📂 30 ресурсов по безопасности, которые точно пригодятся

— Приведенные ресурсы являются своего рода стартовым набором для специалистов, которые хотят писать более безопасный код и научиться выявлять уязвимости, прежде чем код перейдет в продакшн

Статья старая, но почти весь материал актуален

👀 Источник

✋ Secure Books

🔸 Евгений DockerAuthPlugin’ович Онегин

— В этой статье автор расскажет о проблеме отсутствия авторизации доступа к Docker daemon / Docker Engine API / командам Docker при работе с контейнерами в экосистеме Docker и как это можно решить при помощи 11 почти стихотворных строчек bash

👀 Источник

✋ Secure Books

😈 Как мы обманули Mozilla и почти взломали коллег

— В этой статье специалисты:
⏺написали браузерное расширение на JavaScript,
⏺убедили Mozilla  в своей честности,
⏺запустили весьма правдоподобную рассылку для сотрудников,
⏺и немного поиграли на чувствах тех, кто верит, что ИИ будет работать за нас

👀 Источник

✋ Secure Books

😁 Перевод официальной документации по Kali Linux

— Операционная система Kali создана для продвинутого тестирования на проникновение и аудита безопасности

Она содержит более 600 инструментов, ориентированных на различные задачи ИБ, такие как:
➡️тестирование на проникновение (Penetration Testing)
➡️исследования в области информационной безопасности (Security research)
➡️компьютерная криминалистика (Computer Forensics)
➡️обратная инженерия (Reverse Engineering)

⏺ Введение: что такое Kali Linux и какие особенности у Kali
⏺ WSL: подсистема Windows для Linux
⏺ Документация Kali NetHunter: Kali на вашем телефоне Android
⏺ Общее использование: разное, всё остальное, после установки

✋ Secure Books

🔤 Журнал «Хакер» | Спецвыпуск: взлом хакерской странички
Corel XARA и Corel XaraWebstyle | Как зарегистрировать свой домен

«Дарова, Перец! В этом X мы, как самые webанутые, расскажем тебе, как грамотно заделать свою пагу в Инете и сделать ее самой крутой. :) Времена, сам знаешь, такие – без своей паги никуда!

Только вот посмотрели мы на творения многих "типа вебдизигнеров" и прям в осадок выпали и кристаллизовались. Ну такой отстой! Такое впечатление, что люди, создавая свои странички, вообще ничего нигде не читали о вебдизайне и вообще не секут фишку, что и как надо делать.

В общем, если ты хочешь, чтобы народ заходил на твою пагу и у многих сразу вставал от удовольствия, то никаких напрягов тебе не нужно, просто садись и читай внимательно весь этот номер.

Обещаем не грузить всякой фигней о том, "какие цвета сочетаются с этим видом рельефного фона и какие шрифты стилистически верно выдержаны". Вместо этого мы завалим тебя конкретной инфой о том, как, совсем ничего не зная о веб-дизигне, стать лучшим пагемакером в Рунете.

Все, от азов HTML-а до создания роликов на Флеше, от java-script-a до RealMedia, от DHTML до SSI. Только информация, и ни слова больше! Так что, прочитав этот спецвыпуск, ты почувствуешь себя самым крутым вебмастером всех времен и народов. Все гуру отдыхают, скоро в Инет выйдешь Ты!»

2-ый спецвыпуск журнала «Хакер», 2000 год

Предыдущие выпуски – тут.

✋ Secure Books

🔵 Бесплатный онлайн-курс по веб-безопасности от создателей Burp Suite

Академия веб-безопасности – это бесплатный онлайн-центр обучения безопасности веб-приложений

— Он включает в себя контент от внутренней исследовательской группы PortSwigger, опытных ученых и Chief Swig Dafydd Stuttard – автора The Web Application Hacker's Handbook

👀 Источник

✋ Secure Books

🧰 OSINT: Онлайн-сервисы для поиска по интернету вещей, IP, доменам и поддоменам

1. ip-neighbors: определяет местоположение сервера, и имена хостов, которые делят с ним IP-адрес.

2. ShowMyIP: массовый поиск IP-адресов, позволяет проверять до 100 IP-адресов одновременно. Выдачу можно загрузить сохранить в .csv-файл.

3. MX Toolbox: еще один многофункциональный инструмент, позволяющий искать по доменному имени, IP-адресу или имени хоста.

