А так же напоминаем, что в треде водятся не только компутерные безопасники, ну и прочие личности.
Еще раз спрошу, интересны другие варианты ответов. Я закончил учиться на программиста, могу ли потом работать в сфере иб?
да, можешь.
а что про бауманку скажите, вроде и кб есть?
Кем, например?
ОП, сначала создай новый тред с FAQ, а потом уж я этот удалю.
Спасибо, что пишешь.
Спасибо, что пишешь.
Фак бы более объёмный и информативны ибо сюда заглядывают пентестеры и им подобные.
Учусь в магистратуре на специальности техносферная безопасность, пошел потому что получилось поступить на бюджет, а тут степуха 15 косарей, а мне бы столько платили за мою первую юридическую вышку. Правда я без понятия как потом использовать эту вышку может парралельно еще что нибудь учить, чтобы в комплексе по окончанию лучше работу найти?
Хорошо, сегодня вечером доделаю - и создам новый.
Предлагай идеи, няша.
А хотя ладно - посидим в этом треде до бамп-лимита: как раз вместе сделаем нормальный фак для следующего переката.
Да сделай новый, смысл, засрется а потом забьем на это
Сап, анон
Дело в том, что я тока начал постигать сферу иб и хочу каких-нибудь нубовских квестов-задачек по сабжу.
Типа ctf, но для бегиннер-лвла. У анона найдется что-нибудь?
Дело в том, что я тока начал постигать сферу иб и хочу каких-нибудь нубовских квестов-задачек по сабжу.
Типа ctf, но для бегиннер-лвла. У анона найдется что-нибудь?
Анон, я это ты, советую участвовать во всех цтфах, особенно ищи те, где только школьный тимы. Со временем прокачаешься.
Вот, например https://backdoor.sdslabs.co/beginner
Вот ещё, вроде на школьников рассчитано
https://ctftime.org/event/295
https://ctftime.org/event/312
Если ты тотальный нуб, то участие в настоящих CTF тебе не поможет.
Я делал так: После какого-то CTF я брал write-up'ы написанные теми кто решил, и тупо повторял их действия по уже расписанным шагам. C web такое правда нифига не выйдет, но вот реверсинг, крипто, форензику можно офигенно прокачать.
А есть что-нибудь годное почитать про форензику?
Спасибо, анончики, буду пытаться
>Если ты тотальный нуб
Ну, можно сказать и так. Я просто даже хз, какого рода задания могут быть на тех же ctf
Глянул: дохуя всего. Например, скачать mp3 файл и расшифровать его, увидев, что там нужно убрать какие-то определенные шумы, смотреть через такты и увидеть во всем этом еще и определенный алгоритм шифрования. Пиздос короче.
Вот и подумал, что, может, есть какие-то совсем азы, с которых начать и постепенно, постепенно..
На русском есть книга Федотова, но она обзорная.
Я регулярно пью с мужиками из экц и подписан на "эксперт-криминалист"
Ты в гос. структуре трудишься?
Не, я инжинерю на частников. Плюс "менеджером инцидентов" подрабатываю: консультирую в случае пиздеца( фиксация улик, оформление гумаг и тп)
збс, анон
Как прийти к такому же успеху?
Или ты еще не считаешь себя до конца успешным?
Делай добро и бросай его в воду.
Самим собой я не очень доволен.
А так хз. Я всегда людей бесплатно консультировал, набирал знакомства, сам не стеснялся за советом ходить. Качался постоянно.
А потом это потихоньку стало конвертироваться в бабки.
Сейчас на распутье, по всему выходит что нужно ИБ контору свою открывать, но лень и боязно. Такие дела.
Анон, всю жизнь увлекался программированием, плюсами, затем джавой, затем в универе вебом.
Недавно внезапно осознал, что сфера иб охуенна и главное, очень мне интересна. Сложно ли будет перекатиться в квалификации, чтобы заниматься по этой сфере или я уже просрал все полимеры?
бтв, насколько важно в сфере ИБ иметь профильную вышку?
Недавно внезапно осознал, что сфера иб охуенна и главное, очень мне интересна. Сложно ли будет перекатиться в квалификации, чтобы заниматься по этой сфере или я уже просрал все полимеры?
бтв, насколько важно в сфере ИБ иметь профильную вышку?
В прошлых тредах объясняли всё.
Вкратце: если ты хочешь ИБашить веб или безопасностью разработки заниматься то отсутствие вышки не критично.
Кстати интересно было бы спросить у пентестеров,какие уязвимости чаще всего они находят на сайтах
Заебался слайды к PHDays делать. Надеюсь завтра успею доделать.
что у тебя за доклад, няша?
Я как понимаю ты делаешь 5 минутный доклад?
Как тебя узнать на выступлении?
Он будет краснеть и заикаться
По пакету на голове.
Выкатываюсь на мероприятие, завтра будет огонь!
From PT with love! xD
Буду сидеть и деанонить тебя.
Встретимся на площадочке завтра, посоны. Приходить с красной розой.
Кому легче живётся, погромизду или безопаснику? Кто больше получает, у кого больше шанов завести трактор?
>безопасник
>легко жить
kekekekekek
Первому.
Нахуя тогда в безопасники идут, на энтузиазме? Получается и зп небольшая (относительно IT) и ответственность больше, знать надо совсем много
Успеха, лел
Вот тот справа
>погромизду
>легче живется
лол, повеселил шутник
Объясни, я ещче студентота прост
пхп-няше.
Ну ты сейчас, видимо, решаешь, куда податься: в безопасники или программеры, так?
>Кто больше получает, у кого больше шанов завести трактор?
Вот тут сразу нет.
Если ты идешь в данную профессию и тобой в первую очередь движет бабло, то тебе не нужно ни туда, ни туда - потеряешь нервы и, самое ценное, время.
Что еще объяснить? В чем заключается сложность работы программистом?
Продублирую свой вопрос с прошлого треда. Какими стандартами надо пользоваться при написании методик по выявлению инцидентов? Один из анонов говорил про нисты, но какими именно из них?
гуиз, только начинаю свой путь в иб. Хочу податься в вирусную аналитику. Сейчас 1ый курс. Может посоветуете книги\ресурсы\с чего начать учить ассемблер и где его учить? в pr оставили без ответа
> гуиз, только начинаю свой путь в иб. Хочу податься в вирусную аналитику. Сейчас 1ый курс. Может посоветуете книги\ресурсы\с чего начать учить ассемблер и где его учить? в pr оставили без ответа
Хакинг, искусство эксплойта 2 часть. По асму кури wasm.ru
http://www.phdays.ru/press/news/62000/
>НА PHDAYS МОСКОВСКИЙ ДЕСЯТИКЛАССНИК ВЗЛОМАЛ ЭЛЕКТРИЧЕСКУЮ ПОДСТАНЦИЮ НЕБОЛЬШОГО ГОРОДА
Как же у меня горит и как же я завидую.
Пока я в свои 23 только-только узнал, что такое whois и nmap, несовершеннолетние школьники уже во всю идут к успеху.
Пиздец, на что я всрал свои лучшие годы? Как же мне обидно и грустно
>НА PHDAYS МОСКОВСКИЙ ДЕСЯТИКЛАССНИК ВЗЛОМАЛ ЭЛЕКТРИЧЕСКУЮ ПОДСТАНЦИЮ НЕБОЛЬШОГО ГОРОДА
Как же у меня горит и как же я завидую.
Пока я в свои 23 только-только узнал, что такое whois и nmap, несовершеннолетние школьники уже во всю идут к успеху.
Пиздец, на что я всрал свои лучшие годы? Как же мне обидно и грустно
Вообще я связываю это с тем,что нынче программы то уже написаны,сканеры уязвимостей и тд,и поэтому все становится проще,и понимания надо меньше,но хотя может джентльмены которые были на PHD,пояснят это супер талант 1 на миллион,или просто подфартило
Ты не понял, я спрашиваю не с точки зрения денег, а с точки зрения рациональности. Как я понимаю, безопасник должен знать гораздо больше прогромизда (хотя бы все те языки, что он знает). При этом имея гораздо большую ответственность и меньшую зарплату, разве нет? А ведь многие "безопасники" попадают совсем в бумажную поебень.
То есть получается, чтобы достичь успеха в иб надо быть гораздо более талантливым и трудолюбивым, нежели в проганье.
>Как я понимаю, безопасник должен знать гораздо больше прогромизда
Ареал знаний другой.
Программист на Джаве, например, может знать, минимум, еще 3 фреймворка, помимо самой джавы.
>Если ты идешь в данную профессию и тобой в первую очередь движет бабло, то тебе не нужно ни туда, ни туда - потеряешь нервы и, самое ценное, время.
Эх, год назад когда думал, куда поступить мне говорили абсолютно другое
Пошел на безопасность и пожалел?
пока нет, дискретка и основы крипты нравятся то, но как-то перспективы все более туманны полагаю, скачусь в прогера, или не стоит?
Повторюсь, делай то, что интересно.
В универе все равно ничему годному скорее всего не научат (если ты не в топ-вузе), так что в свободное время занимайся тем, что интересно. Но диплом скорее всего у тебя будет с уклоном в безопасность, так что к 3му курсу, если дотянешь, уже неплохо бы иметь представление о грядущей теме.
Судя по тому, что говорят аноны, да, прогером устроиться шансов больше, нежели безопасником. Хотя, может, тебя заинтересует гос.сектор
ну может топ, может не топ но один из основных в дс
а безопасником в банки и подобное как? не в гос секторе
Был на phdays, это постановка.
Подробности?
Школьника не было и это все обман, чтоб набрать классы?
Этим школьником был альберт энштейн.
Спасибо большое, анон
Еще у Юрова годные книги по ассемблеру. Там и практикум и теория, две книги всего.
С книги по хакингу лучше не начинай, ибо хер да нихера поймешь там
Что скажите про программку "Стахановец"? Стоит накатывать? Реквестирую ещё анальных зондов в целях обеспечения безопасности, конечно же.
Хуита этот стакановец.
В топку эти шпиёнские тулзы. Они помогут что-нибудь предотвратить, если только грамотный опер будет их постоянно мониторить
Почему, я вроде открыл заглавие, начинается с "Что такое программирование", циклы описываются, маллоки всякие. Я отучился 1 курс, изучал си 2 семестра, регулярные лабы, написал архиватор Хаффмана. Все равно не пойму ничерта?
Где-то есть запись трансляций с phdays?
Через ~ месяц жди
А за прошлый год имеется?
Уже нашёл, простите ленивого разъебая
Как раз скоротаешь время в ожидании новых, там > 16 часов лекций
Попробуй лучше. Она довольно простым языком написана
http://www.phdays.ru/broadcast/ - религия не позволяет открыть сайт?
Спасибо
анан, у меня такая же проблема. очень хочу, но порог вхождения получается высокий. можем вместе попытаться разобраться.
напиши мне в скупе - AT01001001001110
>http
>форум по ИБэ
Яяясно.
А как именно будем разбираться? Есть еще какие варианты для связи? может, фейкопашка?
Что скажете? Зарплата для моего города хорошая, но есть подозрение, что работа не самая интересная.
Скукота и рутина, но можно подшабашить на всяких юр. лицах, дбошечки и прочие, потом сэмплить токены и выводить миллиончики, лел
написал тебе
Если ты криптограф - то пробуй.
Безопасник-куны, как бы ловили и документировали хакера или кардера?
Не какого-то конкретного, а рандомного для отчетности
Как обойти маскировку ип и остальные способы анонимизации?
Не какого-то конкретного, а рандомного для отчетности
Как обойти маскировку ип и остальные способы анонимизации?
Дзяржы анон, упарывай жопарди задания для начала.
https://hack.me/s/
http://www.enigmagroup.org/
https://www.wechall.net/
https://ringzer0team.com/
Спасибо за ссылки. Нам бы ментора...
