Безопасность API

Как сказал однажды один умный человек, "Надо знать прошлое, чтобы понимать настоящее и предвидеть будущее", так что сегодня делюсь с вами полезными историческими данными по безопасности API от некой Escape Security Research team – ссылка

Там есть информация по инцидентам, векторам атак и уязвимостям API. На настольную книгу не тянет, но разок пробежаться точно будет полезно. Ну и в дополнение ловите модель угроз для всё тех же API (а вот такого я еще не видел) – ссылка

#SecArch #AppSec #Pentest

🧠 Твой Пакет Знаний | Кибербезопасность

Больше визуала

Не знаю, кто изобрёл майндмапы, но то, что они упрощают поглощение полезного контента – знаю точно. Собственно, ловите целую коллекцию структурированной и визуализированной годноты по кибербезопасности – ссылка

Там и про безопасность API, и про тестирование 2FA, и даже роадмап общий есть (к которому конечно много вопросов). В общем, сохраняем.

#AppSec #Pentest #BaseSecurity

🧠 Твой Пакет Знаний | Кибербезопасность

Подборок много не бывает

Три подборки со сканерами и анализаторами (статическими и динамическими) всего, чего только можно – от бинарей и облаков до API и кода практически на любом попсовом языке.

Есть как платные инструменты (помним про триальные версии, кряки и манибэки), так и бесплатные.

✍️ Подборка раз (статика) – ссылка
✍️ Подборка два (динамика) – ссылка
✍️ Поборка три (веб) – ссылка

#AppSec #Pentest #DevSecOps

🧠 Твой Пакет Знаний | Кибербезопасность

Продолжаем тренироваться, а это значит, что настало время самых популярных тренажёров и сервисов для Красной команды 🤬

Тренажеры и CTF для Red Team

- Две суперзвезды на арене практического тестирования на проникновение – [Hack The Box](https://app.hackthebox.com/machines) и [TryHackMe](https://tryhackme.com/)
- Красивый тренажер для эксплуатации всего самого популярного, включая рейтинги OWASP – [Kontra](https://application.security/free/owasp-top-10)
- Лабы от PortSwigger – [ссылка](https://portswigger.net/web-security/all-labs)
- Для любителей Линукс-дистрибутивов – [OverTheWire Bandit](https://overthewire.org/wargames/bandit/) и [Linux Journey](https://linuxjourney.com/)
- Для любителей реверс-инжиниринга – [Crackmes one](https://crackmes.one/) и [pwnable tw](https://pwnable.tw/)
- Standoff365 - [ссылка](https://range.standoff365.com/)
- Attack-Defense - [ссылка](https://attackdefense.com/)
- Alert to win - [ссылка](https://alf.nu/alert1)
- CryptoHack - [ссылка](https://cryptohack.org/)
- CMD Challenge - [ссылка](https://cmdchallenge.com/)
- Defend The Web - [ссылка](https://defendtheweb.net/)
- Exploitation Education - [ссылка](https://exploit.education/)
- Hacker101 - [ссылка](https://ctf.hacker101.com/)
- Hacking-Lab - [ссылка](https://hacking-lab.com/)
- ImmersiveLabs - [ссылка](https://immersivelabs.com/)
- Infinity Learning CWL - [ссылка](https://cyberwarfare.live/infinity-learning/)
- NewbieContest - [ссылка](https://www.newbiecontest.org/)
- OverTheWire - [ссылка](http://overthewire.org/)
- Pentesterlab - [ссылка](https://pentesterlab.com/)
- PentestIT LAB - [ссылка](https://lab.pentestit.ru/)
- PWNABLE - [ссылка](https://pwnable.kr/play.php)
- Root-Me - [ссылка](https://www.root-me.org/)
- SANS Holiday hack - [ссылка](https://www.sans.org/mlp/holiday-hack-challenge-2024)
- SmashTheStack - [ссылка](https://www.smashthestack.org/main.html)
- Vulnhub - [ссылка](https://www.vulnhub.com/)
- Vulnmachine - [ссылка](https://www.vulnmachines.com/)
- Websploit - [ссылка](https://websploit.org/)
- Zenk-Security - [ссылка](https://www.zenk-security.com/)

CTF

- Сборник различных CTF-ов в одном месте – [CTFtime](https://ctftime.org/) + отечественный аналог – [Codeby.games](https://codeby.games/)
- Google CTF - [ссылка](https://capturetheflag.withgoogle.com/)
- PicoCTF - [ссылка](https://picoctf.com/)

#Pentest #Practice

🧠 Твой Пакет Знаний | 🛍 Другие каналы

Настало время уязвимостей

Что-то модно (как уязвимости Next.js и GraphQL), что-то вышло из моды (как уязвимости для Adobe Flash Player), а что-то вечно (привет, Битрикс).

