Проблема: Wi-Fi работает только во время дождя.

• С такой странной проблемой столкнулся один разработчик, когда приехал домой к родителям. Сначала он не верил, но потом убедился сам: как только дождь заканчивался, 98% пакетов любого сайта терялось. Пришлось сильно повозиться, чтобы понять причину:

https://habr.com/ru/post/806175/

#Разное

Attacking Azure.

• Перенос IT-инфраструктуры в облака — это не дань моде: такой подход позволяет экономить на технической поддержке, резервном копировании и администрировании. К тому же размещение инфраструктуры в облаке считается более защищенным и от сбоев, и от внешних атак. Но есть и эффективные методы взлома наиболее популярных гибридно-облачных сред, таких как Azure. О таких техниках говориться в данной статье:

• https://blog.devsecopsguides.com/

- Security Control;
- Execute Command on Virtual Machine using Custom Script Extension;
- Execute Commands on Virtual Machine using Run Command;
- Export Disk Through SAS URL;
- Password Hash Sync Abuse;
- Pass the PRT;
- Application proxy abuse;
- Command execution on a VM;
- Abusing dynamic groups;
- Illicit Consent Grant phishing;
- Add credentials to enterprise applications;
- Arm Templates and Deployment History;
- Hybrid identity - Seamless SSO;
- References.

#Azure #devsecops

PostgreSQL. Учебные курсы.

Курсы для администраторов:
• DBA1. Администрирование PostgreSQL. Базовый курс;
• DBA2. Администрирование PostgreSQL. Настройка и мониторинг;
• DBA3. Администрирование PostgreSQL. Резервное копирование и репликация;
• QPT. Оптимизация запросов;
• PGPRO. Возможности Postgres Pro Enterprise.

Курсы для разработчиков приложений:
• DEV1. Разработка серверной части приложений PostgreSQL. Базовый курс;
• DEV2. Разработка серверной части приложений PostgreSQL. Расширенный курс;
• QPT. Оптимизация запросов;
• PGPRO. Возможности Postgres Pro Enterprise.

Курс для разработчиков СУБД:
• Hacking PostgreSQL.

#PostgreSQL #Курс

#Юмор

100-Year QA-Textbook.

• «100-Year QA-Textbook - русская версия» — интерактивный учебник, включающий 42 модуля, 42 набора онлайн-тестов, более 700 страниц базовых знаний, посвященных тест-дизайну, работе с требованиями, документированию, тестированию на всех уровнях и локализации дефектов в трехзвенной архитектуре, базам данных, Linux, сетям, методологиям разработки и другим полезным темам.

• Учебник интерактивный, потому что в нём есть не только теория в текстовом и графическом виде, но и онлайн-тесты, которые необходимо пройти, чтобы проверить уровень своих знаний.

https://mentorpiece.org/100/

• P.S. на хабре есть подробное описание этого учебника: https://habr.com/ru/articles/762532/

#QA

The SELinux Notebook.

• Держите бесплатную книгу по SELinux, цель которой — стать самой актуальной и всеобъемлющей книгой охватывающей компоненты ядра Linux, библиотеки, инструменты, политики и т.д.

https://github.com/SELinuxProject/selinux-notebook/blob/main/src/

• Abbreviations and Terminology;
• SELinux Overview;
• Core Components;
• Mandatory Access Control (MAC);
• SELinux Users;
• Role-Based Access Control (RBAC);
• Type Enforcement (TE);
• Security Context;
• Subjects;
• Objects;
• Computing Security Contexts;
• Computing Access Decisions;
• Domain and Object Transitions;
• Multi-Level and Multi-Category Security;
• Types of SELinux Policy;
• Permissive and Enforcing Modes;
• Auditing Events;
• Polyinstantiation Support;
• PAM Login Process;
• Linux Security Module and SELinux;
• Userspace Libraries;
• Networking Support;
• Virtual Machine Support;
• X-Windows Support;
• SE-PostgreSQL Support;
• Apache-Plus Support;
• SELinux Configuration Files;
• SELinux Policy Languages;
• The Reference Policy;
• Hardening SELinux;
• Implementing SELinux-aware Applications;
• Embedded Systems;
• SE for Android;
• Appendix A - Object Classes and Permissions;
• Appendix B - libselinux API Summary;
• Appendix C - SELinux Commands;
• Appendix D - Debugging Policy - Hints and Tips;
• Appendix E - Policy Validation Example.

• Скачать в PDF можно отсюда.

#SELinux

Прохождение Linux-машины средней сложности SANDWORM HackTheBox.

