Forwarded from Positive Hack Days Media
Если с первой попытки ответить не вышло, попробуйте еще раз после просмотра видео.
В нем белые хакеры Николай Анисеня, Иван Булавин и Никита Ладошкин вместе с
https://youtu.be/9KyuyXVK5Y8
https://youtu.be/9KyuyXVK5Y8
https://youtu.be/9KyuyXVK5Y8
👆Смотрите здесь, а пока не посмотрели, отгадайте в комментах, какой фильм получит больше всего «хаков», а какой — «таков».
@PositiveHackMedia
Please open Telegram to view this post
VIEW IN TELEGRAM
💩13🔥7👍6🤮4🤡4💘2😁1🤔1
🔥 Новый релиз на Standoff 365 — теперь с персональной матрицей MITRE ATT&CK!
На нашей платформе появилось кое-что крутое! Мы сделали много технических доработок, но главная гордость — персональная матрица MITRE ATT&CK для защитников.
💡 Как это работает?
🔹 Ты выполняешь практические задания на Standoff Cyberbones.
🔹 Каждому заданию соответствуют определенные тактики и техники из MITRE ATT&CK. Если ты правильно выполнил задание, соответствующая техника закрашивается в твоей персональной матрице.
🔹 В итоге формируется уникальный профиль: видно, какие техники ты уже умеешь распознавать.
⁉️ Что еще круто?
• Матрица обновляется автоматически, никаких ручных действий.
• Работает уже сейчас для тех, кто решал Киберкости (если ты уже выполнял задания — пора заглянуть в свой профиль!).
Зачем это защитникам? Если у тебя получилось отследить техники и тактики атакующих в онлайн-симуляторе, значит, узнаешь ихиз тысячи и в реальности. Матрица покажет, что еще нужно изучить и какие знания стоит тебе прокачать.
Проверь свою MITRE матрицу прямо сейчас в профиле!
На нашей платформе появилось кое-что крутое! Мы сделали много технических доработок, но главная гордость — персональная матрица MITRE ATT&CK для защитников.
💡 Как это работает?
🔹 Ты выполняешь практические задания на Standoff Cyberbones.
🔹 Каждому заданию соответствуют определенные тактики и техники из MITRE ATT&CK. Если ты правильно выполнил задание, соответствующая техника закрашивается в твоей персональной матрице.
🔹 В итоге формируется уникальный профиль: видно, какие техники ты уже умеешь распознавать.
⁉️ Что еще круто?
• Матрица обновляется автоматически, никаких ручных действий.
• Работает уже сейчас для тех, кто решал Киберкости (если ты уже выполнял задания — пора заглянуть в свой профиль!).
Зачем это защитникам? Если у тебя получилось отследить техники и тактики атакующих в онлайн-симуляторе, значит, узнаешь их
Проверь свою MITRE матрицу прямо сейчас в профиле!
🔥32🥰8❤6💩4🤮2😁1🌚1
Да, закрытые НС. Снова!
🤪 Ни за что не угадаете, о чем мы хотели бы рассказать. За последнее время багхантеры, ворвавшись в кибериспытания, закрыли аж 18 недопустимых событий и унесли с собой 18 миллионов!
Система пытается адаптироваться к такому натиску: добавлена 1 новая программа⤵️
• FINMUSTER
53 активные программыв тряске немного нервно поглядывают на вас и ждут, когда вы их потрогаете.
Список программ, которым нужны ваши отчеты, а также даты их завершения — в комментариях⤵️
Система пытается адаптироваться к такому натиску: добавлена 1 новая программа
• FINMUSTER
53 активные программы
Список программ, которым нужны ваши отчеты, а также даты их завершения — в комментариях
Please open Telegram to view this post
VIEW IN TELEGRAM
🥰16❤8👍7👎1
Как попасть на Международные игры по кибербезопасности?
Вот все, что нужно знать о датах и условиях.
Во-первых, прием заявок уже во всю идет! Переходи по ссылке, подавай заявку и выбирай свою сторону — атакующих или защитников.
Во-вторых, пройди отборочные туры:
🔵 Для защитников: заявку можно подать до 10 марта! Список команд, допущенных до участия в отборочных испытаниях, будет определен 12 марта.
Чтобы попасть в финал, нужно набрать как можно больше командных баллов. Они формируются на основе:
🔹 Теста на знание основ ИБ (берется средний балл команды).
🔹 Выполнения задания на CyberCamp (берется средний балл команды).
