-
Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе
Информац. безопасность
По данным последних исследований IT, каждые четыре секунды в компьютерную сеть компании попадает вредоносная программа и каждые 32 минуты за пределы организации уходит ценная информация. Утерянные данные могут стать источником манипуляций, поэтому так важно выстроить максимально эффективную защиту. Обеспечить информационную безопасность можно сотнями способов, сочетая разные продукты – антивирусы, межсетевые экраны, SSL-сертификаты, разграничение правд доступа, системы защиты от DDoS-атак. Важнейшей стороной информационной безопасности становится определение угроз, а это невозможно без определения объектов защиты. Только поняв, что и от чего мы защищаем, можно выстроить грамотную оборону. Сейчас актуален переход к облачным решениям, которые дают возможность быстро развёртывать системы безопасности, отдавая их управление поставщикам облачных сервисов. В этом разделе собраны актуальные материалы об информационной безопасности от построения информационной защиты до её оптимизации.
Статья Охотник за пользователями WinAPI: hunter
Во время работы Red Team вполне обычным является отслеживание/охота на конкретных пользователей. Предположим, что у нас уже есть доступ к рабочему столу в качестве обычного пользователя (не важно как мы его получили, всегда «предполагаем взлом») в Windows Домене и мы планируем расширить его. Мы хотим знать, где пользователь вошел в систему, если он является локальным администратором в любом поле, к каким группам он принадлежит, есть ли у него доступ к общим папкам файла и т. д. Перечисление хостов, пользователей и групп также поможет лучше понять макет домена.
Скачать Hunter
Возможно, вы думаете, «используйте Powerview». В последнее время одной из наиболее распространенных проблем, с которыми я сталкиваюсь во время упражнений Red Team, является тот...
Soft Crascan .Поиск уязвимостей LFI,RCE,RFI на тестовом ресурсе.
Добрый день,Уважаемые Друзья и Форумчане.
Данный софт был создан автором Arya Narotama.
Crascan предназначен для нахождения у ресурсов следующих уязвимостей:
LFI,RFI,RCE.
Он может искать админ-панели и интересные файлы.
И также обнаруживает Joomla Components и возможные Shell-backdoor.
Установка:
Неплохо сканер справился с поиском файлов,нашёл robots.txt,index.php и др.
Но они не представляли интереса на тестируемом ресурсе.
Единственным полезным файлом оказался sitemap.xml
Где можно понять всю архитектуру сайта.
Обычно за ним охотятся после успешной атаки для его изменения и дополнения в него ссылок (спама).
Дело в том,что эти файлы тесно связаны с индексацией и поисковиками.
Раньше даже был баг в 2017 году,используя который,можно было мгновенно продвинуть любой ресурс в топ.
К сожалению,google заплатил нашедшему...
Данный софт был создан автором Arya Narotama.
Crascan предназначен для нахождения у ресурсов следующих уязвимостей:
LFI,RFI,RCE.
Он может искать админ-панели и интересные файлы.
И также обнаруживает Joomla Components и возможные Shell-backdoor.
Установка:
Код:
# git clone https://github.com/aryanrtm/Crascan.git
# cd Crascan
# chmod +x crascan.sh
# ./crascan.shНо они не представляли интереса на тестируемом ресурсе.
Единственным полезным файлом оказался sitemap.xml
Где можно понять всю архитектуру сайта.
Обычно за ним охотятся после успешной атаки для его изменения и дополнения в него ссылок (спама).
Дело в том,что эти файлы тесно связаны с индексацией и поисковиками.
Раньше даже был баг в 2017 году,используя который,можно было мгновенно продвинуть любой ресурс в топ.
К сожалению,google заплатил нашедшему...
Конкурс [SE] - Социальная инженерия в тестировании на проникновение web приложений.
Статья для участия в конкурсе Тестирование Веб-Приложений на проникновение
Приветствую вас, дорогие форумчане. В связи с началом конкурса, решил и я внести свою лепту, дабы не расслаблялись)
Статья написана с целью заполнения у многих пробелов в данном векторе. Эта статья послужит не только хорошим методическим материалом, но и поможет вам не попадаться на уловки злоумышленников.