Как вы уже догадались, сегодня мы поговорим про уязвимости. А точнее про то, как безопасники вообще следят за их трендами и тем, что сейчас их всего скопления CVE стоит их внимания, а что из этого уже можно забыть.

Человечество уже давно подумало об этой проблеме, ведь новые уязвимости появляются каждый день, а актуальными они остаются разные периоды времени. Часть из них охватывает большие ландшафты (как было с log4j), а некоторые, хоть и критичные, не так страшны, из-за того, что уязвимые элементы не так распространены.

Так вот, существуют специализированные платформы или сервисы, которые собирают, анализируют и предоставляют информацию о наиболее актуальных и опасных уязвимостях в сфере кибербезопасности. И да, к ним также подключаются решения класса TI, чтобы мониторить обстановку.

Ну а вот и эти платформы-агрегаторы 👇

📂 CVE Crowd – один из самых популярных сервисов

📂 CVE Shield – один из самых старых агрегаторов

📂 Vulmon Vulnerability Trends – хороший агрегатор с историей за прошлые дни

📂 CVE Trends – топ10 обсуждаемых в интернетах уязвимостей за сутки

📂 Vulners – целый портал кибербезопасных инфоповодов, включая эксплойты, безопасность AI, BugBounty и прочее

Их на самом деле намного больше, но половина из этих сервисов дублирует друг друга, да и я не уверен, что стоит пользоваться всеми. Что-то себе по вкусу вы из этого списка найти точно сможете.

#BaseSecurity #AppSec #DevSecOps #Pentest

🧠 Твой Пакет Знаний | 🛍 Другие каналы

Я распишу поминутно, как баги искать

Сначала компании нанимают безопасников в штат. Потом компании выводят свои продукты на БагБаунти. После этого они сами выпускают статьи, чтобы научить багхантеров находить уязвимости в своих же продуктах за деньги. Ох уж этот дивный мир 😫

Шутки шутками, то если вы смотрите в сторону багхантинга и еще не преисполнились в его познании, то ловите годную статью с подробнейшим разбором того, что это такое и с чем это есть – ссылка. Там и про типовые инструменты, и про автоматизацию, и про то, как вообще выглядит этот процесс поиска слабостей безопасности.

Ребятам из Бастиона кстати отдельный респект. Писал с ними пару статей – лично у меня остались только положительные эмоции.

И да, такое мы читаем.

#Pentest #BugBounty

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Три атаки на Цербера

Я так понимаю, вам понравился подобный контент, поэтому ловите анонс следующего стрима с техническим разбором.

В этот раз один из менти по направлению пентест (@Valerka321) расскажет вам про атаки на всеми любимый Kerberos.

🗓 Когда: 26 марта в 19:00 по мск
📍 Где: прямо в этом канале в формате стрима

Берите с собой попкорн и друзей.

#Pentest

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Nmap здорового человека

Наконец-то кто-то сел и сделал это – красивую и функциональную оболочку для Nmap-а, которым все еще продолжает пользоваться вся планета. Ну вы только посмотрите, как это красиво и удобно.

Да, придется запариться и поставить себе комбайн из SQLite и Графаны, но на долгосрок оно того точно стоит. Нюанс заключается в том, что это лишает инструмент его ключевой особенности в виде легковесности, но выглядит то красиво!

Называется эта годнота nmap-did-what, а пощупать ее можно вот тут – ссылка

#BaseSecurity #Network #Pentest

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Нейросетевой пентест

Тут на днях в нашего кибербота прилетел вопрос на тему полезного чтива об ML/AI в сфере наступательной безопасности и рэдтиминга. Подумал, что вам этот ответ тоже может быть полезен, поэтому ловите годный тред с Реддита по этому вопросу – ссылка

#Pentest #AI

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы