На GitHub не так много звездных ИБшных репозиториев, и это как раз один из них – ссылка
Собственно, это очередной агрегатор всего, что можно от AppSec и DevSecOps до пентеста и фишинга. Там и чеклисты, и инструменты, и фреймворки, и тактики, и даже лабораторные.
#AppSec #Pentest #DevSecOps #BaseSecurity #Network #web3
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
Собственно, это очередной агрегатор всего, что можно от AppSec и DevSecOps до пентеста и фишинга. Там и чеклисты, и инструменты, и фреймворки, и тактики, и даже лабораторные.
#AppSec #Pentest #DevSecOps #BaseSecurity #Network #web3
Please open Telegram to view this post
VIEW IN TELEGRAM
❤🔥7👍5🔥4😍1🤝1
У компании Cobalt вышел ежегодный отчёт по пентесту - State of Pentesting Report 2025. В нём показано много интересной статистики из опыта проведения пентеста за 2024-й год. Интересные моменты:
Время на исправление уязвимостей существенно отстаёт от планов
Три четверти компаний при составлении договора заявляют, что найденные уязвимости будут исправлены в течении 14-ти дней. Однако, среднее время, потраченное на устранение уязвимостей, составило 67 дней, что практически в 5 раз больше заявленного.
Исправляется менее половины найденных уязвимостей
За отчётный период из всех найденных уязвимостей исправлены только 48%. Ситуация становится лучше, когда дело касается серьёзных угроз (уязвимости с высокими показателями воспроизводимости и опасности) - 69% исправленных уязвимостей.
Треть компаний не готова к проведению тестирования безопасности ИИ
Практически все компании используют решения с генеративным искусственным интеллектом, но только 66% из них позволило провести тестирование безопасности данных решений.
LLM пока очень уязвимы
При тестировании LLM наблюдается довольно высокий процент серьёзных угроз - 32%. Это в 2.5 раза больше общей доли серьёзных угроз - 13%. После тестирования LLM только 21% найденных серьёзных уязвимостей устраняются.
Взгляд в прошлое для мотивации
Казалось бы, что статистика выглядит плачевной, но если взглянуть в ретроспективе и сравнить со статистикой 2017-го года, то виден прогресс:
- время закрытия уязвимостей значительно уменьшилось аж на 75 дней;
- процент закрытых уязвимостей увеличился примерно в 2 раза.
#Pentest
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
Время на исправление уязвимостей существенно отстаёт от планов
Три четверти компаний при составлении договора заявляют, что найденные уязвимости будут исправлены в течении 14-ти дней. Однако, среднее время, потраченное на устранение уязвимостей, составило 67 дней, что практически в 5 раз больше заявленного.
Исправляется менее половины найденных уязвимостей
За отчётный период из всех найденных уязвимостей исправлены только 48%. Ситуация становится лучше, когда дело касается серьёзных угроз (уязвимости с высокими показателями воспроизводимости и опасности) - 69% исправленных уязвимостей.
Треть компаний не готова к проведению тестирования безопасности ИИ
Практически все компании используют решения с генеративным искусственным интеллектом, но только 66% из них позволило провести тестирование безопасности данных решений.
LLM пока очень уязвимы
При тестировании LLM наблюдается довольно высокий процент серьёзных угроз - 32%. Это в 2.5 раза больше общей доли серьёзных угроз - 13%. После тестирования LLM только 21% найденных серьёзных уязвимостей устраняются.
Взгляд в прошлое для мотивации
Казалось бы, что статистика выглядит плачевной, но если взглянуть в ретроспективе и сравнить со статистикой 2017-го года, то виден прогресс:
- время закрытия уязвимостей значительно уменьшилось аж на 75 дней;
- процент закрытых уязвимостей увеличился примерно в 2 раза.
#Pentest
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥4⚡2🤝2
Нашли тут интересный курс по пентесту, записанный для Astana IT University. Видосам три года, но в них рассказана база, так что такое редко устаревает.
Курс покрывает следующие темы:
- Пассивная и активная разведка
- Социальная инженерия
- Web
- Внутренняя инфраструктура
- WiFi
Из приятного, в этом курсе есть отдельное видео, посвящённое площадкам для практики (хоть стать пентестером за этот курс и не получится), а также видео с рекомендациями по составлению коммерческого отчёта о проведении пентеста.
Приятного просмотра!
