-
15 апреля стартует «Курс «SQL-injection Master» ©» от команды The Codeby
За 3 месяца вы пройдете путь от начальных навыков работы с SQL-запросами к базам данных до продвинутых техник. Научитесь находить уязвимости связанные с базами данных, и внедрять произвольный SQL-код в уязвимые приложения.
На последнюю неделю приходится экзамен, где нужно будет показать свои навыки, взломав ряд уязвимых учебных сайтов, и добыть флаги. Успешно сдавшие экзамен получат сертификат.
Запись на курс до 25 апреля. Получить промодоступ ...
Пентест
Пентест (тестирование на проникновение) – имитация реальных кибератак для проверки компьютерной безопасности, поиска и устранения уязвимостей, которые могут вызвать некорректную работу или отказ системы. Во время тестирования проводится анализ, который позволяет оценить защиту с позиций атакующего, выделить слабые места и дать рекомендации по их устранению. Как проводится пентест? Проверки возможны в двух форматах. В первом случае специалисты, которые проводят тестирование, не располагают информацией об устройстве защиты и структуре сети. Второй вариант предполагает предварительное ознакомление исполнителей с системой защиты. Есть также промежуточные схемы, когда информация известна частично. Оптимальным считается сочетание двух методов, которое даёт максимум данных. Чтобы упростить и удешевить работу пентестеров, используют стандартизированные методологии GWAPT, OWASP, IEM. О том, как проконтролировать работу специалистов, убедиться, что найдены все «дыры» и усилить собственную защиту – в подборке тематических материалов этого раздела.
Статья [0] Burp Suite: Тестирование web-приложений на проникновение
Приветствую уважаемую аудиторию портала Codeby.net!
Хочу анонсировать цикл статей, целиком посвященный тестированию web-приложений на проникновение.
В частности, детальному разбору функционала, анализу вектора атак, проведению атак на web-приложения и сайты с помощью Burp Suite.
Материала много, и я постараюсь в этом цикле дать практические знания, выбрав самое главное и полезное, из массы, имеющейся в наличии информации.
Во вводной статье, которую вы сейчас читаете, рассмотрим следующие моменты:
Хочу анонсировать цикл статей, целиком посвященный тестированию web-приложений на проникновение.
В частности, детальному разбору функционала, анализу вектора атак, проведению атак на web-приложения и сайты с помощью Burp Suite.
Материала много, и я постараюсь в этом цикле дать практические знания, выбрав самое главное и полезное, из массы, имеющейся в наличии информации.
Во вводной статье, которую вы сейчас читаете, рассмотрим следующие моменты:
- Что такое...
Статья [1] Wi-Fi Pineapple Tetra - Настройка и подключение Cloud C2
Приветствую, уважаемую аудиторию форума Codeby.net.
В этой, второй статье, из цикла посвященного разбору возможностей и эмуляций атак на беспроводные сети, с помощью Wi-Fi Pineapple Tetra, я хочу описать следующие пункты:
Собираем, и подготавливаем Tetra к работе:
Подключаем USB – кабели к порту eth1 – на Tetra, под таким именем и будет определяться устройство в списке сетевых интерфейсов Kali Linux.
Проверяем активные сетевые подключения:
Pineapple - определилась системой, как я и говорил, под именем - eth1.
Обращаемся в браузере по адресу хоста, и попадаем в панель управления нашей Tetra:
Следуя...
В этой, второй статье, из цикла посвященного разбору возможностей и эмуляций атак на беспроводные сети, с помощью Wi-Fi Pineapple Tetra, я хочу описать следующие пункты:
- Первое включение и подготовка к работе.
- Подключение Wi-Fi Pineapple Tetra к Cloud C2 от Hak5.
Собираем, и подготавливаем Tetra к работе:
Подключаем USB – кабели к порту eth1 – на Tetra, под таким именем и будет определяться устройство в списке сетевых интерфейсов Kali Linux.
Проверяем активные сетевые подключения:
Код:
ifconfigPineapple - определилась системой, как я и говорил, под именем - eth1.
Обращаемся в браузере по адресу хоста, и попадаем в панель управления нашей Tetra:
Следуя...
Статья [0] Wi-Fi Pineapple - Вводная информация
Привет, codeby.net!
Эта вводная статья о WiFi Pineapple. Постепенно данная тема будет наполняться материалом, по возможности охватывая все аспекты данного устройства. Любой желающий у кого есть что добавить также может внести свой вклад в развитие данной темы.