🔹 Дополнительных достижений на других соревнованиях по ИБ.
До 17 апреля мы объявим топ-15 команд с наибольшим количеством баллов — именно они отправятся в финал!
🔴 Для атакующих: заявку можно подать до 21 марта. Мы проведем экспертный отбор и до 14 апреля озвучим, какие красные команды попадут в финал.
Не забудь вступить в наш канал для коммуникации! 👾
Оставайся на связи, знакомься с опытными участниками Standoff: так ты сможешь в первую очередь узнавать о крутых фишках и инсайдах.
Если ты студент или начинающий специалист, который хочет проверить свои силы на практике, — собирай команду и регистрируйся прямо сейчас!
Вот все, что нужно знать о датах и условиях.
Во-первых, прием заявок уже во всю идет! Переходи по ссылке, подавай заявку и выбирай свою сторону — атакующих или защитников.
Во-вторых, пройди отборочные туры:
🔵 Для защитников: заявку можно подать до 10 марта! Список команд, допущенных до участия в отборочных испытаниях, будет определен 12 марта.
Чтобы попасть в финал, нужно набрать как можно больше командных баллов. Они формируются на основе:
🔹 Теста на знание основ ИБ (берется средний балл команды).
🔹 Выполнения задания на CyberCamp (берется средний балл команды).
🔹 Дополнительных достижений на других соревнованиях по ИБ.
До 17 апреля мы объявим топ-15 команд с наибольшим количеством баллов — именно они отправятся в финал!
🔴 Для атакующих: заявку можно подать до 21 марта. Мы проведем экспертный отбор и до 14 апреля озвучим, какие красные команды попадут в финал.
Не забудь вступить в наш канал для коммуникации! 👾
Оставайся на связи, знакомься с опытными участниками Standoff: так ты сможешь в первую очередь узнавать о крутых фишках и инсайдах.
Если ты студент или начинающий специалист, который хочет проверить свои силы на практике, — собирай команду и регистрируйся прямо сейчас!
❤7🔥4👍3
Все статьи журнала Positive Research теперь в открытом доступе!
Громко заявляем: все выпустили, все выложили, все можно читать. Показываем содержимое журнала, чтобы вы не поленились и заглянули внутрь:
🔹 «Живой трафик vs синтетический трафик: что круче?» — битва века: натурпродукт против лабораторного эксперимента.
🔹 «„Мы хотели погрузиться в атмосферу настоящего сражения“: „Гринатом“ на Standoff 13» — когда ты готовился к кибербитве, но организаторы внезапно усложнили уровень игры.
🔹 «Когда ты белый хакер, ты в ситуации win-win» — багхантеры делятся своими находками, лайфхаками и философией «нашел баг — заработал, нашел крит — ушел в отпуск».
🔹 «Круглый стол: как и зачем мы выходили на багбаунти» — о том, как компании решаются сказать хакерам: «Ну давай, попробуй нас взломать».
🔹 «Не только отчеты: как триаж упрощает выход на багбаунти» — о людях, которые превращают хаос найденных уязвимостей в структурированный ад.
🔹 «У вас ограничен бюджет на пентест? Лучше потратить его на Кибериспытания»: если у вас мало денег на пентест, но хочется адреналина, багхантеры всегда найдут ваши слабые места, главное платить им первыми.
🔹 «Пять способов сломать SCADA-систему» — или как промышленные сети не должны работать, если вы за безопасность.
🔹 «Пять шагов к созданию новой отрасли на киберполигоне» — если построить завод в реальности сложно, попробуйте сделать его виртуальную копию, чтобы хакеры смогли ее сломать.
🔹 «Пентест vs багбаунти: что лучше?» — отправили оба метода проверки безопасности на арену. Кто победил? Узнаете в статье.
🔹 «Как это работает: банки, металлургия и цифровые двойники на Standoff» — о том, как защитить виртуальный банк от атаки и обеспечить киберустойчивость реальных бизнес-процессов.
🔹 «Как начать работать с багбаунти: опыт VK» — инструкция по вхождению в багхантерскую тусовку.
🔹 «Играть в потемкинские деревни не было ни смысла, ни желания» — как вендоры выкатывают свой софт на публичный тест, не закрывая глаза и не пряча баги под ковер.
🔹 «Готовим Blue Team с помощью Standoff Cyberbones» — учим синих защищаться, чтобы красные не думали, что можно разгуливать по инфраструктуре и чувствовать себя как дома.