#Practice #Pentest
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
Курс покрывает следующие темы:
- Пассивная и активная разведка
- Социальная инженерия
- Web
- Внутренняя инфраструктура
- WiFi
Из приятного, в этом курсе есть отдельное видео, посвящённое площадкам для практики (хоть стать пентестером за этот курс и не получится), а также видео с рекомендациями по составлению коммерческого отчёта о проведении пентеста.
Приятного просмотра!
#Practice #Pentest
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥10👍3❤1🤝1
api sec tests.pdf
1011.2 KB
Не стоит забывать про API
При тестировании веба всегда необходимо уделять время на проверку API. Это довольно обширный вектор атаки, в котором часто можно найти что-то интересное.
У OWASP есть рейтинг уязвимостей API, к этому рейтингу мы прикрепим майндмапу, которая поможет в нахождении уязвимостей из данного рейтинга. Также ещё делимся небольшим документом с гайдом по тестированию API, он поможет расширить вашу методологию тестирования.
Приятного чтения!
#Pentest #API
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
При тестировании веба всегда необходимо уделять время на проверку API. Это довольно обширный вектор атаки, в котором часто можно найти что-то интересное.
У OWASP есть рейтинг уязвимостей API, к этому рейтингу мы прикрепим майндмапу, которая поможет в нахождении уязвимостей из данного рейтинга. Также ещё делимся небольшим документом с гайдом по тестированию API, он поможет расширить вашу методологию тестирования.
Приятного чтения!
#Pentest #API
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤7⚡3🔥2
Чёрный пояс по хакингу
Нашли для вас интересную платформу для обучения - додзё для хакеров
Здесь есть два типа модулей (на платформе они называются додзё):
1. Обучающие модули от авторов площадки, совмещающие в себе теоретическую базу и практические материалы. Заканчивая каждый модуль, в награду вы получаете новый пояс, который говорит о том, насколько вы большой молодец.
2. Модули от комьюнити, которые включают в себя в основном практику.
К сожалению чёрного пояса тут не завезли, но будем надеяться, что это исправят в будущем!
Приятного обучения!
#Pentest #Practice
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
Нашли для вас интересную платформу для обучения - додзё для хакеров
Здесь есть два типа модулей (на платформе они называются додзё):
1. Обучающие модули от авторов площадки, совмещающие в себе теоретическую базу и практические материалы. Заканчивая каждый модуль, в награду вы получаете новый пояс, который говорит о том, насколько вы большой молодец.
2. Модули от комьюнити, которые включают в себя в основном практику.
К сожалению чёрного пояса тут не завезли, но будем надеяться, что это исправят в будущем!
Приятного обучения!
#Pentest #Practice
Please open Telegram to view this post
VIEW IN TELEGRAM
❤8⚡3🔥2
MITRE ATT&CK у нас дома
Нашли тут матрицу техник, которая вдохновлена всем известным фреймворком от MITRE. В отличие от своей вдохновительницы, эта матрица охватывает атаки на веб-приложений, в то время как MITRE ATT&CK покрывает по большей части инфраструктуру вокруг приложений.
В этой матрице описано много методов атак на приложения, которые использовались APT группировками при реальных инцидентах. Также, помимо самой матрицы, на данном ресурсе есть страница с подробным описанием громких атак на продукты (включая относительно недавний инцидент с криптобиржей ByBit).
#BaseSecurity #AppSec #Pentest
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
Нашли тут матрицу техник, которая вдохновлена всем известным фреймворком от MITRE. В отличие от своей вдохновительницы, эта матрица охватывает атаки на веб-приложений, в то время как MITRE ATT&CK покрывает по большей части инфраструктуру вокруг приложений.
В этой матрице описано много методов атак на приложения, которые использовались APT группировками при реальных инцидентах. Также, помимо самой матрицы, на данном ресурсе есть страница с подробным описанием громких атак на продукты (включая относительно недавний инцидент с криптобиржей ByBit).
#BaseSecurity #AppSec #Pentest
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥6⚡2❤1🤣1
redteaming toolkit.pdf
325.4 KB
Перевооружение
Делимся с вами полезным тулкитом, где собраны инструменты для всех случаев редтиминга, начиная с разведки, заканчивая эксфильтрацией.
В списке есть как и попсовые инструменты по типу amass, Cobalt Strike, mimikatz, так и менее известные, но от того, не менее полезные.
Приятного изучения и пополнения арсенала!
#Pentest
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
Делимся с вами полезным тулкитом, где собраны инструменты для всех случаев редтиминга, начиная с разведки, заканчивая эксфильтрацией.