Прошу обратить ваше внимание на то, что все совпадения случайны! Все имена и фамилии были придуманы авторами статьи для хорошего объяснения материала.
Заранее благодарю за уделенное внимание.
Что первым приходит на ум, когда речь идет о социальной инженерии?
Наверняка многие сейчас начали вспоминать такую личность, как Кевин Митник и некоторые его деяния, кто-то, возможно, подумал о...
Приветствую вас, дорогие форумчане. В связи с началом конкурса, решил и я внести свою лепту, дабы не расслаблялись)
Статья написана с целью заполнения у многих пробелов в данном векторе. Эта статья послужит не только хорошим методическим материалом, но и поможет вам не попадаться на уловки злоумышленников.
Прошу обратить ваше внимание на то, что все совпадения случайны! Все имена и фамилии были придуманы авторами статьи для хорошего объяснения материала.
Заранее благодарю за уделенное внимание.
Что первым приходит на ум, когда речь идет о социальной инженерии?
Наверняка многие сейчас начали вспоминать такую личность, как Кевин Митник и некоторые его деяния, кто-то, возможно, подумал о...
Статья [0x04] Исследуем Portable Executable [Создаём программу без компилятора (часть 2)]
Доброго времени суток, друзья. В прошлой статье, мы начали создавать простейший исполняемый модуль (.exe файл) в hex-редакторе и полностью заполнили заголовки. В этой статье, мы закончим работу над нашим исполняемым файлом и получим работоспособную программу. Приступим!
Выравнивание начала секций
В прошлой статье мы заполнили заголовки, ну а в этой мы заполним секции. Как мы договорились в прошлой статье, всего у нас будет 3 секции, а именно:
- .text - секция кода
- .idata - секция импорта
- .data - секция данных
Статья Лучшие приложения для шифрования ваших файлов перед загрузкой в облако
Большинство провайдеров облачных хранилищ и
, таких как Google Диск, Dropbox, Box и Microsoft OneDrive, предлагают некоторый уровень шифрования - по сути, скремблируют содержимое загруженных вами файлов. Для их раскодирования требуется ключ шифрования. Большинство провайдеров облачных хранилищ сами хранят ключ шифрования, вместо того, чтобы предоставить его пользователю и, таким образом, требуют от него или нее слепого доверия к тому, что компания не будет злоупотреблять доступом к вашим файлам, не допустит утечки данных ключа для хакеров или не передаст его отслеживающим органам государственной власти. Кроме того, любой, у кого есть физический доступ к вашему телефону или ноутбуку, может легко попасть в файлы в облаке, потому что большинство этих служб по умолчанию оставляют вас залогиниными в системе.
Несколько компаний облачного резервного копирования, таких как iDrive, позволяют пользователю...
Несколько компаний облачного резервного копирования, таких как iDrive, позволяют пользователю...
Конкурс IN DATA WE TRUST применяем публичные данные для атаки
Благодаря взрывному развитию информационных технологий и в частности интернета, объем данных создаваемый каждым человеком стал действительно колоссальным, и большинство этой информации разбросанно по всему миру, хранится в виде нулей и единиц, в огромных ангарах калифорнийской пустыни и на жестком диске в компьютере пекинской домохозяйки. Понимая ценность данных, правительства разных стран приняли законы о хранение личной информации граждан в пределах страны, что говорит о ценности этой информации, но казалось бы какое кому дело до ваших геотегов, поисковых запросов или объявлениях о продаже котят? Но сегодня рассмотрим все что можно выжать из чекина в старбаксе на улице Ленина 15, вашего мейла на...
Конкурс Самый главный хакер в мире [ Массовый взлом mysql ]
Самый главный хакер в мире
Скажите как его зовут???
БУ -РА -ТИ-НО! Почти угадали )
Это GOOGLE !!!
Да-да друзья, всем известный поисковик, и есть самый главный и крутой хакер )
Большинство из вас уже давно знают про такую вещь как гугл хакинг.
