Крупнейшее медиа об интернет-культуре и технологиях.
Больше интересного на https://exploit.media
Написать в редакцию: @exploitex_bot
Сотрудничество: @todaycast
Last updated 1 day, 15 hours ago
Не заходи без шапочки из фольги и пары надежных проксей. Интернет, уязвимости, полезные сервисы и IT-безопасность.
Связь с редакцией: @nankok
Сотрудничество: @NeuroNeron
Last updated 4 days, 4 hours ago
Первый верифицированный канал о технологиях и искусственном интеллекте.
Сотрудничество/Реклама: @alexostro1
Помощник: @Spiral_Yuri
Сотрудничаем с Tgpodbor_official
Last updated 1 month, 1 week ago
Думай как хакер: cлабые места PHP• ? Какие уязвимости можно найти в типичном PHP-проекте?
• ❗️Удивительно, но любые — от слабых мест и уязвимостей в коде никто не застрахован. Чем быстрее мы их найдем, тем меньше риск для компании, а также и для своих проектов.
• ♻️ Но чем лучше будем понимать, как можно атаковать наше приложение и как взаимодействуют друг с другом наши фичи, тем легче будет защитить код еще на уровне разработки. Тем более, что в PHP есть свои специфичные уязвимости — те же type juggling, insecure deserialization и local file include.
• ?? Чтобы повысить уровень безопасности кода, полезно думать как хакер и тестировщик одновременно, проверяя все возможные лазейки в коде. Сканеры уязвимостей, SSL-сертификаты, аудиты и прочие многочисленные инструменты защиты будут хорошим дополнением.
• Наиболее распространенные уязвимости из списка OWASP Top 10 (доля приложений) ⬇️
• ? Интернет — пространство безграничных возможностей, но если пользоваться им без должной осторожности, со своими данными можно попрощаться: отсюда и нежелательные спам-звонки, и потерянные пароли от соцсетей и банковских карт.
• ?⛔️ Если вы не хотите получать звонки от «сотрудников банка», скачайте бесплатный гайд по кибербезопасности от Нетологии.
? В нём рассказывают:
— как данные достаются мошенникам;
— как действуют реальные схемы обмана в интернете;
— как правильно покупать в интернете;
— что делать, если взломали.⬇️ Пользуйтесь гайдом и оставляйте мошенников без работы
#Безопасностьдоступа
#Приватностьдляначинающих
l.netology.ru
Как защитить свои данные – гайд по кибербезопасности
Скачайте бесплатный гайд и узнайте, как работают мошенники в интернете, как защитить свои личные данные и что делать, если вас взломали.
??? Сайты, которые помогут тебе стать хакером и оттачивать своё мастерство•❓Задумывался ли ты когда-нибудь с чего начать, где получить больше знаний и даже проверить и улучшить свои хакерские навыки?• ⚠️ Перечисленные ниже сайты, помогут понять каждый аспект безопасной (или, скорее, небезопасной) стороны программного обеспечения, сетей, серверов и каждого отдельного элемента, который может быть представлен в мире информационной безопасности.1️⃣ Hack The Box – это онлайн-платформа, позволяющая вам проверить свои навыки тестирования на проникновение и обменяться идеями и методологиями с тысячами людей в области безопасности. Что бы начать пользоваться этой платформой вам нужно пройти регистрацию в стиле CTF. Hack The Box предоставляет множество задач – в виде виртуальных машин – имитирующих реальные проблемы безопасности, которые постоянно обновляются, также у вас есть возможность проходить разные задачи, такие как стеганография, реверсинг и т. д. На момент написания статьи доступно 182 CTF задания.
2️⃣ Vulnhub – это сайт, на котором можно найти образы уязвимых виртуальных машин, на которых вы можете попрактиковаться в своей локальной сети. Обычно они отмечены уровнем сложности, в большинстве из них есть пошаговые инструкции, если вы застряли, и они полностью легальны. Платформа также используется школами, университетами и правительствами для обучения, а также организациями при проведении собеседований.
