Сегодня хотелось бы напомнить о платформе, которую не очень часто видно в списках в списках CTF площадок. Мы говорим о PicoCTF.
Эта площадка вмещает в себя более 400 CTF тасок на следующие темы:
- Веб
- Крипта
- Реверс
- Форензика
- Бинарная эксплуатация
Таски делятся по трём уровням сложности от простого до сложного. Также у площадки есть свой учебник, который поможет новичкам погрузиться в новые категории заданий.
#Pentest #AppSec #Practice
🧠 Пакет Знаний | 👨🏫 Менторство
📂 Другие каналы
Эта площадка вмещает в себя более 400 CTF тасок на следующие темы:
- Веб
- Крипта
- Реверс
- Форензика
- Бинарная эксплуатация
Таски делятся по трём уровням сложности от простого до сложного. Также у площадки есть свой учебник, который поможет новичкам погрузиться в новые категории заданий.
#Pentest #AppSec #Practice
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8⚡3❤2🤩1
Встречаем понедельник нашей постоянной (почти) рубрикой - лучшие статьи недели.
Начнём со статей про ИИ.
Первая - это разбор исследования языковых моделей на предмет анализа уязвимостей в исходном коде.
Вторая статья напротив, посвящена использованию LLM злоумышленниками. Автор обозревает инциденты кибератак, в которых использовались GenAI, встроенные в контуры жертв.
Дальше у нас идут более практические статьи.
База по Command Injection. Автор разбирает методы исполнения этой атаки, а также даёт практически советы по выявлению и противодействию данному виду атак.
Следующая статья - гайд по сбору учётных данных с помощью NetExec. Понадобится AD пентестерам.
Разбавим всякие сложные тексты мнением по сертификациям для начинающих специалистов. В небольшой статье описано, на какие сертификации стоит обращать внимание новичку в ИБ.
Так как прошедшая неделя упала на конец сентября, то естественно наша подборка не обойдётся без статей с самыми интересными уязами за месяц. Их аж целых две - раз и два.
Ну и завершим данный пост бэнгером прошедшей недели - разбором сложной уязвимости ядра Linux CVE-2024-50264. Автор проделал очень большую работу, разработав эксплойт и описав этот процесс в статье в формате исследования.
#AI #Pentest #AppSec
🧠 Пакет Знаний | 👨🏫 Менторство
📂 Другие каналы
Начнём со статей про ИИ.
Первая - это разбор исследования языковых моделей на предмет анализа уязвимостей в исходном коде.
Вторая статья напротив, посвящена использованию LLM злоумышленниками. Автор обозревает инциденты кибератак, в которых использовались GenAI, встроенные в контуры жертв.
Дальше у нас идут более практические статьи.
База по Command Injection. Автор разбирает методы исполнения этой атаки, а также даёт практически советы по выявлению и противодействию данному виду атак.
Следующая статья - гайд по сбору учётных данных с помощью NetExec. Понадобится AD пентестерам.
Разбавим всякие сложные тексты мнением по сертификациям для начинающих специалистов. В небольшой статье описано, на какие сертификации стоит обращать внимание новичку в ИБ.
Так как прошедшая неделя упала на конец сентября, то естественно наша подборка не обойдётся без статей с самыми интересными уязами за месяц. Их аж целых две - раз и два.
Ну и завершим данный пост бэнгером прошедшей недели - разбором сложной уязвимости ядра Linux CVE-2024-50264. Автор проделал очень большую работу, разработав эксплойт и описав этот процесс в статье в формате исследования.
#AI #Pentest #AppSec
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥7❤4👍2😁1
Сегодня понедельник, а значит что? Правильно - лучшие статьи прошедшей недели.
Начнём с улучшения защиты вашей системы. Первая статья рассказывает о том, как защитить ваш веб-сайт от ботов, которые создают большую нагрузку и нагружают вашу систему.
После улучшения веба идём работать с инфрой - защитим Kubernetes на уровне ядра Linux. Далее у нас остаются ещё домены AD, которые тоже не помешало бы обезопасить. В этом нам помогут две статьи - Повышение защищённости Active Directory часть 1 и часть 2 (Да, первая часть вышла в апреле, но кто начинает смотреть сиквел без просмотра оригинала?).
