17 способов проникновения во внутреннюю сеть компании

Сегодня мы поговорим о том, как можно проникнуть в современную корпоративную сеть, которая защищена на периметре различными, даже очень хорошими, средствами сетевой безопасности и самое, главное поговорим о том, как с этим можно бороться.

https://teletype.in/@it_ha/B1KUiXJXH

Справочник законодательства РФ в области ИБ

Все специалисты по ИБ рано или поздно сталкиваются с вопросами законодательного регулирования своей деятельности. Первой проблемой при этом обычно является поиск документов, где прописаны те или иные требования. Данный справочник призван помочь в этой беде и содержит подборку ссылок на основные законодательные и нормативно-правовые акты, регламентирующие применение информационных технологий и обеспечение ИБ в Российской Федерации

https://teletype.in/@it_ha/SJ9UVIcgE

Какой софт нужен пентестеру?

Toolkit начинающего пентестера: представляем краткий дайджест главных инструментов, которые пригодятся при пентесте внутренней сети. Эти инструменты уже активно используются широким кругом специалистов, поэтому знать об их возможностях и владеть в совершенстве будет полезно каждому.

https://teletype.in/@it_ha/Hk3eeNw9V

Рецепты для ELFов

На русском языке довольно мало информации про то, как работать с ELF-файлами (Executable and Linkable Format — основной формат исполняемых файлов Linux и многих Unix-систем). Не претендуем на полное покрытие всех возможных сценариев работы с эльфами, но надеемся, что информация будет полезна в виде справочника и сборника рецептов для программистов и реверс-инженеров

https://teletype.in/@it_ha/H1lZ0DyfS

Атака и защита IOT

Статья на тему векторов атак на умный дом. Поговорим об атаке и защите на практике. В статье мы рассмотрели самые популярные IOT девайсы и их уязвимости.

https://teletype.in/@it_ha/BJBeWgeqN

​​🎣 SocialFish

Неплохой фишинговый инструмент с готовыми страницами входа, удобной web панелью и приложением на android.

Установка на свой страх и риск:

git clone https://github.com/UndeadSec/SocialFish.git
sudo apt-get install python3 python3-pip python3-dev -y
cd SocialFish
python3 -m pip install -r requirements.txt

Запуск:

cd SocialFish
python3 SocialFish.py youruser yourpassword

https://github.com/UndeadSec/SocialFish/

​​​​XSS: базовые знания, введение

Что такое XSS-уязвимость? Стоит ли ее опасаться? Межсайтовый скриптинг (сокращенно XSS) — широко распространенная уязвимость, затрагивающая множество веб-приложений. Она позволяет злоумышленнику внедрить вредоносный код в веб-сайт таким образом, что браузер пользователя, зашедшего на сайт, выполнит этот код. В этой статье мы рассмотрим основы и пару примеров.

⏱ Время чтения: 5-7 минут

Прохождение лабораторной машины для пентеста «Hackthebox — Querier»

Речь пойдет про опыт прохождения лабораторной машины Querier на портале hackthebox. Для тех, кто не знает, что такое hackthebox — это портал, на котором вы можете проверить свои умения пентеста на практике, имеются CTF таски и собственно лабораторные машины.

https://teletype.in/@it_ha/ByW_HByUH

​​Подборка write-up'ов

Подобрали для вас несколько статей, почти все из которых на английском. Немного про баги, немного про уязвимости и криптографию.

Что такое HTTP request smuggling? - перевод относительно старой от portswigger, которая рассказывает об одноименной атаке.

Взлом умных трекеров для машины - исследование, в ходе которого проверили на безопасность противоугонные трекеры.

XSS в Gmail AMP4Email - эксплуатация XSS с помощью техники DOM Clobbering.

Bypassing IP Based Blocking - обход блокировки по айпи с помощью AWS API Gateway.

Breaking Down : SHA-256 - разбор принципа работы SHA-256. Там же есть статьи о MD5, SHA-1, SHA-512.

​​#вакансия

Друзья, на связи автор канала. Помогаю знакомым найти человека, платят хорошо, команда - супер.
Если есть кто из знакомых - личная просьба репостнуть, очень поможете🤘

Разработчик Ruby on rails в Watch!theDIGIT

Обязанности:
— Разработка бэкэнд сервиса позволяющего пользователям взаимодействовать со смарт-контактом на блокчейне Ethereum
— Есть возможность поучаствовать в работе над другими нашими сервисами, которые также написаны на Ruby

Требования:
— Наш бэкэнд стэк: Ruby 2.5, Rails 5, PostgreSQL, Redis, Sidekiq, Docker, Ansible, Elastic Stack
— Большим плюсом будет знание блокчейн технологий в принципе, и умение писать на Solidity в частности
— Также приветствуется знакомство с Vue.js и отсутствие отвращения от необходимости править что-то на фронте

Условия:
— Гибкий график, приятный коллектив, печеньки-апельсинки
— З/П от 200 000 рублей в месяц

Отклик: @usernameisM 

+7 926 118-18-44 Максим (удобнее telegram, whatsapp или m@wtd.ru)
+7 905 752-40-09 Александр

​​#вакансия

Друзья, я изредка делюсь с вами отличными вакансиями. А тут мои друзья ищут себе человека в команду. Максимально рекомендую и прошу зашарить по чатам/знакомым, если вакансия вам не подходит.