Но зачем? Вся инфа доступна и бесплатна!
Try Harder™
Ну хз,вот я например смотрю веб,нужно тренить его уязвимости,потом еще метасплоит,потом линукс,и как пишут эксплоиты,это много инфы так то
С кардерами - берешь дропа вот и палка
С хакирами - ищи эксплоиты или пиши сам.
Например, один посан пару лет назад забацал прогу овнящую комп того, кто к компу по тимвьюеру подключен. Улавливаешь?
Поле непаханное, улыбок тебе.
Ментор сэкономит овердохуя времени. чтобы не заниматься чухней а сразу делать то что надо.
это я так вижу.
по опыту знаю, что когда вкатываешься во что-то не очень знакомое, то на начальном этапе много тратишь время в пустую. это время может сэкономить один разговор с шаряшим человеком. так то.
Анон. Посоветуй что почитать по настройке SIEM систем!
Пиздец! Сначала ты спрашиваешь за ссылки где потренить можно (предполагается что тренишься ты сам и уже __умеешь учиться__), а теперь уже ментора подавай. Не надо так!
Алсо по теме менторства, присоединяйся к школьной команде CTF и упарывай с ними. Или создай свою, донную команду. Это не сложно.
Главное сам осознай чего хочешь получить от неё. Сиемка-то какая?
Одна малоизвестная. Начальника сказал надо сделать чтобы заебись. А там все такое непонятное.
ну
>купил ниссан - ебись с ним сам
могу тебе пару простых тасков подкинуть:
связать СКУД и АД, вычислить активность персонифицированных учёток во время отсутствия на объекте;
связать IP-комп-человек-прикладные системы, вычислить "шаренные" учётки.
типичный специалист по ИБэ
http://www.farpost.ru/vladivostok/job/resume/sistemnyj-administrator-21319072.html
http://www.farpost.ru/vladivostok/job/resume/sistemnyj-administrator-21319072.html
Так если веб смотришь, смотри https://www.owasp.org/index.php/Top_10_2013-Top_10
https://www.owasp.org/index.php/Category:OWASP_Testing_Project
Не распыляйся на всякии инструментраий метасплоиты и прочие, сначала определись с направлением, затем рученками делай узвимые приложение и сайтецы, поими какк все устроено и работает...
Встречный вопрос, зачем ментору уделять время, в треде давно уже расжеванно, читайте архивач среди строк...
From PT
Ментора им, нубы совсем аху....
как не стоит ИБашить
Что ты творишь, содомит, в голос!
From PT,
Анончики, мне больше не у кого спросить, и думаю, лучше всего написать сюда.
Я ещё совсем нюфаня, мамкин ананимус, и недавно перекатился в Linux (Mint). Установил Тор, все работает, збс. Только одна проблема, в шиндовсе я мог через видалию настраивать его (в частности разрешать или запрещать серверный трафик), а сейчас в пакете для линукса я не нашел видалию, и все настройки доступны только в самом браузере в панеле. Но самое главное среди этих настроек нет настроек обмена (только подключение к сети), как в видалии, и соответственно я не знаю, используется ли моя пека как выходная нода или нет, а мне это как бы важно.
Так вот собственно вопрос, как этот обмен в линуксе настроить или может быть можно догрузить видалию?
Я ещё совсем нюфаня, мамкин ананимус, и недавно перекатился в Linux (Mint). Установил Тор, все работает, збс. Только одна проблема, в шиндовсе я мог через видалию настраивать его (в частности разрешать или запрещать серверный трафик), а сейчас в пакете для линукса я не нашел видалию, и все настройки доступны только в самом браузере в панеле. Но самое главное среди этих настроек нет настроек обмена (только подключение к сети), как в видалии, и соответственно я не знаю, используется ли моя пека как выходная нода или нет, а мне это как бы важно.
Так вот собственно вопрос, как этот обмен в линуксе настроить или может быть можно догрузить видалию?
Тебе бы в /crypt по хорошему
О точно, спасибо
Вопрос к пентестерам.
По какому плану проводится анализ защищенности веб-приложения? Есть какой-то набор действий/методология? Или все сводится к ctf-моду?
По какому плану проводится анализ защищенности веб-приложения? Есть какой-то набор действий/методология? Или все сводится к ctf-моду?
Есть белый\серый\черный аудит. В зависимости от того, что открыли для тебя разрабы в веб приложении. Если и правда вопрос к пенетраторам, то видимо ты имеешь ввиду аудит в черную. В таком случае: тычки палкой в небо, разведка, потуги со всяким фуззингом морды веб прилы и если повезет, нахождение чего-нить. Почти цтф мод.
А что подразумевается под белым\серым?
Кто-то хотел пилить faq. Или уже нет?
Интересно именно в рамках черного ящика. Допустим, клиент дал domain.com и сказал - давайте-ка по максимуму разнесите мне его.
Наверняка есть хоть какой-то приближенный набор действий, а-ля, провели разведку, что за веб-сервер, яп итд, потом прогнали акунетикс, потом разобрали его отчет на фолзы, потом уже руками начали трясти функционал.
Хочется какой-нить подробный ответ по алгоритму :3
Белый - есть исходники.
Серый - есть привилегии в системе.
А если пентестеру дали цель,а он на ней нечего не нашел?или такого не может быть и он просто плохо искал?
Сказать "плохо искал" можно только в том случае, если он ничего не нашел в то время как параллельная группа пентестеров, желательно из другой конторы, нашла что - то. Гольцев писал на эту тему в хакере. Анон, лови ссылку https://xakep.ru/2016/02/26/no-guarantee/
Вообще для пентестера важна база и основа, я считаю что данные метологий идут из QA (от англ. quality assurance) — обеспечение качества; для SQA (от англ. software quality assurance) см. Тестирование программного обеспечения. Вообще рекомендую почитать The Art of Software -Testinghttp://eu.wiley.com/WileyCDA/WileyTitle/productCd-1118031962.html , книга написана в 70-х годах, но актуальности не потеряла, а вообще есть отличный Тестирование программного обеспечения. Базовый курс - http://svyatoslav.biz/software_testing_book/ . В данном курсе очень много полезной информаций, например в главе 2.3.4. Классификация по принадлежности к тестированию по ме-
тоду белого и чёрного ящиков, найдешь ответы по действиям и методологий тестирования!
Анон, через месяц получаю диплом по "Организация и технjлология защиты информации".
Как найти работу? Калининград
Как найти работу? Калининград
Пилю жи.
Мимо_оп
Выкатывай альфа версию, оценим или что подправим
Может гуглдок или пастебин запилишь?
Я бы поучаствовал.
Удваиваю, это избавило бы от многих одинаковых вопросов в этом треде.
А что насчет CEH/OSCP/Pentestit(lol) курсов?
Нужно мнение пентестеров и очевидцев.
Нужно мнение пентестеров и очевидцев.
OSCP - только хардкор, остальное можно не рассматривать!
Сап посоны. Кто что слышал по рынку отрыжки иб в виде idm решений?
Анон, эти курсы тебя ничего не дадут если ты сам не хочешь заниматься пентестом или у тебя на работе нету таких задач. Да ты сходишь тебе расскажут очевидные вещи сделаете несколько кейсов и всё. Ты выйдешь с какими-то навыками, но без практики ты это забудешь через полчаса.
Нет искреннего желания или нету задач - ничего у тебя не выйдет. Ты только себя изнасилуешь.
Но. Если ты так уж этого хочешь, то насилуй себя правильно попробуй OSCP. Освой базу сам и попробуй.
двачую OSCP. Pentestit нинужны, потому что они оверпрайс за средний уровень подготовки и судя по программам там по верхам поскребли. СЕН тоже в топку, там ваще ниочем.
Но! Анон, я сразу предостерегу тебя, эти серты нужны только зарубежом, в ру они не котируются или котируются избранными компаниями. В ру зачастую нужна профильная вышка, знания и опыт а не серты... Серт как подтверждение знаний как-то не работает в рашке.
Проблема как раз что курсы ничего не дают, они лишь направляют на нужный вектор, но мне кажется оно того не стоит за такие то суммы.
Вся проблема составить план для обучения. С чего начать и куда двигаться. Вот открываю в список заданий ctf, а там просто из разных направлений(если можно так сказать) задания.
Уважаемый анон, не накидаете план обучения? Сколько бьюсь, нахватал разной инфы по кусочкам, а задания решить не могу даже самые простые. Так как не знаю в какую сторону смотреть. А если это еще и в фак добавить, то тред вообще платиновый будет.
Ну я так понимаю подтягиваешь теорию,решаешь например заданияна root me,паралельно изучаешь гайд от OWASP,а потом пробуешь силы на сайтах где есть программа bug bountyили на рандомных
>> Вся проблема составить план для обучения.
Так возьми и сука сделай! Я в рот топтал такие вопросы. Что ты за анон такой. Пойми, за тебя никто не будет пахать, пока сам не попашешь. Берешь и делаешь. Сначала будет сложно, потом проще. Хочешь найти учителя, пиздуй в вузик.
Там не учат нихуя, к сожалению. Что плохого в том чтобы иметь ментора?
Вон дсеки стажировку открывали. Хули к ним не пошел? Там себе и менторов найденшь
>> Там не учат нихуя, к сожалению.
Поддвачну, но чему-то все же учат. Просто ты не видишь применения этому. Подчастую его и нет, этого примененияв текущих реалиях, но если увидишь его, поймешь зачем тебе это втирают и станет проще учиться. Появится цель что ли.
>> Что плохого в том чтобы иметь ментора?
Плохого нет ничего, просто ты никому не нужен :с
Внимание! Лайфхак!
Зайди на hh.ru или где ты так живёшь. Найди вакансии которые тебе нравятся и посмотри требования.
Далее или выбирай отдельные направление и ищи корреляцию в требованиях или в целом по ИБ выдели требования которые есть в большинстве вакансий.
Освой хотя бы принципы и разберись в терминологии что бы тебя не считали лахом. Потом попробуй что-нибудь сам на домашней пеке. Например настройку ОС, антивирь, файервол. С большего тебе хватит оперсорс решений и триал версий. Методики сам ищи или спроси тут.
Всё если ты разберёшься ты будешь круче чем 80% окружающих тебя спецов.
Далее если ты работаешь уже попробуй разобраться в своей системе что к чему. Что-нибудь там попробуй. Захекай свою фирму. лал.
И конечно же мониторь вакансии там где ты живёшь. Старайся попасть в самое лучшее место с точки зрения серьёзности ИБ. Поработай за еду, научись, а потом сваливай в более лучшее.
Там обычно пишут слишком общие слова, что в резюме, что в вакансиях.
И ещё: имеет смысл смотреть в сторону первого и второго ДС, потому как в остальных городах почти все выкладываемые в открытый доступ вакансии связаны с бумажной безопасностью.
А интересует как раз техническая
Думаю задать вопрос в ИТ треде, но если здесь не взлетит, задам тут.
Дело собственно касается курсов по повышению квалификации в области ЗИ. Гуглил-хуюглил, находил много чего, по просто ебанутейшим ценам которые мне не доступны на данный момент. Да, можно самому заботать часть инфы но всё таки корка о прохождении курсов имеет больший вес чем пиздабольство перед HR-менеджером.
По-этому хочу спросить у вас - Какие курсы вы проходили по ЗИ и еже с ними(интересует больше сетевая тема, нежели всякие тех. примочки для защиты помещений - ЛВС, пентестинг, серверные системы, cisco и т.п.)?
Можете ли посоветовать какие-то проверенные кампании которые преподают эти курсы?
пикрандом
Что за Академия имеется ввиду в шапке? Академия ФСБ?
тебе надо скилы
20 слайд
http://www.slideshare.net/lukatsky/soc-62511226
именно скилы, а не какие-то сцаные курсы типа CEH и прочих
Она самая
А реально ли поступить на ИСКИ, если сдаю не физику, а информатику? На сайте инфы не нашел по этому поводу
ИКСИ*
Возьми Да позвони
Ты либо сейчас окончил 10-й класс, либо должен был медкомиссию проходить еще пару месяцев назад.