Что ж, над защитой поработали, теперь время порадовать и ребят из красной команды. Держите разборы кейсов с багбаунти:
1) баг с использованием NULL в имени пользователя;
2) статья о том, как придумать интересный вектор атаки для обычного IDOR и повысить его в глазах триажеров.
Ещё хотелось бы поделиться обделённой вниманием статьёй с разбором атаки gadget chain, приводящей к RCE.
Далее у нас довольно подробный разбор техник разведки в MITRE ATT&CK.
Ну и под конец немного практики - создаём личный OSINT-комбайн на основе Google Sheets.
#Pentest #AppSec #DevSecOps #SecArch #BaseSecurity
🧠 Пакет Знаний | 👨🏫 Менторство
📂 Другие каналы
Начнём с улучшения защиты вашей системы. Первая статья рассказывает о том, как защитить ваш веб-сайт от ботов, которые создают большую нагрузку и нагружают вашу систему.
После улучшения веба идём работать с инфрой - защитим Kubernetes на уровне ядра Linux. Далее у нас остаются ещё домены AD, которые тоже не помешало бы обезопасить. В этом нам помогут две статьи - Повышение защищённости Active Directory часть 1 и часть 2 (Да, первая часть вышла в апреле, но кто начинает смотреть сиквел без просмотра оригинала?).
Что ж, над защитой поработали, теперь время порадовать и ребят из красной команды. Держите разборы кейсов с багбаунти:
1) баг с использованием NULL в имени пользователя;
2) статья о том, как придумать интересный вектор атаки для обычного IDOR и повысить его в глазах триажеров.
Ещё хотелось бы поделиться обделённой вниманием статьёй с разбором атаки gadget chain, приводящей к RCE.
Далее у нас довольно подробный разбор техник разведки в MITRE ATT&CK.
Ну и под конец немного практики - создаём личный OSINT-комбайн на основе Google Sheets.
#Pentest #AppSec #DevSecOps #SecArch #BaseSecurity
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4🔥3👍1🍌1
Сегодня у нас в меню CTF площадка, посвящённая криптографии - CryptoHack.
Есть много категорий (аж целых 14), начиная от азов криптографии, заканчивая хэш-функциями, шифрами Диффи-Хельмана, RSA и так далее.
Помимо самих тасок, на платформе есть пять курсов, которые помогут вам плавно погрузиться в мир шифрования.
#Pentest #AppSec
🧠 Пакет Знаний | 👨🏫 Менторство
📂 Другие каналы
Есть много категорий (аж целых 14), начиная от азов криптографии, заканчивая хэш-функциями, шифрами Диффи-Хельмана, RSA и так далее.
Помимо самих тасок, на платформе есть пять курсов, которые помогут вам плавно погрузиться в мир шифрования.
#Pentest #AppSec
Please open Telegram to view this post
VIEW IN TELEGRAM
👍10🔥6❤5
Нашли для вас ресурс, где понятно объясняют распространённые уязвимости в веб приложениях.
В Hacksplaining вас ждёт 42 небольших модуля, где подробно рассказано про типовые веб уязвимости (XSS, SSRF, CSRF и т.д.). Объяснения сопровождаются красивой визуализацией.
Также, для закрепления материала, в конце каждого модуля есть не сложные тесты, которые закрепляют знания об уязвимостях.
#Pentest #AppSec
🧠 Пакет Знаний | 👨🏫 Менторство
📂 Другие каналы
В Hacksplaining вас ждёт 42 небольших модуля, где подробно рассказано про типовые веб уязвимости (XSS, SSRF, CSRF и т.д.). Объяснения сопровождаются красивой визуализацией.
Также, для закрепления материала, в конце каждого модуля есть не сложные тесты, которые закрепляют знания об уязвимостях.
#Pentest #AppSec
Please open Telegram to view this post
VIEW IN TELEGRAM
⚡9✍5😍2
Опа, а вот это уже интересно – ссылка
Если коротко, то ребята ИИфицировали SAST под ключ на базе мультиагентной системы.
Хейтеры скажу, что это конец AppSec-а. Я скажу, что это новая ветвь его эволюции.
