-
🔥 Бесплатный курс от Академии Кодебай: «Анализ защищенности веб-приложений»
🛡 Научитесь находить и использовать уязвимости веб-приложений.
🧠 Изучите SQLi, XSS, CSRF, IDOR и другие типовые атаки на практике.
🧪 Погрузитесь в реальные лаборатории и взломайте свой первый сайт!
🚀 Подходит новичкам — никаких сложных предварительных знаний не требуется.Доступ открыт прямо сейчас — Записаться бесплатно
Кибербезопасность
По данным последних исследований IT, каждые четыре секунды в компьютерную сеть компании попадает вредоносная программа и каждые 32 минуты за пределы организации уходит ценная информация. Утерянные данные могут стать источником манипуляций, поэтому так важно выстроить максимально эффективную защиту. Обеспечить информационную безопасность можно сотнями способов, сочетая разные продукты – антивирусы, межсетевые экраны, SSL-сертификаты, разграничение правд доступа, системы защиты от DDoS-атак. Важнейшей стороной информационной безопасности становится определение угроз, а это невозможно без определения объектов защиты. Только поняв, что и от чего мы защищаем, можно выстроить грамотную оборону. Сейчас актуален переход к облачным решениям, которые дают возможность быстро развёртывать системы безопасности, отдавая их управление поставщикам облачных сервисов. В этом разделе собраны актуальные материалы об информационной безопасности от построения информационной защиты до её оптимизации.
Статья ParrotOS | Обзор, Установка, История
Введение
Всем привет, сегодня наша постоянная рубрика "Недодистрибутивы для Пентеста... и не только", на сегодняшнем столе, на обзоре, такой известный дистрибутив как ParrotOS, давайте рассмотрим поподробнее.
ParrotOS - дистрибутив Linux, основан на Debian с упором на компьютерную безопасность. Предназначен для тестирования системы на проникновение, оценки уязвимостей и ликвидации их последствий, компьютерной криминалистики и анонимного просмотра веб-страниц. Но здесь речь идёт про Security edition, разработчики не обделили вниманием и обычных пользователей. Существует выпуск Parrot Home - это дистрибутив, предназначенный для ежедневного использования, её целевой аудиторией являются обычные пользователи, кому нужна легковесная, всегда обновлённая и красивая система на их ноутбуках и рабочих станциях. Но сегодня не о нём...
Всем привет, сегодня наша постоянная рубрика "Недодистрибутивы для Пентеста... и не только", на сегодняшнем столе, на обзоре, такой известный дистрибутив как ParrotOS, давайте рассмотрим поподробнее.
Статья ASM. Секреты эксплуатации структуры PEB
Аббревиатура РЕВ подразумевает «Process Environment Block», или блок окружения исполняемого процесса. Он издавна притягивал взоры исследователей кода, т.к. хранит недоступную с пользовательского уровня, ядерную часть нашей программы. Размер этого блока на 64-битных системах равен
0x380=896 байт, которые описывают 90 полей. В таком пространстве можно спрятать слона, а значит в РЕВ непременно должны существовать интересные значения и ссылки, которые и рассматриваются в данной статье.Оглавление:
1. Вводная часть
2. Сбор информации без вызовов Win32API
3. Потенциальные атаки на консоль
4. Формат структуры KUSER_SHARED_DATA
5. Заключение
1. Вводная часть
Для начала разберёмся, от куда появился и зачем вообще нужен «Блок окружения...
Статья ASM. Путешествие во времени Windows
Одним из многочисленных недостатков Windows является огромный зоопарк форматов времени, с которым поневоле приходится иметь дело прикладным программистам. Как результат, обычная на первый взгляд задача превращается в нетривиальную, с поиском единственной из многочисленных API. В данной статье рассматриваются 7 известных мне типов времени, хотя на полноту изложения материал никак не претендует.
