-
🔥 Бесплатный курс от Академии Кодебай: «Анализ защищенности веб-приложений»
🛡 Научитесь находить и использовать уязвимости веб-приложений.
🧠 Изучите SQLi, XSS, CSRF, IDOR и другие типовые атаки на практике.
🧪 Погрузитесь в реальные лаборатории и взломайте свой первый сайт!
🚀 Подходит новичкам — никаких сложных предварительных знаний не требуется.Доступ открыт прямо сейчас — Записаться бесплатно
Кибербезопасность
По данным последних исследований IT, каждые четыре секунды в компьютерную сеть компании попадает вредоносная программа и каждые 32 минуты за пределы организации уходит ценная информация. Утерянные данные могут стать источником манипуляций, поэтому так важно выстроить максимально эффективную защиту. Обеспечить информационную безопасность можно сотнями способов, сочетая разные продукты – антивирусы, межсетевые экраны, SSL-сертификаты, разграничение правд доступа, системы защиты от DDoS-атак. Важнейшей стороной информационной безопасности становится определение угроз, а это невозможно без определения объектов защиты. Только поняв, что и от чего мы защищаем, можно выстроить грамотную оборону. Сейчас актуален переход к облачным решениям, которые дают возможность быстро развёртывать системы безопасности, отдавая их управление поставщикам облачных сервисов. В этом разделе собраны актуальные материалы об информационной безопасности от построения информационной защиты до её оптимизации.
Статья RCE в Jenkins
Всем Салам. Очень давно не писал, но недавно во время пентеста столкнулся с одной интересной уязвимостью, которую пофиксили только в этом месяце и очень многие компании, которые используют данный продукт уязвимы к RCE (удаленному выполнению кода).
Говорим мы про, всем известный, Jenkins. Нашел эту уязвимость СTFер и багхантер - и поэтому технические моменты, и анализировать код мы не будем, если интересен детальный разбор кода, то уже можете ознакомиться у него на блоге.
Немного теории.
Вся проблема из-за того что у Groovy, есть дополнительная вспомогательная функция Grab, помогающая программистам импортировать библиотеки, которых нет в classPath. Из-за этого у нас получается скомпилить свою небольшую библиотеку указать Grab путь к нему,
а внутри библиотеки уже наш реверс шел, который выполняется на сервере жертвы при импорте. Перейдем к формированию нашей библиотеки.
[COLOR=rgb(44...
Говорим мы про, всем известный, Jenkins. Нашел эту уязвимость СTFер и багхантер - и поэтому технические моменты, и анализировать код мы не будем, если интересен детальный разбор кода, то уже можете ознакомиться у него на блоге.
Немного теории.
Вся проблема из-за того что у Groovy, есть дополнительная вспомогательная функция Grab, помогающая программистам импортировать библиотеки, которых нет в classPath. Из-за этого у нас получается скомпилить свою небольшую библиотеку указать Grab путь к нему,
а внутри библиотеки уже наш реверс шел, который выполняется на сервере жертвы при импорте. Перейдем к формированию нашей библиотеки.
[COLOR=rgb(44...
10 лучших бесплатных TFTP серверов для Windows, Linux и Mac
TFTP имеет решающее значение для поддержки исправлений и конфигураций встроенных устройств и будет существовать еще долгое время. Данный протокол часто встречается в таких устройствах, как маршрутизаторы, медиа-стримеры и мобильные телефоны. Это основной способ, которым файлы микропрограммного обеспечения отправляются на эти устройства для обновления или исправления. TFTP не подходит для использования через Интернет из-за недостаточной безопасности. FTP более распространен для использования через Интернет, и более безопасный SFTP становится все более популярным для...
Статья ARP заражение и спуфинг: обнаружения и предотвращения
Заражение протокола разрешения адресов (Address Resolution Protocol (ARP)) - это атака, которая включает в себя отправку поддельных сообщений ARP по локальной сети. Она также известна как ARP спуфинг, отравление/заражение ARP и отравление/заражение кэша ARP.
Эти атаки пытаются перенаправить трафик с первоначально запланированного хоста на злоумышленника. ARP отравление делает это, связывая адрес Media Access Control (MAC) злоумышленника с IP-адресом цели. Это работает только против сетей, которые используют ARP.
ARP отравление - это тип атаки «человек посередине» (man-in-the-middle), который может использоваться для остановки сетевого трафика, его изменения или перехвата. Данная техника часто используется, чтобы инициировать дальнейшие наступательные действия, такие как перехват сеанса или DoS атака (denial-of-service).
Что такое протокол разрешения адресов (Address Resolution Protocol...
Netflow (сетевой поток) vs sFlow: какая между ними разница и какой из них лучше?
