-
Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе
Информац. безопасность
По данным последних исследований IT, каждые четыре секунды в компьютерную сеть компании попадает вредоносная программа и каждые 32 минуты за пределы организации уходит ценная информация. Утерянные данные могут стать источником манипуляций, поэтому так важно выстроить максимально эффективную защиту. Обеспечить информационную безопасность можно сотнями способов, сочетая разные продукты – антивирусы, межсетевые экраны, SSL-сертификаты, разграничение правд доступа, системы защиты от DDoS-атак. Важнейшей стороной информационной безопасности становится определение угроз, а это невозможно без определения объектов защиты. Только поняв, что и от чего мы защищаем, можно выстроить грамотную оборону. Сейчас актуален переход к облачным решениям, которые дают возможность быстро развёртывать системы безопасности, отдавая их управление поставщикам облачных сервисов. В этом разделе собраны актуальные материалы об информационной безопасности от построения информационной защиты до её оптимизации.
Заметка Немного о Bug Bounty, SSRF, CRLF и XSS
Привет, Codeby!
Немного о том, как были найдены пара простых уязвимостей в ходе Bug Bounty.
Я решил не соваться на , а зарегистрировался на платформе попроще и поменьше, называется , которая ориентирована на европейские компании. Выбрал цель и в первом же домене, который начал исследовать, нашел уязвимость.
Нашел , на тот момент даже не зная, что это такое.
Как это получилось и почему это заслуживает интереса.
Я просто фаззил сначала директории, потом файлы, потом параметры в URL. Обычно при таком фаззинге выполняются GET-запросы. Если бы я при фаззинге выполнял только GET-запросы, то это ничего мне не дало бы. Не знаю, что меня сподвигло, но я решил пофаззить все тоже самое POST-запросами.
В том месте, где...
Немного о том, как были найдены пара простых уязвимостей в ходе Bug Bounty.
Я решил не соваться на , а зарегистрировался на платформе попроще и поменьше, называется , которая ориентирована на европейские компании. Выбрал цель и в первом же домене, который начал исследовать, нашел уязвимость.
Нашел , на тот момент даже не зная, что это такое.
Как это получилось и почему это заслуживает интереса.
Я просто фаззил сначала директории, потом файлы, потом параметры в URL. Обычно при таком фаззинге выполняются GET-запросы. Если бы я при фаззинге выполнял только GET-запросы, то это ничего мне не дало бы. Не знаю, что меня сподвигло, но я решил пофаззить все тоже самое POST-запросами.
В том месте, где...
Статья Reverse crackme для начинающих [0x03]
🖐 Приветствую всех читателей Codeby.net 🖐
Это продолжение статьи " ". В этой статье мы разберёмся, как работает метод активации , а ещё, как нам активировать его. Это последняя версия из этой серии программ.
Рекомендую , а затем читать статьи про реверс-инжиниринг. Вам будет понятнее.
Нам понадобятся:
Это продолжение статьи " ". В этой статье мы разберёмся, как работает метод активации , а ещё, как нам активировать его. Это последняя версия из этой серии программ.
Рекомендую , а затем читать статьи про реверс-инжиниринг. Вам будет понятнее.
Нам понадобятся:
Статья Reverse crackme для начинающих [0x02]
🖐 Приветствую всех читателей Codeby.net 🖐
Это продолжение статьи "Reverse crackme для начинающих". В этой статье мы разберёмся, как узнать верный пароль для прохождения простого .
Рекомендую , а затем читать статьи про реверс-инжиниринг. Вам будет понятнее.
Нам понадобятся:
Это продолжение статьи "Reverse crackme для начинающих". В этой статье мы разберёмся, как узнать верный пароль для прохождения простого .
Рекомендую , а затем читать статьи про реверс-инжиниринг. Вам будет понятнее.
Нам понадобятся:
Статья Форензика приложений компаний каршеринга
Всем хай!
Сначала думал, что получится большая статья, но сами компании каршеринга в Москве не дали мне этого сделать
Объясню почему; я взял 4 мобильных приложения от "большой четвёрки" каршеринговых компаний Москвы. Хотя, теперь уже не только Москвы, они постепенно расползаются по регионам.
Это Делимобиль, Яндекс драйв, BelkaCar и You Drive (теперь называется Сити Драйв).
Что хотелось выяснить - какую информацию о пользователе и маршруте поездки данные приложения хранят на смартфоне и насколько легко её вытащить.
Методика простая - установка приложений на смартфон, бронирование автомобиля, выполнение одной типовой поездки "по району" и в общем-то всё. Далее, я планировал порыться в папках приложений без снятия физического дампа - фактически на логической копии - а если ничего не найду, то тогда уже снимать физический дамп и ковыряться в нём.
Мои ставки были примерно такие: лучше всех должен быть защищён Яндекс (ну, это же ЯНДЕКС блин), затем Belka (просто у них очень...
Сначала думал, что получится большая статья, но сами компании каршеринга в Москве не дали мне этого сделать
Объясню почему; я взял 4 мобильных приложения от "большой четвёрки" каршеринговых компаний Москвы. Хотя, теперь уже не только Москвы, они постепенно расползаются по регионам.
Это Делимобиль, Яндекс драйв, BelkaCar и You Drive (теперь называется Сити Драйв).
Что хотелось выяснить - какую информацию о пользователе и маршруте поездки данные приложения хранят на смартфоне и насколько легко её вытащить.
Методика простая - установка приложений на смартфон, бронирование автомобиля, выполнение одной типовой поездки "по району" и в общем-то всё. Далее, я планировал порыться в папках приложений без снятия физического дампа - фактически на логической копии - а если ничего не найду, то тогда уже снимать физический дамп и ковыряться в нём.
Мои ставки были примерно такие: лучше всех должен быть защищён Яндекс (ну, это же ЯНДЕКС блин), затем Belka (просто у них очень...
The Standoff 2021
Первый день The Standoff прошел! Значит, что? Значит, пора поговорить о программе второго
Вот что будет в эфире 19 мая:
Подведем итоги первого дня кибербитвы. Узнаем, кто урвал пальму первенства — хакеры или защитники Поговорим об инсайтах и интересных фактах первого дня соревнований вместе с Владимиром Заполянским, Юлией Сорокиной и Алексеем Новиковым Проведем The Standoff Kids — секцию для детей, которым интересна информационная безопасность Мария Сигаева покажет площадку, расскажет о молодых айтишниках: кто они, чего хотят, куда стремятся Антон Куранда, CTO RBK.money и Osnova прокомментирует, как открытость максимизирует безопасность решений Узнаем, почему не стоит бояться открывать свой кодНе пропустите же такое? Подключайтесь к трансляции в 12:00 на сайте Киберполигон The Standoff
#PHDays10 #TheStandoff