Гугл может, Гугл может все, что угодно,
Плавать брассом, спорить басом, дрова рубить!
Гугл может, Гугл может все, что угодно,
Ломать сайты, сливать базы - не может быть!?
Может-может, ещё как...
И кто же это такой крутой хакер? Кто же этот легендарный неуловимый Джо?Скажите как его зовут???
БУ -РА -ТИ-НО! Почти угадали )
Это GOOGLE !!!
Да-да друзья, всем известный поисковик, и есть самый главный и крутой хакер )
Большинство из вас уже давно знают про такую вещь как гугл хакинг.
Гугл может, Гугл может все, что угодно,
Плавать брассом, спорить басом, дрова рубить!
Гугл может, Гугл может все, что угодно,
Ломать сайты, сливать базы - не может быть!?
Может-может, ещё как...
Конкурс Распил SDK сканера отпечатков пальцев Bio Link fs80
"Статья для участия в конкурсе Тестирование Веб-Приложений на проникновение"
Предыстория
Безопасность данных всегда была, есть, и остается больной темой для всех людей и айтишников. Говорить по данной тематике можно бесконечно, иначе говоря от слов к делу. В недалёком 2014 году, когда учился на 5 курсе речь зашла о дипломе и практических навыках, полученных за всё обучение. Почему остановился на разработке, да ещё и связанной с биометрией, ответ прост – были наработки. Целью работы являлось – реализовать ПО для получения биометрических данных, иначе говоря – конечная задача свелась к получению картинки с специальными точками, по которым производится идентификация.
Что бы реализовать ПО выделил для себя основные моменты:
- минимизировать число необходимых процедур и функций, для увеличения быстродействия и удобства дальнейшего...
Статья Введение в информационную безопасность («cyber» и и все такое ...)
Вот я и вернулся, [надеюсь время будет еще)]
ПС.. этот пост я хотел написать почти год назад и опять пропал)))))))
Давно меня тут не было, было много личных дел, проблем и много работы, но я вернулся,
Возврашатся конечно же было "трудно" надо было прочитать или хотябы ознакомится с названием тем, корорые были не тронуты с моего прошлого визита, а это было в прошлом году то)
Во время этого процеса нашлось пару интересных тем
Заливка WEB-Shell WSO на уязвимые сайты. Для новичков )) вспомнилась одна очень хорошая програмка )))))
Уроки по Burp Suite Pro Часть 1.1. Лаборатория судя по названию можно уыидеть чтото интересно, но увы просто туториал как настроить пару виртуалок (ИМХО для отдельной темы на мой взгляд не годно, тольео при условии что будет дальше разжовывать burpsuite и пополнять...
ПС.. этот пост я хотел написать почти год назад и опять пропал)))))))
Давно меня тут не было, было много личных дел, проблем и много работы, но я вернулся,
Возврашатся конечно же было "трудно" надо было прочитать или хотябы ознакомится с названием тем, корорые были не тронуты с моего прошлого визита, а это было в прошлом году то)
Во время этого процеса нашлось пару интересных тем
Заливка WEB-Shell WSO на уязвимые сайты. Для новичков )) вспомнилась одна очень хорошая програмка )))))
Уроки по Burp Suite Pro Часть 1.1. Лаборатория судя по названию можно уыидеть чтото интересно, но увы просто туториал как настроить пару виртуалок (ИМХО для отдельной темы на мой взгляд не годно, тольео при условии что будет дальше разжовывать burpsuite и пополнять...
Конкурс По тематике "Тестирование Веб-Приложений на проникновение"
Конкурс приурочен к старту одноименного курса Курс "Тестирование Веб-Приложений на проникновение с нуля" - codeby web-security
- Для участия в конкурсе надо опубликовать авторскую статью в разделе Этичный хакинг и тестирование на проникновение и выбрать префикс "Конкурс"
- Скопируйте и вставьте в начало своей статьи этот текст: "Статья для участия в конкурсе Тестирование Веб-Приложений на проникновение"
- Конкурс стартует сразу с момента...
Hacker Lab
Категории блога
Наши курсы
Наши книги
