Аудит безопасности

ДИСКЛЕЙМЕР
Данные рукописи являются полным вымыслом автора. Любые совпадения с реальными людьми или уязвимостями — чистая случайность.
Информация предоставлена только для образовательных целей. Любое повторение прочитанного в реальном мире, приведёт вас к неминуемым проблемам с законом.

Нажмите, чтобы раскрыть...

Лирическое отступление
Вавилен был доволен своим рабочем местом в конторе. Он зарабатывал деньги себе и своему начальству, которое предоставляло для этого инфраструктуру. Но в один момент, начальство, очередной раз заработав на труде Вавилена, решает с ним не делиться. Они теряют ценного сотрудника и получают обманутого человека, который жаждет возмездия.

Постановка цели
После ухода...

И ещё раз здравия всем, дамы и господа. Вторая встреча, да так скоро? Чудо, не иначе. Но сейчас не об этом, а об SMTP. А при чём тут, казалось бы, smtp, ведь речь об уязвимых протоколах, а этот используется даже самыми защищёнными серверами в мире. Разумеется, при условии, что у них есть функционал почтового сервера. Да, конечно, его используют все, как и BGP, прошу не забывать (о нём была предыдущая статья).

Что ж, наш спринт продолжается, 2 статья – SMTP.




Ну, я уже частично проспойлерил, что это что-то связанное с почтой, хотя уверен, вы и сами это знали. Краткий экскурс в историю и пойдём дальше.

Этот протокол почти так же стар как и сам интернет, что уж там говорить, если корнями он уходит к программам Mail Box Protocol и SNDMSG, которые работали ещё во времена арпанета, в 70-е. Потом почту пытались передавать через FTP, выходил достаточно...

Дисклеймер

Никого ни к чему не призываю. Все совпадения с реальностью вымышлены. Данные собраны с целью исследования на тестовых площадках. Материал предоставлен только для ознакомления.

Лаборатория для исследований

1. VPS c ubuntu server на борту и статическим IP
2. Домен для удобства
3. DNSChief
4. Grafana + promtail + Loki (чтоб мы могли работать с нашими данными в GUI через браузер)
5. Docker-compose

---

Что будем делать

Перехватывать доменные адреса, на которые переходит жертва и...

Дисклеймер

Вся представленная информация размещена исключительно в образовательных и исследовательских целях. Автор не рекомендует использовать полученные знания для взлома, нанесения вреда или ущерба. Будьте благоразумны и не нарушайте законы.

Резюме

Различные приложения уже давно слились с нашей повседневностью. В них наши персональные,банковские,личные и другие данные, и их утечка может обойтись очень дорого.

В этой статье я затрону насколько плохим может быть отношение к безопасности на примере довольно крупной компании в СНГ по доставке азиатской пищи. Пытаюсь зарепортить уязвимости. Описываю доказательство концепции. Надеюсь, статья будет интересна для вас.

Введение...

Открыта вакансия в ООО «Кодебай»

Приглашаем Pre-sales инженера (направление pentest)

⦁ Полная занятость;
⦁ Удаленная работа;
⦁ ЗП на испытательный срок 80.000 руб + % с заказа;
⦁ ЗП после испытательного срока 250.000 руб + % с заказа.

Позиция отвечает за технические аспекты продвижения, продажи и поддержки проектов по анализу защищенности.

Мы предлагаем:

- Белая заработная плата и квартальная премия (на основе выполнения KPI)
- Оплата курсов повышения квалификации, профессиональных сертификаций

Обязанности:

- Разъяснение и консультирование по актуальным проблемам, угрозам и рискам кибербезопасности
- Выявление, уточнение и детализация существующих задач и потребностей заказчиков
- Обработка информации полученной от заказчиков.
- Консультации по видам и типам анализов защищенности, конкурентные сравнения

[COLOR=rgb(243, 121...