#AppSec
🧠 Пакет Знаний | 👨🏫 Менторство
📂 Другие каналы
Если коротко, то ребята ИИфицировали SAST под ключ на базе мультиагентной системы.
Хейтеры скажу, что это конец AppSec-а. Я скажу, что это новая ветвь его эволюции.
#AppSec
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegram
red_mad_robot
red_mad_robot и СберТех разработали мультиагентную систему, которая автоматически находит и исправляет уязвимости в коде ⚡
Она анализирует результаты SAST — статического анализа, который выявляет потенциально опасные места на этапе разработки. В системе…
Она анализирует результаты SAST — статического анализа, который выявляет потенциально опасные места на этапе разработки. В системе…
🔥9❤1💯1🍾1
Понедельник - день тяжелый, так что не помешает немного расслабиться за чашечкой чая и почитать интересные статьи прошедшей недели.
Начнём с чего-то простого. Статья о взломе подарочного сертификата вдохновит вас на мысли о том, что уязвимости могут быть даже в самых простых системах.
Следующая статья расскажет о случаях безопасности протокола HTTP, которые нужно учитывать при разработке API. Полезно будет почитать как разработчикам, так и пентестерам.
Далее у нас идёт статья для синей команды - шпаргалка по Linux для DFIR.
Затем забираем себе подборку руководств и книг по DevSecOps.
Ну и закончим на сегодня объёмным и интересным разбором (буквально) POS-терминала.
Хорошего вам дня и продуктивной недели!
#AppSec #Pentest #DevSecOps
🧠 Пакет Знаний | 👨🏫 Менторство
📂 Другие каналы
Начнём с чего-то простого. Статья о взломе подарочного сертификата вдохновит вас на мысли о том, что уязвимости могут быть даже в самых простых системах.
Следующая статья расскажет о случаях безопасности протокола HTTP, которые нужно учитывать при разработке API. Полезно будет почитать как разработчикам, так и пентестерам.
Далее у нас идёт статья для синей команды - шпаргалка по Linux для DFIR.
Затем забираем себе подборку руководств и книг по DevSecOps.
Ну и закончим на сегодня объёмным и интересным разбором (буквально) POS-терминала.
Хорошего вам дня и продуктивной недели!
#AppSec #Pentest #DevSecOps
Please open Telegram to view this post
VIEW IN TELEGRAM
❤11👍4⚡1
Грокаем безопасность веб-приложений.
Это книга, о которой вы, вероятно, слышали уже не раз, поскольку она обрела популярность почти сразу же после выхода в тираж. Не исключено, что ажиотаж вызван благодаря стилистической схожести с ещё одним бэнгером – "Грокаем алгоритмы".
Данную книгу нам любезно предоставило издательство "Питер", за что мы его сердечно благодарим.
Со вступлением закончили, перейдём же к самому обзору. В книге разбирается в первую очередь аспект безопасной разработки веб-приложений.
Содержание книги поделено на две части:
• В первой части автор рассказывает читателю некоторую базу безопасности, начиная с того, кто такие хакеры и заканчивая понятным объяснением работы шифрования и процессов безопасной разработки. Полезно почитать тем, кто не знаком с архитектурой REST или плавает в вопросах различия http от https.
• Далее начинается самое интересное – вторая часть, где по главам разбираются уже сами уязвимости. Рекомендации по безопасности автор сопровождает наглядными фрагментами кода, в которых используются описанные меры защиты. Эту часть книги обязательно советуем к прочтению как аппсекам, так и пентестерам. Первым дают хорошие советы по обеспечению безопасности от описанных уязвимостей, а вторые смогут вдохновиться и узнать много нового о том, почему появляются эти же уязвимости.
Повествование в книге очень дружелюбное по отношению к читателю: каждая глава сопровождается качественными и понятными иллюстрациями, автор старается разжевать сложные концепции простыми аналогиями. В общем, чтиво довольно увлекательное.
Рекомендуем абсолютно всем, кому интересна веб-разработка или же тестирование на безопасность веб-приложений.
#Pentest #AppSec
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
Это книга, о которой вы, вероятно, слышали уже не раз, поскольку она обрела популярность почти сразу же после выхода в тираж. Не исключено, что ажиотаж вызван благодаря стилистической схожести с ещё одним бэнгером – "Грокаем алгоритмы".