3️⃣ Smash The Stack проводит несколько варгеймов. Варгейм можно описать как этическую хакерскую среду, которая моделирует реальные уязвимости программного обеспечения и допускает легальное применение методов эксплуатации. Программное обеспечение может быть операционной системой, сетевым протоколом или любым пользовательским приложением. Каждый варгейм содержит множество задач, начиная от стандартных уязвимостей и заканчивая задачами на реверс-инжиниринг.
4️⃣ OverTheWire подойдёт всем желающим изучить теорию информационной безопасности и применить её на практике независимо от своего опыта. Варгеймы, предлагаемые сообществом OverTheWire, могут помочь вам изучить и отработать концепции безопасности в форме игр. Чтобы узнать больше об определенном варгейме, просто посетите его страницу, указанную в меню слева. Новичкам следует начать с задач уровня Bandit, поскольку они необходимы для дальнейшего решения других задач.
5️⃣ Root Me быстрый, простой и доступный способ отточить свои хакерские навыки. У Root-me есть множество видов задач. CTF, взлом, криптоанализ, криминалистика, программирование, стенография. Это определённо один из лучших сайтов в нашем списке.
6️⃣ Defend the Web – интерактивная платформа, где вы можете учиться и проверять свои навыки. За решение задач вы получаете определённое количество очков в зависимости от уровня сложности. Подобно Hack This Site, у Defend the Web также есть живое сообщество, многочисленные статьи и новости о хакинге и форум, на котором вы можете обсудить задачи и вопросы, связанные с безопасностью.
7️⃣ Exploit Education предоставляет разнообразные виртуальные машины, документацию и задачи, которые можно использовать для изучения различных проблем компьютерной безопасности, таких как повышение привилегий, анализ уязвимостей, разработка эксплойтов, отладка, реверсинг и общие проблемы кибербезопасности.
8️⃣ Try2Hack – этот сайт предлагает несколько задач, связанных с безопасностью, для вашего развлечения. Каждая задача требует разного подхода для решения и по мере продвижения становится всё сложнее. Это один из старейших сайтов в нашем списке.
#Разработка
#РазвитиевIT
#Программирование
#Взломдляначинающих
⚙️? Apple выпустила Chrome-аддон, синхронизирующий пароли iCloud на Windows• ? ? Apple выпустила новое расширение для браузера Chrome, облегчающее пользователям работу с паролями, сохранёнными в Safari. Аддон «Пароли iCloud» будет полезен как тем, кто сидит на Windows, так и любителям «яблочных» устройств: MacBook, iPhone и т. п.
• ? Помимо того, что расширение позволит получить доступ к сохранённым в Safari паролям из браузера Chrome и операционной системы Windows, нововведение даст возможность сохранять в «Связку ключей iCloud (Keychain)» новые пароли.
• ♻️ Другими словами, благодаря разработке Apple мы имеем полную синхронизацию. Сохранив новые учётные данные в Chrome, вы также сможете автоматически добавить их в связку ключей iCloud, а это значит, что на любом устройстве корпорации из Купертино у вас будут всегда актуальные пароли (даже при работе с Windows).
• ? Скачать расширение «Пароли iCloud» можно в официальном магазине Chrome Web Store. Также, судя по опубликованной 9to5Google информации, Apple в конце января обновила iCloud для Windows 10 (последняя версия — 12), добавив специальный раздел «Пароли», из которого можно перейти на страницу загрузки нового аддона.
• ⚙️ Сразу после установки расширения пользователям станут доступны пароли, сохранённые ранее в связке ключей iCloud (в Safari для macOS или iOS). По сути, это первый аддон, поддерживающий iCloud Keychain на Windows.
? Google Chrome получил защиту от атак NAT Slipstreaming 2.0• ? ⚙️ Разработчики браузера Chrome внесли в список блокировки еще восемь портов в качестве меры противодействия NAT Slipstreaming 2.0 и другим возможным вариантам этой атаки на защищенную сеть. После публикации первоначальной версии NAT Slipstreaming в этот список были добавлены порты 5060 и 5061.
• ? Атака NAT Slipstreaming 2.0 позволяет через интернет добраться до любого сетевого устройства, помещенного за файрвол или NAT. Созданная исследователями концепция предусматривает использование особого JavaScript-сценария и связи по протоколу H.323 (порт 1720). Предложенная схема также полагается на упущения в политиках безопасности браузеров и несовершенство реализации технологии NAT.
