Пентестеры: дружелюбные хакеры и зачем они нужны
Вставка
- Опубліковано 12 чер 2024
- В гостях у Миши и Паши руководитель отдела тестирования на проникновение, Positive Technologies - Александр Морозов. Мы обсудили, на каком этапе развития ИБ в компании стоит обращаться к пентесту. Узнали, как часто уязвимости становятся точкой входа злоумышленников в инфраструктуру компании. Выяснили, чем занимаются белые хакеры, как стать пентестером и что делать для повышения своей экспертизы.
О системе управления уязвимостями MaxPatrol VM www.ptsecurity.com/ru-ru/prod...
Все самое важное о продуктах Positive Technologies t.me/ptproductupdate
0:00 - 4:44 Путь Саши в ИБ
4:45 - 5:57 Почему Саша стал белым хакером?
5:58 - 8:30 Публикация уязвимостей вендорами
8:31- 11:47 Насколько опасны уязвимости на периметре?
11:48 - 16:51 Трендовые уязвимости на периметре
16:52 - 18:04 Уязвимости в КИИ
18:05 - 19:55 В какой момент стоит привлекать команду пентестеров?
19:56 - 23:16 Является ли устранение уязвимостей “серебряной пулей”?
23:17 - 30:19 Как устроена работа команды пентеста?
30:20 - 30:55 Работают ли хакеры по праздникам и выходным?
30:56 - 37:00 План пентеста
37:01 - 38:14 Самая простая атака
38:15 - 41:04 Самый сложный проект
41:05 - 42:29 Повышение уровня безопасности с помощью LAPS
42:30 - 42:10 Повышение экспертизы пентестера
44:11 - 52:57 Как стать частью команды пентестеров
52:58 - 54:09 Как работает команда Саши внутри Positive Technologies?
54:10 - 59:28 Про Bug Bounty
59:29 - 1:04:27 С чего начать выстраивать безопасность?
#пентест #уязвимости #белыехакеры - Наука та технологія
Ребят, вы топ, живу в штатах давно и не знаком с русскоговорящим ИБ комьюнити вообще!
Вы для меня прям отдушина ❤
Каковы попали на эту работу ?
Просто положил резюме на рабочий стол начальнику. Удаленно. На рабочий стол его компьютера
"единый сканер в котором одна кнопка: ВЗЛОМАТЬ!" - это 5+ ! 🤣
Спасибо, отличное интерьвю!
ура! очень ждал!
Hi Ya & best wishes. SuperB! Thanks for work. Be Happy. Sevastopol/Crimea.
DMZ конечно DMZой, но reverse коннекты то никто оттуда не отменял. Деление на "периметр" и то что внутри - оно довольно условное.
ну и как, как-то обходите 2FA чистой техникой? или без соц.инженерии никак в этом случае?
чем поверхность атаки больше, тем вероятность конечно выше, но и замучаешься иголку в стоге сена искать, это факт! 🤣 эх, хорошо командам однако...
"XSSки мы не ищем!" - ой вот только не надо вот недооценивать XSS! Это же не только отправка чего-то куда-то ("стырить куку"), а ещё и JS который interacts со страницей, юзер вводит в поле где-то одни банковские реквизиты, а они заменяются перед отправкой на другие, просто как пример, или показать на счёте его не ту сумму сильно меньше, а телефон техподдержки тут же рядом поменять на свой - юзер сам позвонит хакеру, то есть доступ к DOM полный и можно юзеру показать одно что угодно, а внутри сделать другое что угодно! "Как тебе такое, Илон Маск?" ;-)
Хочешь быть сильным?