В первом треде была ссылка на архив с книжками на яндекс диске, но сейчас она протухла. У кого-нибудь сохранился этот архив?
Если собиратель даст добро, поделюсь актуальной.
А причины не одобрения?
Даю добро.
мимо собиратель
Перезалью сегодня-завтра
Ждем
А что про ECSA скажешь? Если я, скажем, куплю курс на торрентах и буду задрачивать его ради знаний, при этом не сдавая экзамена на сертификат.
Нюфаг в треде. Посните за IDLE сканирование, откуда nmap и прочие вундервафли берут зомби комп? Получается у них есть свои базы заражённых пк? (Может эти пк принадлежат их пользователям и каждый юзер сам того не зная может быть зомби?)
Прошлый архив был в два раза меньше, по-моему.
А статьи Криса Касперски еще актуальны для реверса?
Благодарю, хорошая подборка. Но у меня есть, что к ней добавить.
Ещё неплохо бы собрать в одном месте ссылки на полезные статьи и сайты как на английском, так и на руском языке.
*русском
Время идёт, архив подрастает
добавляй, буду признателен
>http://readmanuals.github.io/
у кого есть возможность, залейте куда нибудь еще, хотя бы временно, оттуда не качает толком ничего
Тролль чтоле?
Чего тебе в разделе idle scan официального мана инфы мало?
Даже не всё а 5 папок
>Лукацкий
Поступает кто в итмо на вечерку в этом году?
Только в мифи
Что нужно знать и какие инструменты выгоднее использовать(одним склмапом, выкачивающим лежалые БД сыт не будешь, полагаю) для нелегальной монетизации данной сферы, господа пентестеры?
че?
Как ворваться в аудит ИБ с нуля?
Меня везде отправляли изучать owasp попутно решая задачки на root-me
Задачки интересные кстати местами, но почти в каждой лезу в подсказки, так как не понимаю куда копать
Добавлю, то что скачал курс пентестит. Он дает общее представление об уязвимостях, не более. Если верить из рекламе то нужно лишь найти себе нечто похожее на лабу с теорией+ задания. Тут один орал, что берешь и делаешь...оно понятно, но это порой получается что ищешь подсказку, а находит ответ, что ну ни разу не интересно так как не сам до этого дошел.
Повторю вопрос про ECSA. А ещё не были упомянуты CCNA/CCNP security.
КНИГИ
Поляков - Безопасность Oracle глазами аудитора: нападение и защита
Paul Wright - Protecting Oracle Database 12c
O'Connor - Violent Python
Seitz - Gray Hat Python
Гифт Джонс - Python в системном администрировании
Василенко О. Н. - Теоретико-числовые алгоритмы в криптографии
ССЫЛКИ
Стандарты:
http://www.pentest-standard.org/index.php/Main_Page
https://www.owasp.org/index.php/Main_Page
https://www.pcisecuritystandards.org/
http://www.cbr.ru/credit/gubzi_docs/st-10-14.pdf
http://www.27000.org/
CTF и прочие хак-тренажёры:
https://ctftime.org/
https://xakep.ru/2015/04/17/exploit-exercises/
https://habrahabr.ru/company/pentestit/blog/261569/
https://stackoff.ru/resursy-dlya-tex-u-kogo-cheshutsya-ruki-i-mozg/
https://github.com/ctfs - райтапы(разбор заданий)
Конференции:
https://defcon.org/
http://blackhat.com/
http://www.phdays.ru/
http://zeronights.org/
https://csaw.engineering.nyu.edu/
http://conference.hitb.org/
http://nullcon.net/website/
http://hack.lu/
http://www.codegate.org/
Блоги:
http://shell-storm.org/ - есть райтапы для CTF и база шеллкодов под разные архитектуры
http://expdev-kiuhnm.rhcloud.com/
http://passing-the-hash.blogspot.ru/
http://raz0r.name/
https://cyberoperations.wordpress.com/
https://www.corelan.be/
Сайты:
http://www.cvedetails.com/
https://www.offensive-security.com/
https://www.exploit-db.com/
http://www.vulnerability-lab.com/
https://xakep.ru/
http://www.securitylab.ru/
https://securelist.ru/ - осторожно, присутствует реклама продуктов лаборатории Касперского
https://forum.antichat.ru/ - в основном ценность имеют старые статьи
https://rdot.org/ - отпочковался от античата, вроде подаёт признаки жизни
https://habrahabr.ru/hub/infosecurity/ - для дополнительного чтения
Интервью:
http://blogerator.ru/page/izvestnyj-programmist-pokonchil-zhizn-samoubijstvom-aaron-shvarc-aaron-swartz-prichina-smerti-podrobnosti-detali-pochemu - несколько видео внутри(Аарон Шварц)
http://blogerator.ru/page/evangelie-ot-myshhha-kris-kasperski-intervju-1 - Крис Касперски
http://blogerator.ru/page/edrian-lamo-hakerskaja-teorija-schastja-intervju - Эдриан Ламо
http://echo.msk.ru/programs/arsenal/1691688-echo/ - Алексей Марков(президент Эшелона)
Курсы:
https://academy.yandex.ru/events/system_administration/kit_2014/
http://ocw.mit.edu/courses/electrical-engineering-and-computer-science/
Интернет вещей:
https://habrahabr.ru/company/intel/blog/187706/ - просто хотел показать, что есть такая операционка. Взлетит или нет - вопрос времени.
https://securelist.ru/analysis/obzor/22001/internet-veshhej-kak-ya-xaknul-svoj-dom/
https://habrahabr.ru/company/pt/blog/275853/
https://securelist.ru/analysis/obzor/27244/uchimsya-zhit-v-internete-veshhej/
Анонимность, анти-анонимность и бэкдоры:
https://forum.antichat.ru/threads/5093/
https://habrahabr.ru/post/191448/
https://habrahabr.ru/post/190396/
https://xakep.ru/2013/10/03/mozhno-li-doveryat-vpn-setyam-svoi-sekrety/
http://javascript.ru/unsorted/id
https://xakep.ru/2015/01/30/user-web-tracking-howto/
https://xakep.ru/2007/12/05/41412/
https://habrahabr.ru/company/neuronspace/blog/264235/
https://habrahabr.ru/company/pt/blog/191384/
http://www.securitylab.ru/analytics/482547.php
http://www.securitylab.ru/analytics/432914.php
http://www.securitylab.ru/contest/437841.php
http://www.securitylab.ru/contest/438339.php
https://xakep.ru/2011/12/26/58104/
https://xakep.ru/2011/03/29/55194/
https://habrahabr.ru/company/neuronspace/blog/254671/
Google hacking:
https://freehacks.ru/showthread.php?t=2428
https://habrahabr.ru/post/283210/
Прочее:
https://learnxinyminutes.com/ - быстрое ознакомление с языком программирования
https://adsecurity.org/
https://securelist.ru/analysis/obzor/27338/russkoyazychnaya-finansovaya-kiberprestupnost-kak-eto-rabotaet/
https://securelist.ru/analysis/obzor/25509/kak-pryachut-eksplojt-paki-vo-flash-obekte/
https://habrahabr.ru/post/134638/ - о возможности проникновения во внутреннюю сеть через роутер
https://habrahabr.ru/company/eset/blog/303086/ - Control-flow Enforcement Technology
http://xakep-archive.ru/xa/118/080/1.htm - TLS(Thread Local Storage)
https://habrahabr.ru/company/mailru/blog/228681/ - вирусы
https://xakep.ru/2008/07/29/44663/ - System Management Mode
https://xakep.ru/2010/05/04/51978/ - System Management Mode
https://xakep.ru/2015/02/24/hack-admin-rules-linux/ - повышение привилегий в Linux
https://xakep.ru/2014/12/24/hack-admin-rules/ - повышение привилегий в Windows
https://forum.antichat.ru/threads/119047/ - Быстрый Blind SQL Injection
https://habrahabr.ru/post/122445/ - SSH
Мог что-то упустить(в первую очередь - ссылки на англоязычные ресурсы), дополняйте.
Красота, не ожидал такого объема, благодарю
бампану, кто возьмется, такой добрый скажу какие папки небходимы
Охуеть, большое спасибо. Тонна нефти тебе
Ещё один курс забыл
https://www.youtube.com/playlist?list=PLrCZzMib1e9qiiSWgZ6pI5HiQzFc4hhdo
По поводу будущего гайда: реквестирую хотя бы пару слов про работу в сфере ИБ по разным направлениям: пентест, антивирусные лаборатории(вроде что-то уже писалось в прошлом треде), персональные данные, генерация ключей в УЦ, ИБшник в не it-конторе(думаю, там может попасться как возня с макулатурой, так и какие-нибудь IPS, SIEM), служба в силовых структурах, банки, etc.
И ещё - есть ли практическая(не бумажная) безопасность за пределами ДС1 и ДС2?
>По поводу будущего гайда: реквестирую хотя бы пару слов про работу в сфере ИБ по разным направлениям: пентест, антивирусные лаборатории(вроде что-то уже писалось в прошлом треде), персональные данные, генерация ключей в УЦ, ИБшник в не it-конторе(думаю, там может попасться как возня с макулатурой, так и какие-нибудь IPS, SIEM), служба в силовых структурах, банки, etc.
Удвою.
Еще немного и будет годова исчерпывающая шапка, не будут плодиться одни и те же вопросы. За одно и может тонуть не будет постоянно.
>И ещё - есть ли практическая(не бумажная) безопасность за пределами ДС1 и ДС2?
Мне кажется, она может быть где угодно, зависит от того, какие у тебя в городе организации и что ты можешь им предложить
https://www.amazon.com/Network-Security-Test-Step-Step/dp/1118987055/ref=pd_rhf_se_p_img_10?ie=UTF8&refRID=2HRN55BYG9HP3GGXJ5H5
https://www.amazon.com/Building-Virtual-Pentesting-Advanced-Penetration/dp/1783284773/ref=sr_1_1?ie=UTF8&qid=1465997244&sr=8-1&keywords=building+pentest+lab
https://www.amazon.com/Hacker-Playbook-Practical-Penetration-Testing/dp/1512214566/ref=sr_1_2?ie=UTF8&qid=1465997361&sr=8-2&keywords=pentest
для начала
https://www.youtube.com/playlist?list=PLsnQYZlxck4YJiJNyhW8mDyV7e39zA5nw
видосы по безопасности от Вектора
Анон, реверс инженегрин относится к ИБ?
Концентрация реально полезной информации минимальна
Шарящий анон, объясни, в чём различия между этими факами:
1)информационно-аналитические системы безопасности
2)информационная безопасность телекоммуникационных систем
3)информационная безопасность автоматизированных систем
4)компьютерная безопасность
1)информационно-аналитические системы безопасности
2)информационная безопасность телекоммуникационных систем
3)информационная безопасность автоматизированных систем
4)компьютерная безопасность
а то
зато в 300 раз выше чем везде
> зато в 300 раз выше чем везде
Ты просто не имеешь искать.
Смотрел я вебинары этого вектора. Особенно доставляют всякие 1,5 часовые записи.
30 минут ответов на банальные вопросы, порой повторяющиеся из записи в запись.
10 минут по теме (вокруг да около)
30 минут ответы на вопросы и болтология
Антохи, можно ли отучиться на ит-безопасника и устроиться работать в силовые структуры, пусть даже и не в какое-нибудь супер кгб а просто в мвд? родственник в органах имеется
Я просто давно мечтал работать в органах правопорядка и люблю компы, умею прогать, вот это все. На 28-ми летнего будут смотреть как на дибила?
Я просто давно мечтал работать в органах правопорядка и люблю компы, умею прогать, вот это все. На 28-ми летнего будут смотреть как на дибила?