Данную книгу нам любезно предоставило издательство "Питер", за что мы его сердечно благодарим.
Со вступлением закончили, перейдём же к самому обзору. В книге разбирается в первую очередь аспект безопасной разработки веб-приложений.
Содержание книги поделено на две части:
• В первой части автор рассказывает читателю некоторую базу безопасности, начиная с того, кто такие хакеры и заканчивая понятным объяснением работы шифрования и процессов безопасной разработки. Полезно почитать тем, кто не знаком с архитектурой REST или плавает в вопросах различия http от https.
• Далее начинается самое интересное – вторая часть, где по главам разбираются уже сами уязвимости. Рекомендации по безопасности автор сопровождает наглядными фрагментами кода, в которых используются описанные меры защиты. Эту часть книги обязательно советуем к прочтению как аппсекам, так и пентестерам. Первым дают хорошие советы по обеспечению безопасности от описанных уязвимостей, а вторые смогут вдохновиться и узнать много нового о том, почему появляются эти же уязвимости.
Повествование в книге очень дружелюбное по отношению к читателю: каждая глава сопровождается качественными и понятными иллюстрациями, автор старается разжевать сложные концепции простыми аналогиями. В общем, чтиво довольно увлекательное.
Рекомендуем абсолютно всем, кому интересна веб-разработка или же тестирование на безопасность веб-приложений.
#Pentest #AppSec
Please open Telegram to view this post
VIEW IN TELEGRAM
❤11🔥6🤩4😁1
OpenAI решили объединить два тренда 2025-го года - безопасность и AI-агентов. В итоге получился Aardvark - агент, который анализирует исходный код на предмет уязвимостей.
Судя по всему, это такой очень умный SAST, который и код проанализирует, и юнит-тесты напишет, и даже закинет коммит, который исправляет найденные уязвимости.
На бумаге, как всегда, всё выглядит хорошо, посмотрим как будет на практике. Пока что инструмент раскатывают в закрытой бете, на которую можно записаться по ссылке.
#AI #AppSec
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
Судя по всему, это такой очень умный SAST, который и код проанализирует, и юнит-тесты напишет, и даже закинет коммит, который исправляет найденные уязвимости.
На бумаге, как всегда, всё выглядит хорошо, посмотрим как будет на практике. Пока что инструмент раскатывают в закрытой бете, на которую можно записаться по ссылке.
#AI #AppSec
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4⚡2❤2🔥2
Под конец короткой рабочей недели ещё должны остаться силы, а значит можно ознакомиться с имбой для аппсеков - Secure Coding Handbook.
В этом документе есть рекомендации и лучшие практики по безопасному коду в контексте веб приложений. Эти рекомендации разделяются на 4 раздела:
- клиентсткие уязвимости;
- уязвимости сервера;
- уязвимости API;
- остальное (зависимости, десериализация, логирование).
Помимо этого в хэндбуке есть много ссылок на практику и документацию на разные фреймворки и инструменты.
#AppSec #Pentest
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
В этом документе есть рекомендации и лучшие практики по безопасному коду в контексте веб приложений. Эти рекомендации разделяются на 4 раздела:
- клиентсткие уязвимости;
- уязвимости сервера;
- уязвимости API;
- остальное (зависимости, десериализация, логирование).
Помимо этого в хэндбуке есть много ссылок на практику и документацию на разные фреймворки и инструменты.
#AppSec #Pentest
Please open Telegram to view this post
VIEW IN TELEGRAM
vladtoie.gitbook.io
Secure Coding Handbook
❤5🔥4⚡2
Давно не было рабочих понедельников, примерно столько же не было и постов про статьи прошедшей недели - исправляемся.
Начинаем нашу подборку со статьи по безопасной настройке Kubernetes. В тексте приводятся рекомендации из стандарта CIS Kubernetes Benchmark по обустройству безопасных кластеров k8s. Также автор вкратце обозревает и другие гайдлайны (NSA/CISA, STIG, Модель 4С’s).
Далее у нас практический гайд по проектированию безопасной архитектуры. Автор выделил основные элементы безопасной инфраструктуры (выделенные и облачные серверы, межсетевой экран, сервисы и т.д.) и разобрал каждый из них.
