14582
All materials published on the channel are for educational and informational purposes only. Чат: @poxek_chat Рекламный менеджер: @not_savely Купить рекламу: https://telega.in/c/poxek РКН: https://clck.ru/3FsVhp
ВСЕ ПО ИБ | Про стажировки, трудоустройство, обучение и карьеру в инфобезе
#стажировка #трудоустройство #обучение #карьера #кибербез #работа #hh #intern #junior #бастион
В новом выпуске подкаста гости обсудят старт карьеры начинающего специалиста информационной безопасности: как стажировки помогают набраться ценного опыта, дадут советы для успешного прохождения собеседования, расскажут о популярных и перспективных направлениях и к чему стоит готовиться после трудоустройства.
➡️Оля Борисова — рекрутер @ollya_bk
➡️Дима Власов — инженер-разработчик @Dmitriy_A_Vlasov
➡️Яна Ксендзовская — руководитель группы образовательных программ @yanchiklove
➡️Альбина Семушкина — руководитель рекрутинга @AlbinaSema
Основные темы выпуска:
➡️Стажировки
➡️Подготовка студентов
➡️ИИ
➡️Собеседования
➡️Зарплаты
➡️Непопулярные направления
➡️Советы для начинающих
➡️Рынок труда
Смотреть бесплатно без регистрации:
💙 ВК
📺 YouTube
📺 Rutube
Таймкоды есть в описании под видео.
Слушать:
🎵 Яндекс.Музыка
🎵 Звук
🎵 ВК
💬 Телеграм
🔗 Полезные ссылки и предыдущие выпуски
p.s. а ещё там очень прикольное интро)
🌚 @poxek | 🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK | 🌚 Мерч (sold out)
Расскажите о ваших впечатлениях о PHD и/или Standoff 15 без преукрас
Читать полностью…
Вести с PHDays: Контур запускает ИБ-бренд Контур.Эгида
На киберфестивале мы узнали о запуске Контур.Эгиды – нового бренда в области информационной безопасности СКБ Контур. Поспрашивали коллег, что это значит.
Подробность номер раз. Бренд сфокусирован на внутренней безопасности организаций. Все решения построены вокруг людей и для защиты от ежедневных рисков.
Подробность номер два. Эгида это не один продукт, а целый комплекс. В него входят пять решений. ID защищает учетки сотрудников с помощью 2FA, PAM помогает контролировать привилегированных пользователей, Доступ нужен для настройки устройств и управления парком компьютеров компании, Staffcop подходит для расследования внутренних инцидентов и Безопасность – услуги по комплексной
защите персональных данных и иной информации ограниченного доступа.
Подробность номер три. Новый бренд Контура – это ответ на новые вызовы в сфере ИБ. Более 75% инцидентов происходят внутри компании из-за сотрудников, подрядчиков и ошибок в управлении доступами. Чтобы избежать ошибок и закрыть уязвимости, Эгида строит безопасность вокруг жизненного цикла сотрудника — от момента входа в компанию до закрытия всех прав.
Знаете что?
А го флешмоб. Кидайте фотки в мерче Похек, включая тот что в коллабе с PT. Посмотрим как нас много)
Фотки за первый день PHD
Очень много лапок пожал, было приятно со всеми поболтать)
На PHD приеду сразу в этой футболке. Так что уж точно не перепутаете 🌚
Если кто пропустил, то это мерч в коллабе со Standoff x Poxek x PHD. А также это лимитированное издание)
Наверное с этими же пакетами поеду, т.к. они очень вместительные)
Размеры M/L/XL, оверсайз
ВАЖНО. СХОДКА ПОХЕК 🌚
В этом году, также как и в прошлом я организую сходку нашего с вами сообщества. В прошлый раз был пилотный запуск, в этот раз постарались подобрать место получше :)
📆Дата: 23 мая
🔔Время: 19:00 уже будем в ресторане, следовательно в 18:00 собираемся в одной точке в Лужниках. Где именно я скину завтра и послезавтра продублирую в канале. Не пропустите. До 23:00, до закрытия ресторана будем там. Поэтому даже, если задержитесь, ничего страшного)
💳Сбор: 1000 ₽, просто как причина не слиться вам в самом конце. Оплата всех блюд за мой счет.
😊Места: до 30 человек. Я не хочу собирать большую толпу, мне важно сохранить ламповость.
🔥Кухня ресторана: грузинская
📍Место: пароли и явки будут в чате Похек Chill
➡️Бронь на сходку открывается с сейчас и до момента заполнения чата до 30 человек.
‼️ЗАПРЕЩЕНО брать с собой +1, если его нет в чате Похек Chill. Ресторан предупредил, что если уже 30 человек и приходит кто-то еще и говорит к нам, то это не к нам будут сажать и счет будет у них отдельный. Мне приколов, как в прошлом году не хочется.
Отвечаю всем в порядке очереди, поэтому успейте написать)
p.s. а ещё будет мой друг, который не прочь похантить appsec/devsecops jun+ уровня))
Для добавления в чат и оплаты, пишите мне @szybnev
🕺 Счётчик: 30/30
Made by Poxek with Love ❤️
ВАЖНО
У меня не бесконечное кол-во футболок (30 штук, по 10 штук на каждый размер), поэтому кто успеет взять, тот возьмёт. Заранее не бронирую футболку и даю только 1 в руки. Размеры M/L/XL. Раздаю бесплатно, где-то на территории Лужников во время PHD. Какие-то точки или маркеры где я, буду скидывать на канал, спамить в ЛС не надо. Тем более связь плохая вероятно будет)
Но помните, что я не только мерч от коллабы буду раздавать, но и свой, а ещё ТБанка) Короче мерча будет много. Не каждый день буду привозить весь мерч, а по частям все 3 дня. Поэтому если вдруг закончится, то приезжайте в другой день
Burp Suite + Claude AI: Connect Using MCP Server
#burpsuite #portswigger #claude #MCP #AI #BurpAI
If you’re looking to enhance your Burp Suite workflow with the help of AI and if you don’t have burp pro but want something cool and dope with burp suite community edition, then this guide is perfect for you. In this guide we will be walking you through connecting Burp to Claude (Anthropic’s AI assistant) using the Model Context Protocol (MCP). This setup enables powerful AI-assisted tasks right from your testing environment. Think it as AI running your burp tool for you with just some prompts, sounds amazing right? Now before we dive in let’s talk about what mcp is and get to know some details about this protocol.
———————
P.S. пробовал использовать BurpAI, показался бесполезным, т.к.:
1. Explain this хоть и тратит всего 5 токенов (всем изначально дали 10к токенов). Но объяснение слишком простое, без каких-либо примеров или вставок кода, почему уязвимость могла появится. Короче хуже чем почитать любую ссылку при гуглеже
2. Забыл как называется кнопка, но типо раскрутить багу вероятно функционал. Взял на примере банальной XSS в GET параметре. Мало того, что она не все рабочие payload'ы выдавала, хотя блет, у вас же огромный собственный XSS cheatsheet, ну дала бы примеры из него. Короче галлюцинирует всё равно. А до какого-то ATO или хотя бы кражи куки так и не смогла раскрутить, только банальные XSSки, которые любой школьник уже может тыкать. И при это на каждый такую "раскрутку" уходит чуть более 1к токенов, что много. Всего 8-10 использований и у вас закончатся токены, а покупать или вообще использовать не вижу смысла пока что.
3. Встаёт немой вопрос, а не использует ли portswigger данные из наших проектов для обучения своей нейронки? Моё мнение, что да и что им мешало делать до внедрения AI? По сути обозвать сбором телеметрии и стат данных, и всё, шито крыто) А что думаете вы?
