Пентестинг. Этичный хакинг.

Всем спасибо за активность под постом 🙌 Сейчас во многих пабликах поднимается эта тема — решил тоже узнать ваше мнение. Как вы сами видите, большинство выбирает оставаться в Telegram 👍 Особенно зашёл комментарий: “Мы же пентестеры — включить VPN и зайти в телегу сможем. Иначе зачем всё это?” 😄 (это я вкратце пересказал мысль) И с этим сложно не согласиться. Опытного пентестера вряд ли напугают какие-то блокировки. Но уже сейчас мы должны быть на шаг впереди: — настроить VPN на роутере — иметь...

🔥 В понедельник в 21:00 (МСК) стартует обучение «Введение в кибербезопасность» Если ты думаешь «потом начну» — не начнешь. Это короткий, практический вход в профессию Что ты получишь за 12 часов ✔️ Поймешь, как реально ломают системы ✔️ Научишься находить уязвимости, а не просто читать про них ✔️ Соберешь свою лабораторию и начнешь практику сразу ✔️ Получишь базу для старта в pentest / bug bounty / security Кто тебя будет учить Не теоретик. Практик! У нас крутой препод! — 4+ года в Offensive Se...

OSINT Беларусь — OSINT-комьюнити Беларуси ▪️ обзор полезных инструментов и ресурсов ▪️ обучение основам OSINT ▪️ основы анонимности и безопасности в сети ▪️ чат для общения по теме OSINT

Недавно в чате (в котором, кстати, состоят не все 😏) поднялась интересная тема про нагрузки. Мне в личку скинули фото кабеля и задали вопрос: Можно ли через данный кабель получить удалённый доступ к устройству? Сначала я ответил честно: Нет, про такие методы я не слышал. Но вопрос зацепил — решил копнуть глубже. Я много лет работал в сфере цифровой криминалистики и извлечения данных. И, поверьте, с кабелями за это время сталкивался регулярно. Даже обычный USB-кабель — это не просто «провод». Он...

🔐 Что такое CSRF (Cross-Site Request Forgery) CSRF (Cross-Site Request Forgery) — это уязвимость, при которой злоумышленник заставляет браузер пользователя выполнить действие на сайте от его имени, без его ведома. Проще говоря: пользователь уже авторизован на сайте, а злоумышленник заставляет его браузер отправить вредоносный запрос. Сервер считает, что действие выполняет сам пользователь. 🔎 Как это выглядит на практике Пользователь авторизован в интернет-банке. Есть запрос для перевода денег:...

Что точно полезно знать для QA инженера в рамках безопасности это то, как данные сливаются через неправильную конфигурацию. Почему твой идеальный автотест не спасет от слива данных Как QA, ты можешь выстроить идеальную пирамиду тестирования, покрыть всё unit-тестами и гонять регресс 24/7. Но если в конфигурации сервера дыра - все эти проверки бесполезны. Большинство громких утечек случаются не потому, что х@керы - гении, а потому, что кто-то в команде забыл нажать ту самую галку перед деплоем в ...

🔑 Неочевидная безопасность Жена на днях наткнулась на вот такую штуку в Озоне. Это брелок для ключей с номером телефона. Предполагается, что если ключи потеряются, то человек, который найдет их, позвонит по этому номеру и вернет. Почти 13 тысяч отзывов, средняя оценка - 4,8. Иными словами, покупают и очень активно! И вот примеры комментов: 💬 "Нужная штука , уже пригодилась, человек с него позвонил в нужный момент" 💬 "Дочь систематически теряла ключи. Купил этот брелок, повели на связку поючей...

💬 Напоминаю, что у нас есть свой чат в котором больше 700 человек. Там мы не просто сидим — это место, где можно пообщаться с единомышленниками, задать вопросы, обсудить практику и просто быть в своей среде. Мы специально разделили чат на подтемы, чтобы вам было удобнее ориентироваться и не теряться в общем потоке: — общение — обучение и материалы — разборы — работа и стажировки — и другие 📌 Особое внимание хочу обратить на раздел «Работа / стажировки» Не стесняйтесь — оставляйте свои резюме, ...

Безопасники тут? 👀 Отмечаемся✌️ Иногда самые простые “решения” работают лучше всего 😏 #funny #mem #pentest

ИИ заменит кибербезопасников? Ну-ну. Посмотрите на OWASP Top 10 для LLM Пока диванные эксперты рассуждают о том, как нейросети уволят всех пентестеров, реальность такова...: внедрение больших языковых моделей (LLM) создало такое количество дыр, что работы в AppSec стало в два раза больше. Если вы думали, что LLM - это просто чат в браузере, поздравляю: вы только что открыли огромную дверь для атак. OWASP уже выпустил отдельный топ уязвимостей специально для этих моделей. Вот список того, на чем ...