Телеграм канал «ZeroDay | Кибербезопасность»

⚡️⚠️📊Сделал подборку рекомендую вам ознакомьтесь 🤙 • Арсенал Безопасника — Лучшие инструменты для хакинга и OSINT • Хакер | Red Team — Библиотека Хакера тут вы найдете только эксклюзив! Автор делится лучшим. (новинка) • Max Open Source — Полезные статьи и бесплатные курсы по этическому хакингу, пентесту, программированию и информационным технологиям. • IT MEGA — Тут эксклюзивные материалы, курсы по программированию, информационная безопасность хакингу, Osint и IT. • Книги | Books — Одна из крупных библиотек в сегменте Telegram. Тысячи книг и полезного материала. • Библиотека Cobalt Strike — Все для знакомства с хакингом, пентестом, эксклюзивной информация, курсы, книги, статьи и инструменты. • Журнал Хакер — Журнал хакер, канал архив, все выпуски с 1999- до последнего! Удивительный мир! • Библиотека разведчика Osint — Единственная в своем роде библиотека по теме OSINT, разведки в сети, сбору информации, технологии конкурентной разведки, поиск о цели. ‼️ В общей сложности, данные проекты насчитывают терабайты курсов и книг. Присоединяйся 📲💻

3 приёма для веб‑пентеста 👋 Приветствую в мире цифровой безопасности! Расскажу сегодня о трех полезных фишках именно для веб-пентеста. ⏺Blind SSRF через favicon-hash: Подмена пути на /favicon.ico с редиректом на ваш сервер. Многие прокси разрешают favicon без проверки домена. Если хэш favicon меняется, значит и SSRF-трафик точно дошёл до вас. GET /favicon.ico HTTP/1.1 Host: internal.service ➡️Защита: строгие allowlist доменов, отключение «favicon fallback». ⏺Cookie-forcing через незаполненные поддомены: Если у домена есть a.example.com, но нет b.example.com, вы можете поднять свой b. и выставить cookies на весь .example.com. При следующем запросе браузер отправит ваши куки в реальное приложение, а это часто ломает auth‑логику. Set-Cookie: session=evil; Domain=.example.com ➡️Защита: запрет wildcard‑cookie, политика Host-Only, закрытие неиспользуемых поддоменов. ⏺Cache-Poisoning через хитрый параметр: Многие CDN кэшируют URL вроде: /api/user?nocache=1&x= Если добавить пустой параметр или нестандартный разделитель (;, %00), CDN кэширует вашу версию ответа, а пользователь получает поддельный контент. /api/user?nocache=1&x=%00inject ➡️Защита: нормализация URL, запрет необычных разделителей, строгая политика кэширования. ZeroDay | #пентест

Как делить зоны ответственности при работе в облаке? На вебинаре 11 декабря в 11:00 по мск эксперты Cloud.ru и Cloud Advisor разберут модель разделения ответственности: расскажут, какие задачи лежат на провайдере, а какие — на команде клиента, и научат закрывать потенциальные угрозы. В программе: 😶‍🌫️почему модель разделенной ответственности — это база, и чем опасно ее игнорирование; 😶‍🌫️разбор зон ответственности на каждом уровне: что контролирует провайдер, а что — клиент; 😶‍🌫️какие инструменты предлагает Cloud.ru для защиты облачной инфраструктуры; 😶‍🌫️как комплексно обеспечить безопасность инфраструктуры в зоне ответственности клиента с помощью платформы CNAPP. Вебинар будет полезен всем, кто отвечает за развертывание и защиту инфраструктуры в облаке. Зарегистрироваться

ХАКСЕТ .labs: практичная площадка для первых шагов в пентесте 👋 Приветствую в мире цифровой безопасности! Ещё один инструмент, который может пригодиться тем, кто только начинает разбираться в ИБ. ⏺ Вход с нулём знаний: задачи идут от самых простых, чтобы понять базовую механику ⏺ Внутри уже 25 задач: каждая задача сопровождается видеоразбором ⏺ Живое комьюнити: где можно уточнить непонятные моменты или обсудить решение ⏺ Можно выкладывать свои задачи: это приятный бонус для тех, кто уже что-то умеет. Платформа растёт за счёт самих пользователей ZeroDay | #Инструмент

Как не отправить деньги «не туда» 👋 Приветствую в мире цифровой безопасности! Если вы хоть раз пересылали кому‑то номер для перевода - вы уже попадали в зону риска. ⏺А попали вы не потому, что банки небезопасные. А потому, что главный разрыв происходит между людьми, когда реквизиты гуляют по мессенджерам. ⏺Что реально ломается: мессенджер можно обмануть. Сообщение редактируют, номер подменяют, пересылают старый, делают фишинговую визитку, а предпросмотр ссылки могут перехватить. И всё, вы переводите деньги не тому, кому хотели. Это не атаки на СБП или банк. Это атаки «по дороге» - до того, как вы вообще открыли приложение. ⏺Почему «просто номер» не всегда безопасно: номер - это просто цифры без защиты и без проверки. Вы никак не узнаете, что тот самый реквизит, который вы вставили, настоящий, а не подменённый кем‑то в чате или в буфере обмена. ⏺Как решают проблему: защитная фраза. Отправитель создаёт свою короткую фразу, и она показывается на каждой визитке, которую он открывает. Фраза хранится на стороне отправителя, поэтому подделать её невозможно - даже если кто‑то подсунул фейковую ссылку, визитка просто не покажет нужный маркер. ⏺Что это даёт: вы сразу понимаете, что визитка настоящая, реквизит правильный, а путь до банка не был подменён. Фишинг, ошибки и MITM‑подмены - сильно сложнее или полностью невозможны. Деньги по‑прежнему идут напрямую через банк, сервис их даже не видит. ZeroDay | #фишинг