Вот и подходит к концу 2024 год. Всех поздравляю с грядущим инкрементом 🎉
Проведу стрим на канале в эту среду (25.12) в 20 МСК.
Буду рад пообщаться, рассказать про OSCP, про мою роль тимлида, о том как делать кучу проектов в месяц паралельно, о том как работает академия пентестеров в РАД КОП.
Год назад уже проводил такое: https://t.iss.one/pathsecure/347
Увидимся на стриме!
Проведу стрим на канале в эту среду (25.12) в 20 МСК.
Буду рад пообщаться, рассказать про OSCP, про мою роль тимлида, о том как делать кучу проектов в месяц паралельно, о том как работает академия пентестеров в РАД КОП.
Год назад уже проводил такое: https://t.iss.one/pathsecure/347
Увидимся на стриме!
1🔥21👍4❤1
Некоторое время назад взялся за старую задачку из беклога: нужно было объединить словари с паролями.
Сложность в том, что размер словарей был большим. 200 гигов и 56 гигов.
С большой вероятностью многие строчки будут дублироваться, а значит нужно убирать дубликаты. Я сразу понял, что решать такую задачу влоб (используя стандартные GNU утилиты sort и uniq нельзя). В связи с этим я пообщался с дата-сатанистами и объяснил свою задачу. Мне посоветовали воспользоваться duckdb.
Это форк sqlite на rust и это колоночная бд с кучей оптимизаций. Я решил попробовать. Установка очень простая, кажется, я выкачал бинарник на сервер и всё.
Кстати, о сервере. Это было достаточно смешно и интересно. У меня было где-то 3-4 итерации. Сперва я закупил виртуалку с 16 ядер и 32 гигов оперативной памяти. Я сразу же упёрся в производительность процессора, а потом в количество оперативной памяти, потому то duckdb буферизирует данные в оперативной памяти для обработки. Далее я увеличил размер оперативной памяти примерно до 60 и процессор до 32 ядер. На второй итерации я упёрся в производительность диска, потому что всё, что не помещается в оперативную память пишется на диск. Спустя несколько итераций я дошел до мегавиртуалки с 500 гигами оперативы и 64 ядрами процессораа, а также супер быстрыми дисками со скоростью 1000 мб/сек. 300 гигов рамы мне не хватало для задачи удаления нечитаемых символов.
В целом опыт достаточно забавный. Суммарно на всё ушло две субботы. Чуть больше познакомился с облачными вычислениями. По итогу имеется большой словарь, представляющий собой компиляцию из других словарей. Суммарный объем выше даже меньше, чем я предполагал, примерно 180 гигов. Всё веселье вышло примерно в 5к рублей. В целом совсем не много для исследовательского проекта в рамках бизнес задачи. Думаю, что всё можно было сделать суммарно часа за 2, если сразу взять большую виртуалку и загрузить словари в облачное хранилище, а также копировать и вставлять готовые команды.
А как вы решаете такие задачи? Поделитесь в комментариях!
Ниже полезные команды, которые мне понадобились для выполнения этой задачи:
Расширяем лимит для записи на диск, иначе загрузка может внезапно обрубиться:
Задаем число потоков для одновременной обработки:
Указывает максимальный объём оперативной памяти для использования:
Создание таблицы из файла без заголовка:
Чтение файла и загрузка его в таблицу:
Также можно вычищать пустые сиволы из строк по регулярке:
Удалить строки короче 8 символов
Выгрузка базы в текстовый файл:
#rnd #wordlists #duckdb
Сложность в том, что размер словарей был большим. 200 гигов и 56 гигов.
С большой вероятностью многие строчки будут дублироваться, а значит нужно убирать дубликаты. Я сразу понял, что решать такую задачу влоб (используя стандартные GNU утилиты sort и uniq нельзя). В связи с этим я пообщался с дата-сатанистами и объяснил свою задачу. Мне посоветовали воспользоваться duckdb.
Это форк sqlite на rust и это колоночная бд с кучей оптимизаций. Я решил попробовать. Установка очень простая, кажется, я выкачал бинарник на сервер и всё.
Кстати, о сервере. Это было достаточно смешно и интересно. У меня было где-то 3-4 итерации. Сперва я закупил виртуалку с 16 ядер и 32 гигов оперативной памяти. Я сразу же упёрся в производительность процессора, а потом в количество оперативной памяти, потому то duckdb буферизирует данные в оперативной памяти для обработки. Далее я увеличил размер оперативной памяти примерно до 60 и процессор до 32 ядер. На второй итерации я упёрся в производительность диска, потому что всё, что не помещается в оперативную память пишется на диск. Спустя несколько итераций я дошел до мегавиртуалки с 500 гигами оперативы и 64 ядрами процессораа, а также супер быстрыми дисками со скоростью 1000 мб/сек. 300 гигов рамы мне не хватало для задачи удаления нечитаемых символов.
