YAH

2022-08-01 21:01:17 Знакомы вам ситуации?
1. У Заказчика стоит доменная политика 10 символов, строчные и прописные, цифры и спецсимволы (хорошая политика), но вы с внешки удачно заспреили пароль Fduecn2022! (Август2022! на русской раскладке) и получили доступы в почту, облако и VPN?
2. У Заказчика хороший домен с тировой архитектурой, но вам удалось найти в сети старый стенд, который никто не использует test.local. Далее ZeroLogon и Password Reuse на основной домен?
3. У Заказчика много УЗ с не истекающими паролями и вообще в домене есть "стандартные" пароли.
Все это большие риски безопасности, но что в этих случаях можно советовать Заказчику?
В сотрудничестве с @ewig_m и @Riocool, мы рады сообщить о первом выпуске проекта с открытым исходным кодом DC Sonar, который предоставляет функциональность для анализа доменов AD на предмет рисков безопасности, связанных с учетными записями:
- Выгрузка и перебор NTLM хэшей из заданных доменов AD для получения списка учетных записей со слабыми и уязвимыми паролями;
- Анализ учетных записей домена AD, чтобы составить список УЗ с никогда не истекающими паролями;
- Анализ учетных записей домена AD по NTLM хэшам паролей для определения учетных записей и доменов, в которых пароли повторяются.

Дополнительную информацию можно найти в репозитории https://github.com/ST1LLY/dc-sonar. Открыть/Комментировать

2022-07-28 00:17:58 Мясо;)

Классная CVE в LDAP Account Manager для веберов.

https://swarm.ptsecurity.com/exploiting-arbitrary-object-instantiations/ Открыть/Комментировать

2022-07-20 12:56:17 Киберучения The Standoff теперь 24/7/365

На платформе The Standoff 365 открылся онлайн-киберполигон, где можно ломать копии реальных инфраструктур компаний, оттачивая навыки пентеста или исследуя новые техники атак нон-стоп 24/7/365.

Сейчас на The Standoff 365 исследователи могут тестировать защищенность трех сегментов: корпоративного, энергетического и банковского.

Если хотели оставить город без света или ограбить банк — сделайте это на The Standoff 365

Регистрация открыта для всех желающих. Открыть/Комментировать

2022-07-11 14:36:24 Подкаст

В этой серии подкаста Yet Another Hacker мы поговорили о Bug Bounty (Баунти Хантинге), в разрезе его плюсов и минусов, как для самого хантера так и организаций участвующих в этом процессе. Мы поговорили обо всех тонкостях, сложностях организации программ и участия в них, а также о мотивации, подходе и пути в этом непростом деле с одним из ярких представителей этого сообщества.

В гостях: Никита Ступин (@nikitastupin)

Подкаст к.м.к. получился классный, огромное спасибо Никите за то, что так подробно и развернуто отвечал, и конечно же за то, что поделился своим взглядом.

Если у вас останутся интересные вопросы для баунти хантеров, пишите в комментарии.

Link: https://podcast.ru/e/6E.UlMdm5l./ Открыть/Комментировать

2022-07-04 13:44:14 Почти подкаст

Всем привет. Уже скоро вас ждет выпуск нового подкаста! Но т.к. этот выпуск получился особенным по своей длительности (Слишком горячая тема), я бы хотел пригласить кого-нибудь из увлеченных слушателей написать для выпуска тайм-коды. Для того чтобы остальные могли перейти сразу к самым интересным моментам;)

(У меня есть сценарий всего подкаста, поэтому это будет достаточно просто.)

Если вы не против заняться чем-то подобным, пишите мне в ЛС: @empty_jack Открыть/Комментировать

2022-06-28 08:55:12 Добро пожаловать в «Клуб неанонимных багхантеров»!

Мы собираем свою тусовку с докладами и обсуждением насущных вопросов о bug bounty!

Первая порция приглашений уже улетела в почту тем, кто зарегистрировался на нашей платформе.
Мы говорили внимательнее следить за почтой :)

Если вам интересен поиск уязвимостей, в эту пятницу ждем вас на нашем митапе.

Когда: 1 июля, в 18:00 (мск)
Где: Конференц-зал BI.ZONE, Москва
Формат: только хардкор офлайн!

Как стать участником нашего клуба и попасть на встречу:
— Зарегистрируйтесь как багхантер на сайте BI.ZONE
— Забронируйте билет на митап через TimePad

Количество мест ограничено! Открыть/Комментировать

2022-06-14 18:01:18 Последний запуск длинных курсов по ИБ от CyberEd

Образовательный центр по кибербезопасности CyberEd в июне последний раз запускает длинные курсы в «живом» формате по профессиям «Специалист по тестированию на проникновение» и «Специалист по информационной безопасности».
Успейте присоединиться к последнему потоку!

Специалист по тестированию на проникновение - RedTeam - старт 20 июня 2022, длит. 9 мес.

Специалист по информационной безопасности - BlueTeam - старт 27 июня 2022, длит. 7 мес. Открыть/Комментировать

2022-06-12 23:50:05 YAH pinned «Подкаст А вот и вторая серия нашего подкаста: Yet Another Hacker. Вместе с гостем подкаста мы развили увлекательнейшую тему для большинства наших слушателей - Соревновательность в хакинге и соревнования. В этой серии мы обсуждаем тему, которая делает хакинг…» Открыть/Комментировать

2022-06-12 23:50:02 Подкаст

А вот и вторая серия нашего подкаста: Yet Another Hacker.

Вместе с гостем подкаста мы развили увлекательнейшую тему для большинства наших слушателей - Соревновательность в хакинге и соревнования.

В этой серии мы обсуждаем тему, которая делает хакинг для многих столь привлекательным. Очень часто специалисты здесь могут и хотят померяться силами: кто быстрее взломает? кто больше знает? кто больше опыта имеет? Отчасти поэтому турниры и багбаунти платформы так популярны. Все видят подиум, но могут даже не представлять себе то, что на пути к этому подиуму стоит. Стоит ли игра свеч, является ли успех в соревновательных активностях показательным или обманчивым, как часто именно пентестеры проявляют себя в подобного рода мероприятиях и как часто это делают не они - вопросы нашей сегодняшней встречи.

В гостях: Омар Ганиев (@beched)

Episode page: https://podcast.ru/e/Yelq50Lk86
Podcast page: https://podcast.ru/1626820774

P.S. Всем приятного прослушивания! Открыть/Комментировать

2022-06-12 16:55:28 Singleton CTF

Всех с праздниками!

Я уже несколько раз говорил, что наша лучшая пентест тима ищет увлеченных темой веб-пентеста специалистов. Для упрощения отбора мы подняли небольшой CTF’чик на простые техники эксплуатации веб уязвимостей.

Если интересно попробовать свои силы, велкам: ctf.singleton-security.ru (будем пополнять тасочками)

Главный приз - возможность к нам присоединиться! ;D Открыть/Комментировать