Полезное и бесплатное

Ловите подборку годного образовательного контента для погружения в мир кибербезопасности – как со стороны атаки, так и защиты 👇

Для синих (защищающих) ребят:
- Введение в информационную безопасность от Selectel
- С нуля до аналитика DevSecOps | Введение в кибербезопасность
- КИБЕРБЕЗОПАСНОСТЬ 2024 | ТЕОРЕТИЧЕСКИЙ КУРС - ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
- Мастер-классы по кибербезопасности от кафедры №42 "Криптология и кибербезопасность"

Для красных (атакующих) ребят:
- Полный учебный курс по этичному хакингу 2023 от нуля до мастерства
- Взлом Android приложений | Проверка приложений на уязвимость
- Взлом серверов и сетей | Международная сертификация OSCP
- Тестирования сайтов на уязвимость
- Практическое руководство по взлому веб-приложений
- Kali Linux для начинающих: основы, администрирование, взлом

Для всех сразу:
- Хакинг и кибербезопасность. Обучение от Skillbox

#DevSecOps #Pentest #AppSec #BaseSecurity

Твой Пакет Знаний | Кибербезопасность

Пэйлоад тайм

Что такое payload (в двух словах) можно почитать вот тут – ссылка. Ну а для тех, кто в курсе, ловите аж несколько сборников таких пэйлоадов. Для АппСеков и пентестеров – мастхэв 👇

🔒 Payloads All The Things (фаворит всего списка) – раз и два

🔒 Payload для XSS (Payload Box) – ссылка

🔒 Payload для SQLi (Payload Box) – ссылка

🔒 Payload для XXE (Payload Box) – ссылка

🔒 Payload для LFI | RFI (Payload Box) – ссылка

🔒 Payload для Command Injection (Payload Box) – ссылка

#AppSec #Pentest

Твой Пакет Знаний | Кибербезопасность

Безопасность API

Как сказал однажды один умный человек, "Надо знать прошлое, чтобы понимать настоящее и предвидеть будущее", так что сегодня делюсь с вами полезными историческими данными по безопасности API от некой Escape Security Research team – ссылка

Там есть информация по инцидентам, векторам атак и уязвимостям API. На настольную книгу не тянет, но разок пробежаться точно будет полезно. Ну и в дополнение ловите модель угроз для всё тех же API (а вот такого я еще не видел) – ссылка

#SecArch #AppSec #Pentest

🧠 Твой Пакет Знаний | Кибербезопасность

Больше визуала

Не знаю, кто изобрёл майндмапы, но то, что они упрощают поглощение полезного контента – знаю точно. Собственно, ловите целую коллекцию структурированной и визуализированной годноты по кибербезопасности – ссылка

Там и про безопасность API, и про тестирование 2FA, и даже роадмап общий есть (к которому конечно много вопросов). В общем, сохраняем.

#AppSec #Pentest #BaseSecurity

🧠 Твой Пакет Знаний | Кибербезопасность

Подборок много не бывает

Три подборки со сканерами и анализаторами (статическими и динамическими) всего, чего только можно – от бинарей и облаков до API и кода практически на любом попсовом языке.

Есть как платные инструменты (помним про триальные версии, кряки и манибэки), так и бесплатные.

✍️ Подборка раз (статика) – ссылка
✍️ Подборка два (динамика) – ссылка
✍️ Поборка три (веб) – ссылка

#AppSec #Pentest #DevSecOps

🧠 Твой Пакет Знаний | Кибербезопасность

Настало время уязвимостей

Что-то модно (как уязвимости Next.js и GraphQL), что-то вышло из моды (как уязвимости для Adobe Flash Player), а что-то вечно (привет, Битрикс).

Как вы уже догадались, сегодня мы поговорим про уязвимости. А точнее про то, как безопасники вообще следят за их трендами и тем, что сейчас их всего скопления CVE стоит их внимания, а что из этого уже можно забыть.

Человечество уже давно подумало об этой проблеме, ведь новые уязвимости появляются каждый день, а актуальными они остаются разные периоды времени. Часть из них охватывает большие ландшафты (как было с log4j), а некоторые, хоть и критичные, не так страшны, из-за того, что уязвимые элементы не так распространены.

Так вот, существуют специализированные платформы или сервисы, которые собирают, анализируют и предоставляют информацию о наиболее актуальных и опасных уязвимостях в сфере кибербезопасности. И да, к ним также подключаются решения класса TI, чтобы мониторить обстановку.

Ну а вот и эти платформы-агрегаторы 👇

📂 CVE Crowd – один из самых популярных сервисов

📂 CVE Shield – один из самых старых агрегаторов

📂 Vulmon Vulnerability Trends – хороший агрегатор с историей за прошлые дни

📂 CVE Trends – топ10 обсуждаемых в интернетах уязвимостей за сутки

📂 Vulners – целый портал кибербезопасных инфоповодов, включая эксплойты, безопасность AI, BugBounty и прочее

Их на самом деле намного больше, но половина из этих сервисов дублирует друг друга, да и я не уверен, что стоит пользоваться всеми. Что-то себе по вкусу вы из этого списка найти точно сможете.

#BaseSecurity #AppSec #DevSecOps #Pentest

🧠 Твой Пакет Знаний | 🛍 Другие каналы

Не одним htb едины

Гонял тут меня недавно один крутой АппСек на собеседовании по антипаттернам в коде, которые могут привести к эксплуатации типовых уязвимостей в продакшене. Психика конечно пострадала (не только моя), но зато потом я сел и начал искать способы тренировки этого навыка. А то кажется, что делать это вдали от реального Git-а и SAST-а не так уж и просто. И я нашел.

В общем, это почти как Hack The Box или Try Hack Me, но для АппСек-ов. Заходим, выбираем челлендж и ищем уязвимости в коде. А вот и сам сервис – ссылка

#AppSec

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

На GitHub не так много звездных ИБшных репозиториев, и это как раз один из них – ссылка

Собственно, это очередной агрегатор всего, что можно от AppSec и DevSecOps до пентеста и фишинга. Там и чеклисты, и инструменты, и фреймворки, и тактики, и даже лабораторные.

#AppSec #Pentest #DevSecOps #BaseSecurity #Network #web3

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

У гитхаба есть опенсорсный проект, созданный для повышения компетенции разработчиков в области безопасности ПО. Живёт этот проект уже довольно долго - аж 6 лет, и за это время тут появилось немало учебного материала для AppSec.

Самый вкусный материал это Secure Code Game - лабы для AppSec. В основном нужно будет ревьюить js и python, но также иногда встречаются упражнения на C и Go. Всего 16 лаб и целью каждой из них является:
1) Провести ревью уязвимого кода
2) Устранить уязвимость и запушить изменения в ветку
3) Дождаться результата тестов

Также, у этого проекта есть небольшие обучающие материалы по фаззингу и CodeQL. Приправлено всё это статейками о безопасности кода.

Приятного обучения!

#AppSec #Practice

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

MITRE ATT&CK у нас дома

Нашли тут матрицу техник, которая вдохновлена всем известным фреймворком от MITRE. В отличие от своей вдохновительницы, эта матрица охватывает атаки на веб-приложений, в то время как MITRE ATT&CK покрывает по большей части инфраструктуру вокруг приложений.

В этой матрице описано много методов атак на приложения, которые использовались APT группировками при реальных инцидентах. Также, помимо самой матрицы, на данном ресурсе есть страница с подробным описанием громких атак на продукты (включая относительно недавний инцидент с криптобиржей ByBit).

#BaseSecurity #AppSec #Pentest

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы