Пентестинг

Проект Red Team: роли и области экспертизы. Колонка Дениса Макрушина

Красная команда имитирует действия атакующего, чтобы помочь оценить эффективность защитных мер и улучшить безопасность. В этой статье я разберу, как…

IBM X-Force Red. Как красная команда IBM проверяет организации на прочность

У моего сына как-то спросили в школе: «Кем работает твоя мама?» Он сказал — медсестрой. А когда спросили про папу,…

Проект Red Team: организация, управление, скоуп. Колонка Дениса Макрушина

Индустрия информационной безопасности асимметрична: атакующий находится в более удобном положении, чем защитник. Атакованной стороне нужно быть эффективной всегда, 24/7, а…

Баг в Cobalt Strike много лет позволял специалистам следить за хакерами

Компания Fox-IT рассказала о том, как мелкий баг в серверном компоненте Cobalt Strike помогал следить за злоумышленниками с 2015 года.

Пост-эксплуатация Linux. Поднимаемся от юзера до бога в несколько кликов

В этом материале ты узнаешь, как с помощью утилит постэксплуатации серверов с Linux хакеры проникают внутрь защищенного корпоративного периметра, обходят…

Инструмент Modlishka может использоваться фишерами для обхода двухфакторной аутентификации

Польский ИБ-специалист опубликовал на GitHub свою разработку Modlishka. Инструмент ориентирован на пентестеров, однако злоумышленники могут использовать его для автоматизации фишинговых…

Хакеры со всего мира примут участие в лаборатории от компании Pentestit

14 декабря 2018 года будет запущена, новая, двенадцатая по счету лаборатория Test lab — копия реальной корпоративной сети, содержащая актуальные…

Тихая разведка. Изучаем инструменты и техники пассивного сбора информации

Успешность тестов на проникновение многом зависит от качества составления профиля жертвы. Какими сервисами и софтом она пользуется? На каких портах…

Специалист компании Tencent взломал Wi-Fi в отеле, написал об этом в блоге и теперь будет оштрафован

Во время посещения конференции Hack In The Box в августе 2018 года специалист китайской компании Tencent Чжэн Дутао (Zheng Dutao)…

Работа для анонима

Анонимно посерфить сегодня не такая уж проблема, несмотря на повсеместную слежку, а вот с анонимной работой дела обстоят куда сложнее.…

Прокачай свой Burp! 11 наиболее полезных плагинов к Burp Suite

Поиск веб-уязвимостей и Burp Suite — это практически синонимы. Однако мощь твоего Burp напрямую зависит от выбора присадок к нему.…

Пентест UEFI. Оцениваем защищенность прошивки UEFI с помощью CHIPSEC

В этой статье мы разберем схему функционирования и устройство прошивки UEFI на материнских платах с процессорами и чипсетами Intel, протестируем…

Отмычки для софта. Выбираем инструменты реверса и пентеста приложений для Android

За десять лет существования Android разработчики приложений и те, кто эти приложения взламывает, обзавелись массой инструментов, направленных друг против друга.…

ESET: группа Turla меняет тактику

Эксперты ESET обнаружили новые инструменты в арсенале кибершпионской группы Turla. Теперь хакеры используют для заражения целевых устройств Metasploit – легитимную…

Яндекс предлагает поискать уязвимости в сервисе каршеринга Яндекс.Драйв

Компания Яндекс предложила исследователям изучить сервис каршеринга Яндекс.Драйв на предмет уязвимостей. Состязание будет длиться с 16 по 27 мая, а…

Социальная инженерия. Разбираем практики, методы и инструменты для социотехнического тестирования

Какой же пентест без социальной инженерии, верно? Социотехническое тестирование в наше время стало совершенно обычным делом, и мне не раз…

Android: инструменты пентестера, уязвимости экрана блокировки iOS и множество советов по Kotlin

Сегодня в выпуске: десять инструментов пентестера, уязвимости экрана блокировки iOS, взлом защиты от запуска приложения в эмуляторе, способы легально повысить…

Kali Linux добавили в Windows Store, но Defender считает дистрибутив угрозой

Kali Linux теперь доступен в официальном Windows Store, однако Windows Defender считает дистрибутив угрозой.

Хакеры помогли Пентагону устранить тысячи уязвимостей

Прошел почти год с того момента, когда Министерство обороны США учредило специальную программу раскрытия уязвимостей. За это время ИБ-специалисты помогли…

Компания Salesforce уволила двух сотрудников из-за выступления на DEF CON

Инженеры компании Salesforce выступили на конференции DEF CON с рассказом об инструменте Meatpistol, за что были уволены.

