?Свежий репортаж о том, как прошла церемония награждения в 2024 году.

Опубликовали общие рейтинги всех финалистов с баллами, чтобы вы могли понять насколько близки к призовому месту.

Спасибо каждому, кто принял участие в премии, вы лучшие! Вместе мы сделаем профессию пентестера еще более почетной, популярной и важной, а мир чуточку безопаснее. 

#pentestaward

Хабр

Прошел ежегодный Pentest award — лучших этичных хакеров России снова наградили премией и призами

Раз в году у пентестеров появляется шанс громко заявить о своих достижениях, показать свой вклад в развитие российского рынка ИБ и обменяться лучшими историями из практики на закрытой церемонии...

Наверное вы заметили, что в этом году номинация «Пробив» разделилась на две?!

«Пробив WEB» — это номинация, в которой соревнуются за мастерство идентификации и эксплуатации уязвимостей в веб-сервисах, API и других компонентах веб-приложений. Оценивается глубина анализа, сложность обнаруженных технических и логических уязвимостей. Особое внимание уделяется уникальным и ранее не известным уязвимостям.

Курирует номинацию BI.ZONE Bug Bounty во главе с членом жюри Сергеем Кузминовым — руководителем отдела тестирования на проникновение и RedTeam. Все вы знаете платформу BI.ZONE Bug Bounty, где собираются более 6000 багхантеров, поэтому мы гордо презентуем вам такого мощного партнера проекта, который проследит за объективностью всех оценок работ этой категории :)

*➡️ *Подавайте свои райтапы в «Пробив WEB» на сайте.

Вдохновляйтесь примерами финалистов прошлого года:

— Пробив периметра. Три райтапа победителя Pentest award в номинации «Пробив».
— Взлом Seedr. Райтап — победитель Pentest award в номинации «Пробив».

Ждем ваших заявок!

Позвали Юру Шабалина на подкаст, а получили, пожалуй, самое полное собрание информации и полезных ссылок про безопасность мобильных приложений на просторах рунета.

Да, выпуск идет два часа, зато его можно использовать как энциклопедию по тайм-кодам или как сериал, просматривая по кусочкам всю неделю ?

Выпуск уже на канале и аудио платформах.
Инджой!

? Youtube
™ VK
? Яндекс Музыка
?Apple podcast
〰️Mave

❤ @justsecurity

? Когда угрозы кибербезопасности эволюционируют каждый день, важно иметь надежные инструменты для анализа данных и защиты информационных активов. Представляем вашему вниманию 1️⃣0️⃣ мощных и нужных поисковых систем в сфере кибербезопасности. Эти платформы станут надёжными союзниками в выявлении, анализе и нейтрализации угроз.

*?*Shodan: поисковая система, позволяет исследователям находить устройства, подключенные к интернету, веб-камеры, принтеры, веб-сервисы и многое другое. Это мощный инструмент для анализа поверхности атаки и оценки уязвимостей.
Особенности: охватывает миллиарды устройств, детализированный поиск по параметрам и типам устройств.

*?*Censys: сканирует интернет, собирая данные обо всех подключенных устройствах и службах, предоставляя ценную информацию о поверхности атаки.
Особенности: визуализация данных, аналитика безопасности и оценка уязвимостей, бесплатный доступ до 250 запросов.

*?*IntelligenceX: поисковая система, которая предлагает поиск по Tor, I2P, криптовалютыным адресам, утечкам данных, доменам и электронным адресам.
Достоинства: поиск по уникальным источникам, включая скрытые службы и утечки данных.

*?*SecurityTrails: позволяет исследователям собирать обширные данные DNS, истории доменов и другую информацию, полезную для киберразведки и анализа угроз.
Особенности: обширные данные о доменах и DNS, исторические данные, API для интеграции.

*?*Binary Edge: еще одна платформа, которая сканирует интернет в поисках информации о подключенных устройствах и уязвимостях, предлагая комплексный анализ атакующей поверхности.
Особенности: масштабное сканирование интернета, аналитика уязвимостей, бесплатный доступ до 250 запросов.

*?*Pulsedive: платформа для поиска угроз, которая предоставляет данные о последних киберугрозах, индикаторах компрометации (IoC) и другой разведывательной информации.
Особенности: актуальная информация об угрозах, индикаторы компрометации, интеграция с другими сервисами.

*?*GreyNoise: фильтрует и анализирует "фоновый шум" интернета, позволяя отличить потенциально вредоносную активность от обычного трафика.
Особенности: идентификация сканирующих и атакующих устройств, анализ интернет-шума.

*?*LeakIX: специализируется на поиске и индексации утечек данных и открытых баз данных, предоставляя ценную информацию о потенциально уязвимых системах.
Особенности: обнаружение утечек данных, индексация открытых баз данных и систем.

*?*ExploitDB: архив эксплойтов и уязвимостей, позволяющий исследователям в области безопасности находить и использовать данные для защиты своих сервисов.
Особенности: регулярные обновления, большая база данных уязвимостей и эксплойтов.

