Информац. безопасность

По данным последних исследований IT, каждые четыре секунды в компьютерную сеть компании попадает вредоносная программа и каждые 32 минуты за пределы организации уходит ценная информация. Утерянные данные могут стать источником манипуляций, поэтому так важно выстроить максимально эффективную защиту. Обеспечить информационную безопасность можно сотнями способов, сочетая разные продукты – антивирусы, межсетевые экраны, SSL-сертификаты, разграничение правд доступа, системы защиты от DDoS-атак. Важнейшей стороной информационной безопасности становится определение угроз, а это невозможно без определения объектов защиты. Только поняв, что и от чего мы защищаем, можно выстроить грамотную оборону. Сейчас актуален переход к облачным решениям, которые дают возможность быстро развёртывать системы безопасности, отдавая их управление поставщикам облачных сервисов. В этом разделе собраны актуальные материалы об информационной безопасности от построения информационной защиты до её оптимизации.

Школа КАК Я ПРОХОЖУ КУРС WAPT (КВЕСТ В РЕАЛЬНОМ ВРЕМЕНИ)

  • 6 605
  • 19
ПРИВЕТСТВУЮ, ФОРУМЧАНЕ!!

111111.jpg

Решил присесть за перо, чтобы поделиться своим опытом обучения на курсах WAPT от Cobeby. Я не первый и надеюсь не последний, но я сразу поставил себе задачу написать честный и объективный отзыв без приукрас и приуменьшений. Сразу скажу, я не являюсь членом команды Codeby и не ставлю целью разрекламировать курс для привлечения людей, я просто хочу поделиться своими мыслями - как позитивными, так и негативными.

Сегодня 22 декабря 2021 года, я учусь с 8 декабря и начал писать отзыв сейчас, чтобы просто не забыть все аспекты. В процессе написания, я не буду ничего менять, как бы не изменилось мое отношение ко всему происходящему. Хочу сразу предупредить, что в ходе моего повествования не будет никакого раскрытия решений заданий - в этой среде это не приветствуется. Насколько я помню, даже мэтры, которые пишут гайды по прохождению задач с различных...​

Статья По горячим следам: эпизод шесть или как я с костлявой поиграл - дырявый WinRar, BlueKeep, Fake Voice Multi-Tacotron и немного чертовщины: ÿ. & duevile

  • 7 886
  • 17
Пролог и его формальности

BQ8P.gif

Вот здравствуйте, нет, лучше будет написать привет, но это слишком неофициально и неуважительно. Ладно. Проще говоря, я забыл как можно нормально поздороваться, поэтому обойдемся такой вот тщетщиной. Сегодня на повестке дня у нас очередной выпуск из цикла "По горячим следам", здесь вот оставлю ссылки на предыдущие пять частей:

Школа Отзыв о курсе WAPT: особенно касается людей неуверенных в своих собственных силах и новичков

  • 3 191
  • 3
Всем привет, хочу поделиться впечатлениями о прохождении курса WAPT

Немного обо мне

Если говорить о моем опыте в IT то это вышка по КБ, работа сисадмином и разработка ПО. В универе с ИБ дела обстоят плачевно, в студенческие годы моим первым опытом связанным со взломом, это был взлом беспроводных сетей, далее в свободное время смотрел слитые курсы по ИБ, но при виде чьего-нибудь врайтапа о прохождении тачек я вступал в аналитический паралич. Был уже знаком с форумом codeby и увидел у них сравнительно недавно вышедший курс WAPT, почитав о нем и посмотрев отзывы мною было принято решение записаться на него.

Обучение

Тебе выдаются методички, видео материалы и доступ по VPN в лабораторию, где ты будешь решать задания. Решил на минимальный балл задания- тебе предоставляют доступ к следующему блоку курса, также очень круто что есть топ 10...

Статья "Посылаем сигналы пришельцам через radare2". Самая необходимая информация для использования этого фреймворка.

  • 6 194
  • 9

Доброго времени суток, читатели Codeby! 👋

1639688446400.png


Будем честными. В большинстве случаев ревёрсеры используют IDA в качестве дизассемблера. Но что насчёт других дизассемблеров? Можно ли через терминальные отладчики отлаживать программы без проблем? Например, через radere2. В этой статье мы попытаемся ответить на этот вопрос. Также мы узнаем какая необходимая информация нужна для комфортного использования radare2. Всё рассматривать не будем, так как статья станет одеялом

Powerful_Crackme

Для обучения возьмём . Откроем его в radare2.

Проанализируем файл в radare2 через...

Заметка Эпидемия CVE-2021-44228 : Security Advisory и Продукты HCL

  • 3 010
  • 6
Минувшие выходные были веселыми для ряда компаний и отдельных разработчиков.
Случилась эпидемия уязвимости log4j одного из популярнейших фреймворков логирования.
Продукты HCL так же проверяются на наличие уязвимости, размещены две страницы с Knowlege base.
Если ссылки не открываются, то ниже есть адресная строка, надо только убрать _ в https

Общая для всех продуктов, откуда можно посмотреть интересующий:

h_ttp_s://support.hcltechsw.com/csm?id=kb_article&sysparm_article=KB0095490

Конкретная по продуктам около Domino:

h_ttp_s://support.hcltechsw.com/csm?id=kb_article&sysparm_article=KB0095516

Информация на страницах будет обновляться по мере проверки ПО.
Сейчас уже известно что Notes/Designer, Xpage, AppDevPack, Traveler , verse - не затронуты данной уязвимостью.
Тем не менее, если...

