Path Secure

Привет!Я проводил множество собесов для админов и пентестеров, менторил несколько человек по разным аспектам наступательной информационной безопасности, сам участвовал в собесах. Мне нравится как разные вопросы позволяют пролить свет на глубину знаний человека в той или иной области. Решил создать и курировать репозиторий с вопросами по наступательной безопасности на русском языке. Почему-то я не нашел такой репозиторий сразу. На английском языке таких огромное колличество и все они имею свои плюсы и минусы. Этот репозиторий содержит в себе компиляцию вопросов по наступательной безопасности (offensive security). Используя этот материал, можно подготовиться к предстоящему собеседованию или прикинуть какие области знаний Вами не покрыты для самостоятельного обучения. Хороший интервьюер всегда задаст более глубокий и уточняющий вопрос, а соискателю будет невероятно полезно осознавать что еще ему стоит подучить или хотя бы иметь ввиду. Проект является личной инициативой и несет в себе исключительно альтруистические цели. Проект является открытым, каждый желающий может сделать форк или предложить изменения в существующий список вопросов мне в личку в телеге (@curiv). Порядок вопросов и их категория носят субъективный характер. Репозиторий будет наполняться с течением времени, список источников представлен в последнем разделе. Вопросы будут агрегироваться из источников, список источников также будет пополняться. Если оставите положительные реакции, то мне будет приятно ❤️https://github.com/curiv/russian-offensive-security-questions#pentest #interview #repository

[Начало тут]Сфера безопасности мобильных приложений давно была мне интересна, примерно пару лет назад я лишь слегка её коснулся. Тогда для меня вся суть работы заключалась в исследовании мобильного API. Конечно же, безопасность мобилок представляет из себя гораздо более глубокую стезю. У нас, в кооперативе @radcop_online, поощряется и поддерживается желание развиваться в профессиональном и личностном смысле. Поэтому мне с радостью оплатили обучение и я принялся за изучение учебных материалов. Тезисно о курсе и его организации:- Мне понравился формат обучения. Фокус на практику - это супер важно;- Понравилось, что были записи занятий и асинхронный формат обучения. Во время активной фазы курса я совмещал работу, 4 вечерние тренировки в зале и один день публичных выступлений. Это всё в неделю. Была также возможность очно присутвовать на трансляции и задавать вопросы онлайн;- Мне понравился преподаватель. Было интересно узнавать детали уязвимостей и слышать истории из практики про всякие мелочи, которые могут повлиять на процесс тестирования безопасности мобилок;- Мне понравились домашки, хоть их было и не много. Домашка с обходом механизмов защиты активностей в мобильном приложении вновь заставила меня почувствовать то самое трепетное ощущение "всемогущества", которое иногда возникает во время проектов. Итоговой домашкой было написание отчета о тестировании на проникновение тестового мобильного приложения. Было прикольно;- Понравились другие участники курса. Со мной в группе были люди с техническим бекграундом. Было интересно слушать обсуждения прикладных вопросов; - Понравился список тем и их содержание. Прошлись по основным вещам, которые могут понадобиться для работы. Конечно, это верхушка айсберга, но этого достаточно для общего понимания процесса и выполнения проектов.- Понравилось, что было два занятия в неделю. Каждое занятие длится по 3 часа и я смотрел в записи на скорости x1.5. В совокупность весь курс занял два месяца.- Мне НЕ понравилась обучающая платформа LMS. UI кажется неудобным, а UX медленным. Свои задачи выполняет, но хотелось бы иметь более интуитивный и отзывчивый интерфейс. С платформой я взаимодействовал по-минимуму: смотрел рекомендации к уроку, домашки и темы.Спасибо команде CyberED за организацию и подготовку этого курса :)#cert #cybered #mobile

На днях я получил свой первый профессиональный сертификат об обучении. Прошел курс "Анализ безопасности мобильных приложений" от CyberED. Теперь я оффициально умею ломать Андроид и IOs мобилки 😎TLDR. Общие впечатления в целом: 7/10. Можете поставить положительные реакции и мне будет приятно.Спасибо товарищам из @radcop_online за оплату обучения ❤️[Следующим постом] мой субъективный обзор. Не реклама :)#cert #cybered #mobile

В блоге кооператива RAD COP на Habr вышла моя вторая статья, посвященная энумерации пользователей в Active Directory. Статья примечательна тем, что для генерации словарей используется избыточность русских фамилий и небезопасные паттерн имен учетных записей Active Directory.В начале есть небольшое введение в проблематику энумерации и распыление паролей, как итог энумерации. В статье приводятся примеры векторов атак для OWA (Outlook) с внешнего периметра и Kerberos для внутреннего.Да, это не rocket science, но подобные техники с фамилиями активно не распространялись в русскоязычном сегменте наступательной безопасности, поэтому буду рад, если из статьи Вы узнаете что-то новое. Приятного прочтения :)https://habr.com/ru/companies/radcop/articles/797517/#article #enumeration #owa #kerberos

Самый важный фактор в развитии ИБ-сообщества – это люди с горящими глазамиВ CyberMedia вышло интервью со мной про создание ИБ-сообществ в регионах. Классно получилось. Оцифровал кусочек своего опыта для потомков. В процессе формирования ответов несколько раз словил приятные воспоминания. Рассказал историю PermCTF и DC7342.Кажется, что сейчас создавать такие сообщества стало намного проще. Больше людей в сфере, больше открытой информации, больше компаний, больше поддержки. Но для меня тогда, в 2018 году, открылась целая вселенная возможностей и я весело проходил сквозь испытания вокруг ИБ сообществ.Рекомендую почитать и другие интервью на сайте издания. Думаю, вы слегкостью найдёте для себя интересную тему.#community #interview