Сэм открывает панель анализатора и просматривает круговые диаграммы, графики и другие индикаторы, которые суммируют текущий трафик и его историю по всей сети организации. С помощью нескольких кликов Сэм тщательно изучает данные, обнуляя основную причину всплеска трафика. Сэм сможет исправить эту ситуацию до того, как начнут поступать первые жалобы - «Почему сеть такая медленная?». Затем, кофе.
Современные организации зависят от своей сложной высокопроизводительной сети, поэтому мониторинг и анализ трафика стали...
Sitadel Web Application Security Scanner
Добрый день,Уважаемые Друзья и Форумчане.
Сегодняшний обзор будет о небольшом инструменте,который умеет проводить аудит сайтов.
За эти дни много инструментов протестировал,но остался ими недоволен,только время потерял.
Если уж и делиться с вами своими впечатлениями,то это от теста тех утилит,которые приносят наглядную результативность.
Знакомьтесь, это Web Application Security Scanner под названием Sitadel.
Создал его Shenril из Японии.
Sitadel совместим для работы с версией python3
Затаскивать его будем на Kali Linux, поэтому установка немного будет отличаться от указанной на странице автора.
Установка:
Инструмент проводит следующие
Сегодняшний обзор будет о небольшом инструменте,который умеет проводить аудит сайтов.
За эти дни много инструментов протестировал,но остался ими недоволен,только время потерял.
Если уж и делиться с вами своими впечатлениями,то это от теста тех утилит,которые приносят наглядную результативность.
Знакомьтесь, это Web Application Security Scanner под названием Sitadel.
Создал его Shenril из Японии.
Sitadel совместим для работы с версией python3
Затаскивать его будем на Kali Linux, поэтому установка немного будет отличаться от указанной на странице автора.
Установка:
Код:
# git clone https://github.com/shenril/Sitadel.git
# cd Sitadel/
# chmod +x setup.py
# chmod +x sitadel.py
# python setup.py install
# pip3 install .
# python3 sitadel.py --help -команда запуска с выводом справкиInjection
HTML Injection
SQL Injection
LDAP Injection
XPath Injection...
HTML Injection
SQL Injection
LDAP Injection
XPath Injection...
Статья [2] Burp Suite: Атаки с помощью Intruder
Привет форуму и его жителям. Продолжаем цикл статей о Burp Suite, сразу перейдём к делу.
Отсылка к предыдущим частям:
Отсылка к предыдущим частям:
- [0] Burp Suite. Тестирование web-приложений на проникновение
- [1] Burp Suite. Знакомство с основным инструментарием
Статья Миниатюрная сотовая станция на базе LimeSDR Mini и Orange Pi Zero
Добрейший вечерочек. Хотел бы обратить ваше внимание на насущную тему сотового фрикинга и того, каким он может стать в будущем (уже стал?). Лично для меня "Атака с помощью карманной сотовой станции" звучит из ряда вон по киберпанковски. Но современные одноплатники вкупе с SDR позволяют создавать миниатюрные сотовые станции всех поколений (2g/ 3g/ 4g), телевизионные вышки, электронные отмычки и много чего ещё.
Я же в этом треде хочу рассказать о сборке мини-сотовой станции 2G на базе LimeSDR-Mini и Orange Pi Zero. Почему не 3G и не 4G? Потому что мы не сможем подключиться к такой сети без собственной запрограмированной сим-карты. Защита в сетях последнего поколения требует, что бы в телефоне была симка с криптографическим ключом именно от этой сети. А так как сейчас на руках у меня не оказалось ни пустых симок, ни программатора, то придётся отложить эту затею на...
Я же в этом треде хочу рассказать о сборке мини-сотовой станции 2G на базе LimeSDR-Mini и Orange Pi Zero. Почему не 3G и не 4G? Потому что мы не сможем подключиться к такой сети без собственной запрограмированной сим-карты. Защита в сетях последнего поколения требует, что бы в телефоне была симка с криптографическим ключом именно от этой сети. А так как сейчас на руках у меня не оказалось ни пустых симок, ни программатора, то придётся отложить эту затею на...
Статья Атака через фейковое обновление: разбираем MITM на классическом примере
Привет, codeby.net!
Эта статья посвящена теме, которая давно не дает мне покоя, — фейковым обновлениям ПО. Меня в целом захватывает мир атак типа , особенно их реализация внутри локальной сети. И подмена обновлений — один из самых коварных векторов. Года полтора назад я наткнулся на фреймворк Evilgrade и загорелся идеей понять его механику. Первая попытка разобраться с наскока провалилась, и я, честно говоря, забил. Но сегодня я вернулся к этой теме, и на этот раз добился результата.
Сразу оговорюсь: это не пошаговая инструкция для взлома. Моя цель — разобрать методологию атаки, показать ее внутреннюю кухню на простом и наглядном примере. Суть материала — продемонстрировать, как это работает...
Hacker Lab
Категории блога
Наши курсы
Наши книги