• ? Как оказалось, защита от NAT Slipstreaming 2.0 уже не только реализована, но и включена по умолчанию в десктопном и мобильном Chrome. Выпустив сборку 87.0.4280.117 браузера, разработчики ввели запрет на установку соединений на порту 1720, а также — из предосторожности — на портах 69, 137, 161, 1719, 1723, 6566 и 10080. Владельцам серверов HTTP, HTTPS и FTP, использующих эти порты, теперь придется вносить изменения в настройки и обновлять соответствующие URL.
• ⏳Публикацию обновления политик безопасности Chrome было решено отложить до принятия аналогичных мер вендорами других широко используемых браузеров. На настоящий момент это сделали Mozilla и Microsoft; в Apple, по всей видимости, тестирование кода еще не завершено.
• ? В Blink изменения тоже уже доступны: этот браузер был создан в рамках проекта Chromium. Соответствующий патч для Firefox заработал с выпуском версии 85 — в списке закрытых уязвимостей проблема числится как CVE-2021-23961. Заплатка для Microsoft Edge была включена в состав сборки 87.0.664.75; по версии разработчика, она устраняет уязвимость CVE-2020-16043.
? Госдума и Роскомнадзор хотят помечать фишинговые сайты в браузерах• ? Государственная дума озадачилась более эффективной борьбой с мошенническими сайтами, пытающимися разводить россиян. Совместно с Роскомнадзором Госдума планирует ввести новое регулирование, которое будет подразумевать маркировку опасных веб-ресурсов в браузерах.
• ? Специалисты в области кибербезопасности, комментируя намерение Госдумы, обращают внимание на ряд нюансов. Например, механизмом маркировки якобы вредоносных сайтов можно злоупотреблять, а выявить фейковые ресурсы далеко не всегда могут и сами эксперты.
• ? Тем не менее представители Госдумы собираются обсудить с Роскомнадзором методы противодействия онлайн-мошенничеству, а также выработать наиболее эффективные механизмы.• ? Антон Горелкин, член комитета Государственной думы по информационной политике, в своём Telegram-канале предложил использовать специальный виджет, который поможет пользователям отправлять жалобы на подозрительные или вредоносные сайты.
⁉️Как мошенники разводят Telegram-каналы, представляясь российскими селебрити• ? Кибермошенники продолжают осваивать для себя Telegram, разводя крупные компании и администраторов каналов. В новой кампании злоумышленники представляются продюсерами российских знаменитостей — например, Елены Темниковой или Моргенштерна — и предлагают заплатить за размещение рекламы в собственных Telegram-каналах.
• ? Своё поле деятельности злоумышленники ограничили социальными сетями, в которых связывались с различными компаниями и предлагали опубликовать рекламу какого-либо товара или услуг за 10 тысяч рублей.
• ? Знаменитости, чьими именами прикрываются преступники, уже в курсе ситуации. Певица Елена Темникова часто предупреждает своих подписчиков о мошенниках и просит связываться со своими представителями только через официальные контакты.
• ♻️ Также используется и немного другая схема: обманщики выходят на какую-либо компанию (тоже, как правило, от лица крупных каналов), сообщают о планах опубликовать материалы о бизнесе компании и требуют оплаты за отзыв публикации.
?? Основная причина заражения WordPress-сайтов - это пиратские темы и плагины!• ? Исследователи из компании Wordfence, поставляющей на рынок файрволы уровня веб-приложений (Web Application Firewall, WAF) сообщили о том что пиратские темы и плагины стали основной причиной заражения веб-сайтов на движке WordPress в 2020 году.
• ?? По словам экспертов, их сканер обнаружил более 70 миллионов вредоносных файлов более чем на 1,2 млн WordPress-сайтов. Эту статистику аналитикам Wordfence удалось собрать за весь 2020 год.
• ? «В общей сложности 206 000 сайтов стали жертвой вредоносов из-за пиратского плагина или темы. Это составляет 17% от общего числа выявленных заражённых сайтов», — описывают специалисты.
