявляемся, задаем друг другу вопросы, погружаемся в культуру).
3) Голосуем внутри за кандидатов на основе записи встречи-знакомства.
4) HR дообсуждает с выбранными кандидатами условия (уже 1-1).
5) С финальным списком отобранных товарищей проводим онлайн психометрический тест (ПИФ Экопси: измеряет аналитические способности, открытость изменениям, способность доводить дело до конца, лидерские качества).
6) Принимаем окончательное решение по предложению наиболее подходящему, на наш взгляд, кандидату и синхронизируемся с ним по договоренностям.
Нам не нужно «идеальное» резюме. Ценим искренность, стремление эффективно доводить проекты до согласованного результата, реальные компетенции и готовность к диалогу и ответственности за взятые на себя обязательства.
Детали здесь:
https://hh.ru/vacancy/123321284
Контакт для связи с HR:
@marina_du
Всем хорошего дня!
Telegram
Path Secure
Хочу поделиться радостью от успешной реализации социального института!
Примерно год назад я задумался, что нам в кооперативе RAD COP жизненно необходимо создать процесс системной подготовки будущих товарищей пентестеров. Причем под системностью я понимаю…
Примерно год назад я задумался, что нам в кооперативе RAD COP жизненно необходимо создать процесс системной подготовки будущих товарищей пентестеров. Причем под системностью я понимаю…
🤡10❤9😁3🔥2👍1😭1