Кто что про РУДН может сказать? Именно про информационную безопасность.
Майоров и их лизолюбов здесь не любят. Уходи
Лол, какой из меня майор, я вообще нищий просравший все на свете хуй, недоговноинженер, который раздумывает над стоит ли ему воплощать свои юношеские мечты.
Так как насчет работы в органах после обучения на факультете иб?
21 год могу писать на с++ хелло ворлды. Можно на бешопасноть поступить еще ?
Нет. Поезд ушел когда тебе было 19
Братюнь! Дай я тебя расцелую!
Позвонил в местный ВУЗ в котором есть кафедра ИБ, сказали что с этого года отменили вечернее образование по этой профессии, только дневное. Заочного тоже нет. А дневное я тупо не вытяну по деньгам ибо уже один раз отучился.
Обидно конечно, хоть плачь.
Удачи вам антохи, классная у вас работа.
кун
Обидно конечно, хоть плачь.
Удачи вам антохи, классная у вас работа.
кун
Езжай в дс или дс2, в мифи вообще вечернее стоит 60к в год
Эх, антоха, я ж не сын миллионера чтобы по дс рассекать, были бы деньги понятно бы уехал. Да и кризис этот ебучий, даже хату не могу сдать в своей хохлоперди.
В том вузе в котором есть кафедра иб мне сказали "зав кафедры категорически против вечернего и заочного, мол, это не учеба", я с ней отчасти согласен, но что делать тому у кого нет возможности учиться на дневном. Буду надеяться что в следующем году разрешат вечернее.
я с расчетом что ты туда работать и учиться паоедешь
Ну в ДС/ДС2 и заработаешь на съем хаты в конце концов, совмещая с вечерним/заочным обучением ИБ
Если к администрированию и обеспечению безопасности самого ПАКа УЦ будешь допущен, то не так уж и рутинно это все. В будущем пригодится как хороший пример защищенной системы, если все делать как положено. А с нашими законодателями скучно долго не бывает.
Кто уже перекатился под минсвязь?
С пятого захода только нашел тред - уже испугался, что потерли, лол.
http://www.farpost.ru/vladivostok/job/resume/sistemnyj-administrator-21319072.html
>С января 2008 по февраль 2010
>Администрирование ЛВС (50 рабочих станций, 4 сервера Windows 2000/2003/XP AD, FreeBSD 5.3)
http://www.farpost.ru/vladivostok/job/resume/sistemnyj-administrator-39448048.html
>С сентября 2007 по октябрь 2009
>Администрирование серверов уровня предприятия (Intel; Linux, FreeBSD, Win2003EE – 4 сервера, 160 раб
А также почему-то лишился диплома по специальности. В остальном seems legit.
Ребят, какие вузы в Питере топовые по ИБ?
Понимаю что вопрос не по теме.
Но существует ли психологическая безопасность? Сталкивался кто-нибудь с этим?
Но существует ли психологическая безопасность? Сталкивался кто-нибудь с этим?
Существует, сталкивались.
Психологическая диагностика сотрудников, прогнозирование поведения и межличностных отношений, полиграф, профайлинг, оперативная психология и методики влияния - это самое ходовое.
Вообще там здоровый такой пласт информации, делиться им не любят и не хотят.
ИТМО, Политех, Лэти
А почему?
Литературы не посоветуете? Интересное направление.
Оставь свои контакты, email. Что-нибудь найдется.
Не распространяются потому, что психология человека принципиально не меняется, и методики, работавшие 50 лет назад, живы и сейчас, при попадании в массы неизвестно, кем и как это будет применяться. У специалистов в этой теме и так проблем хватает. С такими подружиться не получилось, но пообщался неплохо и контакт теплый.
И мне кидайте.
>>что психология человека принципиально не меняется, и методики, работавшие 50 лет назад
Чушь.
ну ты хотя бы обоснуй как-то, пример красочный приведи, так ведь совсем не интересно
А чего мне обосновывать? Ты явно не имеешь психолухного образования.
50 лет назад методики. Аха.
ребята не стоит вскрывать эту тему
Вопросы от тольковкатившегося.
Итак стоит вполне логичная задача:
Скачать Kali Linux. Обновить до последней версии. Обновленную сборку запилить на флешку как загрузочную.
Внимание вопрос: как это сделать?
гугл чот нихуя не помог хотя задача вроде как очевидная и должно быть тонна мануалов
Итак стоит вполне логичная задача:
Скачать Kali Linux. Обновить до последней версии. Обновленную сборку запилить на флешку как загрузочную.
Внимание вопрос: как это сделать?
гугл чот нихуя не помог хотя задача вроде как очевидная и должно быть тонна мануалов
А что можете сказать насчет СПбГЭУ?
ой иди нахуй школьник
Потому что в подавляющем большинстве случаев достаточно совместимости по гороскопу, которую в голове прикидывает hr. Ну а службистов своя атмосфера и методички с грифами, а также оперативная работа по субъекту, потому что никакая психология и даже полиграф не даст стопроцентных гарантий чистоты намерений кандидата.
ой, смотрите маленький какир не может в гугл.
Самое любопытное что гуру потешаются но никаких ссылок сами выдать не могут.
Лал.
Как ты байтишь то.Вау
Последняя лаба пентестита(9) не работает или я идиот, у кторого не работает впн на скачанной ихней же сборке ВМ?
И что у тебя не работает?
Понятия не имею, честно. Скриптик подключения к впн говорит ошибка идите в лог, а в логе все хорошо. Ну и сайбер не открывается после добавления в хостст
Ты курсы у них чтоли купил?
Причем тут курсы?
Ебать вы тут развели.
Вкатился. Не знал, что тут есть тред для безопасников.
мимо окончил 1 курс
мимо окончил 1 курс
Проебался. [email protected]
После универа продажником специально работал и удаленил, какой-то социальный скилл прокачал. Потом совсем на удаленку перешел.
Сейчас опять в офис пришлось перекатываться. а я ссусь
Поэтому буду очень благодарен за литературу.
Присутствуют ли здесь иб-шники, работающие в провайдерах и существуют ли такие вообще?
Работаю в мелком. Нет ИБ, есть ад, содомия и алтарь богов хаоса.
Не слышал о таком, как ФИНЭК, ИНЖЭКОН и ВШЭ может выпускать специалистов по ИБ лел ?
Есть, а чо? У нас правда виртуальный оператор связи.
мимопроходивший абитур
В ВШЭ кстати как с направлением КБ? Норм программа или совсем слабо? Готовлюсь к тому, что базу там дадут, а многим вещам придётся обучаться самостоятельно.
На данный момент не знаю в этой сфере ничего практически, кроме примерного понимания того, что меня ждёт в будущем. Базовой логике написания программ на Паскале обучен, лол. Поэтому даже если бы и мог поступить куда-нибудь в МФТИ, этого бы не делал, потому что мне там не место сейчас просто.
Так что прошу просто инфу о направлении в ВШЭ, а не сравнивания её с ультра-топ учебными заведениями.
Расскажи про свою работу, про работу своего отдела, и про то, насколько реально туда попасть с улицы.
Ананасики, расскажите смищные истории как у типичного пролетариата на работе пуканьеры бомбили, когда ограничивали доступ к их любимым сайтикам. Долго они бугуртили?
Азаза, это нам админы как-то доступ к вконтактику и одноклассникам заблочили всей конторе с какого-то перепугу. Через два дня обратно включили. Коллективное негодование вернуло все на свои места. Зачем упускать такой ценный источник информации из виду, все равно с телефонов будут сидеть.
Очевидно, что никак! лел
Спрашивал про ИБ-шников в одном из провайдеров - сказали, что их работа заключается в бумажках и СОРМ.
Какой же пентест ебаный потный пиздец.
Сидишь, тыкаешь пальцем в небо, то поковырял, это поковырял, хуй знает, повезет ли на уязвимость в этот раз. Программист выучил свой язык программирования и сидит надрачивает на него, а пентестер? Он должен знать (или суметь за короткий срок освоить) буквально ВСЕ. Я ебу, просто треш.
Сидишь, тыкаешь пальцем в небо, то поковырял, это поковырял, хуй знает, повезет ли на уязвимость в этот раз. Программист выучил свой язык программирования и сидит надрачивает на него, а пентестер? Он должен знать (или суметь за короткий срок освоить) буквально ВСЕ. Я ебу, просто треш.
Вконтакт и без того не славился своей безопасностью, а теперь с новым дизайном вываливает на каждой странице несколько ворнингов, включающих в себя раскрутку стека.
>Расскажи про свою работу, про работу своего отдела,
Стандартная ибе служба.
Из специфики:
большая часть ИС публичные;
раздутый стек технологий;
тяжёлое легаси.
Отдела нет, я один. На надежных пацанов возложены роли, я присматриваю.
>и про то, насколько реально туда попасть с улицы.
Реально. Пару раз приходили люди почти "с улицы" просились в падаваны за бесплатно, я брал. Один сбежал, испугавшись тягот и лишений. Второй полгода постажировался весьма достойно, после работу нашёл, шнырем в уц.
Провайдерской специфики я не знаю особо. Мне в качестве сюрприза оператор связи достался, при найме не говорили.
Узел связи в эксплуатацию сдали, сорма не потребовалось за счет грамотного выбора аплинка. С проектной документацией знакомые помогли, с сдачей помог препод из вуза.
Теперь только напоминаю бухам слать нулевую платежку в фонд ежеквартально. И в конце года шлю отчет о перспективах. Отчет мне знакомый составляет.
> грамотного выбора аплинка
ростелеком?
Тип того. Три буквы, ну ты понял.
Работа, я так понял, бумажная в основном?
>И ещё - есть ли практическая(не бумажная) безопасность за пределами ДС1 и ДС2?
Даже в Казани нашёл всего 2 вакансии
https://hh.ru/vacancy/17488580
https://hh.ru/vacancy/17488914
В ДС 2 потребность в технарях есть, но не слишком высокая, насколько я понял, причём или в начинающих, или в дохуя опытных с экспертными знаниями сразу в нескольких областях.
Бампану вопрос, тоже интересует
Чем глубже я вникаю в тему тем больше верю в ZOG.
Это нормально?
Это нормально?
Таблетки выпей и вникай дальше.
Нет, совсем наоборот. Пилю мониторинг и играюсь с foss'ами всякими. Меры насаждать пытаюсь, осведомленность поднимаю, политбеседы провожу.
Иногда ревью компонентов, тестирование.
Бумажками в крайних случаях занимаюсь, к счастью, никто не знает, что в них быть должно и не требует особо. Минимум обеспечен, а кропать мертворожденные регламенты смысла нет. Поэтому по многим достигнуто соглашение "делаем если только предписание получим"
Компьютерная безопасность - упор на практику, то есть хакинг, защита от взлома.
ИБАС - аттестация объектов, бумажная безопасность.
Насчёт остального - хз, скорее всего или бумажки, или "поиск жучков".
В МАМИ с безопасностью как? Стоит вообще туда подавать документы?
На слуху у безопасников не варьируется. Если есть возможность иди в нормальный институт. И определись, какой безопасностью тебе хочется заниматься.
Хочется играть с кем-то в ctf вместе, если кто-то хочет еще, го скооперируемся, анончики.
Мыло для связи: [email protected]
Мыло для связи: [email protected]
А у нас в стране как дела с форенсикой?Возможно туда вкатиться?
Спасибо, анон
>Унижаем трукриптодаунов
О, ну хоть кто-то ещё. Отправьте одного в крипт на полставки, плиз.
мимо-проходил
Это тебе я отвечал в прошлом треде ещё в ноябре что ли, лол? (Не в прошлом треде ИБ, в прошлом треде на другом ресурсе).
Смотрю, криптографию ты с тех пор отбросил.
ДИВАНОН!
