• Автор этого материала написал полезный скрипт, который может слать вам сообщения в Телегу о скором окончании срока действия сертификатов (TLS \ УКЭП). Данный метод не панацея, но он максимально простой и легко реализуем с помощью PowerShell. Думаю, что многим будет полезно.
➡️ https://habr.com/ru/articles/881922/
#PS #ЭП #Разное
#PS #ЭП #Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
👍11❤2⚡1👎1
cnpostermagistr2024.pdf
4.4 MB
• Пятничное: нашел очень интересную карту "Магистральные сети связи в РФ". Указано, что протяженность магистральных ВОЛС составляет около 1476 тыс. км., а рынок магистрального доступа насчитывает более 20 игроков.
• Кстати, карту можно скачать, распечатать и заклеить себе стену. Ну, а если серьезно, то достаточно интересная карта и статистика операторов связи. Зацените сами: https://www.comnews.ru/content/236040/
#Разное
• Кстати, карту можно скачать, распечатать и заклеить себе стену. Ну, а если серьезно, то достаточно интересная карта и статистика операторов связи. Зацените сами: https://www.comnews.ru/content/236040/
#Разное
⚡12❤1
• Бесплатный мини-курс, который знакомит любого абсолютного новичка в DevOps с основными моментами Ansible с помощью простых практических упражнений, которые вы можете практиковать прямо в браузере. Всего будет 38 уроков, 2 часа 34 минуты видео и 63 теста. Программа следующая:
• Введение в Ansible:
• Основные понятия Ansible:
• Механика Ansible:
#Ansible #DevOps
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8❤5🔥3💊1
Forwarded from Хакер — Xakep.RU
• Всего будет 15 призовых мест, а итоги подведем ровно через неделю (25 октября, в 11:30 московскому времени) с помощью бота, который рандомно выберет победителя.
• Напомним, что участники сообщества Xakep.ru получают несколько материалов в неделю: мануалы по кодингу и взлому, гайды по новым возможностям и эксплоитам, подборки хакерского софта и обзоры веб-сервисов. Не упустите возможность вступить в наше уютное сообщество!
Для участия нужно:
1. Быть подписанным на наш канал: Xakep
2. Подписаться на канал наших друзей: Infosec.
3. Нажать на кнопку «Участвовать».
Please open Telegram to view this post
VIEW IN TELEGRAM
👍10❤4
• Дефолтные пароли на сетевых устройствах встречаются чаще, чем может показаться на первый взгляд. В интернете открытыми портами наружу торчат сотни роутеров не только частных пользователей, но и корпоративных сетей. Держите ссылку на репозиторий, где собрано огромное количество стандартных комбинаций логин/пароль, используемых на множестве устройств и сервисов:
#ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - ihebski/DefaultCreds-cheat-sheet: One place for all the default credentials to assist the Blue/Red teamers identifying…
One place for all the default credentials to assist the Blue/Red teamers identifying devices with default password 🛡️ - ihebski/DefaultCreds-cheat-sheet
👍11⚡5🤔3
• Погрузимся в мир стеганографии: инженер-программист из Бруклина нашел метод, который позволяет спрятать в смайлик до 3.500 знаков текста. При копировании такого смайлика текст остается невидимым и передается везде, где есть Unicode.
• Как отмечают на хабре, такая реализация может привести к обходу проверки на длину строки, для вызова buffer overflow или просто стриггерить DoS вызванный медленной обработкой данных.
#Стеганография
• Как отмечают на хабре, такая реализация может привести к обходу проверки на длину строки, для вызова buffer overflow или просто стриггерить DoS вызванный медленной обработкой данных.
#Стеганография
Хабр
Контрабанда данных внутри эмодзи
Меня заинтриговал комментарий GuB-42 на Hacker News: При помощи последовательностей ZWJ (Zero Width Joiner) теоретически можно закодировать в один эмодзи неограниченный объём данных....