Статья Уязвимость CVE-2021-43798

  • 2 222
  • 2
grafana.png


Добрый день , Уважаемые Форумчане и Друзья. На днях была обнаружена уязвимость в платформе Grafana. При эксплуатации она позволяет получить доступ к произвольным файлам сервера. Причиной стала некорректная работа обработчика пути /public/plugins/. Эксплуатация возможна за счёт наличия предустановленных плагинов.

Уязвимыми оказались версии Grafana 5.0.0,8.0.0-beta3,8.0.0-beta1, 8.0.7 , 8.1.8, 8.2.7, 8.3.1
Причём, первые две версии подвержены уязвимостям CVE-2021-43813 и CVE-2021-43815.

Конечно такой уязвимости был присвоен высокий класс опасности.

grafana5.PNG


Попробуем посмотреть насколько просто проэксплуатировать данную уязвимость. Но для начала в поисковике найдём ресурсы с Grafana. Если для поиска воспользоваться ресурсом Fofa, то...

Статья Мамкин хакер тоже может быть угрозой

  • 5 534
  • 13
Недавно мой коллега спросил у меня, а занимался ли я когда-нибудь Red Team’ингом? Я ответил, что «Да», но ничего не сказал конкретного. Вначале написания этой статьи я бы хотел упомянуть, что всё, что вы увидите далее – не имеет призыва к действию и носит только ознакомительный характер. Любая кража - данных, денег или интеллектуальной собственности влечет за собой уголовную ответственность.

Немного о себе. Я работаю инженером кибер безопасности (blue team). Я не занимаюсь профессионально взломом, а лишь изучаю поведение противника, чтобы лучше его узнать. Как хакер я полное дно, это надо понимать, так как просто нет временем и задач на взлом. Я как раз таки «Мамкин хакер». И цель этой статьи показать, что даже мамкин хакер может быть потенциально опасен. Эта лишь один из случаев моей практики по взлому который наглядно показывает, что для того чтобы украсть данные достаточно минимальных знаний и смекалки.

В этой статье не будет ничего про pentest...

Статья Обзор и Оценка GPT-3

  • 3 223
  • 1
Введение:
Недавно OpenAI открыла доступ к GPT-3: достаточно зарегистрироваться, получить API-ключ и начать изучать генерацию.
GPT-3 является алгоритмом обработки естественного языка, это так-же самая большая модель в мире.

План статьи:
1. Регистрация
2. Принцип работы GPT-3.
3. Рассматриваем пример и создаем свой.
4. Создадим свое приложение на python и сделаем вывод.

Регистрация:
К сожалению, регистрация недоступна на территории России, но мы можем это обойти. Подключаемся через VPN, переходим по ссылке . Используем Google аккаунт, после чего нас попросят подтвердить номер. Чтобы не делать этого можно скачать программу TempNumber и получить сообщение на один из его номеров. После регистрации у нас появится ключ, который можно скопировать на ...

Школа Бесплатный курс по пентесту от Школы Кодебай

  • 5 259
  • 9
Запишись на бесплатный вводный видеокурс по пентесту, состоящий из 24 уроков.

Разные инструменты, тактики и навыки:
  • сканирование сети
  • фаззинг, брутфорс
  • сниффинг
  • sql-инъекции
  • mimikatz
  • загрузка полезной нагрузки
  • эксплуатация разных уязвимостей
  • XSS
  • CSRF
  • и немного Reverse-shell
Будет полезен для быстрой подготовки к CTF, а так же для прохождения курсов «SQL Injection Master» и «WAPT».

1638057386243.png

🎓 Хотите освоить базовые навыки работы с SQL?

  • 2 436
  • 0
1636386753799.png


3-месячный онлайн-курс SQL Injection Master позволит вам изучить:

✔️ Внедрение произвольного SQL-кода в уязвимые приложения;
✔️ Поиск уязвимостей в базах данных;
✔️ Базовые навыки работы с SQL.

👍 Курс от Codeby School будет полезен как начинающим специалистам в сфере информационной безопасности, так и новичкам с нуля.

Преимущества онлайн-курса SQL Injection Master:

። Уникальность – у данного курса нет аналогов в СНГ и англоязычном пространстве;
። Максимум практики – выполнение заданий на тестовом стенде и проверка ДЗ;
። Обучение в любое время благодаря методичкам и видеоурокам в записи;
። Обратная связь от других учеников и преподавателя в чате и на форуме;
። Гарантия возврата средств за не пройденные уроки курса.

🔥 Также мы ведем мониторинг успеваемости – в зависимости от вашего рейтинга в таблице вернем вам до 100%...

Codeby Games CTF

Наши курсы

Команда онлайн

Наши книги