• ✔️ В Wordfence отметили, что 154 928 веб-ресурсов были заражены версией вредоносной программы WP-VCD. Известно, что распространители этого зловреда используют в своих кампаниях взломанные темы для движка WordPress.
• ? Более того, WP-VCD оказался настолько успешным вредоносом, что в 2020 году поразил 13% от общего числа всех атакованных сайтов. Тем не менее владельцам веб-ресурсов на WordPress стоит опасаться не только взломанных плагинов и тем.
• ? По данным Wordfence, в 2020 году для онлайн-площадок стал весьма ощутимой проблемой и другой вектор взлома — брутфорс. Всего за прошлый год исследователи зафиксировали более 90 миллионов попыток подбора учётных данных.
• ? Атаки шли с 57 миллионов разных IP-адресов (скорее всего, это результат работы ботнетов или прокси-серверов), а за одну секунду Wordfence отмечала до 2800 попыток подбора паролей.
?? Хакеры присылают владельцам Telegram-каналов вредонос под видом рекламы• ⚠️ Киберпреступники нацелились на владельцев каналов в Telegram и пытаются с помощью вредоносной программы похитить их учётные данные. Получив доступ к Telegram-каналу жертвы, злоумышленники могут потребовать выкуп или же подсовывать подписчикам ссылки на фишинговые и вредоносные сайты.
• ♟? Для прикрытия атакующие используют предложения разместить в канале пользователя рекламу GeekBrains (образовательная платформа). Однако вместе с вложениями владельцы Telegram-каналов получают зловред.
• ? Рост такого рода атак связан с растущей популярностью платформы Telegram, а также немалыми бюджетами, выделяемыми на рекламу в популярных каналах, уверены специалисты в области кибербезопасности.
• ? По словам владельцев Telegram-каналов, столкнувшихся с новым видом кибератак, злоумышленники представляются менеджерами GeekBrains и выходят на них с рекламными предложениями.
• ? Сама образовательная платформа GeekBrains, само собой, не имеет никакого отношения к деятельности киберпреступников. Тем не менее её представителям пришлось не раз выслушать жалобы от владельцев каналов.
• ? Призываем владельцев Telegram-каналов быть бдительными и проверять файлы, которые приходят от заказчика рекламы. Если есть подозрения, всегда можно воспользоваться сервисом VirusTotal или обратиться к специалистам в области защиты информации.#Новости
#Приватностьданных
#Безопасностьдоступа
⏳ФОРУМ "КИБЕРБЕЗОПАСНОСТЬ - НАШИ ДНИ. ПРОМЫШЛЕННЫЕ ТЕХНОЛОГИИ"? С 17 по 19 февраля в любимом ИБ-сообществом ДЦ «Юбилейный» Форум «Кибербезопасность – Наши Дни» соберёт лучших экспертов, разработчиков решений и представителей промышленности.⚙️ Будем прорабатывать ключевые вопросы промкибербезопасности и вообще всячески взаимодействовать!«Кибербезопасность – Наши Дни» – это три дня плотной деловой программы: мастер-классы, питч-сессии, киберучения!
На повестке: нормативно-правовые, технологические, организационные и кадровые вопросы.
? Также непосредственно на форуме можно будет пройти обучение и получить Удостоверение о повышении квалификации.
«Кибербезопасность – Наши Дни» это также безоблачное февральское небо, морозный горный воздух, ухоженные лыжные трассы и масса фирменного ИБ-веселья! Без впечатлений не уедете!
? 2021 год.
Новые вызовы. Новые возможности. Присоединяйтесь!
Крупнейшее медиа об интернет-культуре и технологиях.
Больше интересного на https://exploit.media
Написать в редакцию: @exploitex_bot
Сотрудничество: @todaycast
Last updated 1 day, 15 hours ago
Не заходи без шапочки из фольги и пары надежных проксей. Интернет, уязвимости, полезные сервисы и IT-безопасность.
Связь с редакцией: @nankok
Сотрудничество: @NeuroNeron
Last updated 4 days, 4 hours ago
Первый верифицированный канал о технологиях и искусственном интеллекте.
Сотрудничество/Реклама: @alexostro1
Помощник: @Spiral_Yuri
Сотрудничаем с Tgpodbor_official
Last updated 1 month, 1 week ago