🔹 «Платформа Standoff 365 сегодня» — все, что нужно для специалистов по ИБ: киберполигон, обучение, багбаунти и масштабные зарубы между красными и синими.
🔹«„Не стоит рассчитывать, что если один раз повезло, так будет всегда“: интервью с багхантерами Standoff Bug Bounty» — багхантеры вспоминают, как баги приносили миллионы… и как удача резко заканчивалась.
И вся эта роскошь и другие интересные материалы уже ждут вас на сайте.
Громко заявляем: все выпустили, все выложили, все можно читать. Показываем содержимое журнала, чтобы вы не поленились и заглянули внутрь:
🔹 «Живой трафик vs синтетический трафик: что круче?» — битва века: натурпродукт против лабораторного эксперимента.
🔹 «„Мы хотели погрузиться в атмосферу настоящего сражения“: „Гринатом“ на Standoff 13» — когда ты готовился к кибербитве, но организаторы внезапно усложнили уровень игры.
🔹 «Когда ты белый хакер, ты в ситуации win-win» — багхантеры делятся своими находками, лайфхаками и философией «нашел баг — заработал, нашел крит — ушел в отпуск».
🔹 «Круглый стол: как и зачем мы выходили на багбаунти» — о том, как компании решаются сказать хакерам: «Ну давай, попробуй нас взломать».
🔹 «Не только отчеты: как триаж упрощает выход на багбаунти» — о людях, которые превращают хаос найденных уязвимостей в структурированный ад.
🔹 «У вас ограничен бюджет на пентест? Лучше потратить его на Кибериспытания»: если у вас мало денег на пентест, но хочется адреналина, багхантеры всегда найдут ваши слабые места, главное платить им первыми.
🔹 «Пять способов сломать SCADA-систему» — или как промышленные сети не должны работать, если вы за безопасность.
🔹 «Пять шагов к созданию новой отрасли на киберполигоне» — если построить завод в реальности сложно, попробуйте сделать его виртуальную копию, чтобы хакеры смогли ее сломать.
🔹 «Пентест vs багбаунти: что лучше?» — отправили оба метода проверки безопасности на арену. Кто победил? Узнаете в статье.
🔹 «Как это работает: банки, металлургия и цифровые двойники на Standoff» — о том, как защитить виртуальный банк от атаки и обеспечить киберустойчивость реальных бизнес-процессов.
🔹 «Как начать работать с багбаунти: опыт VK» — инструкция по вхождению в багхантерскую тусовку.
🔹 «Играть в потемкинские деревни не было ни смысла, ни желания» — как вендоры выкатывают свой софт на публичный тест, не закрывая глаза и не пряча баги под ковер.
🔹 «Готовим Blue Team с помощью Standoff Cyberbones» — учим синих защищаться, чтобы красные не думали, что можно разгуливать по инфраструктуре и чувствовать себя как дома.
🔹 «Платформа Standoff 365 сегодня» — все, что нужно для специалистов по ИБ: киберполигон, обучение, багбаунти и масштабные зарубы между красными и синими.
🔹«„Не стоит рассчитывать, что если один раз повезло, так будет всегда“: интервью с багхантерами Standoff Bug Bounty» — багхантеры вспоминают, как баги приносили миллионы… и как удача резко заканчивалась.
И вся эта роскошь и другие интересные материалы уже ждут вас на сайте.
🔥18❤6👍5🥰2
Видеоразбор кейсов с кибербитвы Standoff 14: как хакеры украли учетные данные оператора и превратили краски в проблемы?
Что делать, если предприятие сталкивается со странными сбоями в работе оборудования?
А если компания запускает новый лакокрасочный завод и вкладывает в него кучу денег, но тут — бракованная партия? Клиенты возвращают продукцию, бизнес несет убытки.
🌪 Иногда все это не технические проблемы, а результаты хитрых атак. Ментор Bagley решил оба этих кейса и показал, как атакующие провернули свои операции.
Что же случилось в первом кейсе?
📌 Вредоносное ПО проникло в систему задолго до атаки — оно действовало как кейлоггер и тихо записывало нажатия клавиш операторов.
📌 Через полгода злоумышленники нашли этот «подарок», извлекли из него учетные данные и вошли в критически важные системы.
📌 Атакующие начали манипулировать параметрами оборудования, чуть не спровоцировав аварию.
А во втором?