• Sandworm — это машина средней сложности на #Linux, которая содержит веб-приложение с сервисом проверки PGP, уязвимым к инъекции шаблонов на стороне сервера (SSTI), что приводит к выполнению удалённого кода (RCE) внутри изоляции Firejail. В этой изоляции можно обнаружить текстовые учетные данные, позволяющие получить доступ по SSH к машине от имени одного из пользователей.

• Далее обнаруживается cron-задача, которая компилирует и запускает бинарник на Rust. Программа использует настраиваемый внешний модуль логирования, к которому у пользователя есть доступ на запись, что затем используется для получения шелл от имени пользователя atlas, запускающего cron-задачу. Наконец, используется недавний эксплойт Firejail (CVE-2022-31214) для создания песочницы, в которой атакующий может выполнить команду su и получить оболочку root на целевой системе.

https://youtu.be/NpzTEVfUo_U

#Пентест #CTF

Everything curl.

• Очень объемное руководство по работе с curl'ом, которое актуализируют еще с начала 2015 года и по сей день. Книга является бесплатной, а вклад в её развитие внесли десятки авторов: https://curl.haxx.se/book.html

Репозиторий: https://github.com/curl/everything-curl

Скачать книгу в PDF или ePUB.

#curl

Visual guide to SSH tunneling and port forwarding.

• Наглядные примеры организации SSH туннелей для решения различных задач: https://ittavern.com/visual-guide-to-ssh-tunneling-and-port-forwarding/

• В дополнение: практические примеры SSH.

- SSH socks-прокси;
- Туннель SSH (переадресация портов);
- SSH-туннель на третий хост;
- Обратный SSH-туннель;
- Обратный прокси SSH;
- Установка VPN по SSH;
- Копирование ключа SSH (ssh-copy-id);
- Удалённое выполнение команд (неинтерактивно);
- Удалённый перехват пакетов и просмотр в Wireshark;
- Копирование локальной папки на удалённый сервер по SSH;
- Удалённые приложения GUI с переадресацией SSH X11;
- Удалённое копирование файлов с помощью rsync и SSH;
- SSH через сеть Tor;
- SSH к инстансу EC2;
- Редактирование текстовых файлов с помощью VIM через ssh/scp;
- Монтирование удалённого SSH как локальной папки с SSHFS;
- Мультиплексирование SSH с помощью ControlPath;
- Потоковое видео по SSH с помощью VLC и SFTP;
- Двухфакторная аутентификация;
- Прыжки по хостам с SSH и -J;
- Блокировка попыток брутфорса SSH с помощью iptables;
- SSH Escape для изменения переадресации портов;

https://habr.com/ru/articles/435546/

#SSH

Useful Wireless Links.

• Объемная подборка с полезным материалом, которая предназначена для всех неравнодушных к беспроводным сетям: учебные пособия, справочники, калькуляторы, софт, гаджеты и многое другое:

• Литература:
- Базовый уровень;
- Продвинутый уровень;
- Стандарты IEEE/

• Справочные материалы:
- Справочники;
- Руководства;
- Калькуляторы;
- Инфографика.

• Софт:
- Планирование и обследование;
- Анализ и диагностика;
- Для мобильных;
- Разное.

• Гаджеты:
- Site Survey;
- Packet Capture;
- Troubleshooting;
- SDR;
- Прочее.

• Медиа:
- Организации;
- Блоги;
- Каналы и подкасты;
- Социальные сети;
- События.

• Вендорские материалы:
- Best Practices;
- White Papers.

• Бонусы.

#Сети

A Compendium of Access Control on Unix-Like OSes.

• Вероятно, что это самое объемное руководство о контроле доступов в разных ОС (оглавление на скриншотах выше): https://venam.net/blog/unix/2023/02/28/access_control.html

• PDF версия: https://venam.net/blog/pdf/access_control/access_control.pdf

#security

Shufflecake. Создание скрытых разделов на диске.

• Shufflecake: plausible deniability for multiple hidden filesystems on Linux — инструмент для создания скрытых и зашифрованных разделов на диске, которые остаются не заметны даже при соответствующей экспертизе.

https://codeberg.org/shufflecake/shufflecake-c

#Linux #Security

ssh-audit.

SSH server & client security auditing (banner, key exchange, encryption, mac, compression, compatibility, security, etc).

• Делюсь полезными ресурсами: ssh-audit — инструмент для аудита SSH соединения на сервере: https://github.com/jtesta/ssh-audit + отдельный ресурс, где можно проверить текущую настройку SSH сервера: https://www.ssh-audit.com/

#SSH

sshlog.

• Open source-инструмент для логирования и мониторинга всей активности юзера после установки им SSH подключения.

