Форум информационной безопасности - Codeby.net
Статья SSDLC
Доброго времени суток.
Это продолжение статей про DevSecOps.
1 статья
2 статья
SSDLC - Secure Software Development LyfeCycle. Как было написано ранее, SSDLC это методика по обеспечению безопасности на каждом этапе разработки ПО.
Вспомним каждый этап:
Давайте посмотрим почему же SSDLC не может быть внедрено всеми компаниями.
Это продолжение статей про DevSecOps.
1 статья
2 статья
SSDLC - Secure Software Development LyfeCycle. Как было написано ранее, SSDLC это методика по обеспечению безопасности на каждом этапе разработки ПО.
Вспомним каждый этап:
- Планирование
- Анализ требований
- Проектирование и дизайн
- Разработка ПО
- Тестирование
- Поддержка и сопровождение
Давайте посмотрим почему же SSDLC не может быть внедрено всеми компаниями.
- Планирование - добавляется оценка угроз и анализ рисков. Это сложно, и дорого, так как качественную анализ рисков и угроз может делать лишь высококвалифицированный специалист.
- Анализ требований - оценка рисков, анализ поверхности атаки, требования по безопасности. Тут уже попроще, как минимум...
Статья Получаем общедоступные данные по номеру телефона с помощью Python
Можно ли по номеру телефона узнать местоположение абонента? Безусловно, да. Тут нужно правильно задать вопрос: «Кому это можно сделать?» К сожалению, ответ для нас с вами не особо утешителен.
- Есть варианты за деньги, то есть оплачиваешь тарифный план и пользуешься. Как правило, такие сервисы предоставляют данные на основе HLR-запросов.
- Есть вариант хакнуть сеть сигнализации SS7. Но, тут уж как звезды сойдутся. Да и не получиться это сделать у любого человека с улицы. У вас должен быть выход в эту сеть, плюс к тому возможность формировать любые сообщения сигнализации, а также в сети не должно быть фильтрации некорректных или подозрительных сообщений SS7.
- И как вариант, запрос правоохранительных органов.
Если вы не нашли своего состояния в данных описаниях, то скорее всего просто так получить данные у вас не получиться.
Получение местонахождения мобильного телефона
Первый – это получение примерного местонахождения с помощью HLR-запроса отправленного в СМС-центр. Подробнее о данном способе можно поискать информацию в интернете, да и наверняка вы видели рекламу сервисов предоставляющих эту услугу...
- Есть варианты за деньги, то есть оплачиваешь тарифный план и пользуешься. Как правило, такие сервисы предоставляют данные на основе HLR-запросов.
- Есть вариант хакнуть сеть сигнализации SS7. Но, тут уж как звезды сойдутся. Да и не получиться это сделать у любого человека с улицы. У вас должен быть выход в эту сеть, плюс к тому возможность формировать любые сообщения сигнализации, а также в сети не должно быть фильтрации некорректных или подозрительных сообщений SS7.
- И как вариант, запрос правоохранительных органов.
Если вы не нашли своего состояния в данных описаниях, то скорее всего просто так получить данные у вас не получиться.
Получение местонахождения мобильного телефона
Первый – это получение примерного местонахождения с помощью HLR-запроса отправленного в СМС-центр. Подробнее о данном способе можно поискать информацию в интернете, да и наверняка вы видели рекламу сервисов предоставляющих эту услугу...
Создание сигнализационной системы с помощью Python.
Приветствую, Codeby.
В этой статье мы создадим свою сигнализационную систему для дома, с помощью лишь ноутбука с веб-камерой и Python
Введение:
Сигнализации в доме стали повседневностью в нашей жизни, их предлагают компании, государство, одиночные специалисты.
Во всех случаях установка и дальнейшая эксплуатация обходятся в копеечку, при этом мы сами часто не знаем как устроена система в нашем доме.
Чаще всего сигнализация представляет собой датчик движения подключенный к двери для отключения и включения, если датчик засекает какое-либо движение, то отправляется определенный сигнал.
Планируется сделать цикл из 2 статей, так как в этой мы лишь создадим датчик движения для обнаружения сторонних объектов.
Основное:
Для определения движения используются следующие библиотеки:
cv2 - получение, вывод, работа с изображениями
numpy - для более удобного проведения некоторых операций
imutils - grab_contours
time - время
collections - deque
Код уже существует и состоит из функций get_movement, get_background...
В этой статье мы создадим свою сигнализационную систему для дома, с помощью лишь ноутбука с веб-камерой и Python
Введение:
Сигнализации в доме стали повседневностью в нашей жизни, их предлагают компании, государство, одиночные специалисты.
Во всех случаях установка и дальнейшая эксплуатация обходятся в копеечку, при этом мы сами часто не знаем как устроена система в нашем доме.