P.S.p.s. на одном из ивентов от кого-то услышал, что Burp MCP тема, сама проходит лабы portswigger. Но мне не нравится тенденция, что он не показывает как он решил. А ты по факту видишь только результат Congratulations!, лично мне не нужен тупо результат, я хочу видеть процесс и желательно делать его самостоятельно, но с какими-то подсказками по векторам или особенностям фреймворка. А что вы думаете?
———————
🔗Читать далее
🌚 @poxek | 🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK | 🌚 Мерч
Антон (skavans) Субботин - из Web2 в Web3, 500.000$ на bug bounty, санкции и жизнь после них.
Антон (@skavans) Субботин — автор блога @BugBountyPLZ и один из успешных исследователей СНГ, сумевший заработать более 500. 000 $ на платформе HackerOne. Из-за санкций в отношении исследователей из санкционных регионов Антон был вынужден сменить фокус с классического поиска уязвимостей в Web2 на более сложный и не менее интересный Web3. Об этом и о многом другом мы постарались поговорить в этом выпуске.
Полезные ссылки:
1. Mastering Ethereum:
https://ethereumbook.ru/
2. How to Defi:
https://assets.coingecko.com/books/how-to-defi/How_to_DeFi_Russian.pdf (Beginner)
3. Zokyo Auditing Tutorials:
https://zokyo-auditing-tutorials.gitbook.io/zokyo-tutorials
4. Code4rena репорты:
https://code4rena.com/reports
5. AI-расширение от Сергея Боброва
/channel/Black4Fan/17
🔗 Смотреть подкаст
🌚 @poxek | 🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK | 🌚 Мерч (sold out)
Я если что сегодня не поехал, т.к. вчера раздал весь мерч и срубился без сил ночью)
Вчера кстати офигенно прошел Похек Chill. Поели хинкалей, хачапури и выпили на 100к ₽ 😏, да и все кайфанули, было вкусно и не было проблем с кухней как в прошлом году
Т.к. мерча я раздал много, то ловите тех кто в Poxek или Bughunter и тусите вместе, если вам скучно или одиноко)
Короче весь мерч раздал, но я поговорил с организаторами и мне выделалили еще 20 ремуверов и 3 медовухи, но медовухи я не отдам 🌚
Читать полностью…
Завтра приеду, думаю где-то с 10:00-11:00. Привезу еще мерча, постараюсь побольше, но сколько получится. Понял, что разлетается быстро, поэтому можно взять сразу много, все равно закончится)
Завтра привезу от ТБанка мерч, оставшиеся футболки свои и PT. Брелки решил оставить для тех, кто приедет на Похек Chill. Будет для них эксклюзивный подарок :)
Судя по сегодняшнему дню, караулить меня не надо около МЦК или входа)
Я мерч уже буду раздавать где-то на территории Лужников
Встретимся с вами на PHD через 10 часов 😎
А сейчас всем спокойной ночи, желаю всем выспаться, т.к. ходить и жмать руки придется очень много)
И кстати, я сначала пойду получу бейдж, а потом уже можно будет меня ловить за мерчом)
сотни, а может быть даже тысячи подписчиков похека собрались чтобы заполучить мерч
Читать полностью…
Всё, места все заняли
Спасибо всем тем, кто согласился прийти. А те кто не успел или не захотел, ждите фоточек)
AWS Pentesting: S3 Bucket Recon
#S3 #Bucket #recon #разведка #AWS
TLDR: у автора статьи своя лаба по практике пентеста AWS S3, а сама статья райтап по её похеку
AWS S3 is one of the most popular storage solutions, but it's also a common misconfiguration target that can lead to critical data exposure. As a cloud penetration tester, understanding how to conduct recon for S3 buckets is crucial in assessing the external security posture of an organization's AWS environment. In this walkthrough, we'll cover the methods to check for exposed S3 buckets and analyze the access level for different scenarios: when a bucket is publicly exposed, when you have AWS keys, and how to validate access permissions.
