Отличное введение в концепции криптографии для начинающих

Часть 1: https://sergioprado.blog/introduction-to-encryption-for-embedded-linux-developers/
Часть 2: https://sergioprado.blog/a-hands-on-approach-to-symmetric-key-encryption/
Часть 3: https://sergioprado.blog/asymmetric-key-encryption-and-digital-signatures-in-practice/

Google недавно выпустил новый сертификат в области кибербезопасности. Вам не нужно никакого опыта, чтобы начать, так как он был разработан для начинающих. В этом руководстве объясняется, что такое сертификат специалиста по кибербезопасности и как начать работу.

https://www.freecodecamp.org/news/cybersecurity-professional-certificate-by-google/

Мощный сенсорный инструмент для обнаружения панелей входа и сканирования POST Form SQLi

https://github.com/Mr-Robert0/Logsensor

Вирусы на серверах компании — как это бывает?.

Всем привет! В свободное от не-работы время я CTO собственной компании (DigitalWand), и как следствие – чем мне только ни приходится заниматься! И вот недавно один из наших клиентов посетовал на проблемы в своей внутренней кухне: мол, вирус положил внутренние сервисы, включая git и площадки для разработки. И тут мне вспомнилась собственная аналогичная проблема, которая произошла год тому назад. Вот эту страшилку и хотел бы рассказать. Думаю, будет полезна как начинающим сисадминам и девопсам, так и вообще людям, которые каким-то боком с линуксовыми серверами связаны, но серьёзного пороха ещё не нюхали.

https://habr.com/ru/articles/738984/

Бесплатный курс по анализу вредоносных программ, охватывает концепции вредоносных программ, анализ вредоносных программ и методы обратного проектирования

https://class.malware.re/

Безопасно переносите вещи с одного компьютера на другой.

Этот пакет предоставляет библиотеку и инструмент командной строки с именем wormhole, который позволяет переносить файлы и каталоги произвольного размера (или короткие фрагменты текста) с одного компьютера на другой. https://github.com/magic-wormhole/magic-wormhole

Как я обнаружил ошибку SQL Injection при использовании мобильного телефона.

https://medium.com/@0xnaeem/how-i-found-a-sql-injection-bug-in-using-my-cellphone-5b5193fdc314

История одной XSS в Telegram.

Здравствуйте, уважаемые читатели Хабра! Сегодня я хочу поделиться с вами информацией о XSS-уязвимости, которую я обнаружил в Telegram около двух недель назад. Также статья коснется некоторых особенностей работы программы поиска уязвимостей от Telegram. Моя цель — не только продемонстрировать вам интересный и относительно простой пример XSS, но и обозначить причины, по которым, возможно, не стоит тратить свои усилия на участие в багбаунти программе Telegram.

Читать далее https://habr.com/ru/articles/744316/

API под атакой: как подготовиться к взлому и как реагировать на него

В этой статье рассматривается тема нарушений безопасности API и дается ценная информация о том, как эффективно подготовиться к таким атакам и отреагировать на них. https://dzone.com/articles/apis-under-attack-how-to-prepare-for-and-respond-t

Почему хакеры предпочитают Kali Linux?


Kali Linux — это операционная система Linux на основе Debian, созданная почти десять лет назад. За последние несколько лет приобрел значительную популярность среди хакеров и специалистов по кибербезопасности. В связи с постоянно растущей зависимостью от цифровых инфраструктур и постоянно растущими онлайн-угрозами кибербезопасность сегодня становится все более актуальной для обычных пользователей и предприятий.

Этические хакеры и пентестеры играют жизненно важную роль в выявлении уязвимостей и повышении безопасности систем. Kali Linux стала их популярной операционной системой благодаря своим комплексным инструментам и функциям, предназначенным для тестирования и анализа безопасности.

https://www.debugpoint.com/why-kali-linux/

Охота на Nginx Alias ​​Traversals

Nginx, универсальный веб-сервер, имеющий ключевое значение для многочисленных интернет-инфраструктур, занимает доминирующую долю рынка с момента своего создания в 2004 году, получив широкое распространение на веб-сайтах и ​​в контейнерах Docker. В этой статье рассматриваются тонкости Nginx, основное внимание уделяется директивам местоположения и псевдонима, которые играют центральную роль в том, как Nginx обрабатывает определенные URL-адреса. Мы также изучаем потенциальные уязвимости, возникающие из-за неправильных конфигураций, и демонстрируем, как они могут привести к эксплойтам безопасности, опираясь на исследования, представленные Orange Tsai на конференции BlackHat 2018. https://labs.hakaioffsec.com/nginx-alias-traversal/

25 лучших инструментов безопасности Linux для усиления киберзащиты

В сегодняшнем все более неспокойном мире наличие мощного арсенала инструментов безопасности Linux имеет важное значение для защиты вашей конфиденциальной информации и защиты ваших критически важных систем. Это подробное руководство знакомит вас с 25 лучшими инструментами в различных категориях, тщательно отобранными для обеспечения всестороннего подхода к безопасности в Linux.