В целом опыт достаточно забавный. Суммарно на всё ушло две субботы. Чуть больше познакомился с облачными вычислениями. По итогу имеется большой словарь, представляющий собой компиляцию из других словарей. Суммарный объем выше даже меньше, чем я предполагал, примерно 180 гигов. Всё веселье вышло примерно в 5к рублей. В целом совсем не много для исследовательского проекта в рамках бизнес задачи. Думаю, что всё можно было сделать суммарно часа за 2, если сразу взять большую виртуалку и загрузить словари в облачное хранилище, а также копировать и вставлять готовые команды.
А как вы решаете такие задачи? Поделитесь в комментариях!
Ниже полезные команды, которые мне понадобились для выполнения этой задачи:
Расширяем лимит для записи на диск, иначе загрузка может внезапно обрубиться:
PRAGMA max_temp_directory_size='200GiB'Задаем число потоков для одновременной обработки:
PRAGMA threads = 32Указывает максимальный объём оперативной памяти для использования:
PRAGMA memory_limit = '244GB';Создание таблицы из файла без заголовка:
CREATE TABLE "merged_passwords" as select * from read_csv_auto('rockyou2021.txt', header=false, columns={'password':'TEXT'}, ignore_errors=true);Чтение файла и загрузка его в таблицу:
insert into merged_passwords SELECT DISTINCT * from read_csv_auto('bigfile.txt', header=false, ignore_errors=True);Также можно вычищать пустые сиволы из строк по регулярке:
update merged_passwords set password = regexp_replace(password, '\00', ' ','g')Удалить строки короче 8 символов
DELETE FROM merged WHERE LENGTH(password) < 8;Выгрузка базы в текстовый файл:
COPY merged_passwords to 'merged.txt' (HEADER FALSE);#rnd #wordlists #duckdb
1🔥29👍7❤2🤔1🤝1
Хочу поделиться радостью от успешной реализации социального института!
Примерно год назад я задумался, что нам в кооперативе RAD COP жизненно необходимо создать процесс системной подготовки будущих товарищей пентестеров. Причем под системностью я понимаю достаточно крупные области знаний:
- Хард скиллы (уметь выполнять пентест проекты, настраивать инфраструктуру, писать отчеты, отвечать на технические вопросы и т.д. );
- Софт скиллы (уметь защищать отчет, общаться с Заказчиком, работать в команде, говорить о свои потребностях и ценностях, уметь говорить о проблемах и т.д.);
- Культурная составляющая (мы существуем в рамках самоуправляемой организации, исповедуем лучшие практики социократии 3.0, стремимся к бирюзовости в терминах спиральной динамики, а также к уровню индивидуалиста по вертикальному развитию личности и т. д. - это всё является огромный культурным базисом нашей компании);
- Личная эффективность (Как мы справляемся с большим количеством задач и держим контекст, как мы формируем наш день и наши привычки, как хорошо мы спим, питаемся и занимаемся спортом и т. д.).
- - -
Я посчитал это достаточно безопасным, чтобы попробовать. В целом получилось даже лучше, чем я ожидал и результатом я доволен. Сейчас уже набрался и вот-вот стартанёт второй поток. К слову, обучение абсолютно бесплатное, но требует от кандидатов максимально вовлеченности и отдачи. Все заявки проходили через меня и через некоторый процесс онбординга. Сейчас хочу поделиться отзывами первых выпускников:
1) Александр (Podozritelny)
https://t.iss.one/podozritelnaya_activnost/30
2) Александр (DAFFIER)
https://t.iss.one/hackerbiker/42
3) Константин (Konstanto)
https://t.iss.one/failauth/18
Поддержите ребят лайками и подпиской на их личные телеграм каналы. Думаю, что им будет очень приятно от этого. Мне тоже будет приятно от реакций на этот пост!