📌 Хакеры проникли в систему завода и изменили пропорции красок при смешивании.
📌 В итоге краска оказалась не того оттенка, а значит — непригодна для использования.
📌 Никто ничего не подозревал, пока от клиентов не начали сыпаться жалобы.
Смотрите ролик на любой удобной платформе:
📺 YouTube на русском и на английском
📺 Rutube 📺 VK Видео
Это отличный материал для подготовки — изучайте, анализируйте и будьте готовы к новым вызовам!
Что делать, если предприятие сталкивается со странными сбоями в работе оборудования?
А если компания запускает новый лакокрасочный завод и вкладывает в него кучу денег, но тут — бракованная партия? Клиенты возвращают продукцию, бизнес несет убытки.
Что же случилось в первом кейсе?
📌 Вредоносное ПО проникло в систему задолго до атаки — оно действовало как кейлоггер и тихо записывало нажатия клавиш операторов.
📌 Через полгода злоумышленники нашли этот «подарок», извлекли из него учетные данные и вошли в критически важные системы.
📌 Атакующие начали манипулировать параметрами оборудования, чуть не спровоцировав аварию.
А во втором?
📌 Хакеры проникли в систему завода и изменили пропорции красок при смешивании.
📌 В итоге краска оказалась не того оттенка, а значит — непригодна для использования.
📌 Никто ничего не подозревал, пока от клиентов не начали сыпаться жалобы.
Смотрите ролик на любой удобной платформе:
Это отличный материал для подготовки — изучайте, анализируйте и будьте готовы к новым вызовам!
Please open Telegram to view this post
VIEW IN TELEGRAM
👍14🔥7❤5🥰2👎1
Свежие. Реализованные. Твои.
✨ Вы реализовали уже целых 26 недопустимых событий, а значит, унесли с собой 26 млн рублей!
Нет слов, чтобы описать, как мы вами гордимся. Но слов хватает для того, чтобы сообщить: на платформе Standoff Bug Bounty активно еще 46 программ кибериспытаний.
В комментариях — список программ, в которых еще можно сорвать куш (и даже не один!)⤵️
Нет слов, чтобы описать, как мы вами гордимся. Но слов хватает для того, чтобы сообщить: на платформе Standoff Bug Bounty активно еще 46 программ кибериспытаний.
В комментариях — список программ, в которых еще можно сорвать куш (и даже не один!)
Please open Telegram to view this post
VIEW IN TELEGRAM
❤11🥰6🔥5❤🔥2🤮2
Мы продлили срок приема заявок от красных на Standoff 15!
Мы получили очень много ваших заявок на отборочные — и так этому рады, что решили продлить прием до 20 марта.
⚡️ Это тот самый знак для тебя: подавай заявку, пока не поздно!
Напоминаем, что кибербитва пройдет во время фестиваля Positive Hack Days 21–24 мая.
Ждем тебя. Все только начинается🔥
👾 Напоминаем про официальный канал коммуникации о кибербитве Standoff 15!
Отборочные испытания пройдут совсем скоро, со 2 по 6 апреля. В канале можно будет ознакомиться со списками команд, которые прошли на отборочные и которые автоматически попали в финал испытаний.
Там же команды смогут узнать, как участвовать в отборочных, если они сразу попали в финал.
Мы получили очень много ваших заявок на отборочные — и так этому рады, что решили продлить прием до 20 марта.
Напоминаем, что кибербитва пройдет во время фестиваля Positive Hack Days 21–24 мая.
Ждем тебя. Все только начинается
👾 Напоминаем про официальный канал коммуникации о кибербитве Standoff 15!
Отборочные испытания пройдут совсем скоро, со 2 по 6 апреля. В канале можно будет ознакомиться со списками команд, которые прошли на отборочные и которые автоматически попали в финал испытаний.
Там же команды смогут узнать, как участвовать в отборочных, если они сразу попали в финал.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤11👍7🥰7
Опыт компании «Нетрис» на кибербитве Standoff 14
Что будет, если кто-то решит взломать системы, отвечающие за видеонаблюдение?
💡 Компания «Нетрис» решила проверить свой продукт на прочность и отправить видеорегистратор Netris iStream ITX на кибербитву Standoff 14, чтобы выяснить, насколько он устойчив к атакам в реальных условиях.