В списке есть как и попсовые инструменты по типу amass, Cobalt Strike, mimikatz, так и менее известные, но от того, не менее полезные.
Приятного изучения и пополнения арсенала!
#Pentest
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥7⚡3👍3
Red Team And Blue Team Tools.pdf
177.7 KB
Держите подгон в виде огромной майндмапы с тулзами красной и синей команды.
За изучение всех этих инструментов полагается ачивка в виде диагноза случайного психического расстройства, выгоревших глаз и больной спины.
#BaseSecurity #AppSec #SOC #Pentest
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
За изучение всех этих инструментов полагается ачивка в виде диагноза случайного психического расстройства, выгоревших глаз и больной спины.
#BaseSecurity #AppSec #SOC #Pentest
Please open Telegram to view this post
VIEW IN TELEGRAM
❤7⚡4🔥3🥰1
Social Engineering Attack HD (3).png
719 KB
Сегодня делимся небольшой шпаргалкой по атакам социальной инженерии.
В этой схеме атаки разделены на пять типов:
- Phishing
- Pretexting
- Baiting
- Quid Pro Quo
- Tailgating
Шпаргалка будет полезна при составлении методологии по проведению атак с использованием социальной инженерии.
#Pentest
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
В этой схеме атаки разделены на пять типов:
- Phishing
- Pretexting
- Baiting
- Quid Pro Quo
- Tailgating
Шпаргалка будет полезна при составлении методологии по проведению атак с использованием социальной инженерии.
#Pentest
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥11⚡5👍2
Давно у нас не было контента для красной команды, так что держите майндмапу для пентеста AD.
Очень подробная карта, где расписаны разные сценарии действий при проверке активной директории.
Может быть как хорошей базой для построения методологии атаки, так и хорошим дополнением к уже существующей.
#Pentest
🧠 Пакет Знаний | 👨🏫 Менторство
📂 Другие каналы
Очень подробная карта, где расписаны разные сценарии действий при проверке активной директории.
Может быть как хорошей базой для построения методологии атаки, так и хорошим дополнением к уже существующей.
#Pentest
Please open Telegram to view this post
VIEW IN TELEGRAM
🤝9❤7🍓5🤯3⚡1
Сегодня у нас контент для ушей - выпуск подкаста "Подлодка" про авторизацию и аутентификацию.
Здесь можно послушать про механизмы работы аутентификации, вторые факторы и их плюсы и минусы. Также тут освящаются ошибки в реализации этих механизмов, так что подкаст будет полезен как для синей команды, так и для красной.
Также в описании к подкасту есть много полезных ссылок на руководства по разработке и тестированию механизмов аутентификации.
#AppSec #Pentest #BaseSecurity
🧠 Пакет Знаний | 👨🏫 Менторство
📂 Другие каналы
Здесь можно послушать про механизмы работы аутентификации, вторые факторы и их плюсы и минусы. Также тут освящаются ошибки в реализации этих механизмов, так что подкаст будет полезен как для синей команды, так и для красной.
Также в описании к подкасту есть много полезных ссылок на руководства по разработке и тестированию механизмов аутентификации.
#AppSec #Pentest #BaseSecurity
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8⚡5🤝4❤🔥1
Делимся большой картой с сертификатами в ИБ.
Карта разделена на три уровня сложности (Начинающий, Средний, Эксперт) и на большое количество ролей, начиная от ред/блю тим, заканчивая безопасностью сетей и архитектуры.
Сами сертификаты можно фильтровать по стоимости, вендорам и специальностям. И ещё тут есть фича сравнения сертификатов по ключевым параметрам.
Цель на жизнь поставлена, можно начинать собирать.
#AppSec #Pentest #DevSecOps #SecArch #SOC
🧠 Пакет Знаний | 👨🏫 Менторство
📂 Другие каналы
Карта разделена на три уровня сложности (Начинающий, Средний, Эксперт) и на большое количество ролей, начиная от ред/блю тим, заканчивая безопасностью сетей и архитектуры.
Сами сертификаты можно фильтровать по стоимости, вендорам и специальностям. И ещё тут есть фича сравнения сертификатов по ключевым параметрам.
Цель на жизнь поставлена, можно начинать собирать.
#AppSec #Pentest #DevSecOps #SecArch #SOC
Please open Telegram to view this post
VIEW IN TELEGRAM
👍11❤🔥4⚡3🔥1🤓1