WiFi Pineapple NANO и TETRA - это аппаратно-программное обеспечение 6-го поколения. Разработанное компанией Hack5 для тестирования на проникновенность беспроводной сети. В основе которого лежит PineAP, расширенный набор инструментов для разведки, отслеживания, трекинга и составления отчетов. Управление осуществляется через веб-интерфейс. Подключиться к нему можно с любого устройства. Платформа поддерживает установку модулей что позволяет расширить функционал. Также есть API для разработчиков что позволяет создать собственный модуль под свои нужды.
Технические характеристики:
Эта вводная статья о WiFi Pineapple. Постепенно данная тема будет наполняться материалом, по возможности охватывая все аспекты данного устройства. Любой желающий у кого есть что добавить также может внести свой вклад в развитие данной темы.
WiFi Pineapple NANO и TETRA - это аппаратно-программное обеспечение 6-го поколения. Разработанное компанией Hack5 для тестирования на проникновенность беспроводной сети. В основе которого лежит PineAP, расширенный набор инструментов для разведки, отслеживания, трекинга и составления отчетов. Управление осуществляется через веб-интерфейс. Подключиться к нему можно с любого устройства. Платформа поддерживает установку модулей что позволяет расширить функционал. Также есть API для разработчиков что позволяет создать собственный модуль под свои нужды.
Технические характеристики:
- CPU: 400 MHz MIPS Atheros AR9331 SoC...
Конкурс SDR против автомобильной сигнализации
"Статья для участия в конкурсе Конкурс 2018 года - авторская статья по любой тематике нашего форума! "
Приветствую жителей и гостей codeby!
Сегодня я Вам хочу продемонстрировать, как открыть/завести авто, оборудованное простой не диалоговой сигнализацией при помощи программно-определяемого радио (SDR).
В данной сигнализации нет никакой защиты, но практика показывает, что таких авто в наше время хватает.
Вот и я, купив себе железного коня, стал счастливым обладателем такой "защиты".
Так почему бы не исследовать ее, раз вот она в моих руках?
После снятия ролика сигналка была благополучно отправлена по месту назначения - в мусорный контейнер.
Вместо скучных букв решил записать видео с демонстрацией.
В экспериментах были использованы:
- Ноутбук с Kali Linux + GQRX + hackrf_transfer
- RTL-SDR свисток (в качестве приемника для визуализации сигнала)
- HackrfOne (в...
Приветствую жителей и гостей codeby!
Сегодня я Вам хочу продемонстрировать, как открыть/завести авто, оборудованное простой не диалоговой сигнализацией при помощи программно-определяемого радио (SDR).
В данной сигнализации нет никакой защиты, но практика показывает, что таких авто в наше время хватает.
Вот и я, купив себе железного коня, стал счастливым обладателем такой "защиты".
Так почему бы не исследовать ее, раз вот она в моих руках?
После снятия ролика сигналка была благополучно отправлена по месту назначения - в мусорный контейнер.
Вместо скучных букв решил записать видео с демонстрацией.
В экспериментах были использованы:
- Ноутбук с Kali Linux + GQRX + hackrf_transfer
- RTL-SDR свисток (в качестве приемника для визуализации сигнала)
- HackrfOne (в...
Конкурс ANDRAX - революция в мобильном пентесте
Статья для участия в конкурсе Тестирование Веб-Приложений на проникновение
Доброго времени суток! Сегодня я хочу вам продемонстрировать революционное приложение в сфере пентеста на Android — ANDRAX. Появилось оно довольно недавно, и по этому еще не стало достаточно известным.
До недавних пор, Android пентестерам приходилось отдельно скачивать утилиту через Termux, либо если у пентестера имелся определенный телефон, который поддерживал, NetHunter - то использовать его. Но ANDRAX помогает избежать этих сложностей.
Что же это за программа?
ANDRAX - это приложение для пентестинга, разработанная специально для Android.
Разработка ANDRAX началась 08/09/2016, и исключительно для бразильских пентестеров. Но ANDRAX был полностью пересмотрен и выпущен в 10/10/2018, став доступным для всех. Программа была разработана компанией Weidsom...
Конкурс MITD атака на Андроид приложения
Статья для участия в конкурсе Тестирование Веб-Приложений на проникновение
Недавно был обнаружен новый вид атаки, а именно: Man-In-The-Disk, с помощью которого можно скомпрометировать любые Android приложения. В данной статье, будет рассказано, как с помощью простого приложения можно атаковать другие приложения через Внешнее Хранилище. Для того что бы начать, нужно повторить основы безопасности.
ОСНОВЫ БЕЗОПАСНОСТИ АНДРОИД ПРИЛОЖЕНИЯ
Главная концепция — изолирование одного приложения от другого:
Фреймворк Андроида имеет сотни разрешений для разных приложений. И конечно же, самые большие привилегии доступны уже предустановленным приложениям, таким как Радио или Медиа:
Но для чего Андроиду нужно Внешние Хранилище?
Недавно был обнаружен новый вид атаки, а именно: Man-In-The-Disk, с помощью которого можно скомпрометировать любые Android приложения. В данной статье, будет рассказано, как с помощью простого приложения можно атаковать другие приложения через Внешнее Хранилище. Для того что бы начать, нужно повторить основы безопасности.
ОСНОВЫ БЕЗОПАСНОСТИ АНДРОИД ПРИЛОЖЕНИЯ
Главная концепция — изолирование одного приложения от другого:
Фреймворк Андроида имеет сотни разрешений для разных приложений. И конечно же, самые большие привилегии доступны уже предустановленным приложениям, таким как Радио или Медиа:
Но для чего Андроиду нужно Внешние Хранилище?
- Совместное использование медиафайлов между приложениями
- Передача файлов между смартфоном и ПК...
Конкурс Эксплуатация уязвимостей LFI RFI RCE и обход комплексов безопасности.
Статья для участия в конкурсе Тестирование Веб-Приложений на проникновение
Приветствую Уважаемых Форумчан и Друзей.
Статья помечена как конкурсная не только для того,чтобы новички представили разнообразие пентеста.
А для вызова интереса и поддержки к участию в конкурсах.
Прошу Вас не голосовать за данную статью.Вместо этого,лучше отдайте свой голос за участников-новичков.
Ни с кем соревноваться не собираюсь,забирать призы тоже (Форум меня уже достаточно одарил).
Я всего лишь скромный брат Великого Codeby,у меня есть Братство Форума,его магия и конечно Ваше внимание.
Linux Forever . Лишь Искусство вечно в этой жизни.Надеюсь на понимание.
Поводом для написания статьи стал вопрос одного из Форумчан под статьёй о сканере,обнаруживающим уязвимости LFI.
Чтобы не раскатывать в ответе обойму на много знаков,решил выписать всё в отдельный пост.
И уж простите меня грешного,но...
Приветствую Уважаемых Форумчан и Друзей.
Статья помечена как конкурсная не только для того,чтобы новички представили разнообразие пентеста.
А для вызова интереса и поддержки к участию в конкурсах.
Прошу Вас не голосовать за данную статью.Вместо этого,лучше отдайте свой голос за участников-новичков.
Ни с кем соревноваться не собираюсь,забирать призы тоже (Форум меня уже достаточно одарил).
Я всего лишь скромный брат Великого Codeby,у меня есть Братство Форума,его магия и конечно Ваше внимание.
Linux Forever . Лишь Искусство вечно в этой жизни.Надеюсь на понимание.
Поводом для написания статьи стал вопрос одного из Форумчан под статьёй о сканере,обнаруживающим уязвимости LFI.
Чтобы не раскатывать в ответе обойму на много знаков,решил выписать всё в отдельный пост.
И уж простите меня грешного,но...
Статья VolUtility — фреймворк веб интерфейса Volatility
Структура веб интерфейса Volatility
Многие пользователи используют веб интерфейс одного из самых популярных криминалистических фреймворков — The Volatility Framework. The Volatility Framework является полностью открытой коллекцией инструментов, реализованных в Python в соответствии с GNU General Public License, для извлечения цифровых артефактов из образцов энергозависимой памяти (RAM).
Веб-интерфейс для анализа энергозависимой памяти (Web Interface for Volatility Memory Analysis), VolUtility запускает плагины и сохраняет выходные данные в базе данных mongo. Этот фреймворк веб-интерфейса извлекает файлы из плагинов (которые поддерживают dump-dir) и хранят их в базе данных, а также ищет во всех плагинах и в содержимом файлов с помощью строки поиска и правил yara. Позволяет вам продолжать работу с несколькими образами в одной базе данных.
Установка...
Codeby Games CTF
Категории блога
Наши курсы
Наши книги