Система устояла перед прямыми атаками через веб-интерфейс, но человеческий фактор внес коррективы: неизмененные (намеренно) предустановленные пароли и ошибки конфигурации дали атакующим лазейку. А самым слабым звеном стал скомпрометированный SSH-ключ, который позволил хакерам получить доступ к системе.
💬 Вывод: кибербитва — не просто лучший способ проверить свой продукт на стрессоустойчивость, а еще и источник бесценных инсайтов для компании!
Читай полный разбор кейса на Security Lab.
Что будет, если кто-то решит взломать системы, отвечающие за видеонаблюдение?
Система устояла перед прямыми атаками через веб-интерфейс, но человеческий фактор внес коррективы: неизмененные (намеренно) предустановленные пароли и ошибки конфигурации дали атакующим лазейку. А самым слабым звеном стал скомпрометированный SSH-ключ, который позволил хакерам получить доступ к системе.
Читай полный разбор кейса на Security Lab.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9❤4🥰3
Неужели это новые закрытые недопустимые события?
🔥 Ага, это действительно они. И целых 7 из них вы уже реализовали на этой неделе!
Всего на кибериспытаниях Standoff Bug Bounty вы закрыли 33 недопустимых события, и, если переводить в рубли, получили 33 млн рублей.
Такими темпами до шикарного лета и потрясного отпуска рукой подать🎆
Кстати, появилась новая программа! Она скучает по вашим отчетам⤵️
• Мокка
🔥 Ага, это действительно они. И целых 7 из них вы уже реализовали на этой неделе!
Всего на кибериспытаниях Standoff Bug Bounty вы закрыли 33 недопустимых события, и, если переводить в рубли, получили 33 млн рублей.
Такими темпами до шикарного лета и потрясного отпуска рукой подать
Кстати, появилась новая программа! Она скучает по вашим отчетам
• Мокка
Please open Telegram to view this post
VIEW IN TELEGRAM
❤10🔥5🥰3👍2
🔎 Перечисление поддоменов: как расширить поверхность атаки с помощью активных и пассивных методов
Мы решили запустить экспериментальный формат, в котором будем делиться полезными советами от опытных багхантеров — не ежедневно, но регулярно. Начинаем с самой базы — можно унести ее в сохраненки и возвращаться к ней по необходимости. Не забывайте ставить реакции под постом, чтобы мы понимали, был ли материал полезен. А если у вас есть предложения о контенте, не стесняйтесь рассказать об этом в комментариях. Enjoy!
Что делает убитый горем багхантер, который не может найти хоть какую-нибудь зацепку? Правильно — проводит разведку по новой: пассивный и активный поиск поддоменов, брут путей и файлов, использование дорков, исследование используемых в приложении технологий и т. д. Каждая тема здесь достойна отдельного поста, поэтому начнем по порядку с простого — сбора поддоменов.
⭐️ Описанное ниже особенно полезно, когда в скоупе багбаунти-программы есть DNS-записи wildcard (
Итак, основная цель — получить как можно больше активов из багбаунти-программы, чтобы сформировать представление об общей поверхности атаки и о работе инфраструктуры.
➡️ Пассивный сбор поддоменов: вы не взаимодействуете с целевым узлом и получаете информацию из открытых источников (DNS-записи, логи сертификатов SSL и TLS или веб-архивы).
Примеры используемых инструментов:
🟢 Censys, Shodan, SecurityTrails, DNSDumpster и другие онлайн-сервисы.
🟢 Инструменты вроде subfinder, amass или waybackurls, которые сами опросят множество публичных баз данных и выведут результат в удобном для вас формате (останется только добавить API-ключи):
🟢 Google-дорки — это база:
➡️ Активный сбор поддоменов включает поиск любых поддоменов, которые не проиндексированы публично, но активно используются. Разберемся с ключевыми методами:
🟢 Брутфорс DNS — перебор поддоменов по словарю, который должен быть составлен отдельно исходя из полученных в ходе разведки данных. Про общедоступные словари тоже не стоит забывать (SecLists, fuzzdb, Assetnote Wordlists). Важно не останавливаться на доменах 3-го уровня, а искать дальше. В этом поможет инструмент mksub, с помощью которого можно сгенерировать дополнительные вариации поддоменов:
🟢 Фаззинг виртуальных хостов (vhosts), которые имеют тот же IP-адрес, что и другой домен на веб-сервере. Полезные инструменты для работы — ffuf и wfuzz.