GroupIB, отдел в ЛК, FSB, oxygen software (mobile devices), passware. Выбирай. Компании и вакансии есть, вкатиться можно, проще, если есть вкаченные знакомые.
Ну а хуле, тред ИБ всё-таки.
В моем городе есть техникум, там есть специальность по ИБ, стоит ли поступать? Это типа как среднее специальное идет. В программировании не шарю, в матеше тоже но есть желание начать изучать, чет мне страшно туда идти, думаю не осилю. Работать хочу каким нибудь сис.админом или чем то таким, нравиться за пк аутировать. Подскажите че нибудь. Сильно не смейтесь, я знаю что я тупой дебил.
Ну а что, среднее специальное с последующим повышением квалификации вполне себе котируется. Если ты из мухосрани и не планируешь становится убер-безопасником, то почему нет? Был бы умным, тогда бы я еще поверил тебе, что ты не осилишь техникум. А так, дерзай, вперед к мечте. Я тоже в свое время мечтал аутировать за пекой и не думал ни о какой ИБ, просто всегда было интереснее как это все работает внутрях, а не фэнтезийные миры игрулек, был уверен, что всегда найду применение полученным знаниям, а потом волею судьбы занесло в ИБ, где весь накопленный с детства бекграунд здорово пригодился.
Двач, я уфимец, есть ли тут поступившие в Уфимский Авиационный на ИБ? Ну или отучившиеся там, вроде вуз не за полную шарагу котируется, хочу вкатиться в тему и стать безопасником, это действительно уберперспективно?
Поделитесь, посоны, доводилось ли кому профессиональный кризис пережить? Посоветуете чего?
А то мне чо то пиздец как всё остопиздело:
В нашей теме восьмой год как.
Умею всякое. Достижения есть определённые, но не то что бы гордость особую вызывали.
Идеалы не предал, вроде, однако, сами понимаете, в иб без компромиссов не бывает. От некоторых компромиссов и полумер на душе муторно месяцами. Короче, сам собой не удовлетворён.
Да и левел выше тридцати расстраивает, чую что мозг деревенеет.
Для прокачки начал погромирование постигать, но понимаю, что прогером профессиональным быть не хочу, слишком однообразная деятельность.
Вот и сегодня, не уснуть, гонял думки всякие. Покодил пару часов, покурил чужой код. Стал искать наболело-тред, не нашёл.
Вот и решил с братушками по цеху печалями поделиться. Только чем лечить их?
А то мне чо то пиздец как всё остопиздело:
В нашей теме восьмой год как.
Умею всякое. Достижения есть определённые, но не то что бы гордость особую вызывали.
Идеалы не предал, вроде, однако, сами понимаете, в иб без компромиссов не бывает. От некоторых компромиссов и полумер на душе муторно месяцами. Короче, сам собой не удовлетворён.
Да и левел выше тридцати расстраивает, чую что мозг деревенеет.
Для прокачки начал погромирование постигать, но понимаю, что прогером профессиональным быть не хочу, слишком однообразная деятельность.
Вот и сегодня, не уснуть, гонял думки всякие. Покодил пару часов, покурил чужой код. Стал искать наболело-тред, не нашёл.
Вот и решил с братушками по цеху печалями поделиться. Только чем лечить их?
Как взломать страницу в вк, посоны?
Читай FAQ, там есть подробный гайд. Удачи!
Безопасники толковые нормально получают, так что можешь параллельно вести какую-либо свою деятельность, лулзов ради. Я бы так поступил.
Становись блогиром.
что нужно что бы уйти в менеджемент ИБ? и еще вопрос, если есть военный билет по здоровью (астма) реально ли попасть на работу ИБ в структуры (ФСО и т д)
Какие есть международные сертификаты по ИЮ, получив которые можно работать за бугром? Кроме CEH и нескольких сертификатов от Cisco ничего не слышал. Есть что-то универсальное самое годное?
ИБ*
слоуфикс
Обьясните что такое ИБ простым языком, и сложная ли специальность
Привет, ибашеры. Такой вопрос: можно ли отслуживши в армии срочно, уйти в безопасники, типа остаться на сверхсрочную, пойти в какой-нибудь военный институт и т.д. Иными словами: есть ли путь из армейки в ИБ?
Есть, оче охуенный
Попробуй в академию, будешь очень ценным спецом
Да не, не сложная, прост сидишь в офисе и пароли для компьютеров придумываешь, а тебе за это 200к платят)
На каком левеле ценности допускают к закладкам в оборудовании и ПО?
Есть ли маза идти в ИБ без блата, без армии, без влипания в органы?
Зарепортил в органы.
на 80-м
Реверсить вражьи железяки конечно, а ты о чем подумал?
А вот этот явно что-то знает.
Зареверсил твоего йобу, нашёл закодированное ЦП, пожаловался.
Как взломать аккаунт впаше?
-->
Закончил очное дневное в этом году (БИТ)
Пиздец не очень уровень
Кто на вечерку в мифи поступает? Что и куда подавать, а то я совсем отупел и ничего найти не могу :c
и не проебал ли время, пока был на практике в другом вузике?
и не проебал ли время, пока был на практике в другом вузике?
И проебал сертификат с баллами егэ - точнее оставил его в вузике, лол.
БЛЯДЬ, ЗАВТРА ПОСЛЕДНИЙ ДЕНЬ НА БЮДЖЕТ. ЯЕБАЛ
Ну ты фартовый.
Хех, так можно из любого набора входных данных сделать ЦП. Откуда брал материал для обучения нейросети?
Выше бл вопрос насчет армии, хотелось бы получить более развернутый ответ. Отслужил, когда вставал на учет в военкомате, разговаривал с военкомом, он узнал что я кампудахтерщик, дал номер один, сказал звонить если хочу служить в фсб. Но наслушавшись как там все устроено, якобы без связей там делать нечего+хуй устроишься, целый год надо ждать звонить не стал. Есть мухосранская вышка по информационным системам.
Надо было когда служил пообщаться с особистом
Продублирую свой пост из pr
Сап. Вопрос по поводу образования. Сразу извиняюсь за сумасбродность и, возможно, наличие бреда.
Пол года назад начал с питонапрочитав, что это годно для новичков. Сейчас понемногу осваиваю фронтенд. И планирую работать в этой сфере.
Но вопрос не совсем про это.
Сейчас остался день, что бы подать документы в ВУЗы. И у нас в холяндии система такая, что подается в эл. виде 15 заявлений, каждому выставляется на выбор приоритет от 1 до 15. И при зачислении на какую-то специальность все заявки с нижним приоритетом аннулируют. То есть выбирать не придется.
Суть вопроса. Есть годный ВУЗ и думаю для подстраховки подать туда кроме уже поданных заявлений на компьютерные науки, компьютерную инженерию и программную инженерию заявку на КИБЕРБЕЗОПАСНОСТЬ.
Собственно кибербезопасность это актуально в СНГ? И смогу ли перекатиться в другую сферуесли не зайдет с теми знаниями, которые нагружу по этой теме?
Сап. Вопрос по поводу образования. Сразу извиняюсь за сумасбродность и, возможно, наличие бреда.
Пол года назад начал с питонапрочитав, что это годно для новичков. Сейчас понемногу осваиваю фронтенд. И планирую работать в этой сфере.
Но вопрос не совсем про это.
Сейчас остался день, что бы подать документы в ВУЗы. И у нас в холяндии система такая, что подается в эл. виде 15 заявлений, каждому выставляется на выбор приоритет от 1 до 15. И при зачислении на какую-то специальность все заявки с нижним приоритетом аннулируют. То есть выбирать не придется.
Суть вопроса. Есть годный ВУЗ и думаю для подстраховки подать туда кроме уже поданных заявлений на компьютерные науки, компьютерную инженерию и программную инженерию заявку на КИБЕРБЕЗОПАСНОСТЬ.
Собственно кибербезопасность это актуально в СНГ? И смогу ли перекатиться в другую сферуесли не зайдет с теми знаниями, которые нагружу по этой теме?
Ананасы,а вы можете помочь с резюме?что нужно туда писать?насколько подробно?
Кинь мейл в тред, могу помочь с редактированием, покритиковать
Да его и нет,мне в общих концепциях,что лучше писать,а что нет
Ну, это зависит от твоих целей.
Сходи на хх почитай тамошние публичные резюме, поймешь как не надо писать
А чем они плохи?
Кинь примеры хороших по-твоему
Ну поскольку у меня нет опыта их написания,то я скажу ,что все выглядят неплохо,ну например https://hh.ru/resume/b18637b000021407770039ed1f6b4854535a73
Так ни о чем ведь. Некий краснодипломник, два месяца в эшелоне.
Что знает и что умеет по такой писульке не понять.
Прочитав такое даже на знакомство с эйчаром не стал бы рекомендовать.
Ну ладно ,а если я угораю по веб безопасности,и напишу,вот сайты,я на них тренировался,ctf решал,или это не то?нужно писать умею в xss.sql и тд?
Судя по всему опять тот же самый инструментарий выплыл, о котором известно уже много лет. Очередное подтверждение бессилия антивирусов против фалломорфирующих закриптованных вредоносных программ.
а что за инструментарий????
http://www.kaspersky.ru/about/news/virus/2015/Moshhnee-Stuxnet-i-Flame
> Кроме того, «Лаборатория Касперского» установила, что Equation Group взаимодействовала с другими кибергруппировками, в частности с организаторами нашумевших кампаний Stuxnet и Flame.
Думаю, все понимают, как именно они взаимодействовали и кем при этом курировались. Не так уж важно, как назовут очередную засветившуюся версию, важно, что разработка этого добра ни в коем случае не остановится.
Какие политики ИБ наиболее распространены? лол они вообще кем-либо применяются?
ОП - студент которому бомбануло от криптографии? :3
Запретить все,что не разрешено.
TmlldC4gTmUgYm9tYmFudWxvLg==
m4mku 7v0u 3b4l kl0v4n)))
110100011000000111010000101100001101000110000001110100001011000011010000101110010010000011010000101110111101000010110000110100001011101111010000101110101101000010110000
>Base64
>Криптография
Ты ведь отдаешь себе отчет в том, что зашифрованное сообщение ты бы не прочитал?
> Москва, 2 августа 2016 года. — Министерство связи и массовых коммуникаций сообщает о том, что Государственный фонд «Росинфокоминвест» заключил первое инвестиционное соглашение с компанией «Крибрум», занимающейся мониторингом и анализом социальных медиа. В соответствии с подписанным соглашением общая сумма сделки составила 348,7 млн рублей. Инвестиции фонда составят 150 млн рублей.
> Первая инвестиционная сделка состоялась в рамках обновленной стратегии, которая была принята Минкомсвязью России и Советом директоров фонда в 2015 году.
> Крибрум собирает упоминания объекта (компания, персона, продукт компании) из русскоязычных ресурсов Интернета: социальных сетей, онлайн-СМИ, блогов, тематических и региональных форумов и других ресурсов. После этого система автоматически определяет эмоциональную окраску высказываний и распределяет публикации по тегам и категориям.
FOÅzÏóè(¿±U×+^ÄîѦ
Кто как считает, почему не получается обменять Ярошенко?
Закончил вуз в этом году, два диплома. Первый - Инженер микроэлектронщик. Второй - специалист по защите информации. По первому нет желания страдать хуитой на заводе без возможности даже в перспективе получать нормальные деньги. По второму чувствую явную недодачу знаний в плане ЯП, SQL и т.п. Т.е. было дохуя воды и очень мало полезного с практической точки зрения. На хх отклики шлют нахуй, хотя резюме вроде не из дермовейших. Изи бы доучился всему, что надо для работы, легко обучаем, но с работой беда
Я бы тоже такого мудака как ты на работу не взял.
Участвует ли кто в онлаен стажировке от POSITIVE TECHNOLOGIES? И если тут есть чувак относящийся к организации сего непотребства - высылай ссыль на второй вебинар УЖОПЯТНИЦА.