От синей команды плавно перейдём к красной. Крайне важная статья для новичков-пентестеров (да и не только для новичков, в общем-то), в которой показываются последствия использования незнакомых эксплойтов и инструментов при проведении тестирования.
Ну и под конец у нас две информативные статьи:
- Разбор OWASP TOP 10 Machine Learning Security. В статье рассматривается каждый пункт этого топа и приводятся рекомендации по предотвращению описанных уязвимостей.
- Ну и так как у нас относительно недавно закончился октябрь, то держите подборку опасных уязвимостей прошедшего месяца.
#AppSec #DevSecOps #Pentest #AI
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
Начинаем нашу подборку со статьи по безопасной настройке Kubernetes. В тексте приводятся рекомендации из стандарта CIS Kubernetes Benchmark по обустройству безопасных кластеров k8s. Также автор вкратце обозревает и другие гайдлайны (NSA/CISA, STIG, Модель 4С’s).
Далее у нас практический гайд по проектированию безопасной архитектуры. Автор выделил основные элементы безопасной инфраструктуры (выделенные и облачные серверы, межсетевой экран, сервисы и т.д.) и разобрал каждый из них.
От синей команды плавно перейдём к красной. Крайне важная статья для новичков-пентестеров (да и не только для новичков, в общем-то), в которой показываются последствия использования незнакомых эксплойтов и инструментов при проведении тестирования.
Ну и под конец у нас две информативные статьи:
- Разбор OWASP TOP 10 Machine Learning Security. В статье рассматривается каждый пункт этого топа и приводятся рекомендации по предотвращению описанных уязвимостей.
- Ну и так как у нас относительно недавно закончился октябрь, то держите подборку опасных уязвимостей прошедшего месяца.
#AppSec #DevSecOps #Pentest #AI
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥6❤4🏆2🫡1
– Баян – скажите вы.
– Классика – возражу я вам.
Сегодня предлагаем вам посетить онлайн магазин по продаже сока - Juice Shop.
В нём вы найдёте:
- целых 15 категорий уязвимостей, которые испытают ваши хакерские навыки;
- много часов практики;
- подробный гайд-компаньон, который поможет вам в исследовании данного приложения.
В нём вы не найдёте:
- сока.
Приложение локально разворачивается на вашем компьютере. Есть ещё демо-стенд, но он работает нестабильно, так что лучше сразу поднимать у себя.
#Pentest #AppSec #Practice
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
– Классика – возражу я вам.
Сегодня предлагаем вам посетить онлайн магазин по продаже сока - Juice Shop.
В нём вы найдёте:
- целых 15 категорий уязвимостей, которые испытают ваши хакерские навыки;
- много часов практики;
- подробный гайд-компаньон, который поможет вам в исследовании данного приложения.
В нём вы не найдёте:
- сока.
Приложение локально разворачивается на вашем компьютере. Есть ещё демо-стенд, но он работает нестабильно, так что лучше сразу поднимать у себя.
#Pentest #AppSec #Practice
Please open Telegram to view this post
VIEW IN TELEGRAM
❤5⚡3🔥3🌭2🐳1
Начинаем рабочую неделю с традиционного чтения лучших статей прошедшей недели.
• Первая статья посвящена настройке Nginx для защиты от DDoS атак. В тексте описаны простые в реализации способы для защиты вашего веб-сервера.
• Далее у нас идёт статья с типовыми атаками на Kerberos. Будет полезно ознакомиться новичкам, которым интересен инфраструктурный пентест.
• Не отходя далеко от красной команды, рекомендуем ознакомиться со статьёй о том, как перестать быть зависимым от Burp Suite и стать счастливым вместе с Caido. Автор текста имеет опыт более пяти лет использования бурпа. В статье он описывает о проблемах Burp Suite и про опыт использования Caido.
• Ну и напоследок у нас две огромные технические статьи. Первая посвящена разбору браузерных песочниц и изоляции в JavaScript. В тексте рассказывается о разных архитектурных подходах к изоляции кода. Очень полезно почитать если вам интересно, как происходит произвольное выполнение кода в браузере и какие инструменты защиты используются для противодействия этой уязвимости.
