Пентестинг

Информационная безопасность (ИБ), Пентестинг (pentesting), этичный хакинг и анализ на проникновения

Аудит безопасности беспроводных сетей Wi-Fi

Недавно, ради любопытства, был проведен аудит безопасности Wi-Fi сетей в Пензе. Что и стало поводом для этого поста...

Многие общедоступные Wi-Fi сети (почти все) совсем или частично не защищены от атак хакеров на роутеры. Администраторы этих доступных беспроводных сетей даже не заморачиваются по поводу установки и смены стандартных дефолтных паролей на роутеры.

ВКонтакте не платит исследователям за найденные уязвимости, но и не рассматривает их...

Недавно ВКонтакте запустила свою программу вознаграждения за уязвимости (Bug Bounty) на базе Hackerone. Но оказывается, они долго не рассматривают репорты, но еще и исправляют баги и уязвимости... Исследователь @ethoz нашел уязвимость (вернее баг...) в таргетированной рекламе социальной сети ВКонтакте.

Вот отчет, который отсылал во ВКонтакте 31 мая (!!!):

Нестандартный топ событий в сфере IT-безопасности 2015

В 2015 году самые посещаемые новости сайта Threatpost.ru, удачно делятся на пять основных категорий:

Детекторы газа уязвимы к кибератакам

Бреши в прошивке Honeywell Midas и Midas Black позволяют получить доступ к детекторам.

Исследователи из ICS-CERT сообщили об опасных уязвимостях в прошивке промышленных детекторов газа Midas и Midas Black производства компании Honeywell. Бреши позволяют удаленному злоумышленнику получить несанкционированный доступ к устройствам, вносить изменения в конфигурацию и запускать процессы калибровки или тестирования. Атаку может успешно осуществить даже хакер с минимальными навыками.

Стандартные пароли роутеров

При пентесте или аудите безопасности, возникают потребности сканирования сети и поиска уязвимых роутеров и сетевых гаджетов. Стандартные пароли роутеров могут очень помочь с доступом во внутреннюю сеть. Чаще всего web-интерфейс находится по адресам 192.168.0.1, 192.168.1.1 и 10.0.0.1 и им подобные.

Расшифровка MD5 хешей онлайн. Какой сервис нравится Вам?

Я давно и успешно использую сервисы расшифровки MD5 хешей. Один из быстрых и удобных (собственно ничего лишнего) - http://cmd5.ru/

А каким сервисом или программой пользуетесь Вы? Давайте делиться ссылками! :-)

Самые популярные и используемые пароли

Очень часто многие используют стандартные и популярные пароли... Причем, часто для разных сервисов и web-сайтов одни и теже... И это является очень большой дырой в безопасности. Сам иногда грешу этим :-)

Чаще всего, используют следующие группы паролей:

Стандартные сетевые порты

Иногда (почти всегда) нужно просканировать сетевые порты на наличие стандартных сетевых программ... Что бы не забыть и в качестве шпаргалки решил сделать пост по стандартным сетевым портам Windows и Linux/Unix.

Ссылки на ресурсы по информационной безопасности

Недавно обнаружил просто ОГРОМНЫЙ список ссылок на ресурсы по информационной безопасности от EK (Totally not a hacker)... И привожу его здесь для изучения и чтения информации. Она правда вся на английском, но я думаю, это не будет проблемой для специалистов по пентесту. :-)

Как пишет EK: "My security bookmarks collection. All that things I need to pass OSCP, i think =)"

Offensive Security Bookmarks

 

Инструменты пентестера и этичного web-хакера

Сегодня я сделаю краткий обзор инструментов пентестера и этичного web-хакера. Рассмотрю сегодня только программы и сервисы для исследования web-безопасности. Пишите в комментариях, кто какими пользуется инструментами для пентеста. Все секреты можете не раскрывать... :)

RSS-материал