*?*Vulners: обширная база данных уязвимостей, которая предлагает поиск по множеству источников, включая базы данных эксплойтов и бюллетени безопасности.
Особенности: обширный поиск по уязвимостям, интеграция с другими инструментами безопасности.

?Поделитесь движками, которые вы используете в своей работе и почему именно они?

❤ @justsecurity

У нас с вами сейчас появляется много новых коллег, которые хотят ворваться в мир кибербеза. Они задаются вопросами, как обучаться и где брать практический опыт. Поэтому мы сделали подборку площадок, на которых можно учиться, тренироваться, и конечно же, ломать актуальные сервисы.

*1️⃣*Hack The Box: Известная платформа, которая представляет песочницу для пентестеров. Позволяет применять свои навыки в реальных условиях. Платформа предлагает широкий диапазон уязвимых машин, от самых простых до продвинутых, требуя от пользователей творческого подхода и глубокого понимания техник.*?*Достоинства: Реальные сценарии, активное и поддерживающее сообщество, постоянное обновление заданий.

2️⃣VulnHub: Уникальная площадка, предоставляющая специально подготовленные уязвимые образы для практической работы и изучения техник взлома и защиты.
*?*Достоинства: Бесплатный доступ, подходит для всех уровней, большая коллекция уязвимых образов.

3️⃣HackXpert: Богатая библиотека бесплатных лабораторных работ и тренировочных сессий, ориентированных на джунов и мидлов, желающих улучшить свои знания в определенных областях кибербезопасности.*?*Достоинства: Бесплатный доступ к ресурсам, разнообразие лабораторий по актуальным темам.

4️⃣TryHackMe: Выделяется своим динамичным подходом к обучению кибербезопасности, предлагая пользователям «обучение через действие». С помощью виртуальных лаб и практических заданий пользователи могут развивать свои навыки в реальных условиях.
*?*Достоинства: Подходит как новичкам, так и профессионалам, интерактивные и геймифицированные элементы обучения.

5️⃣Cybrary: Предоставляет обширную коллекцию видеоуроков, лабораторных работ и практических тестов, созданных для того, чтобы пользователи могли освоить концепции и практики кибербезопасности.
*?*Достоинства: Обширная библиотека учебных материалов, активное сообщество экспертов и возможность обучения на реальных кейсах.

6️⃣LetsDefend: Платформа LetsDefend специализируется на подготовке специалистов в области защиты информации. Она предлагает симуляции реальных инцидентов безопасности, где пользователи могут разрабатывать и тестировать стратегии, повышая свои навыки в обнаружении угроз и реагировании на инциденты.
*?*Достоинства: Фокус на практическом применении знаний в области защиты информации, реалистичные сценарии с использованием актуальных инструментов и методик.

7️⃣Root Me: База более чем с 400 разнообразными задачами. Root Me представляет собой обширную платформу для тех, кто хочет проверить и улучшить свои навыки во всех аспектах кибербезопасности. Задания покрывают широкий спектр тем от криптографии до веб-безопасности.
*?*Достоинства: Поддержка множества языков, большое количество заданий для разных уровней сложности.

8️⃣Try2Hack: Сочетает элементы игры и обучения, предлагая пользователам ряд испытаний, имитирующих реальные кибератаки. Это не только позволяет развить технические навыки, но и учит стратегическому мышлению и анализу уязвимостей.
*?*Достоинства: Игровой подход к обучению, подходит для развития как технических, так и стратегических навыков в кибербезопасности.

⚡️Дополняйте список своими вариантами в комментариях, добавим их и обогатим подборку!
Делитесь своим опытом использования площадок и лайфхаками ?

РУКОВОДСТВО ПО ЦЕНООБРАЗОВАНИЮ ПЕНТЕСТОВ

Подготовили для вас полное подробное руководство по ценообразованию пентест-проектов со всеми инфографиками и таблицами, где наглядно показано соотношение рисков и ресурсов, зрелость ИБ-процессов и модель злоумышленника, грейды специалистов и уровень оплаты труда.

?https://pricing.awillix.ru/ ?

В конце есть тест, который поможет первично оценить уровень зрелости информационной безопасности в вашей компании и получить базовые рекомендации для его улучшения.

?Это еще один наш вклад в развитие рынка. Надеемся, что такой артефакт станет доступным и простым инструментом для более легкого и зрелого диалога между бизнесом и его кибербезопасностью.

Старт через 15 минут

Наш junior пентестер Кирилл (SidneyJob)
опубликовал статью на Хакер — «Курс на мисконфиги. Как поймать проблемный CORS на проде».

Там интересно рассказано, как работает технология SOP, которая защищает твой браузер от вредоносных скриптов. Разобраны основные виды мисконфигов и даны шпаргалки с разными случаями поведения CORS. В конце есть пример проверки работоспособности PoC.

Лайк, шэр, коммент! А Кирилла с дебютом ?