Среди категорий мы охватываем мониторинг сети, судебную экспертизу, обратный инжиниринг, оценку уязвимостей и управление ими, анализ вредоносных программ, безопасность конечных точек и инструменты безопасности веб-приложений. Мы тщательно рассмотрели каждую категорию и согласовали инструменты с уникальными задачами, которые они решают в сфере кибербезопасности. Это гарантирует, что у вас будут самые эффективные и надежные решения, независимо от вашей области деятельности.

Изучив эти инструменты, вы обнаружите, что они предлагают мощное сочетание функций, простоты использования и адаптируемости в соответствии с вашими потребностями. Почти все эти инструменты мы протестировали на новом Kali Purple. Итак, без лишних слов, давайте рассмотрим лучшие инструменты безопасности Linux, которые помогут вам защитить ваши системы.

https://www.stationx.net/linux-security-tools/

Изучение межсайтового скриптинга (XSS): риски, уязвимости и меры предотвращения

При создании приложения с интерфейсом, отличным от CLI, крайне важно уделить первостепенное внимание безопасности внешнего интерфейса, чтобы обеспечить целостность вашей системы. Одним из наиболее серьезных рисков, к которым может привести плохо реализованный интерфейс, является межсайтовый скриптинг (XSS). Хотя многие статьи и курсы затрагивают тему безопасности при разработке веб-приложений, они часто не дают исчерпывающих объяснений.


Поэтому важно вникнуть в уязвимость XSS , понять ее первопричины, изучить потенциальные методы эксплуатации, изучить правильное использование инфраструктуры React и, в конечном итоге, принять эффективные меры для защиты любого внешнего приложения от угрозы XSS.

https://hackernoon.com/exploring-cross-site-scripting-xss-risks-vulnerabilities-and-prevention-measures?source=rss

Что такое CORS?

В этой статье я объясню, что такое CORS и CORS-ошибки и почему вы можете с ними столкнуться. Я представлю возможные решения и объясню, что такое preflight-запросы, CORS-заголовки и почему они важны в общении между сторонами. Статья предполагает, что у вас есть базовые знания о веб-разработке и протоколе HTTP. Я постарался написать статью так, чтобы она была понятна новичкам, наполнить ее знаниями и постарался избежать слишком большого количества технических нюансов, которые не связаны тесно с темой CORS. Если вы заметили какие-то ошибки или у вас есть какие-то предложения, не стесняйтесь обращаться ко мне. В некоторых местах я сделал упрощение, где сервис означает сервер и наоборот.

https://dev.to/jpomykala/what-is-cors-11kf

AWS Chain Attack — тысячи уязвимых кластеров EKS

В этой статье я расскажу о своем исследовании Elastic Kubernetes Service (EKS) и методологии атаки, которую я разработал для этого сервиса.

Я расскажу о двух обнаруженных мной уязвимостях нулевого дня, которые нарушают механизм изоляции подов.

https://medium.com/@chenshiri/aws-chain-attack-thousands-of-vulnerable-eks-clusters-701cbd963907

Snoop— инструмент разведки на основе открытых данных (OSINT world)

https://github.com/snooppr/snoop

Аккаунт (генерального директора) Захват через сброс пароля

Во время пентеста веб-приложения для клиента я обнаружил интересный захват аккаунта и решил поделиться своими выводами с сообществом информационной безопасности. https://cristivlad.medium.com/account-of-the-ceo-takeover-via-password-reset-7e55c0175425

Docker для пентестеров: среда пентестинга

Как мы все знаем, теперь, когда мы живем в мире виртуализации, большинство организаций полностью доверяют виртуальным сервисам для выполнения своих требований к оборудованию и программному обеспечению, таких как облако и контейнер. Контейнеры, такие как Docker, также являются довольно известными методами, используемыми организациями для создания среды виртуальных приложений.

Сегодня в этом посте мы настраиваем среду тестирования на проникновение на основе докеров для пентестеров, чтобы сделать установку и настройку различных инструментов тестирования на проникновение простой и быстрой.

https://www.hackingarticles.in/docker-for-pentester-pentesting-framework/