🤯18⚡7❤1
• Еще один бесплатный учебник по языку SQL, в котором рассматривается создание рабочей среды, описаны языки определения данных и основные операции выборки и изменения данных. Показаны примеры использования транзакций, уделено внимание методам оптимизации запросов. Материал сопровождается многочисленными практическими примерами. Отлично походит для самостоятельного обучения. В пособии рассматриваются следующие темы:
#SQL
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9❤2
Статья_Неочевидные_функции_инструмента_Nmap_Руководство_для_новичков.html
3.7 MB
• Очень объемная статья с форума XSS, которая описывает неочевидные функции Nmap и его возможности. Материал будет полезен пентестерам и #ИБ специалистам. Содержание следующее:
➡ Nmap и IDS;
➡ Nmap и службы;
➡ Nmap и белые списки;
➡ Выявление хостов в сети;
➡ Скрытый скан портов Nmap;
➡ Интеграция Nmap с Metasploit;
➡ Тайминг и производительность в Nmap;
➡ Анализ операционных систем с помощью Nmap;
➡ Обнаружение и анализ виртуальных частных сетей;
➡ Использование Zenmap для автоматизации сканирования;
➡ Использование API Nmap для создания собственных приложений;
➡ Nmap Scripting Engine: расширение функционала Nmap скриптами;
➡ Автоматизация тестирования безопасности с использованием Nmap.
#Nmap
#Nmap
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4👍4
• Как думаете, что делает человек на фото сверху? Это Крис Уилкинс (фотокорреспондент), который передает фотографию с помощью цифрового передатчика Hasselblad Dixel в первую ночь войны в Персидском заливе, 17 января 1991 года. Но речь немного о другом...
• Дело в том, что ремесло фотокорреспондента в середине и конце XX века требовало не только мужества в свете постоянной опасности, таланта фотографа, знания новостей, политики, спорта, умения успевать думать и фотографировать на ходу, также требовалось быть отличным редактором, способным выбрать лучшие снимки для передачи в газеты на других концах мира, и, что самое главное, нужны были мощные спина и руки.
• Сегодня мы уже привыкли к огромным размерам файлов фотографий и, благодаря Интернету, чудовищно быстрым скоростям их передачи. Профессиональному фотографу для запечатления и доставки изображений на другой конец света нужен набор оборудования, способный уместиться в рюкзак. Однако, ситуация с багажом выездных фотографов более ранней эпохи — каких-то двадцать лет назад — была куда менее приятной.
• Крис Уилкинс вспоминает, насколько массивен был его выездной набор: состоял он из пяти больших жестких кейсов, содержащих всё необходимое для работы в комнате проявки и передающее оборудование. Первые два кейса содержали оборудование для обработки пленки и её сушки, в третьем было оборудование для печати увеличенных образцов для пересылки. В четвертом кейсе находились механическая пишущая машинка и листы клейкой бумаги для создания комментариев к фотографиям. И, наконец, в пятую коробку был упакован аналоговый фотопередатчик для пересылки фотографий.
• Вес всего комплекта составлял несколько десятков килограммов, при этом ни камер, ни объективов — основного вооружения фотографа — в нем не было.
• Образец черно-белого передатчика информационного агенства «Юнайтед Пресс Интернэшнл» UPI Model 16-S использовался примерно вплоть до 1991 года. Передатчик подключен к телефону (на фото) старого образца для того, чтобы показать, как осуществлялась передача. Образец помещался на барабан и медленно сканировался, в то время как сигнал передавался по телефонной линии. Передача одного снимка занимала 8-9 минут.
• Аудиосигнал передатчика состоял из гудков, накаляя атмосферу без того мучительной процедуры, во время которой фотография накручивалась на барабан, а луч лазера считывал её. Идеальное соединение позволяло передать одну цветную фотографию за 26 минут, международная отсылка требовала почти в два раза большего времени, иногда по часу на фотографию.
#Разное
• Дело в том, что ремесло фотокорреспондента в середине и конце XX века требовало не только мужества в свете постоянной опасности, таланта фотографа, знания новостей, политики, спорта, умения успевать думать и фотографировать на ходу, также требовалось быть отличным редактором, способным выбрать лучшие снимки для передачи в газеты на других концах мира, и, что самое главное, нужны были мощные спина и руки.
• Сегодня мы уже привыкли к огромным размерам файлов фотографий и, благодаря Интернету, чудовищно быстрым скоростям их передачи. Профессиональному фотографу для запечатления и доставки изображений на другой конец света нужен набор оборудования, способный уместиться в рюкзак. Однако, ситуация с багажом выездных фотографов более ранней эпохи — каких-то двадцать лет назад — была куда менее приятной.