• Последняя статья посвящена разбору API Gateway. В ней рассматриваются различные подходы к построению безопасной API архитектуры. Также в статье затрагивается тема ограничения области действия access token и опасности использования единого токена для доступа к любым API ресурсам.
#DevSecOps #Pentest #AppSec #API
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
• Первая статья посвящена настройке Nginx для защиты от DDoS атак. В тексте описаны простые в реализации способы для защиты вашего веб-сервера.
• Далее у нас идёт статья с типовыми атаками на Kerberos. Будет полезно ознакомиться новичкам, которым интересен инфраструктурный пентест.
• Не отходя далеко от красной команды, рекомендуем ознакомиться со статьёй о том, как перестать быть зависимым от Burp Suite и стать счастливым вместе с Caido. Автор текста имеет опыт более пяти лет использования бурпа. В статье он описывает о проблемах Burp Suite и про опыт использования Caido.
• Ну и напоследок у нас две огромные технические статьи. Первая посвящена разбору браузерных песочниц и изоляции в JavaScript. В тексте рассказывается о разных архитектурных подходах к изоляции кода. Очень полезно почитать если вам интересно, как происходит произвольное выполнение кода в браузере и какие инструменты защиты используются для противодействия этой уязвимости.
• Последняя статья посвящена разбору API Gateway. В ней рассматриваются различные подходы к построению безопасной API архитектуры. Также в статье затрагивается тема ограничения области действия access token и опасности использования единого токена для доступа к любым API ресурсам.
#DevSecOps #Pentest #AppSec #API
Please open Telegram to view this post
VIEW IN TELEGRAM
❤7🔥2🤝2🕊1
OWASP_Application_Security_Verification_Standard_5.0.0_ru.pdf
559 KB
Около полугода назад релизнулась пятая версия OWASP ASVS. Делимся с вами русским переводом этого документа.
Сам по себе ASVS это стандарт для верификации безопасности приложений, грубо говоря чек-лист того, как надо делать, чтобы всё было безопасно. Всего в этом чек-листе 345 требований. Естественно, выполнить все эти требования это что-то из разряда невозможного, поэтому их разделили на 3 уровня:
- L1 минимальный;
- L2 стандартный;
- L3 продвинутый.
Документ подразумевает, что все приложения, обрабатывающие конфиденциальные данные, должны соответствовать как минимум уровню L2.
Требования разделены на 17 тем и все они касаются веб-приложений. Так что для построения полностью безопасной инфраструктуры этого документа будет недостаточно, но для конкретных приложений документик маст хэв.
#AppSec #API
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
Сам по себе ASVS это стандарт для верификации безопасности приложений, грубо говоря чек-лист того, как надо делать, чтобы всё было безопасно. Всего в этом чек-листе 345 требований. Естественно, выполнить все эти требования это что-то из разряда невозможного, поэтому их разделили на 3 уровня:
- L1 минимальный;
- L2 стандартный;
- L3 продвинутый.
Документ подразумевает, что все приложения, обрабатывающие конфиденциальные данные, должны соответствовать как минимум уровню L2.
Требования разделены на 17 тем и все они касаются веб-приложений. Так что для построения полностью безопасной инфраструктуры этого документа будет недостаточно, но для конкретных приложений документик маст хэв.
#AppSec #API
Please open Telegram to view this post
VIEW IN TELEGRAM
❤14🔥5🤝3⚡1
Всем привет! Встречаем последний месяц в году традиционным дайджестом по лучшим статьям прошедшей недели. Заваривайте горячий какао и знакомьтесь с полезными материалами.
Начнём с объёмной статьи от Alfa-Tech по основам безопасности веб-приложений. Автор на примере общедоступных ресурсов для тестирования знакомит читателей с основными техниками по пентесту веб-приложений.
Не отходя далеко от эксплуатации уязвимостей, делимся с вами подробным разбором уязвимости CVE-2024-31982, которая приводит к удалённому выполнению кода.
Сегодня у нас практически все статьи про тестирование, так что для разнообразия в середину поставим статью про предотвращение CSRF атак без использования токенов.
Далее идёт статья про безопасность AI. Автор рассказывает про атаки и базовые методы защиты от описанных атак.