- Позволяет админам шарить сеанс другим доверенным юзерам;
- Использует eBPF, написан на С++ и Python;
- Записывает всё, что произошло через SSH;
- Умеет слать предупреждения в слак;
- Ну и еще многое другое...

https://github.com/sshlog/agent

#SSH

Nmap Cheat Sheet 2025: All the Commands & Flags.

• Полезная шпаргалка по #nmap, которая поможет автоматизировать свою работу и сократить время на выполнение определенных задач: https://www.stationx.net/nmap-cheat-sheet/

• В качестве дополнения предлагаю ознакомиться с материалом по ссылкам ниже, где Вы найдете необходимую информацию для изучения этого инструмента:

• Host Discovery;
• Output Format Scan;
• Understanding Nmap Packet Trace;
• Nmap Scan with Timing Parameters;
• Nmap Scans using Hex Value of Flags;
• Forensic Investigation of Nmap Scan using Wireshark;
• Understanding Guide for Nmap Timing Scan (Firewall Bypass);
• Understanding Guide for Nmap Ping Scan (Firewall Bypass);
• Comprehensive Guide on Nmap Port Status;
• How to Detect NMAP Scan Using Snort;
• Understanding Guide to Nmap Firewall Scan (Part 2);
• Understanding Guide to Nmap Firewall Scan (Part 1);
• Understanding Nmap Scan with Wireshark;
• Password Cracking using Nmap;
• Vulnerability Scan;
• Network Scanning using NMAP (Beginner Guide);
• MSSQL Penetration Testing using Nmap;
• MySQL Penetration Testing with Nmap.

#ИБ #Eng #Nmap

DevOps and IT Cheat-Sheet Collection.

• Коллекция полезных шпаргалок для DevOps и IT специалистов.

Содержание следующее:

- #Nginx;
- #Docker;
- #Ansible;
- #Python;
- Go (Golang);
- #Git;
- Regular Expression (Regex);
- #PowerShell;
- #VIM;
- #Jenkins;
- Continuous Integration and Continuous Delivery (CI/CD);
- #Kubernetes;
- #Linux;
- Redis;
- Slack;
- Puppet;
- Google Cloud Developer;
- PostgreSQL;
- Ajax;
- Amazon Web Services (AWS).

https://github.com/sk3pp3r/cheat-sheet-pdf

#CheatSheet #DevOps

Attacking Docker.

• Статья включает в себя описание актуальных методов атак на Docker, описание различных уязвимостей и неправильных конфигураций, слабых мест в различных компонентах и другую полезную информацию:

- Privileged Container;
- Exposed Container APIs;
- Container Escape;
- Container Image Tampering;
- Insecure Container Configuration;
- Denial-of-Service (DoS);
- Kernel Vulnerabilities;
- Shared Kernel Exploitation;
- Insecure Container Orchestration;
- Insecure Container Images;
- References.

• https://blog.devsecopsguides.com/attacking-docker

#Docker

👩‍💻 Бесплатная книга Pro Git.

• Git — это одна из систем контроля версий проекта. Она позволяет фиксировать все изменения файлов выбранной директории (проекта) и при желании откатить эти изменения до выбранной версии. Это не единственная система контроля версий, но одна из самых популярных.

• Сегодня поделюсь бесплатной книгой на русском языке, которая содержит в себе 10 глав и несколько приложений:

- Введение;
- Основы Git;
- Ветвление в Git;
- Git на сервере;
- Распределённый Git;
- GitHub;
- Инструменты Git;
- Настройка Git;
- Git и другие системы контроля версий;
- Git изнутри.
- Приложение A: Git в других окружениях;
- Приложение B: Встраивание Git в ваши приложения;
- Приложение C: Команды Git.

• Скачать в удобном формате или читать онлайн: https://git-scm.com/book/ru/v2

#Git

Базовый курс по Git.

• Git: Урок 0. Подготовка и Введение;
• Git: Урок 1. Первый коммит;
• Git: Урок 2. Проверка состояния;
• Git: Урок 3. Индексация файлов;
• Git: Урок 4. История коммитов;
• Git: Урок 5. Git checkout - Назад в будущее;
• Git: Урок 6. Отмена индексированных файлов;
• Git: Урок 7. Revert - Отмена коммита;
• Git: Урок 8. Решение простого конфликта;
• Git: Урок 9. Ветки и их применение;
• Git: Урок 10. Слияние веток и решение конфликтов слияния;
• Git: Урок 11. Rebase vs. Merge - Что такое git rebase?
• Git: Урок 12. Удаленный репозиторий и git clone;
• Git: Урок 13. Загружаем изменения на удаленный репозиторий;
• Git: Урок 14. Обновляем код манерой merge и rebase;
• Git: Урок 15. Что такое Origin и для чего нужен stash?

#Git