4. DNSViz: это набор инструментов для анализа и визуализации системы доменных имен. Имеет открытый исходный код.

5. infosniper, ip2geolocation, ip2location, ipfingerprints, whoismind: поисковики, которые позволяют найти приблизительное географическое местоположение IP-адреса, а также другую полезную информацию, включая интернет-провайдера, часовой пояс, код города и т.д.

✋ Secure Books

🧰 33 инструмента для тестирования на проникновение

— В данной статье представлен список и сравнение лучших инструментов тестирования на проникновение, используемых профессионалами в 2025 году

👀 Источник

✋ Secure Books

🔵 Подготовка эффективной среды для написания bash сценариев

Bash, он же возрождённый shell, является по-прежнему одним из самых популярных командных процессоров и интерпретаторов сценариев.

— Если вам приходится писать bash скрипты или вы только планируете этим заняться, данная статья написана для вас

👀 Источник

✋ Secure Books

🐱 Все о Bug Bounty

All About Bug Bounty — это репозиторий, который содержит заметки о Bug Bounty, собранные из различных источников

— В нём есть списки уязвимостей, разведка, чек-листы, обходы, технологии, инструменты, полезные нагрузки и CVE

👀 Источник

✋ Secure Books

👩‍💻 Взлом WordPress при помощи XSS, обход WAF и получение shell-доступа

В этом руководстве автор покажет, как взломать WordPress при помощи XSS, а затем получить полный доступ к системе

— Основное внимание будет уделено механизму атаки с целью последующей разработки способов по защите от подобных вторжений

👀 Источник

✋ Secure Books

🪟 Утилиты NirSoft для извлечения информации из Windows

Оглавление:

1. Программное обеспечение для компьютерной криминалистики на Windows
2. Программы по восстановлению паролей
3. Программы для мониторинга сети
4. Программы для извлечения информации из веб-браузеров и почтовых клиентов
5. Утилиты, связанные с Интернетом, сетью и сетевым оборудованием
6. Настольные утилиты
7. Дисковые утилиты
8. Системные утилиты
9. Где скачать и как русифицировать программы NirSoft

На веб-сайте NirSoft можно найти уникальную коллекцию маленьких и полезных программ, все их разработал Nir Sofer

У этих программ специфическое предназначение – они извлекают информацию (с постоянных носителей, из сетевых потоков, реестра и т.д.) из компьютеров на Windows

— С их помощью вы можете восстановить потерянные пароли, мониторить вашу сеть для просмотра и извлечения кукиз, кэша и другой информации, хранимой веб-браузерами, искать по файлам в вашей системе, мониторить изменения в файловой системе и в системном Реестре и многое другое.

👀 Источник

✋ Secure Books

⬛️ 123 задачи с IT-собеседований с разбором решений

Авторы решили собрать самые популярные задачи с IT-собеседований – более 100 логических задач, IT-кейсов и заданий по разработке для профессиональных программистов

К каждой задаче приводятся ответы

👀 Источник

✋ Secure Books

🔎 Форензика: Поиск в компьютере на Windows и Linux следов взлома

Предотвращение и обнаружение вторжений – это важнейшие элементы процесса обеспечения безопасности компьютера и компьютерных сетей

В случае взлома компьютера или сетевого устройства необходимо незамедлительно принять меры для:

⏺предотвращения дальнейшего распространения угрозы (изоляция скомпрометированного устройства, очистка, полное восстановление системы из доверенной резервной копии и т.д.);
⏺выявления способов проникновения/заражения и устранение их (исследование эксидента, установка обновлений безопасности, отказ от использования уязвимого ПО и сетевого оборудования, применение систем предотвращения и обнаружения вторжения, установка антивирусного ПО, изменение политики информационной безопасности организации и т.д.);
⏺оценки и устранения последствий взлома (определение попавшей в результате взлома в руки злоумышленников информации, смена учётных данных, восстановление CDN, предупреждение пользователей о необходимости смены паролей и т.д.).