#self #academy #feedback
Примерно год назад я задумался, что нам в кооперативе RAD COP жизненно необходимо создать процесс системной подготовки будущих товарищей пентестеров. Причем под системностью я понимаю достаточно крупные области знаний:
- Хард скиллы (уметь выполнять пентест проекты, настраивать инфраструктуру, писать отчеты, отвечать на технические вопросы и т.д. );
- Софт скиллы (уметь защищать отчет, общаться с Заказчиком, работать в команде, говорить о свои потребностях и ценностях, уметь говорить о проблемах и т.д.);
- Культурная составляющая (мы существуем в рамках самоуправляемой организации, исповедуем лучшие практики социократии 3.0, стремимся к бирюзовости в терминах спиральной динамики, а также к уровню индивидуалиста по вертикальному развитию личности и т. д. - это всё является огромный культурным базисом нашей компании);
- Личная эффективность (Как мы справляемся с большим количеством задач и держим контекст, как мы формируем наш день и наши привычки, как хорошо мы спим, питаемся и занимаемся спортом и т. д.).
- - -
Я посчитал это достаточно безопасным, чтобы попробовать. В целом получилось даже лучше, чем я ожидал и результатом я доволен. Сейчас уже набрался и вот-вот стартанёт второй поток. К слову, обучение абсолютно бесплатное, но требует от кандидатов максимально вовлеченности и отдачи. Все заявки проходили через меня и через некоторый процесс онбординга. Сейчас хочу поделиться отзывами первых выпускников:
1) Александр (Podozritelny)
https://t.iss.one/podozritelnaya_activnost/30
2) Александр (DAFFIER)
https://t.iss.one/hackerbiker/42
3) Константин (Konstanto)
https://t.iss.one/failauth/18
Поддержите ребят лайками и подпиской на их личные телеграм каналы. Думаю, что им будет очень приятно от этого. Мне тоже будет приятно от реакций на этот пост!
#self #academy #feedback
16❤35🔥17👍7🤔3🤡2🤝2🥰1
- - -
Чтож, с воодушевлением смотрю в светлое будущее и предвкущаю, что уже через 3 месяца я значительно прокачаюсь в этой теме.
@pathsecure
BTW: я уже успел обработать некоторый общедоступный материал про OSWE (отзывы других людей, статьи, посты, видосы). Кому интересно, то стучитесь в личку :)
Планирую обучаться по выработанной ранее стратегии:
https://habr.com/ru/companies/radcop/articles/861416/
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥33👍7💩4👏2🥱2🤣2🆒2🤯1🤮1🤡1😎1
Всем привет!
Недавно открылся приём заявок на Pentest Award!
https://t.iss.one/justsecurity/382
Ха-ха, возможно, что вы уже видели это упоминание во многих других инфосек каналах. Так вот, теперь и я хочу пригласить Вас поучаствовать в этой премии.
Прошлым летом я принял участие с двумя кейсами и мне удалось пройти в шорт-лист! Новость об этом меня порадовала и было очень приятно. Думаю, что и в этом году я подамся с несколькими кейсами.
Это действительно хорошая возможность рассказать о своей классности и поделиться чем-то интересным. И на этом моменте Вы можете возразить: "Курив, но у меня нет ничего классного и интересного". В связи с этим я призываю вас отбросить в сторону сомнения и синдром самозванца и оформить кейс. Но не для того, чтобы поучаствовать в Pentest Award и войти в шорт-лист или даже победить (это не самоцель), а для самих себя и ради чувства собственной важности (и задно отправьте кейс, ведь он уже готов :))
Недавно открылся приём заявок на Pentest Award!
https://t.iss.one/justsecurity/382
Ха-ха, возможно, что вы уже видели это упоминание во многих других инфосек каналах. Так вот, теперь и я хочу пригласить Вас поучаствовать в этой премии.
Прошлым летом я принял участие с двумя кейсами и мне удалось пройти в шорт-лист! Новость об этом меня порадовала и было очень приятно. Думаю, что и в этом году я подамся с несколькими кейсами.
Это действительно хорошая возможность рассказать о своей классности и поделиться чем-то интересным. И на этом моменте Вы можете возразить: "Курив, но у меня нет ничего классного и интересного". В связи с этим я призываю вас отбросить в сторону сомнения и синдром самозванца и оформить кейс. Но не для того, чтобы поучаствовать в Pentest Award и войти в шорт-лист или даже победить (это не самоцель), а для самих себя и ради чувства собственной важности (и задно отправьте кейс, ведь он уже готов :))
😎11❤4🤡2👍1🔥1
Path Secure
Итак, три месяца подписки пролетели незаметно. Я прошел весь материал курса и прорешал с конспектированием почти все лабы (кроме двух). Какими же выводами я могу поделиться:
TLDR:
1) Лабы хорошие;
2) Материал хороший;
3) Хронометраж важен и полезен;
4) Жестко выделяйте время на обучение;
5) Ведите свой конспект;
6) Подготовьтесь перед тем, как взять курс.