И напоследок у нас текст про тестирование Nginx. В статье автор делится полезными инструментами как для проверки конфигурации на корректность, так и для тестирования непосредственно безопасности веб-сервера.
#Pentest #AppSec #AI #DevSecOps
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
Начнём с объёмной статьи от Alfa-Tech по основам безопасности веб-приложений. Автор на примере общедоступных ресурсов для тестирования знакомит читателей с основными техниками по пентесту веб-приложений.
Не отходя далеко от эксплуатации уязвимостей, делимся с вами подробным разбором уязвимости CVE-2024-31982, которая приводит к удалённому выполнению кода.
Сегодня у нас практически все статьи про тестирование, так что для разнообразия в середину поставим статью про предотвращение CSRF атак без использования токенов.
Далее идёт статья про безопасность AI. Автор рассказывает про атаки и базовые методы защиты от описанных атак.
И напоследок у нас текст про тестирование Nginx. В статье автор делится полезными инструментами как для проверки конфигурации на корректность, так и для тестирования непосредственно безопасности веб-сервера.
#Pentest #AppSec #AI #DevSecOps
Please open Telegram to view this post
VIEW IN TELEGRAM
❤7👏2🕊1
Делимся с вами относительно свежей платформой с лабами для красной и синей команды - Infinity Learning
В ней вы найдете лабы на следующие темы:
- AI Security
- Cloud Security
- DevOps Security
- Kubernetes Security
- On-Premise Security (внутренняя инфраструктура)
- APT Labs
На платформе сейчас 139 лаб, около 50-ти из них бесплатные. В основном бесплатные лабы касаются облачной безопасности. Для любителей кубера будет небольшое разочарование, так как все задания по этой теме платные.
Платформе всего около полутра лет и новые лабы там появляются регулярно, советую ознакомиться.
#Pentest #AppSec #DevSecOps #AI #Practice
🧠 ПЗ | 👨🏫 Менторство ИБ
📂 Другие каналы
В ней вы найдете лабы на следующие темы:
- AI Security
- Cloud Security
- DevOps Security
- Kubernetes Security
- On-Premise Security (внутренняя инфраструктура)
- APT Labs
На платформе сейчас 139 лаб, около 50-ти из них бесплатные. В основном бесплатные лабы касаются облачной безопасности. Для любителей кубера будет небольшое разочарование, так как все задания по этой теме платные.
Платформе всего около полутра лет и новые лабы там появляются регулярно, советую ознакомиться.
#Pentest #AppSec #DevSecOps #AI #Practice
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8❤5👍3
Сегодня делимся с вами большим сборником ежегодных отчётов по кибербезопасности от компаний разного калибра.
Отчёты разделяются на два вида - аналитические и обзорные. Первые формируются на основе собранных метрик с устройств и ПО. Вторые же составлены исходя из опросов и интервью целевой аудитории.
В данном хранилище вы найдёте отчёты от компаний, посвящённые следующим темам:
- Threat Intelligence
- Application Security
- Cloud Security
- Vulnerabilities
- Ransomware
- Data Breaches
- Physical Security
- AI and Emerging Technologies
- Industry Trends
- Identity Security
- Penetration Testing
- Privacy and Data Protection
#Pentest #AppSec #AI #MalwareAnalysis #SecArch
🧠 ПЗ | 👨🏫 Менторство ИБ
📂 Другие каналы
Отчёты разделяются на два вида - аналитические и обзорные. Первые формируются на основе собранных метрик с устройств и ПО. Вторые же составлены исходя из опросов и интервью целевой аудитории.
В данном хранилище вы найдёте отчёты от компаний, посвящённые следующим темам:
- Threat Intelligence
- Application Security
- Cloud Security
- Vulnerabilities
- Ransomware
- Data Breaches
- Physical Security
- AI and Emerging Technologies
- Industry Trends
- Identity Security
- Penetration Testing
- Privacy and Data Protection
#Pentest #AppSec #AI #MalwareAnalysis #SecArch
Please open Telegram to view this post
VIEW IN TELEGRAM
❤9🔥6👏3🤩2🕊1
Наткнулись на небольшой пост с топом инструментов для этичного хакинга. Автор пишет, что это лучшие инструменты, смотрим на список.