Нади знакомого,который тебя возьмёт работать за еду.
В итоге будешь спецом с опытом.
Есть такое.
Можете ссылками поделиться, которые в первом уроке фигурировали.
Въебинар толком не работал по причине десктопных линуксов. Второй попробую на андройде смотреть.
Я участвую. Ссылок тоже нету. Может он следующую пятницу имел ввиду?
Тащемто как то то ли касячно началось все то ли впопыхах делали. Мне больше всего понравилось "искать флаг на сайте", пришлось даже на скаеп писать что вообще имели ввиду. Хорошо что потом задание на поиск дирректории исправили.
Ты как будто не можешь найти 6 однотипных записей в этом убожестве с открытым листингом, безопасничек.
Ну не на айпишнике, а на румынском говне.
Он же специально дорки упоминал: site: румынское говно ._.
конфа безопасников и разработчиков http://upl.pp.ua/F5gm1
Госпадзе как ты найдешь на настоящем сайте пассивно ключ который можно запихнуть куда угодно. Поэтому и исправили на то что надо найди его домашнюю дирректорию.
То что на http://138.68.20.158/ полазить и 32значные ключи найти я с этим справился.
Тащемто и его уже перелопатили.
Может мы из разных вселенных, но задание изначально "найти директорию".
>задание изначально "найти директорию".
Вроде сразу после лекции было про ключ, хотя может и недосып меня ебет.
Кто сайт тренировочный перелопатил, а то там и битрикс уже в роботсе появился и заглушку поставили?
https://docs.google.com/forms/d/e/1FAIpQLScrAOCSQc08o8tWaSmQj0boS6pCENtZ-6vP90vuGeuLW4YIig/viewform?c=0&w=1 домашка
На андроиде норм идёт, но чатик я не смог найти
МУЖИЧКИ, ОНИ ОБЬЯВИЛИСЬ!
Теперь по поводу самих заданий:
мы действительно поторопились и не отключили индексирование директорий, поэтому мы обновили задания на сайте http://138.68.20.158/
Ищите флаги на веб-сервере заново! Срок выполнения - до следующей пятницы (12.08.2016)
Хотелось бы заметить, что для удобства мы сделали флаги в формате FLAG_{FLAG_NO}_{FLAG_MD5_STRING}
Форма ответов старая, просто вводите новые ответы: https://goo.gl/forms/EqpM9428oYGoYig32 (указывайте ваш email для того чтобы мы смогли вас опознать)
И да еще: тем, кто не выполнит ни одно из заданий из каждого блоков 1, 2 и 3 к концу следующей недели, инвайты на следующие занятия не будут присылаться.
Теперь по поводу самих заданий:
мы действительно поторопились и не отключили индексирование директорий, поэтому мы обновили задания на сайте http://138.68.20.158/
Ищите флаги на веб-сервере заново! Срок выполнения - до следующей пятницы (12.08.2016)
Хотелось бы заметить, что для удобства мы сделали флаги в формате FLAG_{FLAG_NO}_{FLAG_MD5_STRING}
Форма ответов старая, просто вводите новые ответы: https://goo.gl/forms/EqpM9428oYGoYig32 (указывайте ваш email для того чтобы мы смогли вас опознать)
И да еще: тем, кто не выполнит ни одно из заданий из каждого блоков 1, 2 и 3 к концу следующей недели, инвайты на следующие занятия не будут присылаться.
Ссылка на видеозапись предыдущей лекции: https://attendee.gotowebinar.com/register/4305597750706272259
Ссылка на тулу из статьи: http://pastebin.com/KgXHZ558
Домашку по скл и ксс дадут после лекций или что за блоки 1-2-3?
Блоки - домашки. Выполнеяшь хотя бы по одному заданию из каждой домашки - шлют ивайт на 4й вебинар. Вроде все так.
Значит после лекций, полагаю. А что на этом сайте-то искать сейчас? Там же хеллоуворд и роботс.тхт - все остальное к хуям выпилено
Как взломать что либо, самое простое, чтобы почувствовать себя кулхацкером?
Мохнатый сейф?
анус себе взломай
Вместо шутеек, дали бы сайт с пентестингом, ибешники фуевы.
Я не ибешник, я просто прогуливался и решил тебе ответить.
всё разжёвано неоднократно, в том числе и в этих тредах. без умения искать и анализировать информацию ни хакиром, ни защитнегом годным не станешь
щас сайт работает или в дауне?
It's not just you! http://138.68.20.158 looks down from here.
4 флага нашел тупым перебором директорий в 500 потоков, наверное такие как я его и положили
Тоже дотиров презираешь?)
Безопасники, поступил в МухГУ на "информационно-аналитические системы безопасности". Совсем мимо?
Та не, щас под пивко интернейшенол буду смотреть. За Иришку обидно прост)
Первая домашка
неправославный зип
неправославный зип
Выебнуться не удалось
/home/atelieru/public_html/actoriedefilm.ro/
FLAG_1_56d765ba29ad3ea2f110e41e65c58463
FLAG_2_a0c307402c32aa90b0f003ff78d860ad
FLAG_3_78b5d85ebc6094fafacacdf3b58d6ec5
FLAG_4_437df86b4d3e70eee558e27ad306a139
FLAG_5_79a785dd748564b3a043c627ce489b06
FLAG_6_0d6d845a3e6bdba1bb03881988187ea2
4 и 5 флаги где достал?
5 - backup.zip
4 - http://dev.1c-bitrix.ru/learning/course/?COURSE_ID=43&LESSON_ID=2287
/bitrix/php_interface/
руками нашел?
dirb например по кастомному словарю почему то не отобразил
5 нашёл, переслушивая видео с паузами и попытками применять всё что упоминалось
4 по подсказкам в телеграмме пошёл читать про битрикс
походу я лопух. Сейчас еще раз запустил поиск файлов и директорий и норм...видимо сервак валялся когда первый раз искал( ладно спасибо за инфу, надо тоже на телеграм писануться
Может в другом месте спойлерить?
К бекапам всегда внимательно относитесь, посоны. Туда частенько закрытые ключи утекают :3
Может зря ты так?
как нашел 6??
1 и 6, остальные нашел...
как 2,3.: нашёл???
Гуру, помогите школьнегу плз!
напишите плз хинт на 1 флаг. чтоб ваще для нуба хрен с ней со стажировкой - знаний ищу!
по первому флагу смотри в сторону домашнего каталога и стандартных функций создаваемых админом при развертывании LAMP
а шестой как достать? собственно, тупняк с первым и шестым
Вопрос про скули: первое ж задание это <spoiler>ERROR BASED</spoiler>? И вот это SELECT command denied to user 'newuser'@'localhost' for table 'tables' можно ли обойти?
Учусь на программиста, хочу работать программистом, но также хотелось бы вкатиться информационную безопасность(не для того чтобы работать, а просто самому довольно интересно это направление) пока еще ничего не гуглил, решил для начала спросить здесь с чего лучше начать?
З.Ы. Вуз не предлагать
З.Ы. Вуз не предлагать
>Учусь на программиста
Прокекал
ИБуны, вечный срачный вопрос
беспека vs админы: ваши варианты оптимального взаимодействия; 2in1 беспечный админ(анукей) - зашквар?
беспека vs админы: ваши варианты оптимального взаимодействия; 2in1 беспечный админ(анукей) - зашквар?
Мужички второе и третье задание по скулям блайнды же? И как в четвертом обойти фильтр символов? подскажите позязя.
Или в четвертов WAF вообще?
Еще даже не делал, но фильтр обходятся обфусикацией ввода, очевидно же htmlencode и прочая лабуда.
Кстати зря заморачиваешся, если в твоей инъекции выцепишь version(), то это уже зачтется.
Сап, воркач
Рассматриваю вариант вкатиться в Позитив джуниор малварь аналистом. Какие зарплаты сейчас у реверс инженеров? Какие ещё есть топ-работодатели в РФ кроме Каспера и Dr.Web, на кого ориентироваться?
Рассматриваю вариант вкатиться в Позитив джуниор малварь аналистом. Какие зарплаты сейчас у реверс инженеров? Какие ещё есть топ-работодатели в РФ кроме Каспера и Dr.Web, на кого ориентироваться?
лол. Параша полная. Подобный вопрос задал себе в 2007 году и увидев вакансии и оплату перекатился в погроммисты. В рашке эта тема мертва, крис касперски писал, что в москве работу найти не мог по специальности реверс-инжиниринг вообще, а программистом не брали, т.к. на собеседованиях показывал слабое знание задач про гномиков, если бы в сша не улете вообще бы пишет голодал сидел в прямом смысле
Что с ним сейчас, кстати? Последнее, что мне известно - это "приближающийся конец" и "вещества".
Все в порядке у него.
Хм, Каспер предлагает КОНКУРЕНТНУЮ ЗАРАОТНУЮ ПЛАТУХ, если через SafeBoard вкатываться, а у них три антивирусные лаборатории по всему миру, не станут же они в России платить сильно меньше, потому что ты русня
Сап, ИБуны
Если в моём вузике по иб программе дохуя околофизики и электротехники - имеет смысл задрачивать, или это нихуя не ценится?
Если в моём вузике по иб программе дохуя околофизики и электротехники - имеет смысл задрачивать, или это нихуя не ценится?
Если информационная безопасность, то да, если компьютерная- нет.
>безопасность компьютерная
No such thing.
> И как в четвертом обойти фильтр символов?
ПрОщЕ%09(Пр)ОсТоГ"о.
Сам хочу туда же вкотится, но реально все вакансии забиты, работы фактически нету. Так что иного выбора не вижу как корвырятся дальше, особо не надеясь на работку в специальности, а деньги зарабатывать сторожеим. Тоже ведь безопасность
Запасной вариант - идти работать админом или программером. Москва не резиновая, на всех желающих работы, связанной с практической безопасностью, может и не хватить.
5 из 7 векторов нашёл склмап во 2 домашке - не смог 4 и 5. Это успех или ручками действительно проще крутить?
В каспере зп можно назвать средней максимум, но у них заебатый соцпакет. В сейфборд лучше не идти вообще, если не студент, 2 года проёба + у стажёров зп как раз нищенская и того самого соцпакета нет.
Господа, подскажите, что перспективнее - есть два предложения: одно завязано на инфаструктуру cheсkpoint, другое - работа с siem. С Siem системами никогда не сталкивался, с чекпоинтом тоже но работал где-то рядом.
Не сть два путя: первый быстро осваиваеш сием и вкатываешься, второй вкатываешься дальше в чекпоинт.
вопрос не в том, какое проще освоить, а в том, что перспективнее в разрезе будущего развития и поиска работы через 2-3 года
Мужички, я с вопросом про домашку. А именно про токены в cssi: я туп даже для копипасты с сайта разора. Помогите с подсказками, или напишите код решения после дедлайна домашки, если конечно это сделал кто-нибудь.
А вот и слили часть http://xorcat.net/2016/08/16/equationgroup-tool-leak-extrabacon-demo/
free-архив зашифрован gpg с паролем theequationgroup
Благочестивые сэры хэкры, какую математику вам дают в вузика? Соблаговолите ответствовать
Открой вступительные в аспирантуру по специальности и получишь прогграмму и полный список учебников.
http://ipk.mtuci2.ru/ru/fpkp/vvom_ibasu.php
Анон, что скажешь? Полное говно или сойдёт с гуманитарным специалитетом, 3 годами быдлокодерства и желанием вкатиться?
Анон, что скажешь? Полное говно или сойдёт с гуманитарным специалитетом, 3 годами быдлокодерства и желанием вкатиться?
>доцент С.Д. Ерохин
Значит точно надо идти!
Господа, помогите ньюфане. Все наверняка знают сервис по вытаскиванию айпишника через логин скайпа (кстати не подскажите как это происходит?), возможен ли обратны процесс- достать логин скайпа через известный айпи?