- - -
1) Лабы реально годные. В комментариях под прошлым постом писали обратное, но мне действительно понравилось. У меня не было сложностей с их разворачиванием, поиском и эксплуатацией уязвимостей. В целом всё достаточно гладко.
2) Материал реально годный. Я не специализируюсь на вебе, а особенно на белом ящике, поэтому почти всё мне было в новинку. Особенно дебаг и всякие продвинутые техники SQL-инъекций или подноготная SSTI, или Prototype Pollution (я о таком даже не слышал), или скрейпинг админской страницы через XSS.
3) Я хронометрировал время выполнения каждой лабы. В среднем уходило 8 часов. Это позволило мне в какой-то момент осознать, что сроки горят и надо больше вкладываться. Порешал несколько лаб в отпуске.
4) У меня несколько плотный график из роли тимлида хакеров и помимо проектной деятельности у меня есть стратегирование, встречи 1-1, встречи с проектной командой, пресейлы, разборы входящих, всяческие синхронизации между другими командами. Короче важно-срочных дел много, но так далеко не уедешь. Необходимо жестко бронировать слоты в течении недели на подготовку. Именно так у меня и было - по часу в день. Не всегда удавалось и большую часть я решал на выходных.
5) Я веду конспект теоретического материала (это поможет быстро освежить знаний), а также формирую чеклист с готовыми командами, чтобы быстро что-то реализовать.
6) Курс реально не новичковый. Требует от вас детальное понимание HTTP протокола; навыков работы с командной строкой; программирование на питоне, js; опыт работы с СУБД;
Думаю, что я передал основные инсайт. Буду рад ответить на вопросы в комментарих.
К посту прикреплена дата сдачи экзамена. В конце июня иду в отпуск, но буду продолжать изучать secure code review и оттачивать навыки написания эксплойтов. После отпуска врываюсь в OSWE, это будет второй серт от offsec. Успехов мне на этом пути. @pathsecure
#oswe #review
TLDR:
1) Лабы хорошие;
2) Материал хороший;
3) Хронометраж важен и полезен;
4) Жестко выделяйте время на обучение;
5) Ведите свой конспект;
6) Подготовьтесь перед тем, как взять курс.
- - -
1) Лабы реально годные. В комментариях под прошлым постом писали обратное, но мне действительно понравилось. У меня не было сложностей с их разворачиванием, поиском и эксплуатацией уязвимостей. В целом всё достаточно гладко.
2) Материал реально годный. Я не специализируюсь на вебе, а особенно на белом ящике, поэтому почти всё мне было в новинку. Особенно дебаг и всякие продвинутые техники SQL-инъекций или подноготная SSTI, или Prototype Pollution (я о таком даже не слышал), или скрейпинг админской страницы через XSS.
3) Я хронометрировал время выполнения каждой лабы. В среднем уходило 8 часов. Это позволило мне в какой-то момент осознать, что сроки горят и надо больше вкладываться. Порешал несколько лаб в отпуске.
4) У меня несколько плотный график из роли тимлида хакеров и помимо проектной деятельности у меня есть стратегирование, встречи 1-1, встречи с проектной командой, пресейлы, разборы входящих, всяческие синхронизации между другими командами. Короче важно-срочных дел много, но так далеко не уедешь. Необходимо жестко бронировать слоты в течении недели на подготовку. Именно так у меня и было - по часу в день. Не всегда удавалось и большую часть я решал на выходных.
5) Я веду конспект теоретического материала (это поможет быстро освежить знаний), а также формирую чеклист с готовыми командами, чтобы быстро что-то реализовать.
6) Курс реально не новичковый. Требует от вас детальное понимание HTTP протокола; навыков работы с командной строкой; программирование на питоне, js; опыт работы с СУБД;
Думаю, что я передал основные инсайт. Буду рад ответить на вопросы в комментарих.
К посту прикреплена дата сдачи экзамена. В конце июня иду в отпуск, но буду продолжать изучать secure code review и оттачивать навыки написания эксплойтов. После отпуска врываюсь в OSWE, это будет второй серт от offsec. Успехов мне на этом пути. @pathsecure
#oswe #review
❤38🔥14👍6😱1🤣1
Привет-привет!