Для поиска уязвимостей
• Nmap / ZenMap – сканирование и отображение сети
• Sqlmap – обнаружение и использование уязвимостей SQL -инъекций
• Linux-Exploit-Suggester - поиск путей повышения привилегий в Linux
• MobSF – статический и динамический анализ для мобильных приложений
Для веб - приложений и оболочек
• Metasploit – платформа для использования для доступа к оболочке
• Fuzzdb – база данных с расширением для тестирования ввода данных
• Burp Suite – сканер веб - уязвимостей и прокси - сервер
• Nikto – сканер веб-серверов на наличие устаревших версий, конфигураций и т.д.
Для проверки учетных данных и беспроводной связи
• Wireshark – глубокая проверка сетевого трафика
• John the Ripper – утилита для взлома паролей
• Aircrack-ng – проникновение в сеть Wi-Fi
• Hydra – инструмент грубой силы для многочисленных сервисов
• Hashcat – продвинутый инструмент для восстановления паролей
Каким инструментом вы бы дополнили список? Согласны с автором?
#AppSec #Pentest
🧠 ПЗ | 👨🏫 Менторство ИБ
📂 Другие каналы
Для поиска уязвимостей
• Nmap / ZenMap – сканирование и отображение сети
• Sqlmap – обнаружение и использование уязвимостей SQL -инъекций
• Linux-Exploit-Suggester - поиск путей повышения привилегий в Linux
• MobSF – статический и динамический анализ для мобильных приложений
Для веб - приложений и оболочек
• Metasploit – платформа для использования для доступа к оболочке
• Fuzzdb – база данных с расширением для тестирования ввода данных
• Burp Suite – сканер веб - уязвимостей и прокси - сервер
• Nikto – сканер веб-серверов на наличие устаревших версий, конфигураций и т.д.
Для проверки учетных данных и беспроводной связи
• Wireshark – глубокая проверка сетевого трафика
• John the Ripper – утилита для взлома паролей
• Aircrack-ng – проникновение в сеть Wi-Fi
• Hydra – инструмент грубой силы для многочисленных сервисов
• Hashcat – продвинутый инструмент для восстановления паролей
Каким инструментом вы бы дополнили список? Согласны с автором?
#AppSec #Pentest
Please open Telegram to view this post
VIEW IN TELEGRAM
⚡8❤7😍2
Освежаем базу.
В статье автор описывает HTTP с точки зрения безопасности. В тексте нам напоминают базовые принципы сетевых технологий и приводят примеры практического применения этой самой базы - быстрая разведка, аудит из браузера.
Хорошо написанная статья для новичков, так и для тех, кто хочет вспомнить и систематизировать знания.
Подробнее читаем здесь.
#Network #AppSec #Pentest #BaseSecurity
🧠 ПЗ | 👨🏫 Менторство ИБ
📂 Другие каналы
В статье автор описывает HTTP с точки зрения безопасности. В тексте нам напоминают базовые принципы сетевых технологий и приводят примеры практического применения этой самой базы - быстрая разведка, аудит из браузера.
Хорошо написанная статья для новичков, так и для тех, кто хочет вспомнить и систематизировать знания.
Подробнее читаем здесь.
#Network #AppSec #Pentest #BaseSecurity
Please open Telegram to view this post
VIEW IN TELEGRAM
❤9⚡3🔥2
Что хотел сказать автор.
Нашли инструмент, который генерирует документацию по github репозиториям. Работает очень просто: берёте ссылку на репозиторий или пишете название, скармливаете на сайт, получаете документацию на утилиту. Дополнительно можно задать любой вопрос по тексту прямо на сайте.
Пробуем без регистрации и смс тут.
#AI #AppSec #Pentest
🧠 ПЗ | 👨🏫 Менторство ИБ
📂 Другие каналы
Нашли инструмент, который генерирует документацию по github репозиториям. Работает очень просто: берёте ссылку на репозиторий или пишете название, скармливаете на сайт, получаете документацию на утилиту. Дополнительно можно задать любой вопрос по тексту прямо на сайте.
Пробуем без регистрации и смс тут.
#AI #AppSec #Pentest
Please open Telegram to view this post
VIEW IN TELEGRAM
👀9❤3🔥3