Специалист Google Project Zero портировал Windows Defender на Linux

Специалист Google Project Zero Тевис Орманди (Tavis Ormandy) сообщил, что портировал Windows Defender под Linux.

Ответы юриста. Что нужно знать хакеру для участия в Bug Bounty на своих условиях

В прошлом материале мы затронули тему Bug Bounty — программ вознаграждения за найденные уязвимости. Они помогают вывести поиск багов из…

Ответы юриста: как избежать ответственности за поиск уязвимостей

Какие риски несет выявление уязвимостей в чужом софте без согласия владельца? Можно ли за такую деятельность влететь на штраф? Светит…

Pentestit запустили новую лабораторию для практики в аудите безопасности

Лаборатория Test lab от Pentestit предлагает всем желающим взломать тестовые серверы компании Global Data Security.

Американская армия собирается запустить собственную bug bounty программу

После успеха инициативы «Взломай Пентагон» американские военные готовятся запустить полноценную bug bounty программу.

Флешку для «убийства» компьютера теперь можно приобрести за 50 евро

Многие из наших читателей наверняка помнят устройство USB Killer 2.0, о котором мы рассказывали в 2015 году. Прототип флешки, которая…

В инфраструктуре Пентагона выявлено более 100 уязвимостей

Представители Министерства обороны США рассказали о первых результатах работы специфической bug bounty программы «Взломай Пентагон» (Hack the Pentagon), которую военные…

Исследователи опубликовали на GitHub аналог Metasploit для роутеров

RouterSploit предназначен для пентестинга различных встраиваемых устройств, в первую очередь — роутеров. По своей структуре инструмент напоминает излюбленный хакерами Metasploit:…

Ошибки пентестера, ужасные и не очень. Колонка Юрия Гольцева

Тестирование на проникновение (penetration testing) — метод оценки безопасности компьютерных систем или сетей средствами моделирования атаки злоумышленника. Для кого-то это…

Утилита для сравнения бинарников BinDiff стала бесплатной благодаря Google

Инженер компании Google Кристиан Бличманн (Christian Blichmann) официально объявил в блоге о том, что инструмент BinDiff, применяемый для анализа бинарников,…

Взломать Пентагон можно будет совершенно легально

Сегодня, 2 марта 2016 года, Пентагон объявил о старте собственной bug bounty программы, которая называется «Взломай Пентагон» (Hack the Pentagon).…

Страх, неизвестность, сомнения. Колонка Юрия Гольцева

Тестирование на проникновение (penetration testing) — метод оценки безопасности компьютерных систем или сетей средствами моделирования атаки злоумышленника. Для кого-то это…

Google приняла приложение для пентестеров за малварь

Администраторы Google Play Store допустили странную ошибку: заклеймили малварью приложение Cybrary, обучающее пользователей премудростям кибербезопасности. Сначала авторы программы пытались воевать…

Spy games: тестируем физическую безопасность объекта. Колонка Юрия Гольцева

Тестирование на проникновение (penetration testing) — метод оценки безопасности компьютерных систем или сетей средствами моделирования атаки злоумышленника. Для кого-то это…

Как писать отчет о проделанном пентесте? Колонка Юрия Гольцева

Тестирование на проникновение (penetration testing) — метод оценки безопасности компьютерных систем или сетей средствами моделирования атаки злоумышленника. Для кого-то это…

Netflix выпустила фреймворк для поиска XSS

Компания Netflix — один из топовых на Западе поставщиков контента на базе потокового мультимедиа (который, к сожалению, не работает для…

Вышел дистрибутив Kali Linux 2.0

Разработчики знаменитого дистрибутива для пентестинга сделали самый значительный релиз с 2013 года. Официально объявлено о выходе Kali Linux 2.0. Дистрибутив…

Wardriving в качестве консалтинговой услуги. Колонка Юрия Гольцева

Тестирование на проникновение (penetration testing) — метод оценки безопасности компьютерных систем или сетей средствами моделирования атаки злоумышленника. Для кого-то это…

Пентесты на виражах. ФБР расследует дело о взломе самолета

Вообрази ситуацию. Ты занимаешь кресло в самолете, а рядом с тобой сидит мужчина средних лет c длинной седой бородой. Самолет…

X-TOOLS #197. Софт для взлома и анализа безопасности

В этом выпуске: улучшаем покрытие тестов при пентестинге J2EE-приложений, сканируем на уязвимости dylib-библиотеки на Mac OS X, дизассемблируем бинарные файлы…