Ищу к нам в команду опытного специалиста для самостоятельного выполнения проектов по пентесту внешки/внутрянки. Для некоторых самоуправление является бременем, а для кого-то благодатью. Если интересно, то откликайтесь!
Вот здесь немного о том, в какой парадигме мы живем:
https://t.iss.one/pathsecure/370
Далее заголовок вакансии:
У нас необычный и интересный формат конкурсного собеседования, который уже был опробирован на других позициях :)
Детали здесь:
https://hh.ru/vacancy/123321284
Контакт для связи с HR:
@marina_du
Всем хорошего дня!
Ищу к нам в команду опытного специалиста для самостоятельного выполнения проектов по пентесту внешки/внутрянки. Для некоторых самоуправление является бременем, а для кого-то благодатью. Если интересно, то откликайтесь!
Вот здесь немного о том, в какой парадигме мы живем:
https://t.iss.one/pathsecure/370
Далее заголовок вакансии:
Мы —первый в России производственный кооператив в сфере ИБ, где нет бюрократии, зато есть свобода действий, энергия стартапа и команда, которая ценит экспертизу и обмен знаниями.
Кого мы ищем?
Специалиста, который заинтересован работать в неформальных коллективах или осознает, что подготовлен к нему и мечтает преодолеть отчуждение крупных корпораций и классических фирм, чтобы попасть именно в такой, даже ценой комфорта и безопасности.
Подумайте, пожалуйста, готовы ли Вы к такому и нужно ли это именно Вам на данном этапе жизни и эволюции?
У нас необычный и интересный формат конкурсного собеседования, который уже был опробирован на других позициях :)
Как устроено наше сотрудничество?
Вы откликаетесь на вакансию.
1) Мы проводим предварительный отбор резюме и просим выполнить небольшое задание по профилю вакансии.
2) Отобранные кандидаты приглашаются на неформальное онлайн-знакомство (обсуждаем соответствие по ценностям нашего кооператива и предлагает пройти тестовую игру для синхронизации, проявляемся, задаем друг другу вопросы, погружаемся в культуру).
3) Голосуем внутри за кандидатов на основе записи встречи-знакомства.
4) HR дообсуждает с выбранными кандидатами условия (уже 1-1).
5) С финальным списком отобранных товарищей проводим онлайн психометрический тест (ПИФ Экопси: измеряет аналитические способности, открытость изменениям, способность доводить дело до конца, лидерские качества).
6) Принимаем окончательное решение по предложению наиболее подходящему, на наш взгляд, кандидату и синхронизируемся с ним по договоренностям.
Нам не нужно «идеальное» резюме. Ценим искренность, стремление эффективно доводить проекты до согласованного результата, реальные компетенции и готовность к диалогу и ответственности за взятые на себя обязательства.
Детали здесь:
https://hh.ru/vacancy/123321284
Контакт для связи с HR:
@marina_du
Всем хорошего дня!
Telegram
Path Secure
Хочу поделиться радостью от успешной реализации социального института!
Примерно год назад я задумался, что нам в кооперативе RAD COP жизненно необходимо создать процесс системной подготовки будущих товарищей пентестеров. Причем под системностью я понимаю…
Примерно год назад я задумался, что нам в кооперативе RAD COP жизненно необходимо создать процесс системной подготовки будущих товарищей пентестеров. Причем под системностью я понимаю…
❤12🤡12😁5🔥4👍1😭1
Завтра буду вести с товарищами методологический вебинар про безопасность и пентесты в целом:
https://t.iss.one/radcop_online/291
Расскажу системно в связке с тайм-менеджментом. Еще будет несколько кейсов из проектов, но без упора на технические детали.
Основная целевая аудитория - это ЛПР и собственники бизнесов, а не технари.
Но если вам интересно послушать, то велком. Всем хорошего дня!
https://t.iss.one/radcop_online/291
Расскажу системно в связке с тайм-менеджментом. Еще будет несколько кейсов из проектов, но без упора на технические детали.
Основная целевая аудитория - это ЛПР и собственники бизнесов, а не технари.
Но если вам интересно послушать, то велком. Всем хорошего дня!
Telegram
RAD COP
Как защитить бизнес от хакеров, шифровальщиков, утечек и потери работоспособности
3 сентября специалисты по анализу защищенности РАД КОП расскажут об информационной безопасности на примерах распространённых уязвимостей из собственной практики пентестов (или…
3 сентября специалисты по анализу защищенности РАД КОП расскажут об информационной безопасности на примерах распространённых уязвимостей из собственной практики пентестов (или…
1🔥3❤2👍2🥰1