Чаще всего сигнализация представляет собой датчик движения подключенный к двери для отключения и включения, если датчик засекает какое-либо движение, то отправляется определенный сигнал.
Планируется сделать цикл из 2 статей, так как в этой мы лишь создадим датчик движения для обнаружения сторонних объектов.
Основное:
Для определения движения используются следующие библиотеки:
cv2 - получение, вывод, работа с изображениями
numpy - для более удобного проведения некоторых операций
imutils - grab_contours
time - время
collections - deque
Код уже существует и состоит из функций get_movement, get_background...
CTF Поиск CTF на root-me HTML - Source code
Добрый день коллеги!
Давно ничего не писал, обойдемся без долгих разговоров. И решим очень простую задачу, возможно она будет интересна для неопытных.
Давайте рассмотрим прохождение таски из серии WEB - SERVER на тренировочном ресурсе root-me.org
Задача “мега сложная” запасайтесь терпением и попкорном, начнем разбор
Описание навыков которые получите из решения задач
Эти задачи предназначены для обучения пользователей работе с HTML, HTTP и другими серверными механизмами. Следующая серия задач будет способствовать лучшему пониманию таких методов, как : Базовая работа нескольких механизмов аутентификации, обработка данных форм, внутренняя работа веб-приложений и т.д.
Предпосылки:
Понять HTML.
Понять протокол HTTP.
Способность манипулировать веб-браузером.
при вводе любого символа выдается ошибка о неправильном пароле
Нам требуется посмотреть код страницы, самое интересное нас ожидает именно там
При просмотре кода нет ничего интересного, кроме одного...
Давно ничего не писал, обойдемся без долгих разговоров. И решим очень простую задачу, возможно она будет интересна для неопытных.
Давайте рассмотрим прохождение таски из серии WEB - SERVER на тренировочном ресурсе root-me.org
Задача “мега сложная” запасайтесь терпением и попкорном, начнем разбор
Описание навыков которые получите из решения задач
Эти задачи предназначены для обучения пользователей работе с HTML, HTTP и другими серверными механизмами. Следующая серия задач будет способствовать лучшему пониманию таких методов, как : Базовая работа нескольких механизмов аутентификации, обработка данных форм, внутренняя работа веб-приложений и т.д.
Предпосылки:
Понять HTML.
Понять протокол HTTP.
Способность манипулировать веб-браузером.
при вводе любого символа выдается ошибка о неправильном пароле
Нам требуется посмотреть код страницы, самое интересное нас ожидает именно там
При просмотре кода нет ничего интересного, кроме одного...
Статья Историческая вирусология: поздняя хронология программ-вымогателей - ZeuS, CryptoLocker, CTB: вирусный трафик ценой в миллиарды. Часть 1
Предисловие
Желание наскрести денег на плату за коммуналку или же мысли типа: “Мир прогнил, его ждет неизбежно лишь одно - разрушение , поэтому стану-ка я богом этого нового мира”. Как знать, но что-то таки побудило создателей вымогателей выпустить свои творения в сеть, но одно знаем мы наверняка - это вошло в историю, а о ней мы и поговорим.
Итак, это вторая часть, поэтому разглагольствовать не стану в предисловии, так как просто продолжаем прошлую статью. Теперь на повестке дня у нас поздняя хронология программ-вымогателей. В прошлой мы разобрали появление и примитивную эволюцию вплоть к 2010 году. Теперь же движемся от 2010 до сегодня.
Возможно, эта статья тоже будет поделена на две части, ведь действительно есть о чем говорить, да и наконец будет анализ, практика. О да.
Честно признаться, я устал. Каждый день писать по две статьи, но как минимум ещё четыре выпущу, дальше нужно будет взять перерыв. Так...
Статья Историческая вирусология: ранняя хронология программ-вымогателей - AIDS, GPcode, Arhivarius. Или как шутка психически больного стала каноном
Историческая вирусология: раняя хронология программ-вымогателей - AIDS,GPcode,Arhivarius. Часть первая: или как шутка психически больного стала каноном
Желание наскрести денег на плату за коммуналку или же мысли типа: “Мир прогнил, его ждет неизбежно лишь одно - разрушение , поэтому стану-ка я богом этого нового мира”. Как знать, но что-то таки побудило создателей вымогателей выпустить свои творения в сеть, но одно знаем мы наверняка - это вошло в историю, а о ней и поговорим.
Предисловие
Оп-оп-оп, а что это у нас здесь? А-а-а, очередная статья из цикла Историческая вирусология? Неужели, так она ведь пятая за эту неделю. Автор живой ещё писать...