• Крис Уилкинс вспоминает, насколько массивен был его выездной набор: состоял он из пяти больших жестких кейсов, содержащих всё необходимое для работы в комнате проявки и передающее оборудование. Первые два кейса содержали оборудование для обработки пленки и её сушки, в третьем было оборудование для печати увеличенных образцов для пересылки. В четвертом кейсе находились механическая пишущая машинка и листы клейкой бумаги для создания комментариев к фотографиям. И, наконец, в пятую коробку был упакован аналоговый фотопередатчик для пересылки фотографий.
• Вес всего комплекта составлял несколько десятков килограммов, при этом ни камер, ни объективов — основного вооружения фотографа — в нем не было.
• Образец черно-белого передатчика информационного агенства «Юнайтед Пресс Интернэшнл» UPI Model 16-S использовался примерно вплоть до 1991 года. Передатчик подключен к телефону (на фото) старого образца для того, чтобы показать, как осуществлялась передача. Образец помещался на барабан и медленно сканировался, в то время как сигнал передавался по телефонной линии. Передача одного снимка занимала 8-9 минут.
• Аудиосигнал передатчика состоял из гудков, накаляя атмосферу без того мучительной процедуры, во время которой фотография накручивалась на барабан, а луч лазера считывал её. Идеальное соединение позволяло передать одну цветную фотографию за 26 минут, международная отсылка требовала почти в два раза большего времени, иногда по часу на фотографию.
#Разное
👍9❤4🔥3🤔1
Изучите техники и методики атак на инфраструктуру Active Directory!
Наша практическая лаборатория содержит более 30 виртуальных машин, которые вам предстоит сломать. Бросаем вызов с 24 ноября
Содержание курса:
Авторы курса: HackerRalf (Михаил Порываев) и BlackRabbit (Павел Никитин), 5-кратные победители the Standoff
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2
• В этой статье описана реализация аппартаного бекдора в виде Raspberry Pi. Суть заключается в том, что вы подключаете usb-модем с заряженой симкой к ноутбуку, малинке или чему-то еше, и раземещаете устройство во внутреннюю сети заказчика. Далее настраиваете маршруты, чтобы трафик который будет идти наружу проходил через usb-модем, а трафик который будет проходить внутрь - шел через eth (по проводу).
• Данный материал имеет ознакомительный характер и предназначен для специалистов по безопасности, которые проводят тестирование в рамках контракта.
#Пенстет #ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
👍10❤3
• Напоминание о том, что ИТ специалистам, которые работают во фрилансе, нужно быть предельно внимательными и бдительными! Суть заключается в следующем: злоумышленники пишут своим жертвам от имени HR специалистов и под видом тестового задания отправляют им вредоносное ПО для видеоконференций, которое просят установить. Такое ПО выполняет роль кейлоггера и инфостилера, а также передает атакующим удаленное управление устройством жертвы. Основная цель такой схемы — получение доступа к криптовалютному кошельку жертвы. По словам ESET, такие атаки длятся как минимум с 2023 года и уже затронули пользователей по всему миру, от России и Индии до Европы и США.
#Разное
#Разное
🤔14⚡2👍2🤬2🫡1
• В мае 2013 года специалисты компании Lookout Mobile разработали специальные QR-коды, которые смогли скомпрометировать очки Google Glass. На тот момент очки сканировали все фотографии, «которые могут быть полезны их владельцу», — и предоставили взломщикам полный удаленный доступ к устройству. Когда Google узнали о данной уязвимости, то её закрыли буквально за несколько недель. К счастью, исправить успели до того, как уязвимость можно было использовать вне лаборатории, ведь взлом очков реального пользователя мог привести к большим проблемам.
• В 2014 году программа Barcode Scanner для мобильных устройств из проекта ZXing практически не проверяла тип URI, передаваемый через QR-код. В результате любой эксплойт, который мог быть исполнен браузером (например, написанный на JavaScript), можно было передать через QR.
• Сканер пытался отфильтровать опасные виды атак с помощью регулярных выражений, требуя, чтобы URI имел период с последующим продлением как минимум на два символа, транспортный протокол длиной не менее двух символов, за которым следует двоеточие, и чтобы в URI не было пробелов. Если содержимое не соответствует хотя бы одному из требований, то оно определяется как обычный текст, а не URI. Этот механизм блокирует атаки вроде
javascript;alert("You have won 1000 dollars! Just Click The Open Browser Button");, но, внеся пару простых изменений в код, мы получаем вариант, который программа исполняла в браузере, ведь она считала JS-код обыкновенным, «нормальным» URI! Более наглядно на фото выше.• Как мы можем увидеть, уведомление появилось в браузере, а значит, URI с потенциально вредоносным кодом был выполнен. Однако выполняется данный JS-код лишь тогда, когда пользователь нажимает Open Browser (то есть «Открыть в браузере»).