🟢 Reverse DNS (rDNS): преобразует IP-адрес в связанное с ним доменное имя. Этот способ особенно полезен при исследовании диапазона целевых IP-адресов. На помощь придут инструменты Linux (dig, host) или общеизвестный dnsx.
➡️ Веб-краулинг с помощью Burp Suite или других инструментов: просто укажите кастомный скоуп, ходите по ссылкам и отслеживайте новые поддомены.
⭐️ Последняя задача — определить активные веб-узлы и избавиться от фолзов. Самый простой способ — использовать httpx или httprobe. Собираем поддомены в отдельный файл и выполняем:
💡 Хотите еще сильнее упростить себе жизнь? Используйте anew для добавления уникальных строк в файл из
P. S. При подготовке вдохновлялись статьей от багбаунти-площадки YesWeHack.
Мы решили запустить экспериментальный формат, в котором будем делиться полезными советами от опытных багхантеров — не ежедневно, но регулярно. Начинаем с самой базы — можно унести ее в сохраненки и возвращаться к ней по необходимости. Не забывайте ставить реакции под постом, чтобы мы понимали, был ли материал полезен. А если у вас есть предложения о контенте, не стесняйтесь рассказать об этом в комментариях. Enjoy!
Что делает убитый горем багхантер, который не может найти хоть какую-нибудь зацепку? Правильно — проводит разведку по новой: пассивный и активный поиск поддоменов, брут путей и файлов, использование дорков, исследование используемых в приложении технологий и т. д. Каждая тема здесь достойна отдельного поста, поэтому начнем по порядку с простого — сбора поддоменов.
⭐️ Описанное ниже особенно полезно, когда в скоупе багбаунти-программы есть DNS-записи wildcard (
*.domain.tld
).Итак, основная цель — получить как можно больше активов из багбаунти-программы, чтобы сформировать представление об общей поверхности атаки и о работе инфраструктуры.
➡️ Пассивный сбор поддоменов: вы не взаимодействуете с целевым узлом и получаете информацию из открытых источников (DNS-записи, логи сертификатов SSL и TLS или веб-архивы).
Примеры используемых инструментов:
🟢 Censys, Shodan, SecurityTrails, DNSDumpster и другие онлайн-сервисы.
🟢 Инструменты вроде subfinder, amass или waybackurls, которые сами опросят множество публичных баз данных и выведут результат в удобном для вас формате (останется только добавить API-ключи):
$ subfinder -d example.com -oJ domains-example.com.json
или
$ amass enum -d example.com -o domains-amass.example.com.txt -timeout 12 -v
🟢 Google-дорки — это база:
site:*.example.com -site:www.example.com
➡️ Активный сбор поддоменов включает поиск любых поддоменов, которые не проиндексированы публично, но активно используются. Разберемся с ключевыми методами:
🟢 Брутфорс DNS — перебор поддоменов по словарю, который должен быть составлен отдельно исходя из полученных в ходе разведки данных. Про общедоступные словари тоже не стоит забывать (SecLists, fuzzdb, Assetnote Wordlists). Важно не останавливаться на доменах 3-го уровня, а искать дальше. В этом поможет инструмент mksub, с помощью которого можно сгенерировать дополнительные вариации поддоменов:
$ gobuster dns -d example.com -w wordlist.txt
$ mksub -d example.com -l 2 -w dns-wordlist.txt
🟢 Фаззинг виртуальных хостов (vhosts), которые имеют тот же IP-адрес, что и другой домен на веб-сервере. Полезные инструменты для работы — ffuf и wfuzz.
$ ffuf -c -r -u 'https://www.example.com/' -H 'Host: FUZZ.example.com' -w dns-wordlist.txt
🟢 Reverse DNS (rDNS): преобразует IP-адрес в связанное с ним доменное имя. Этот способ особенно полезен при исследовании диапазона целевых IP-адресов. На помощь придут инструменты Linux (dig, host) или общеизвестный dnsx.
$ dig -x 8.8.4.4 +short
$ cat ips.txt | dnsx -ptr -resp-only
➡️ Веб-краулинг с помощью Burp Suite или других инструментов: просто укажите кастомный скоуп, ходите по ссылкам и отслеживайте новые поддомены.
.*\.example\.com$
⭐️ Последняя задача — определить активные веб-узлы и избавиться от фолзов. Самый простой способ — использовать httpx или httprobe. Собираем поддомены в отдельный файл и выполняем:
$ cat domains.txt | httpx -o domains-webserver.txt
или
$ cat domains.txt | httprobe >> domains-webserver.txt
💡 Хотите еще сильнее упростить себе жизнь? Используйте anew для добавления уникальных строк в файл из
stdin
. Инструмент выводит новые строки в stdout
, что делает его немного похожим на команду tee -a
.P. S. При подготовке вдохновлялись статьей от багбаунти-площадки YesWeHack.