Win32API возвращают время в одном из нескольких форматов. Когда нужно, мы можем использовать специальные функции для преобразования из одного формата в другой, например для сравнения, или отображения на устройствах вывода (окно, консоль, принтер). В следующей таблице обобщены основные из них:
1. Системное время – это текущая дата\время суток по Гринвичу UTC. Его возвращает функция [COLOR=rgb(39, 173...
Статья Создание эффективной системы управления уязвимостями в компании
Привет, Кодебай! В этой статье поделюсь опытом и знаниями построения менеджмента уязвимостей в компании, ведь этот процесс, на мой взгляд, — базис информационной безопасности. В свою очередь более детально вопрос ты можешь изучить на курсе SOC академии Codeby на котором я являюсь куратором.
Предисловие. Почему VM важен?
Первый грейд (уровень) хакера начинается со Script Kiddy, то есть освоения навыка эксплуатации публичных уязвимостей с помощью эксплойтов, опубликованных как в открытом доступе (Metasploit, Github etc), так и написанных самостоятельно.Если вы спросите опытного пентестера (понятие «хакер» больше относится к незаконной деятельности), какие первые шаги он совершает в исследовании инфраструктуры на проникновение, то большая часть скажет, что проверяет объект на наличие публичных уязвимостей и возможность их проэксплуатировать. Это касается и внешней...
Статья Открытый код. Шифруем и расшифровываем данные в любой момент, прячем текст в тексте.
Введение
Рад приветствовать дорогих читателей! В этой статье я продолжаю рубрику “Открытый код”, в которой демонстрирую различные опенсорсные решения для защиты информации или же для помощи в повседневных делах. Я продемонстрирую для вас три инструмента, два из которых помогут зашифровать информацию, а третий поможет её скрыть.Picocrypt “очень маленький, очень простой, очень безопасный”
Что это?
...Статья Методы повышения привилегий в Windows: гайд по Recon
Попали на хост Windows и не знаете, за что зацепиться для повышения привилегий?Забудьте о слепом переборе эксплойтов в надежде на удачу. Повышение привилегий — это не магия, а результат методичного поиска слабых мест. Без качественной разведки вы рискуете упустить простую ошибку в конфигурации, которая и была вашим ключом к SYSTEM.
Эта статья — ваш чек-лист по разведке на Windows-машине. Разбираем, что и где искать: от версий ОС и установленных патчей до уязвимых служб, сохраненных паролей и неправильных разрешений. Всё, чтобы составить полную карту векторов для атаки.
Для всех, кто хочет превратить эскалацию привилегий из случайности в системный процесс. Идеально подходит как для начинающих пентестеров, так и для тех, кто хочет систематизировать свои знания.
Хватит действовать наугад — пора научиться видеть уязвимости!Статья Приоритизация уязвимостей: Методологии и системы оценки
Давайте поговорим о таком процессе как управление уязвимостями и их приоритизации. По данным сайта
только за 2024 год было найдено и зарегистрировано порядка 29 000 новых CVE, а ведь существуют также уязвимости, которым не присвоили идентификатор и их тоже немало.
Конечно же, поставить патчи и тем самым защититься от всех уязвимостей сразу в рамках большой организации не получится. Именно поэтому имеются различные методики приоритизации уязвимостей, с помощью которых их можно разбить на различные уровни критичности, тем самым выявив наиболее опасные. Давайте поскорее познакомимся с некоторыми их существующих стандартов.
1. CVSS (Common Vulnerability Scoring System) – открытый и наверное самый распространенный стандарт оценки уязвимостей. Он используется для...
Конечно же, поставить патчи и тем самым защититься от всех уязвимостей сразу в рамках большой организации не получится. Именно поэтому имеются различные методики приоритизации уязвимостей, с помощью которых их можно разбить на различные уровни критичности, тем самым выявив наиболее опасные. Давайте поскорее познакомимся с некоторыми их существующих стандартов.
1. CVSS (Common Vulnerability Scoring System) – открытый и наверное самый распространенный стандарт оценки уязвимостей. Он используется для...
Hacker Lab
Категории блога
Наши курсы
Наши книги