Если работаешь, то заебёшься среди недели на занятия ездить вечером после работы.
Там суббота и один вечер в будний, норм.
Ты это я, бро. Я вот такое себе хобби нашел - математику. Уже год вкатываюсь и начало неиллюзорно доставлять. По сравнению с школьными временами - небо и земля.
Хуевую. Лучше сам. Дискретка, матлогика, линейка, тервер, крипта. Самый минимум. А в вузиках дают матешу 30-40-х.
В моём городе пройдёт Код ИБ. По закону подлости это будет в рабочий день.
Какого числа? :3
Насоветуйте софт для автоматизации поиска уязвимостей в вебе. Надоело руками писать запросы для крека всяких головоломок для пентеста.
Соц. пакет уже не заебатый. Вполне себе обычный.
Мимо из Каспера
В моём вузике была на уровне 80, а для студентов кафедры и на уровне нулевых.
хуй знает. Учился, как в Бауманке, так и в МИФИ. До сих пор у тамошних маткафедр потолок - интегральное исчисление. Теоретический уровень математики в той же криптографии - безбожно низок. Сраный Шнайер, как и Венбо Мао и то больше знаний дадут.
Я бы сием посоветовал. Покуда к ней системы коннектить будешь прокачаешься по многим продуктам.
Делает еще кто домашки по вебинарам или слились уже?
Ты разобрался с ХХЕ? Спойлерни решение 1го таска :3
Сделал первые три пока что. Хотя третью по ксс нихуя не сделал, а скопировал потому что дегрод
Бля, я про нулевой имел ввиду, там где через <root>. Там нужен сервер с файлом и для респонса штоле? Ну или что я не то делаю тут.
<?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE root [
<!ENTITY xxe PUBLIC "any" "/etc/flag">
]>
<root>
<value>&xxe;</value>
</root>
Вообщем, если не трудно, обьясни ну или спойлерни позязя :3.
АНОНЧИК ВЫРУЧАЙ. Я уже плачу как сучка, все домашки норм делал, но не могу в
ххе. Вылетать очень обидно же.
passwd и issue вывести могу, а с флагом - пиздос какой та. Что я упускаю ?
а вообще в пизду все - скинь просто флаги,если не жалко
ххе. Вылетать очень обидно же.
passwd и issue вывести могу, а с флагом - пиздос какой та. Что я упускаю ?
а вообще в пизду все - скинь просто флаги,если не жалко
Посоветуйте аппаратный фаервол для дома. Думал об ASA 5505, но увидел цену на IPS модуль и прифигел, а 5506-Х не имеет L2 портов и без POE.
Олсо кто-нибудь тут пентестингом занимается? Реально ли сисадмину/сетевику влиться в тему или без опыта/образования шансов на трудоустройство нет?
Олсо кто-нибудь тут пентестингом занимается? Реально ли сисадмину/сетевику влиться в тему или без опыта/образования шансов на трудоустройство нет?
для дома хватит микротика
Как насчёт эмуляторов? Хотя, в эмуляторы firepower вроде как до сих пор не завезли.
Я ж сказал +комменты
Там в файле >_<, либо энкодь содержимое, либо в cdata клади.
И свой сервер не нужен.
Для следующего здания достаточно pastebin+requestb.in+статья, которую я выше кинул.
я про нулевой таск гдн надо root пихать
Вся нужная тебе инфа для нулевого и первого таска есть в комментах к статье и в самой статье соответственно.
> в комментах к статье и в самой статье соответственно.
БАЖАЧКИ ДА Я Б ТЕБЯ РАСЦЕЛОВАЛ!!!
СЕЙЧАС СЕЛ ОСМЫСЛИЛ И СДЕЛАЛ ФЛАЖОК НУЛЕВОЙ. БЛЯЯЯЯЯЯЯЯ ВЕЧЕРОМ СКИНУ ФОТАЧКУ ШЛЮХИ РАЗВЕДЕННОЙ НА ФОТАЧКИ СПАСИБО ТЕБЕ ХОСПАДЕ АНОНЧИК!!
А тред-то разросся, аж до 4-го, уже FAQ-ом обзавелся!
Похоже надо идти за пивом и запланировать часик на чтение.
Какой настрой, воины, мы еще кому-то нужны?
Организационные студентопроблемы рот топтал, вы че тут разнылись, школьники, давайте по теме треда, да?
Похоже надо идти за пивом и запланировать часик на чтение.
Какой настрой, воины, мы еще кому-то нужны?
Организационные студентопроблемы рот топтал, вы че тут разнылись, школьники, давайте по теме треда, да?
Со вторым пока мучался, обращаться к реквестбину смог через пастбин, но с выводом данных пока мучаюсь, там тоже энкодить надо? Последний флаг же ищется сканом портов? Ооох успеть бы доделать.
скиньте второй и третий флаг пожалуйста, госпадзе какое я ничтожество же.
скиньте второй и третий флаг пожалуйста, госпадзе какое я ничтожество же.
Не хватит. У меня белый IP адрес и, скажем, веб-сервис в интернет. Нужно на лету распознавать типичные паттерны атак и пресекать подобную активность для адресов с которых шла атака, при этом сервис для этих адресов надо продолжать предоставлять. Возможно, конечно, я чего-то не знаю про микротики? Они делают приличные аппаратные средства защиты?
А зачем мне виртуализация? Поиграться я всегда в UNL могу, а реальную задачу то как в виртуальной среде решать?
>Далее или выбирай отдельные направление и ищи корреляцию в требованиях или в целом по ИБ выдели требования которые есть в большинстве вакансий.
>Освой хотя бы принципы и разберись в терминологии что бы тебя не считали лахом. Потом попробуй что-нибудь сам на домашней пеке. Например настройку ОС, антивирь, файервол. С большего тебе хватит оперсорс решений и триал версий. Методики сам ищи или спроси тут.
Вот есть вакансия сис. адм.
>Должностные обязанности: Разработка планов по обеспечению безопасности компьютерных файлов от случайного или несанкционированного изменения,
И аналогичная вакансия.
Должностные обязанности: Согласно должностным обязанностям, знание действующего законодательства.
Смотря на такие требования что может быть на месте?
Первый раз иду устраиваться на работу, хочу по специальности.
Но за 4 года так и не понял чем заниматься после >пикрл.
Если есть знающие люди подскажите.
>>Далее
>>Освой
Забыл написать.
Очевидно - смысл осваивать что-то новое есть, но, на всех работах, в большинстве своём требуют опыт, где его взять если за 4 года ничему не научился?
>где его взять если за 4 года ничему не научился
во-первых - учи себя.
во-вторых - тебя и не должны были учить. задача препода -преподать, а как ты это усвоишь и применишь - дело твоё.
Тут кто-то хотел в мифи поступить на вечерку, как успехи?
нет, так микротик не умеет, это просто фаервол, а тебе нужна комплексная ids/ips система, я б на твоем месте поставил коробочное решение и не ипал себе мозг.
Куд можно пойти с этим дипломом в мухосранске?
В бургеркинг
Охранником? Тоже ведь безопасность.
Не трави душу
Безопаснички, сможете защитить мой анус?
Конечно. Модель угроз какая?
Кочегар мохнатой топки выехал для проведения оценки защищённости. Оценка защищённости будет реализована посредством тестирования на проникновение.
у нас появилась конфа безопасников http://l--l.xyz/ipppz
Там новая кали вышла
Я из лесу вышел и снова зашел
Поясните за информационную безопасность.
У самого за плечами 5 лет в сетевой сфере, но заебало, сейчас учусь в вузике по телекоммуникациям, но на магистратуру есть выбор - либо дальше по ним же, либо информационная безопасность.
Чем вы вообще занимаетесь? Гуглил вакансии, некоторым надо специалист в ассемблере и яве, некоторым просто настройка разных фаерволлов и куча всяких сертификатов ИСО и прочих.
Без знаний программирования чето можно в этой сфере делать?
>учусь в вузике по телекоммуникациям
ВМКСиС?
>есть выбор
в этом треде тебе только ИБе посоветуют. пробуй на иб, нафига тебе две бумаги по одному профилю
>Чем вы вообще занимаетесь?
Кто как. Зависит от масштаба конторы. Сингл-ибешнику приходиться всем по чуть-чуть заниматься.
Я вот вовсе человек-СБ в конторе в 200 сотрудников. Решаю все вопросы, которые гендир поручает, большинство непрофильные.
>Гуглил вакансии
Ты представляешь примерно сколько специализаций в ИТ? Вот почти столько же в ИБ
Програмирование нужно знать если безопасность разработки обеспечиваешь.
Из сетевиков/сисадминов неплохие спецы по безопасности эксплутации получаются.
В принципе, экспертный уровень в какой-либо области поможет тебе стать неплохим спецом по ибе этой области. Я вот до ибе одминил около десяти лет, теперь одмины меня наебать могут только с большим трудом.
Есть ещё большая сфера бумаги/режим/аудит, но тут нужно любить и знать стандарты, и уметь генерить годные бумаги в большом объёме.
Спрашивай ещё, если чо.
> ВМКСиС?
Нет, я не с рашки даже
> Из сетевиков/сисадминов неплохие спецы по безопасности эксплутации получаются.
Буду тогда двигаться в сторону JNCIS-SEC, все равно работа оплачивает, и попробую какие-то ISO изучить которые в вакансиях видел.
Благодарю за ответы.
>не с рашки
это специальность а не вуз, если чо
>JNCIS-SEC
я не знаю линейки можжевельника, но там наверняка какой-нибудь ngfw/l7/dpi есть. Если вы джунипёр юзаете, то запроси у дистриба демки или демо-девайс, разверни стенд, потести. заценишь чем секурити-сетевики занимаются
>попробую какие-то ISO
а вот этого я бы не советовал, взрослые стандарты плохо заходят без подготовки. Начни с учебника по теории иб, или чего -подобного.
рискну предположить, что если ты сетевик, то наверное ориентация более практическая, чем бумажная. возьми какой-нибудь практический стандарт, типа critical security controls, и прикинь, что из этого уже можешь сделать, что интересно было бы реализовать. Большую часть, худо-бедно можно закрыть всяким FOSS'ом, поэтому если прыщей не боишься, то поле для развития огромное.
>не с рашки
у вас же наверняяка национальные ибе стандарты есть, покури их.
> это специальность а не вуз, если чо
Лол, ну я специальность не помню, знаю там точно есть слово телекоммуникации, езжу туда 2 раза в год на сессию только чтобы получить корочку, вот.
> Начни с учебника по теории иб
> critical security controls
Вот это годно, спасибо еще раз.
Анон, а что плохого в ВМКСиС???
ничего плохого, я сам оттуда родом
просто пацан написал про телекоммуникации, и я решил уточнить, чего у него, прям связистские специальности или вмксис.
Поясните за магистратуру. Где лучше в мск учиться?
Сейчас 3 курс в мухосранске.
Сейчас 3 курс в мухосранске.
ты с бульбы?
ИБ это практика. Науки там почти нет. Ты лучше вместо магистратуры в армию сходи или еше какие-нибудь органы. Познакомишься поближе с потенциальными коллегами, а главное будущими начальниками.
Сап, анчоусы.
Сам сисадмин-эникейщик, так скажем. Сейчас появилась задача обезопасить обмен инфой в новом офисе - как с мобильных устройств, так и с пека.
Модель угроз - хитроевыебанные конкуренты и т.п. недруги.
Может поделитесь мыслями, наводками на орг.материалы, или даже просто конкретными решениями (ну типа, впн поднять и т.п.)
Сам сисадмин-эникейщик, так скажем. Сейчас появилась задача обезопасить обмен инфой в новом офисе - как с мобильных устройств, так и с пека.
Модель угроз - хитроевыебанные конкуренты и т.п. недруги.
Может поделитесь мыслями, наводками на орг.материалы, или даже просто конкретными решениями (ну типа, впн поднять и т.п.)