🔥41👍20❤12🤡6
Сегодня последний день подачи заявок на легендарную кибербитву Standoff!
Если вы хотите попробовать принять участие, но еще не подали заявку — сегодня у вас последний шанс это сделать. Заявиться можно на сайте кибербитвы тут.
Что ждет команды до отборочных испытаний?
❤️ До 31 марта организаторы объявят список команд, которые будут допущены до квалификации.
❤️ Перед началом квалификации пройдет онлайн-встреча с организаторами.
📆 2–6 апреля — квалификация для допущенных команд.
Важно: команды, получившие личное приглашение в финал, могут участвовать в отборочных, но в отдельном зачете без начисления баллов. Это не повлияет на их участие в финале.
📆 10–13 апреля — квалификация для команд, которые автоматически попали в финал.
Что делать сейчас?
❤️ Ждите список команд, допущенных до квалификации, до 31 марта.
❤️ Вся актуальная информация — в канале коммуникации кибербитвы Standoff 15.
Желаем удачи в подготовке и держим кулачки!
Если вы хотите попробовать принять участие, но еще не подали заявку — сегодня у вас последний шанс это сделать. Заявиться можно на сайте кибербитвы тут.
Что ждет команды до отборочных испытаний?
❤️ До 31 марта организаторы объявят список команд, которые будут допущены до квалификации.
❤️ Перед началом квалификации пройдет онлайн-встреча с организаторами.
📆 2–6 апреля — квалификация для допущенных команд.
Важно: команды, получившие личное приглашение в финал, могут участвовать в отборочных, но в отдельном зачете без начисления баллов. Это не повлияет на их участие в финале.
📆 10–13 апреля — квалификация для команд, которые автоматически попали в финал.
Что делать сейчас?
❤️ Ждите список команд, допущенных до квалификации, до 31 марта.
❤️ Вся актуальная информация — в канале коммуникации кибербитвы Standoff 15.
Желаем удачи в подготовке и держим кулачки!
👍11❤4🥰3
Билеты на PHDays Fest уже в продаже!
Хотите увидеть, как кибератаки рушат целые отрасли? Добро пожаловать в зону Standoff на PHDays Fest!
🔹Вас будет ждать обновленный макет виртуального государства F, где можно будет увидеть реальные последствия хакерских атак на различные индустрии — банковский сектор, городскую среду, авиацию, нефтегаз, логистику, энергетику и металлургию.
А главное — теперь все это в обновленной визуализации, которая покажет процессы кибербитвы еще более детально.
🔥 Важно: Standoff пройдет в закрытой части фестиваля, и попасть туда можно будет по билету. По нему вам будут также доступны и все другие зоны киберфестиваля.
Как получить билет? За пожертвование от 1500 рублей в один из благотворительных фондов:
✔️ «Подари жизнь»,
✔️ «Улица Мира»,
✔️ «Старость в радость».
Сделать пожертвование можно на сайте киберфестиваля (для этого нужно создать личный кабинет, выбрав покупку билета в разделе «Форматы участия»).
До встречи 22—24 мая в «Лужниках»!
Все новости киберфестиваля — в канале @PHDays
Хотите увидеть, как кибератаки рушат целые отрасли? Добро пожаловать в зону Standoff на PHDays Fest!
🔹Вас будет ждать обновленный макет виртуального государства F, где можно будет увидеть реальные последствия хакерских атак на различные индустрии — банковский сектор, городскую среду, авиацию, нефтегаз, логистику, энергетику и металлургию.
А главное — теперь все это в обновленной визуализации, которая покажет процессы кибербитвы еще более детально.
Как получить билет? За пожертвование от 1500 рублей в один из благотворительных фондов:
✔️ «Подари жизнь»,
✔️ «Улица Мира»,
✔️ «Старость в радость».
Сделать пожертвование можно на сайте киберфестиваля (для этого нужно создать личный кабинет, выбрав покупку билета в разделе «Форматы участия»).
До встречи 22—24 мая в «Лужниках»!
Все новости киберфестиваля — в канале @PHDays
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9❤5🥰3😱2🔥1🍌1