• Еще один интересный пример из 2012 года: эксперт по информационной безопасности Равишанкар Боргаонкар продемонстрировал, как сканирование простейшего QR может привести к форматированию устройств Samsung! Внутри QR был зашит MMI-код для сброса до заводских настроек:
*2767*3855#, а также префикс tel: для совершения USSD-запроса.• Самое опасное здесь то, что человек без предварительной подготовки не может узнать содержимое кода, не отсканировав его. А человек очень любопытен: в различных исследованиях большинство испытуемых (которые, кстати, даже не знали об эксперименте) сканировали QR-код именно из любопытства, забывая о собственной безопасности!
#Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9❤1
• Нашел интересный софт, который очень похож на решение от Марка Руссиновича VMMap, но с некоторыми отличиями. Задача Process Memory Map проанализировать сторонний процесс и вытащить из него максимум данных, о которых она знает.
• Отображает следующие данные:
• Предоставляет возможность:
• Из дополнительных возможностей:
#ИБ #RE
Please open Telegram to view this post
VIEW IN TELEGRAM
⚡8👍4
Хабр
Сливаем отчетность американской Cyber League с помощью базовых утилит Linux
В этой статье я расскажу, как создать хакерское приложение, используя встроенный язык программирования Linux, и собрать базу данных участников западной "Национальной Киберлиги". Можно сказать, хакнем...
• Автор этого материала описывает процесс создания хакерского приложения, с помощью встроенного языка программирования Linux, и собирает базу данных участников западной "Национальной Киберлиги".
• Рассмотрим основы работы с сURL, научимся обходить базовые ограничения веб-приложений и поработаем с PDF-документами из командной строки. Статья будет полезна специалистам по информационной безопасности и всем, кто интересуется автоматизацией процессов в Linux.
➡️ https://habr.com/ru/post/879850/
#ИБ #Linux
• Рассмотрим основы работы с сURL, научимся обходить базовые ограничения веб-приложений и поработаем с PDF-документами из командной строки. Статья будет полезна специалистам по информационной безопасности и всем, кто интересуется автоматизацией процессов в Linux.
#ИБ #Linux
Please open Telegram to view this post
VIEW IN TELEGRAM
👍14❤6🤔3
• Нашел интересный ресурс, который содержит информацию об основных веб-уязвимостях. Особенность данной платформы в том, что каждый из перечисленных методов можно выполнить самостоятельно, следуя подсказкам и примерам. А еще каждый пример является интерактивным, поэтому вам будет легче воспринимать материал и практиковаться. Содержание следующее:
➡ SQL Injection;
➡ Cross-Site Scripting;
➡ Command Execution;
➡ Clickjacking;
➡ Cross-Site Request Forgery;
➡ Directory Traversal;
➡ Reflected XSS;
➡ DOM-based XSS;
➡ File Upload Vulnerabilities;
➡ Broken Access Control;
➡ Open Redirects;
➡ Unencrypted Communication;
➡ User Enumeration;
➡ Information Leakage;
➡ Password Mismanagement;
➡ Privilege Escalation;
➡ Session Fixation;
➡ Weak Session IDs;
➡ XML Bombs;
➡ XML External Entities;
➡ Denial of Service Attacks;
➡ Email Spoofing;
➡ Malvertising;
➡ Lax Security Settings;
➡ Toxic Dependencies;
➡ Logging and Monitoring;
➡ Buffer Overflows;
➡ Server-Side Request Forgery;
➡ Host Header Poisoning;
➡ Insecure Design;
➡ Mass Assignment;
➡ Prototype Pollution;
➡ Regex Injection;
➡ Remote Code Execution;
➡ Cross-Site Script Inclusion;
➡ Downgrade Attacks;
➡ DNS Poisoning;
➡ SSL Stripping;
➡ Subdomain Squatting.
➡️ https://www.hacksplaining.com/lessons
#web
#web
Please open Telegram to view this post
VIEW IN TELEGRAM
👍14❤5⚡3