Скрываем текст в изображении тремя алгоритмами с помощью Python
Еще пару-тройку лет назад стеганография вызвала довольно большой интерес у интернет-аудитории. И инструкций о том, как скрыть сообщения и даже файлы в картинке, а то и в аудиозаписи, было довольно много. Но, постепенно интерес поубавился. И, хотя это все еще довольно популярная тема, но, она была вытеснена другими новостями и событиями. Я же решил сделать для себя небольшой «комбайн», который скрывает простой текст в изображении с помощь Python. И то, что у меня получилось, будет описано ниже.
Для начала я определил, что это должно быть приложение с пользовательским интерфейсом, а значит, его нужно на чем-то делать. Либо это будет Tkinter, либо PyQt. Выбор пал на последний, так как Qt Designer очень похож на визуальный редактор, который использовался в Delphi. Да и в целом легче накидать элементов на форму, а потом уже описывать логику их работы. Ну, или так для меня. Суть не в том.
Теперь нужно было определиться с алгоритмами. В приложении будут использованы алгоритмы скрытия информации в JPG изображении в Exif Headers, то есть в...
Для начала я определил, что это должно быть приложение с пользовательским интерфейсом, а значит, его нужно на чем-то делать. Либо это будет Tkinter, либо PyQt. Выбор пал на последний, так как Qt Designer очень похож на визуальный редактор, который использовался в Delphi. Да и в целом легче накидать элементов на форму, а потом уже описывать логику их работы. Ну, или так для меня. Суть не в том.
Теперь нужно было определиться с алгоритмами. В приложении будут использованы алгоритмы скрытия информации в JPG изображении в Exif Headers, то есть в...
Всплывающие сообщения в Windows и Linux с помощью Python
Всем доброго времени суток. Давайте поговорим сегодня о простой, но далеко не самой очевидной вещи, которая не лежит не виду, а когда с ней сталкиваешься, приходиться некоторое время гуглить информацию. О всплывающих сообщениях. Ведь порою в скриптах нужно отображать информацию не только в консоли. А если приложение имеет еще и пользовательский интерфейс, то сообщения, конечно же, лучше выводить без ее использования.
Что потребуется?
Тут все зависит от операционной системы и способа, которым вы выберете выводить сообщение. Если операционная система Linux, то здесь может не потребоваться ничего, так как будет использоваться функция операционной системы. А можно установить специальную библиотеку notify2. Установка происходит через терминал с помощью команды pip:
А дальше импортируем в скрипт.
Всплывающие сообщения в Linux
Давайте посмотрим, какие сообщения можно вывести с помощью данной библиотеки, и с какими небольшими «подводными камнями» я столкнулся при ее использовании.
Что потребуется?
Тут все зависит от операционной системы и способа, которым вы выберете выводить сообщение. Если операционная система Linux, то здесь может не потребоваться ничего, так как будет использоваться функция операционной системы. А можно установить специальную библиотеку notify2. Установка происходит через терминал с помощью команды pip:
pip install notify2А дальше импортируем в скрипт.
import notify2Всплывающие сообщения в Linux
Давайте посмотрим, какие сообщения можно вывести с помощью данной библиотеки, и с какими небольшими «подводными камнями» я столкнулся при ее использовании.
Python:
icon_path =...Статья CVE-2022-30190. Разбор MSDT уязвимости
Приветствую, Codeby!
В этой статье мы разберем как работает CVE-2022-30190 и на практике испытаем данную уязвимость.
Введение:
27 Мая на VirusTotal из Беларуси поступил документ Microsoft Office со странным зловредным кодом, уязвимость была опознана как 0-day, что делало ее особенно опасной в атаках.
Риск затрагивает только компьютеры со включенным протоколом MSDT URI и с ОС Winows.
Для эксплуатации так-же не требуется использование макросов, что делает атаку еще легче, все что требуется атакующему - специальный юрл с использованием MSDT URI для выполнения powershell команд.
Эксплуатация:
Как мы поняли, эксплуатировать данную уязвимость очень легко, POC для исполнения кода уже доступен на гитхабе, с помощью него мы сгененерируем документ с полезной нагрузкой для запуска произвольных команд...
В этой статье мы разберем как работает CVE-2022-30190 и на практике испытаем данную уязвимость.
Введение:
27 Мая на VirusTotal из Беларуси поступил документ Microsoft Office со странным зловредным кодом, уязвимость была опознана как 0-day, что делало ее особенно опасной в атаках.
Риск затрагивает только компьютеры со включенным протоколом MSDT URI и с ОС Winows.
Для эксплуатации так-же не требуется использование макросов, что делает атаку еще легче, все что требуется атакующему - специальный юрл с использованием MSDT URI для выполнения powershell команд.
Эксплуатация:
Как мы поняли, эксплуатировать данную уязвимость очень легко, POC для исполнения кода уже доступен на гитхабе, с помощью него мы сгененерируем документ с полезной нагрузкой для запуска произвольных команд...