In this walkthrough, we will use a combination of S3 buckets from flaws.cloud, Dafthack's glitchcloud bucket, and my own s3 bucket.
http://flaws.cloud/
🔗Читать далее
🌚 @poxek | 🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK | 🌚 Мерч
Лимитированный мерч Standoff Bug Bounty × Похек
🔥 Специально к PHDays Fest мы, вместе с телеграм-каналом «Похек», сделали лимитированный мерч для настоящих багхантеров.
Что в наличии:
• Футболка багхантера — чтобы было видно, кто тут главный по уязвимостям.
• Брелок багхантера — чтобы всегда помнить, кто ты.
Как заполучить сокровище:
• Забрать у «Похек» на PHDays fest. (Количество ограниченно!).
• Купить в официальном магазине PHDays на фестивале.
📸 А пока держи немного фоток — просто чтобы разогреть интерес.
P.S. В магазине тебя будут ждать еще и стикеры — такие будут только на фестивале.
〰️Новинки Pentest award 2025 года
Однажды учредив независимую отраслевую премию, мы взяли большую ответственность за развитие важного для сообщества ежегодного события. Мы делаем все, чтобы улучшать проект, увеличивать его влияние и гарантировать качество.
Приглашаем новых экспертов в жюри, чтобы применить в оценках самый разносторонний опыт, модернизируем критерии и систему оценки. Привлекаем партнеров, которые разделяют ценности проекта. Стараемся сохранять ламповое профессиональное сообщество, в котором одинаково полезно и приятно находиться.
Премия становится лучше еще и за счет обратной связи участников. Например, еще в прошлом году, мы сделали работы обезличенными для жюри во время оценки. Разделили номинацию «Пробив» на «веб» и «инфру», отказались от нескольких непопулярных номинаций.
⤵️А вот что по вашим советам внедряем в этот раз:
1️⃣Мобильный разлом — номинация за мастерство поиска уязвимостей и технических недостатков мобильных устройств и всё, что с ними связано. Все, кто просил у нас мобилки, пожалуйста, подавайте работы, покажите, на что способны!
2️⃣Out of Scope — награда за находки, которые выходят за рамки других номинаций, включая собственные инструменты, исследования, методологии и любые другие значимые достижения в сфере ИБ.
Бывает, что достойный кейс, который хочется отметить, не выдерживает конкуренцию из-за рамок номинации. Мы решили убрать рамки и посмотреть что получится. Если ваш кейс не подходит под текущие категории, но заслуживает внимания — эта номинация для вас.
Возможно, участники наметят новый тренд и создадут еще несколько «подноминаций» своими заявками. Мы только за! Поэтому не стесняйтесь и отправляйте все, чем можете похвастаться!
3️⃣Антиноминация «Осторожно, грабли!» — за самые ценные неудачи и полезные уроки в сфере ИБ.
Столько раз участники предлагали сделать награду за самый грандиозный факап, ведь такого у каждого найдется с запасом. Мы несколько лет отклоняли эту идею, пока не придумали, как это может принести пользу.
Антиноминация за антидостижения, здесь не будет привычных призовых мест — мы выбирем три самых поучительных примера, которые будут наиболее полезны сообществу. Победителям вручаются символические, но теплые подарки за вклад в коллективный опыт.
4️⃣Подключаем еще одну фишку «фаворит жюри», теперь у каждого члена жюри будет возможность выбрать понравившийся кейс и отметить участника по своему личному, только ему одному известному, принципу. Ну а что из этого получиться узнаем на церемонии награждения…
😐 Друзья, мы ждем ваши работы. Вклад каждого важен, вместе мы обогащаем сообщество опытом и повышаем уровень компетенций друг друга, все это влияет на развитие рынка и культуры оффенсив в России.
Оставляйте заявки на сайте — https://award.awillix.ru/
#pentestaward