Middle-backend Python разработчик / программист в Центр компетенций НТИ по большим данным на базе МГУ имени М. В. Ломоносова.

Обязанности: 
— Разрабатывать backend web-приложения на Python
— Упаковывать Data Science решения
— Сопровождать крупных Заказчиков в сфере ИТ

Требования: 
— Опыт работы в аналогичной должности от полутра лет (python 3.7)
— Опыт разработки серверных приложений на веб-фреймворках Python (Flask, Django, Falcon и др.)
— Знание SQLAlchemy Core + Alembic и понимание ООП, SOLID, реляционных БД, Unix-систем
— Опыт тестирования (юнит-тесты, интеграционное) и работа с любым WEB Framework-ом

Условия:
— Удаленно
— З/П от 130 000 до 180 000 рублей

Отклик: @kirilldikalin

Какие уязвимости есть у систем видеонаблюдения

Как-то мы уже писали о методах взлома камер. А сейчас более подробно поговорим о том, какие уязвимости наиболее часто встречаются в системах видеонаблюдения в 2019, обсудим их причины и рассмотрим способы сделать эксплуатацию таких устройств безопаснее.

https://teletype.in/@it_ha/SksbQpBSr

Кодер из Токио — блог парня, рассказывающего о работе в IT в Японии👨🏻‍💻

Каждый день он пишет об особенностях, трудностях и радостях лучшей в мире работы

Самая важная информация для программиста: coder_tokyo🇯🇵

Пентест сайтов на базе WordPress

Wordpress - один из самых популярных CMS на данный момент. На нем делают интернет магазины, сайт визитки и многое другое. В данной статье рассмотрим способы пентеста на этой базе.

https://teletype.in/@onehellsus/MfMnOY52EdZ

#вакансии 

Всем, привет! У нас есть интересная вакансия для вас)

Ищут Middle backend/fullstack C#/.Net разработчиков в команду развития криптовалютного обменника Netex24.net для работы с блокчейн проектами.

Стек:
C#, .Net Core 2.2, MS SQL Server, Javascript, Vue.js, AngularJS

Требования: 
— Уверенное знание C#
— Опыт работы с .NET не менее 3-х лет
— Знание технологии ASP .NET WebApi2
— Опыт работы с БД MS SQL

Будет плюсом:
— Знание HTML, CSS
— Знание JavaScript, AngularJS, Vue.js
— Знание основ криптографии и их применение

Проекты в разработке и планы на будущее: 
криптобиржа, криптовалютный p2p-обменник для работы с банковскими картами, универсальный шлюз для криптовалютных платежей, p2p-обменник на атомарных свопах, мультивалютный криптокошелек.

Условия:
— удаленка + редкие командировки для совместной работы в коворкинге
— З/П до 250 000 рублей (обсуждается по результатам собеседования)

Отклик: @HRDforIT

Уязвимости баз данных

Совокупность данных, хранимых в соответствии со схемой данных, манипулирование которыми выполняют в соответствии с правилами средств моделирования данных. Многие специалисты указывают на распространённую ошибку, состоящую в некорректном использовании термина «база данных» вместо термина «система управления базами данных», и указывают на необходимость различения этих понятий.

https://teletype.in/@onehellsus/RMy48xLe98P

Не сомневайся: ты сможешь работать удалённо. Даже если практически нет опыта или диплома. 

И для этого не надо сидеть на HeadHutner или листать бесполезные каналы по удаленке. Достаточно просто держать в подписках канал @the_workys. Там публикуют вакансии от лучших работодателей мира: Google, Яндекс, Сбербанк, Amazon, Tinkoff и даже Газпром. 

Есть все направления: от маркетинга и программирования до дизайна и копирайтинга.

Вакансии проходят строгую модерацию, обмана нет.

Дизайнер, программист, копирайтер, фотограф - если ты умеешь хоть что-то, ты нам пригодишься. Заходи скорее в @the_workys

5 мифов об скрытности в интернете

Скрытность в интернете очень важная вещь для любого хакера. Благодаря ей можно обезопасить себя от обнаружения и последствии сделанных вами.

https://teletype.in/@onehellsus/OdlIl2_D2GO