Признаками, свидетельствующими, что компьютер был скомпрометирован (Indicators of Compromise), т.е. взломан, могут быть:

⏺появление на компьютере вредоносных файлов (вирусов, бэкдоров, троянов, килогеров, крипторов, майнеров и т.д.), а также хакерский утилит (для исследования сети, эксплуатации уязвимостей, сбора учётных данных и т.д.);
⏺появление неавторизованных новых исполнимых и других файлов, даже если они не определяются антивирусным ПО как вредоносные;
⏺неавторизованная сетевая активность (подключение к удалённым хостам, открытие для прослушивания портов неизвестными программами, либо программами, которые не должны этого делать и пр.);
⏺аномальная активность на дисковых устройствах и повышенное потребление ресурсов системы (из-за поиска по дискам, шифрования файлов, использования ресурсов компьютера в целях злоумышленника для выполнения вычислений или хранения и распространения данных и т.д.)
⏺и другие признаки, как видимые «на глаз», так и требующие использования специализированного ПО для выявления

👀 Источник

✋ Secure Books

🔵 Прохождение виртуальной машины Tomghost на TryHackMe (уровень легкий)

Tomghost – это задача на выявление уязвимостей, в которой нужно попытаться использовать систему или прочитать файлы, к которым доступ запрещён

Она станет отличным стартом для новичков

👀 Источник

✋ Secure Books

😈 Приручение черного дракона | Этичный хакинг с Kali Linux

— Данный цикл статей ориентирован в первую очередь на начинающих специалистов в сфере информационной безопасности, но так же может быть интересен и более опытным коллегам

Часть 1. Вводная часть. Подготовка рабочего стенда.
Часть 2. Фазы атаки.
Часть 3. Footprinting. Разведка и сбор информации.
Часть 4. Сканирование и типы сканирования. Погружение в nmap.
Часть 5. Методы получения доступа к системе.
Часть 6. Пост-эксплуатация. Способы повышения привилегий.
Часть 7. Пост-эксплуатация. Закрепление в системе.
Часть 8. Методы и средства внешней разведки.

✋ Secure Books

🥷 OSINT: Поиск конфиденциальной информации в репозиториях

Gitleaks – это инструмент с открытым исходным кодом, предназначенный для обнаружения секретов в репозиториях Git

Его задача – сканировать код на наличие конфиденциальной информации и предотвратить её попадание в общий доступ

Gitleaks поддерживает множество языков программирования и может интегрироваться с CI/CD-пайплайнами, что делает его универсальным решением для команд разработчиков и администраторов систем

👀 Источник

✋ Secure Books

🚠 Фильтрация трафика (IPT, NAT, DMZ)

— Сегодня мы узнаем что-же такое NAT, DMZ, и как происходит фильтрация пакетов и что-то ещё

В конце статьи будет универсальный файлик с правилами iptables на все случаи жизни

👀 Источник

✋ Secure Books

❗️ DDoS-атаки: виды атак и уровни модели OSI

— В статье мы расскажем, что такое DDoS-атаки, разберём виды DDoS-атак на разных уровнях и способы их предотвращения

А также рассмотрим уровни сетевых атак согласно модели OSI и разберём те уровни, на которые чаще всего обрушивают DDoS-атаки

👀 Источник

✋ Secure Books

📄 Mind Map по тестированию API — бесплатная и открытая для пополнения сообществом

MindAPI — это онлайн-карта с ресурсами для упрощения исследования и тестирования безопасности API

— В проекте есть ссылки на рекомендации, инструменты с открытым исходным кодом и документацию, которые могут помочь разработчикам, исследователям безопасности, пентестерам и даже охотникам за ошибками

Также MindAPI содержит ссылки на различные ресурсы: доклады, образовательные видео, руководства по эксплуатации и другие материалы

👀 Источник

✋ Secure Books

🔎 Знакомство с BackBox Linux: обзор, установка, подсказки по использованию

Оглавление:

1. Что такое BackBox Linux;
2. Особенности BackBox Linux;
3. Как и где скачать последнюю BackBox Linux с официального сайта;
4. Live режим BackBox;
5. Установка BackBox;
6. Обновление BackBox (обновление операционной системы и инструментов BackBox);
7. Обзор основных возможностей и меню BackBox;
8. Анонимность в BackBox;
9. Службы (Services ) в BackBox;
10. Инструменты для аудита в BackBox;
11. Подсказки по работе с BackBox: настройка и установка дополнительных инструментов BackBox;
12. Примеры работы с инструментами BackBox.

— В этой статье ознакомимся с BackBox, мы рассмотрим установку, интерфейс программы, меню, обновим пакеты, попробуем режим анонимности, запустим несколько инструментов

Также рассмотрим установку в BackBox дополнительных инструментов аудита безопасности, которых явно здесь не хватает

👀 Источник

✋ Secure Books