Кибербезопасность
По данным последних исследований IT, каждые четыре секунды в компьютерную сеть компании попадает вредоносная программа и каждые 32 минуты за пределы организации уходит ценная информация. Утерянные данные могут стать источником манипуляций, поэтому так важно выстроить максимально эффективную защиту. Обеспечить информационную безопасность можно сотнями способов, сочетая разные продукты – антивирусы, межсетевые экраны, SSL-сертификаты, разграничение правд доступа, системы защиты от DDoS-атак. Важнейшей стороной информационной безопасности становится определение угроз, а это невозможно без определения объектов защиты. Только поняв, что и от чего мы защищаем, можно выстроить грамотную оборону. Сейчас актуален переход к облачным решениям, которые дают возможность быстро развёртывать системы безопасности, отдавая их управление поставщикам облачных сервисов. В этом разделе собраны актуальные материалы об информационной безопасности от построения информационной защиты до её оптимизации.
Статья OWASP TOP 10: главные уязвимости веб-приложений и как от них защититься
OWASP Top 10: ваш гид по уязвимостям веб-приложенийИнтересуетесь безопасностью веб-приложений? OWASP Top 10 — фундаментальный документ для каждого специалиста, позволяющий выявлять и предотвращать критические уязвимости. Понимание этого списка ключ к созданию надежных онлайн-ресурсов.
Узнайте о десяти самых распространенных уязвимостях 2021 года, включая Broken Access Control, Cryptographic Failures и Injection. Мы покажем, как работают эти угрозы и предложим эффективные методы защиты, которые помогут вам повысить безопасность любых веб-проектов.
Для разработчиков и специалистов по безопасности, желающих углубить знания о защите веб-приложений от актуальных киберугроз.Как теперь скачать IDA?
Всем салют!
Сегодня мы с вами разберёмся, как же теперь скачать IDA. Разбор будет на Free-версии. Платные IDA нужно скачивать по такой же схеме, но уже, естественно, заплатив.
Раньше загружать Free-версию можно было с официального сайта бесплатно прямо на ПК, без смс, регистрации, вирусов и прочего
Теперь же нам нужно зарегистрироваться, создать именную лицензию, а затем скачать саму IDA и активировать в ней ключ.Сначала нужно будет зарегистрироваться на официальном сайте и уже затем переходить в центр загрузок. Для регистрации и последующего входа в аккаунт нужен только Email, на который приходит код подтверждения.
Но перед загрузкой нужно будет "приобрести" лицензию в Shop. Вводить данные карты и прочее не нужно, просто генерируем рандомный адрес в желаемой стране в Billing Information. Для этого есть множество сайтов на подобие этого. Лучше выбирать лицензию длительностью сразу на 3 года.
Статья Фаззинг веб-ресурсов: методология поиска уязвимостей
Безопасность веб-ресурсов: как выявить уязвимости с помощью фаззинга!Интересуетесь безопасностью веб-ресурсов? Не уверены, с чего начать? Эффективные специалисты начинают с освоения методологий тестирования. Фаззинг — ваш ключ к быстрому выявлению потенциальных проблем и оттачиванию навыков.
Узнайте, как начать применять методологию фаззинга для веб-ресурсов, погрузиться в мир тестирования и превратить теорию в реальные умения. Покажем, где брать информацию, как развиваться и почему это лучший старт для специалиста по безопасности. Только проверенные методы и полезные инструменты для будущих экспертов!
Для всех, кто хочет перейти от интереса к безопасности веб-ресурсов к первым победам и профессиональному росту.Статья Один раз написать, сто раз опубликовать. Как неосторожный copy paste редактора может повлиять на смысл статьи, которая будет многократно опубликована
Хочу поделиться с вами интересной статьей из серии «один таксист мне рассказал, а ему дядя рассказывал — он врать не будет, у него глаза честные».
Это статья — результат аналитической работы и размышлений. Однако, учитывая мой недосып, возможно всё это мне просто приснилось.
Выводы делайте сами.
Intro:
У меня были прекрасные учителя, и я учился у лучших. Благодарю их за это. Они научили меня эффективно работать с информацией и зреть в корень.
