Кибербезопасность
По данным последних исследований IT, каждые четыре секунды в компьютерную сеть компании попадает вредоносная программа и каждые 32 минуты за пределы организации уходит ценная информация. Утерянные данные могут стать источником манипуляций, поэтому так важно выстроить максимально эффективную защиту. Обеспечить информационную безопасность можно сотнями способов, сочетая разные продукты – антивирусы, межсетевые экраны, SSL-сертификаты, разграничение правд доступа, системы защиты от DDoS-атак. Важнейшей стороной информационной безопасности становится определение угроз, а это невозможно без определения объектов защиты. Только поняв, что и от чего мы защищаем, можно выстроить грамотную оборону. Сейчас актуален переход к облачным решениям, которые дают возможность быстро развёртывать системы безопасности, отдавая их управление поставщикам облачных сервисов. В этом разделе собраны актуальные материалы об информационной безопасности от построения информационной защиты до её оптимизации.
Статья Организация перевода AWAE 2020/2021
Всем привет!
Решили заняться переводом AWAE 2020 если у кого-то есть версия 2021 просим поделиться, если PDF не биты будем переводить его.
Всех желающих просьба отписаться в комментах. Позднее будут выложены ресурсы для организованного перевода. Гайдлай, доска и гит.
Решили заняться переводом AWAE 2020 если у кого-то есть версия 2021 просим поделиться, если PDF не биты будем переводить его.
Всех желающих просьба отписаться в комментах. Позднее будут выложены ресурсы для организованного перевода. Гайдлай, доска и гит.
Статья (RCE) Flask + Werkzeug генерируем куку на основе PIN кода
Предисловие и карма
Впервые, с задачей генерации PIN кода я столкнулся во время прохождения лаборатории у Offensive, за день перед экзаменом OSCP. Мне было жутко лень решать машину Reconstruction, так как за спиной было много проделанной работы и я был почти уверен, что сдам экзамен, но на душе оставалось ощущение, что с данной задачей я еще встречусь. Так и произошло. В ходе противостояния The Standoff было не менее 5 машин, точкой входа для которых как раз была генерация PIN и удаленное выполнение Python кода через консоль Debug мода.
В процессе противостояния The Standoff данный вектор пыталось эксплуатировать множество команд, что привело к постоянной блокировке панели ввода PIN кода. Основная задача была – найти способ обойти ограничения на количество неудачных попыток ввода PIN кода, что удалось сделать моему коллеге.
Генерация PIN...
Немного о Bug Bounty, SSRF, CRLF и XSS
Привет, Codeby!
Немного о том, как были найдены пара простых уязвимостей в ходе Bug Bounty.
Я решил не соваться на , а зарегистрировался на платформе попроще и поменьше, называется , которая ориентирована на европейские компании. Выбрал цель и в первом же домене, который начал исследовать, нашел уязвимость.
Нашел , на тот момент даже не зная, что это такое.
Как это получилось и почему это заслуживает интереса.
Я просто фаззил сначала директории, потом файлы, потом параметры в URL. Обычно при таком фаззинге выполняются GET-запросы. Если бы я при фаззинге выполнял только GET-запросы, то это ничего мне не дало бы. Не знаю, что меня сподвигло, но я решил пофаззить все тоже самое POST-запросами.
В том месте, где...
Немного о том, как были найдены пара простых уязвимостей в ходе Bug Bounty.
Я решил не соваться на , а зарегистрировался на платформе попроще и поменьше, называется , которая ориентирована на европейские компании. Выбрал цель и в первом же домене, который начал исследовать, нашел уязвимость.
Нашел , на тот момент даже не зная, что это такое.
Как это получилось и почему это заслуживает интереса.
Я просто фаззил сначала директории, потом файлы, потом параметры в URL. Обычно при таком фаззинге выполняются GET-запросы. Если бы я при фаззинге выполнял только GET-запросы, то это ничего мне не дало бы. Не знаю, что меня сподвигло, но я решил пофаззить все тоже самое POST-запросами.
В том месте, где...
Статья Reverse crackme для начинающих [0x03]
🖐 Приветствую всех читателей Codeby.net 🖐
Это продолжение статьи " ". В этой статье мы разберёмся, как работает метод активации , а ещё, как нам активировать его. Это последняя версия из этой серии программ.
Рекомендую , а затем читать статьи про реверс-инжиниринг. Вам будет понятнее.
Нам понадобятся:
Это продолжение статьи " ". В этой статье мы разберёмся, как работает метод активации , а ещё, как нам активировать его. Это последняя версия из этой серии программ.
Рекомендую , а затем читать статьи про реверс-инжиниринг. Вам будет понятнее.
Нам понадобятся:
Статья Reverse crackme для начинающих [0x02]
🖐 Приветствую всех читателей Codeby.net 🖐
Это продолжение статьи "Reverse crackme для начинающих". В этой статье мы разберёмся, как узнать верный пароль для прохождения простого .
Рекомендую , а затем читать статьи про реверс-инжиниринг. Вам будет понятнее.
Нам понадобятся:
Это продолжение статьи "Reverse crackme для начинающих". В этой статье мы разберёмся, как узнать верный пароль для прохождения простого .
Рекомендую , а затем читать статьи про реверс-инжиниринг. Вам будет понятнее.
Нам понадобятся:
Статья Форензика приложений компаний каршеринга
Всем хай!
Сначала думал, что получится большая статья, но сами компании каршеринга в Москве не дали мне этого сделать
Объясню почему; я взял 4 мобильных приложения от "большой четвёрки" каршеринговых компаний Москвы. Хотя, теперь уже не только Москвы, они постепенно расползаются по регионам.
Это Делимобиль, Яндекс драйв, BelkaCar и You Drive (теперь называется Сити Драйв).
Что хотелось выяснить - какую информацию о пользователе и маршруте поездки данные приложения хранят на смартфоне и насколько легко её вытащить.
Методика простая - установка приложений на смартфон, бронирование автомобиля, выполнение одной типовой поездки "по району" и в общем-то всё. Далее, я планировал порыться в папках приложений без снятия физического дампа - фактически на логической копии - а если ничего не найду, то тогда уже снимать физический дамп и ковыряться в нём.
Мои ставки были примерно такие: лучше всех должен быть защищён Яндекс (ну, это же ЯНДЕКС блин), затем Belka (просто у них очень...
Сначала думал, что получится большая статья, но сами компании каршеринга в Москве не дали мне этого сделать
Объясню почему; я взял 4 мобильных приложения от "большой четвёрки" каршеринговых компаний Москвы. Хотя, теперь уже не только Москвы, они постепенно расползаются по регионам.
Это Делимобиль, Яндекс драйв, BelkaCar и You Drive (теперь называется Сити Драйв).
Что хотелось выяснить - какую информацию о пользователе и маршруте поездки данные приложения хранят на смартфоне и насколько легко её вытащить.
Методика простая - установка приложений на смартфон, бронирование автомобиля, выполнение одной типовой поездки "по району" и в общем-то всё. Далее, я планировал порыться в папках приложений без снятия физического дампа - фактически на логической копии - а если ничего не найду, то тогда уже снимать физический дамп и ковыряться в нём.
Мои ставки были примерно такие: лучше всех должен быть защищён Яндекс (ну, это же ЯНДЕКС блин), затем Belka (просто у них очень...