C Украшки
Привет ребята! Где и кем можно работать с профой "системы технической защиты информации"?
critical security controls
хоть в макдачке, хоть в кфц. а по идее, это ловцы жуков, аттестаторы помещений и защитники ГТ. гугли "противодействие техническим разведкам" "техническая защита конфиденциальной информации" и тп.
решает всё равно скил, а не корка. с дипломом поибе ты на любую ибе работу можешь претендовать, если соответствуешь. в основном профильная вышка требуется, не видел чтобы именно конкретную специальность при найме требовали. есть профильная вышка и ок. вас же всё равно в вузиках толком не учат.
>critical security controls
>
сенкью
Кто-нибудь сделал домашку по ведру? Кроме ссаного брутфорса ничего не вижу.
Там данные передаются открыто вроде (хинт про нотсосекьюрконнектион). Тащемто не поздно ли еще сдать дз, а то я кроме этой хероты не вижу, но и не особо всматривался.
>нотсосекьюрконнектион
По памяти не то сказал.
Вот тут Controller.java а подсказка - NotSoEasyToHackHttpsURLConnection.
мой пик диплома схоронили лол.
Немного пролетел с этим и не в теме, скиньте ссылочку на дз, будьте добры
Ну там как бэ дэдлайны уже были и все закрыто, да и последний вебинар завтра.
Тащемто кто-то тут говорил ознакомиться с QА и внезапно оказалось что секьюрные тесты эт очень близко к пентесту.
Ну и тащемто в моей мухосрани даже вакансия есть QA Engineer (Networking/Security):
Responsibilities:
Manual software testing on varied environments and setups(regression cycles, functional tests, etc);
Create complex virtual and physical environments to test Network Security products;
Write High and Low Level Test Plans for dynamic routing & OS features;
End to End project ownership on Customer Releases;
Requirements:
Good knowledge in Networking: Switching, Routing, TCP/IP, IP-Subnetting;
Experience in *nix-like systems;
Knowledge in system infrastructures (AD, DHCP, DNS, FTP, IIS, Apache);
Knowledge and experience in virtualization solutions such as VMWare;
Good verbal and written communication skills in English;
The ability to work in a limited timeframes;
Attention to details and punctuality;
Independent, motivated and self-managed at work;
Team player with good interpersonal skills;
Я правильно понял или это обычная обезьянья работа?
А что за ресурс с вэбинарами?
Аноны, кто где учиться? Как у вас там? Потравите кулстори, что изучаете, как ваши ощущения от универов?
читай OWASP
а вообще - есть один черт список "любимых", тех что находить тебе проще.
У нас были математики один круче второго, первый косой пишет на доске, увлечется и начинает херачить на стене, все ржут, оборачивается и говорит, ты, кто смеялся вставай и уходи, пока не уйдешь продолжать не буду, чел встаёт, препод ему да не ты, а другой, так в общем и не выяснили кого он хотел, в целом если это не пиздатый тех вуз то можно идти ради диплома и самому учиться, у меня диплом никогда и не спрашивали при собеседование всегда знания, так что можно учиться и работать и с троешным дипломом устроиться лучше чем краснодипломник
Анон, помоги мне, пожалуйста, определиться. Мне 27 лет, живу в США, вышки нет, думаю, стоит ли идти учиться 4 года на cybersecurity, если с математикой всегда было плохо. В программировании тоже вообще ничего не понимаю и все знания со школы пропали, да и в школе не было особенно интересно. Я пользуюсь иногда тором и впнами. Я же правильно понимаю, что мне на комп.безопасность смысла идти нет с такими знаниями? Что это в принципе как раз в основном программирование и математика и таким гуманитариям как я здесь будут не рады? Просто очень уж много платят здесь по этой специальности.
А сама тема то тебе интересна? Изучить нужно будет довольно много, причём зачастую самому.
>Просто очень уж много платят здесь по этой специальности
Настало время прокачать ингриш и собирать чемоданызаводить трактор. Как там у вас с востребованностью cybersecurity?
http://www.forbes.com/sites/stevemorgan/2016/01/02/one-million-cybersecurity-job-openings-in-2016/#7ddcb4d7d274
http://www.rasmussen.edu/degrees/technology/blog/cyber-security-degree-worth-it/
http://www.csoonline.com/article/2947484/it-careers/send-your-kid-to-cybersecurity-school.htmlhttp://motherboard.vice.com/blog/the-cybersecurity-industry-is-hiring-but-young-people-arent-interested
Я вот такого начитался и захотелось туда идти. Тема не знаю, интересна или нет. Математика не интересна точно и понимаю я ее очень плохо, программированием тоже вроде особо не увлекался. Я не слишком вообще старый, чтобы в эту тему вникать? 27 лет же. Многие уже во всю пытаются что-то делать в 15-16 лет.
Ты однозначно будешь проигрывать по знаниям и скиллам тем ровесникам, которые озаботились своей прокачкой в вузе и уж тем более тем, кто занимался этим ещё в школьные годы, так что первое время, очевидно, будешь конкурировать только с зелёными новичками.
Чем занимался до этого? Может тебе подойдёт что-нибудь связанное с администрированием, пентестами. Или с бумажками, но это уже информационная безопасность, а не кибер.
До этого сидел дома и играл в игры 24/7, лол. Что такое пентесты я даже не знаю. Вопрос, грубо говоря, такой-стоит ли лезть в эту область человеку в моем возрасте с целью сделать карьеру? Если знания вообще нулевые.
Где получить опыт работы, если у всех вакансий по специальности уже дефолтно необходим опыт работы?
баг баунти программы, если говорить про петнест
насколько я понимаю, в россии такое нахуй никому не нужно
mail.ru(vk, ok, mail.ru), yandex. Да и какая разница чьи баги искать.
Народ, подскажите перехватывающие прокси, кроме как у бурпа есть чего еще дельного?
(всм чтоб запрос отправлялся только когда я разрешу, как в бурпе том же самом, чтоб я собственно на лету мог запросы редактировать)
Чет гуглил и на какую-то хуйню ток 90х годов напоролся.
(всм чтоб запрос отправлялся только когда я разрешу, как в бурпе том же самом, чтоб я собственно на лету мог запросы редактировать)
Чет гуглил и на какую-то хуйню ток 90х годов напоролся.
да как бы очень даже нужно, не помню название конторы но у них было указано мол опыт участия в баг баунти программах это збсь.
ну а хакать можно и не россию, тамж всё публично, и понятно по твоему профилю можешь ты чего или ты индус просто.
если что-то консольное - вообще топчик
(mitmproxy не предлагать, он под редактирование хуёво заточен)
OWASP ZAP
Ты правильно понял. Пентесты тоже разные бывают. Технический чем-то напоминает обход всех граничных ситуаций, вполне часто ручками и это обезьянья работка, ремесло так сказать.
Сап безопасники, учусь в вузике, знаний соответственно мало, вопрос такой - актуальна ли книга "Хакинг искусство эксплойта"? И насколько она полезна если меня интересует реверс, пентест и прочее связанное с комп. безопасностью
Как бы тебе сказать, кхм.. утро вечера мудренее, в общем.
Прямо скажи, я с этой темой мало знаком, не хотелось бы тратить время впустую на устаревшие знания
Реверс, пентест и прочее. Ты б тащемто определился бы с направлением, а то и оси ковырять и реверсить прилаги и вдруг еще веб крутить - много информации жи. Сходи может на хакерван там и баугаунти и книженцию с какойникакой инфой вбрасывают.
Пройди общий курс по безопасности гденибудь, а то тебе все и сразу
> вопрос такой - актуальна ли книга "Хакинг искусство эксплойта"?
Если ты будешь работать по материалам книги на 64-битной современной системе, то надо будет чуток предварительно подготовиться касательно того, как сейчас выглядят регистры, да и современный gcc немного не так компилит, хотя выдает почти то же. Но в целом книга полностью актуальна.
откуда начать изучение данного вопроса?
может есть какой-то гайд
web hacking 101, на хакерван бесплатно раздавали
Потренируйся на локалхосте, бротиш:
https://wordpress.org/download/release-archive/
https://www.cvedetails.com/vulnerability-list/vendor_id-2337/product_id-4096/
Как начнет получаться, считай опыт получил. Заодно посмотришь как латаются дыры.
господа, тогда еще такой вопрос вам
у меня с разговорным английским все нормально, а вот с техническим не очень, где можно его подкачать?
читай много
Безопасник в политехе, 3 курс. Нахуй я сюда поступил?
это где?
Приближаемся к бамплимиту. Для будущего гайда было бы неплохо пояснить за популярные сертификации в том плане, полезны ли они для новичка как источник знаний в том числе и бесплатный, если курс куплен на торрентах, а экзамен сдаваться не будет, при устройстве на работу. В треде упоминалось, что:
Pentestit - пустая трата времени и денег
CEH - бесполезен
OSCP - полезен
ECSA - ?
CCNA/CCNP Security - ?
Pentestit - пустая трата времени и денег
CEH - бесполезен
OSCP - полезен
ECSA - ?
CCNA/CCNP Security - ?
OWASP - ?
OWASP Top - 10 таковой сертификата нет, но знание очень полезно!
Хардкор это OSCP, лично знаю 3 людей которые его получили.
From PT
Если смысл написать вообще про наличие общего представления о том как работает всё говно. А то по моему у народа часто ложное представление создается что можно без нормального понимания работы технологий их взламывать. (пентеста это касается совсем сильно)
Ну и список книг было бы неплохо добавить.
Ну а когда они сталкиваются с жесткой реальностью, то бегут срать на форумах тупыми вопросами
Что ж, ждём переката и хотя бы каркаса для гайда. Добавлю ссылку по CTF
https://captf.com/
https://captf.com/
ну это уже проблемы форумов
Безопасники , подскажите , учусь в колледже шараге на ИБ телекомуникационных систем 4 курс скоро писать диплом , подкиньте годных тем для него , или где их посмотреть можно.
Форум было как абстрактный объект, двач тоже страдает...
Когда перекат?
Тред до сих пор жив?
Конечно.
блять у тебя столько времени было специально же ждал пидор ты иди нахуй с перекатом
Что не так?
Шапки нет.
Так мы и не придумали. Завтра после работки сделаю фак, собрав всю инфу из всех тредов, а пока перекатывайся в новый тред - все равно много постов не напишем, и фак будет на первом посте.
P.S. Галочка оп не работает - странно.
НУ "ЛП"
ты хотел сказать без нормально понимания сотен технологий?
Унижаем трукриптодаунов, пилим свои истории успеха поИБэ, рассказываем прохладные и смищные истории: как начинали карьеру в мухосранской конторке, как проводили аудиты по ISO 27001 и СТО БР ИББС, реализовывали проекты и жрали в ресторанах, а также хуесосим калигоспод.
F.A.Q.
В: Хочу вкатиться в информационную безопасность, с чего начать?
О: Поступить в вуз на данную специальность.
В: В какие ВУЗы поступать на ИБ?
О: Если тебе <22 лет, и ты хочешь научиться самым тонкостям профессии - то поступай в Академию. Для всего остального есть МИФИ/МИРЭА/ИТМО/ПОЛИТЕХ ну и остальные вузы, в которых есть такая кафедра.
В: Хочу быть еба-криптогафом. Что делать?
О: Забыть. Но если же ты свихнулся на ней (и морально готов быть изнасилован математикой) - то переходи к ответу выше - но с одним исключением: тебе будет доступна только Академия, МИФИ и еще какой-то Томский ВУЗ.
В: Как взломать аккаунт впаше?
О: Просто УЕБЫВАЙ
В: Мне кажется, что за мной все следят. Что делать?
О: Вам в криптач (/crypt).
>Первый тред: http://arhivach.org/thread/42689/
>Второй тред: http://arhivach.org/thread/104980/
>Третий тред: http://arhivach.org/thread/171358/