Третьего дня наткнулся на статью Whispers of Atlantida: Safeguarding Your Digital Treasure
Прекрасная статья о стиллере, который использует уязвимость нулевого дня ZDI-CAN-24433. Через эту уязвимость проводятся цепочки атак с использованием CVE-2024-38112.
Особенно интересно то, что многие известные организации перевели и опубликовали эту статью без тщательной проверки фактов.
Если более внимательно прочитать статью на английском, авторы пишут...
Atlantida campaign...
Это статья — результат аналитической работы и размышлений. Однако, учитывая мой недосып, возможно всё это мне просто приснилось.
Выводы делайте сами.
Intro:
У меня были прекрасные учителя, и я учился у лучших. Благодарю их за это. Они научили меня эффективно работать с информацией и зреть в корень.
Третьего дня наткнулся на статью Whispers of Atlantida: Safeguarding Your Digital Treasure
Прекрасная статья о стиллере, который использует уязвимость нулевого дня ZDI-CAN-24433. Через эту уязвимость проводятся цепочки атак с использованием CVE-2024-38112.
Особенно интересно то, что многие известные организации перевели и опубликовали эту статью без тщательной проверки фактов.
Если более внимательно прочитать статью на английском, авторы пишут...
Atlantida campaign...
Hackerlab 👾 Где практиковаться этичному хакингу?
HackerLab предлагает тебе уникальную возможность отточить свои навыки пентеста, решая задачи, приближенные к боевым:
- Более 50 уязвимых машин на Windows и Linux
- Более 300 CTF заданий
- Регулярные обновления
- Самое отзывчивое комьюнити
Web-эксплуатация
Криптография
Форензика
OSINT🖼 Стеганография
PWN
Реверс-инжиниринг🎟 Active Directory
Присоединяйся к HackerLab и окунись в мир инфобеза уже сегодня!
CTF Реверсинжиниринг PWN-тасков или эксплуатируем бинарные уязвимости (Часть 4 / Stack3)
Всем доброго времени суток! Набираем обороты... Сегодня мы будем 'пывнить" stack3.exe (ссылочка на файл, как обычно, на Github).
Часть 3
Часть 2
Часть 1
Анализируем...
Получаем декомпилированный код. Нас встречает все тот же массив из 64-х байт. Небезопасная функция gets(). Функция gets() считывает строку символов из стандартного потока ввода (stdin) и помещает ее в массив local_54. Также в коде есть указатель (local_14) на функцию и проверка (if), не является ли local_14 - NULL. Т.е. если мы "перезапишем" local_14, то попадем в ветку THEN и получим сообщение "calling function pointer, jumping to...", а также...
Часть 3
Часть 2
Часть 1
Stack3
Закидываем в Ghidra:
Анализируем...
Получаем декомпилированный код. Нас встречает все тот же массив из 64-х байт. Небезопасная функция gets(). Функция gets() считывает строку символов из стандартного потока ввода (stdin) и помещает ее в массив local_54. Также в коде есть указатель (local_14) на функцию и проверка (if), не является ли local_14 - NULL. Т.е. если мы "перезапишем" local_14, то попадем в ветку THEN и получим сообщение "calling function pointer, jumping to...", а также...
Статья Тестирование REST API на безопасность: практический кейс
Приветствую всех читателей форума.
Сегодня я буду тестировать инстанс одного интересного приложения под названием "Vampi", любезно предоставленным @szybnev.
Приложение включает в себя уязвимости из OWASP API Security Top 10.
В статье будут подсвечены такие действия как:
- Чрезмерная уязвимость данных
- Несанкционированная смена пароля
- Mass Assigment
- SQL инъекция
- Неработающая авторизация на уровне объекта
Начинаем с разведки, сканируем приложение с помощью сканера Nuclei и находим там интересный файл:
Открыв его мы понимаем какие у нас есть эндпоинты и куда мы можем обращаться.
Основные ручки за которые мы будем дергать это :
/users/v1/_debug
/users/v1/login
/users/v1/register...