PRO:PENTEST

❗️ Факты, которые заставят задуматься

1️⃣ Вероятность уязвимости есть почти во всех веб-приложениях.
Последняя версия OWASP Top 10 (2021) показывает, что риски вроде Broken Access Control, Injection, Cryptographic Failures и Security Misconfiguration всё ещё в топе угроз.

2️⃣

Крупные утечки случаются из-за базовых ошибок.

Например, группа ShinyHunters связана с серией атак, в том числе через облачные сервисы (Salesforce и др.), где злоумышленники использовали методы социальной инженерии и эксплойты уязвимостей, чтобы вытянуть чувствительные данные.

3️⃣

Недоговорённости на уровне архитектуры и дизайна — частая причина уязвимостей.

Новые списки уязвимостей всё больше обращают внимание на дизайн, на неверные схемы доступа, на провалы с контролем доступа как на первичные слабые места.

Что это значит для тех, кто хочет работать с безопасностью веб-приложений?
✅Знания теории недостаточны — важно понимать, как выглядят реальные атаки, как их находят и эксплуатируют.
✅Уметь выявлять уязвимости на разных уровнях: код, конфигурация, архитектура, взаимодействие с API.
✅Понимать не только, что плохо, но почему плохо, и как предотвратить — в том числе заранее, на этапе проектирования.

Кейс: TeleMessage / TM SGNL — как неприметная ошибка стала фатальной

Если вы:
⏺️хотите видеть под микроскопом реальные web-уязвимости (не “теоретические задачи”, а то, что реально ломается);
⏺️устали учить, но не понимать, где применять — и хотите, чтобы каждое знание сразу превращалось в практику;
⏺️хотите научиться не просто ломать, но и защищать: настроить доступ, шифрования, логирования — и делать это так, чтобы следующее приложение было без дыр;

Курс по веб-пентесту — это именно то, что нужно. Там: авторские лаборатори, вебинары с куратором и разбор реальных атак.

➡️➡️➡️ Начать учиться

🤟🤟🤟

Друзья, всем привет!
Коллеги поделились интересной статьей, где автор поделился мыслями на счет будущего ИТ на примере ИБ.
Что скажете? 🤔

https://teletype.in/@sergey_gordey/dZijhpp2f3M

Друзья, всем привет! Навярняка вы заметили, что наш любмый Телеграм работает при помощи магии или без нее у отдельных провайдеров. Ютуб и прочие видео хостинги давно стали плохо просматриваемы, к большому сожалению. С каждым днем парадигма блокировок растет с геометрической прогрессией. Хочеться услышать ваши предложения, пожелания или светлые мыли куда мы с вами идем дальше. Это может быть отечественный Макс или ВК и прочее, может нужно просто завести сайт, который будет регулироваться мной и никто его не заблокирует, разве что забуду оплатить ареду сервака... Подумайте, где бы вам было комфортно читать разные новости и общаться между собой? Это решение по существу долно быть удобно именно вам. Вот например, в поездке на работу или на обеде достаешь телефон и читаешь - удобно? Да. Если такое решение сейчас? Не знаю. Мы либо пользуемся высокотехнологичными решениями с магией либо довольствуемся ПО из WL. А может решение уже давно есть, а я его не вижу? Вообщем прошу вашего мения в комментариях - буду благодарен.

Всем доброго дня! Только что один из исследователей поделился своей новой утилитой, которая дампит blobs браузеров, дампит и расшифровывает v20 для Google, а также расшифровывает и выводит красивый HTML. Дайте пожалуйста ОС.

https://github.com/PurpleArsenal/BrowserDump

Доброго всем вечера!
Где нынче выгоднее всего поставить стенд для поиска партнеров или лидов?
По опыту предыдущих лет, могу вам порекомендовать хорошее мероприятие для такой цели:
https://www.youtube.com/watch?v=-GYbpoIQxt4

Reverse duck test

Член нашего комьюнити - @eisenberg0163 написал небольшую статью на Хабр про альтернативный подход, который можно использовать для работы с ложными срабатываниями.

Назвал это «обратным утиным тестом» (reverse duck test). Смысл простой: вместо того чтобы сразу искать признаки атаки, сначала проверяем, не является ли активность ожидаемой и нормальной. Если активность «выглядит как утка, плавает как утка и крякает как утка» — скорее всего, это не инцидент.

В материале описал:

· как именно проверяем три аспекта (ретроспектива, бизнес-логика, опрос пользователя);
· где методику применять можно, а где — категорически нет;
· почему важно не останавливаться на вердикте «FP», а дорабатывать правила.

Статья скорее для практикующих аналитиков и тех, кто настраивает процессы в SOC.

Ссылка: https://habr.com/ru/articles/1008430/

Записки с физического пентеста

У перекрестка предположительно есть SQLi. Только пока не решил куда надо кавычку пихать…

CapFix снова активизировались.

Positive Technologies зафиксировала кампанию атак, продолжавшуюся с конца 2025 по март 2026.
Основной вектор это фишинг, а именно PDF/HTML вложения с ссылкой на архив с полезной нагрузкой.
Часто это маскировка под письма от госструктур. Предположительно использовалась уязвимость Roundcube Webmail - CVE-2025-49113 (CVSS 9.9) через которую были скомпрометированы почтовые серверы для рассылки вредоносных писем от доверенных источников.

Используемый стек:
• загрузчик CapDoor (сбор информации о системе, скриншоты, загрузка файлов)
• SectopRAT для удалённого доступа
• ClickFix сайты, имитирующие сервисы бронирования
• ранние образцы маскировались под криптовалютные сервисы

Цели хакеров - промышленность и авиастроение.

По набору инструментов и выбору целей активность всё больше напоминает APT, несмотря на финансовую мотивацию. Рекомендация очевидная, и это проверка версии Roundcube, усиление защиты почты и проведение дополнительных анти-фишинг обучений для сотрудников (приходите в ЛС, сделаем).

#propentest #pro_pentest #пропентест

🔥а мы с крутым мероприятием!

Реализация киберрисков – когда что-то пошло не так

В компании экспертов обсудим:
🌐роль кибербезопасности в выстраивании политик
🌐потенциальный масштаб ущерба в случае несрабатывания политик (на примере кейсов из индустрии)
🌐зачем привлекать внешних консультантов / аудиторов при анализе корректности настроек политик
🌐нужно ли передать киберриск на страховой рынок.


👤 модераторы

➖Маргарита Хоменко - CEO, Центр комплаенс решений «Compliance Elements»;
со-основатель комплаенс-сообщества ОРИЕНТ; LL.M in international business law; эксперт по комплаенс; автор ТГ-канала о комплаенс ComplianceCraft;

➖Владислав Чуркин - руководитель направления по противодейстию коррупции в федеральном банке и группе компаний, эксперт НИУ ВШЭ, Master of Management in Compliance, Certified Ethics Professional.


🗣 спикеры:

➖Егор Зайцев - Head of Research, АО "Кибериспытания", пионер направления Физический пентест в РФ и СНГ, сооснователь Red Team бутика, автор ТГ-канала PRO:PENTEST (все про ИБ и этичный хакинг);

➖Александр Мисюрев - к.э.н. Генеральный директор ООО «ЭЙМ Партнерс».
20+ лет в области корпоративного страхования.
В 2013 году вместе с командой AIG запускал кибер страхование на российском рынке.
________________________________

🗓 9 апреля (четверг)

🕓 16.00 - 17.30 (≈ 1,5 часа)

🖥 онлайн

👉 регистрация обязательна: https://compliance-orient.timepad.ru/event/3876713/


До встречи!😉