#research #books

Много кому из новичков, а также уже сформировавшимся профессионалам, будет интересно почитать ежегодное издание PositiveResearch от компании Positive Technologies, которое рассказывает о произошедшем в сфере информационной безопасности за год. Здесь и атаки на коммерческие структуры, разборы новых уязвимостей, статистика и прочее, прочее.

Рекомендую ознакомиться:
https://www.ptsecurity.com/upload/corporate/ru-ru/analytics/Positive-Research-2018-rus.pdf

#hacking #professional #lpe

Полезный набор техник по закреплению, пост-эксплуатации, повышению привилегий в различных системах:
https://movaxbx.ru/2018/09/16/privilege-escalation-post-exploitation/

#hacking #research #clientSide

Новая техника удержания жертвы на странице с рекламой, CSRF и прочим.
Смещаем курсор мыши с помощью CSS стиля, и жертва не может выйти со страницы из-за того, что попросту кликает не туда.

https://xakep.ru/2018/09/17/evil-cursor/

#informationSecurity #cources #beginers

Инфосистемы JET открывает серию вебинаров по информационной безопасности для начинающих специалистов.
Скорее всего предвидеться много воды, но для ознакомления с терминологией и трендами рекомендую новичкам.
https://habr.com/company/jetinfosystems/blog/423477/

Ссылки на все вебинары:

1. Вебинар «Основные термины ИБ», 4 октября с 16.00 до 18.00.

2. Вебинар «Стандарты ИБ», 9 октября с 16.00 до 18.00.

3. Вебинар «Требования ИБ», 11 октября с 16.00 до 18.00.

4. Вебинар «Технологии ИБ», 16 октября с 16.00 до 18.00.

5. Вебинар «Тренды ИБ», 18 октября с 16.00 до 18.00.

#beginners #video #ctf

Широкоизвестный обладатель канала LiveOverflow (о хакинге, CTF’ах и пр. связанным с ИБ) рассказывает о своем первом опыте игры в Attack/Defense CTF на Defcon Las Vegas 2018.
Интересно посмотреть даже тем, кто уже знаком с данным мероприятием.

https://www.youtube.com/watch?v=RXgp4cDbiq4

#events

15-16 ноября будет конференция OFFZONE в Москве (Digital October). Продажа билетов уже стартовала. Ценник - 5000 рублей. Официальный сайт - offzone.moscow. Репост анонса в другие чаты приветствуется)

Больше подробностей про формат конференции можно почитать в анонсе на хакере - xakep.ru/2018/09/03/offzone-2018/

К тому же у нас до сих пор открыт CFP, так что если есть желание что-нибудь зачитать - велкам) Дедлайн 5 откября. Форму подачи доклада можно найти на сайте.

#hacking #beginners #professional #sqlInjection

Полезная WIKI по SQL-Инъекциям. Разобраны все аспекты эксплуатации инъекций с примерами для MYSQL, Oracle, SQL-Server.

https://sqlwiki.netspi.com/

#hacking #web

Portswigger (Разработчики продукта BurpSuite) объявили номинацию «Top 10 Web Hacking Techniques of 2017».
В качестве кандидатов на странице представлены более 30 крутейших историй взлома компаний через веб-приложения.
Голосование уже завершено, но с историями все еще можно ознакомиться. В ближайшее время ждем результатов номинации.

https://portswigger.net/blog/top-10-web-hacking-techniques-of-2017-voting-open

#ctf #quest

Рекомендую новичками интересный квест от группы Defcon-NN. Когда-то сам успел в него поиграть и взять первое место на PhDays в прохождении этого квеста. Сейчас ребята его доработали и запускают заново. Сложность задач ниже среднего, очень полезно для изучения азов хакинга, т.к. столкнетесь с разными ситуациями и инструментами.

DefHack 2018.9: Виноградный Джо
или Как сисадмин Виноград оказался не таким уж неуловимым.

Приглашаем принять участие в первом дополнении нашего хакерского квеста DefHack на конференции NeoQUEST-2018! Онлайн-доступ будет открыт с завтрашнего утра, 26 сентября. Подробнее по ссылке http://defcon-nn.ru/defhack.

В квесте представлен виртуальный мир анти-утопии, по которому вам предстоит путешествовать, выполняя различные задания. Всё начинается с поступления на работу в отдел расследования инцидентов Ё-корп. Распутывание дел в роли "белого" хакера приведет вас к встрече с интересными противниками — вы познакомитесь с яркими представителями группировок в "серых" и "чёрных" шляпах. Каждый ваш шаг сказывается на окружающем мире, отражаясь через призму новостного сайта корпорации. По мере того, как вы узнаете стороны конфликта получше, вам, как и в жизни, представится возможность выбора. От того, чью сторону вы примете, зависит судьба этого мира.

Категории заданий, включенные в версию DefHack 2018.9:
- форензика, расследования (сеть, диск)
- веб
- разведка, osint
- mitm
- brute-force
- pwn
- повышение привилегий
- смарт-контракты Этериум

Кроме того, вам представится возможность поработать с сетью Tor, причем не только через браузер, но также потребуется перенаправлять в неё трафик приложений (например, с помощью torsocks). Мы рекомендуем использовать какой-либо дистрибутив Linux.

Участвовать можно как в одиночку, так и в команде. Сложность большинства заданий — легкая или средняя, они вполне по силам любому админу, программисту, тестировщику, и тем более пентестеру. По каждому заданию можно получить внутриигровую подсказку, привязанную к контексту вашего текущего прогресса. Для вопросов к организаторам есть выделенный телеграм-чат @defhack2018_neoquest.

Составляя задания, мы старались приблизить их к реалистичным, потенциально возможным ситуациям. Большинство заданий, надеемся, полезны и для отработки базовых методов атаки, и понимания возможных методов защиты.

#CTF #beginners #hacking

Появилась интересная бета-версия площадки https://attackdefense.com/. Площадка дает задачи по разным направлениям по типу задач CTF. Уровень задач easy-medium (Основываясь на первом взгляде). Рекомендую новичкам, кому хочется изучать не в глубь, а в ширь.

#beginners #professional #reverseEngineering

https://godbolt.org/ очень полезный сайт для изучения языка ассемблера. Интерактивный интерфейс переводит конструкции высокоуровневого языка в ассемблерные конструкции, что очень наглядно демонстрирует то, как происходит компиляция.
Будет полезно начинающим реверс иженерам и прочим специалистам.

#beginners #knowledge

Русскоязычное описание работы протокола SSH, коротко и ясно. Новички должны знать, остальные повторить.
https://goo.gl/USG12d

#hacking #attacks

Немного с опозданием, тем не менее, всем рекомендую новую уязвимость в edge для применения в социальной инженерии.

https://xakep.ru/2018/10/12/edge-rce/

#hacking #gsm #video

На популярном какнале LiveOverflow стартовала серия выпусков о хаккинге в GSM сетях и прочих телеком. технологиях.
Видео очень наглядные и познавательные, всем рекомендую.

https://www.youtube.com/watch?v=iJFnYBJJiuQ

#hacking #exploit #clientSide

В Firefox < 62.0.3 обнаружена уязвимость, приводящая к выполнению кода. Исследователи из SecuriTeam Secure Disclosure (SSD) нашли уязвимость и написали PoC для нее. См. https://blogs.securiteam.com/index.php/archives/3765

#CTF

В эту субботу стартует M*CTF 2018. Все заинтересованные могут принять участие в отборочном туре.
Финальный оффлайн тур пройдет в ноябре среди команд участников из университетов Москвы.
Всех приглашаю принять участие в турнире. В этом году я с командой писал задачи для него, это мой первый опыт организации подобных мероприятий, поэтому будут интересны все ваши отзывы и пожелания.

https://xn--r1a.website/joinchat/DKSvCUWNXam_kHhquJ8HSw

#hacking #malware

Подсказали забавный YouTube канал с троянами/вирусами и прочим всех времен. Автор собрал видео с запусками и объяснением действий различных троянских программ и вирусов.

Computer viruses, trojans, and worms in action. From digital mischief to outright destruction, I try to sample a bit of everything that made older malware (malicious software) unique from its modern day counterparts.
https://www.youtube.com/user/danooct1/videos

#misc

Крутейший подгон!

#hacking #beginners #clientSide

URL сложнее чем кажется! Смотрите новое видео на LiveOverflow. Очень интересно рассказывает о проблемах парсинга URL и о том, что такое UXSS.

https://youtu.be/0uejy9aCNbI