Форум информационной безопасности - Codeby.net
Статья Уязвимость Recon
Приветствую Друзей и Уважаемых Форумчан. Сегодня разберём уязвимость обнаруженную в мае 2020 года специалистами компании Onapsis.
Описание
Данная уязвимость получила название RECON (Remotely Exploitable Code On NetWeave) И была оценена на 10 баллов по соответствующей шкале.
Уязвимыми оказались SAP-приложения NetWeaver Application Server версий 7.30-7.5 Опасность в том,что при удалённой атаке атакующий получает доступ и контроль с админскими правами. Достигается это за счёт обхода авторизации и создании своей учётной записи.
Recon имеет две разновидности: CVE-2020-6286 и CVE-2020-6287. Первая позволяет загружать Zip-файлы в обход каталога в определённую директорию. Другая позволяет создать учётную запись как произвольного пользователя ,так и администратора.
Информация предназначена исключительно для ознакомления и изучения проблем безопасности.
Категорически запрещено её применение в незаконных...
Описание
Данная уязвимость получила название RECON (Remotely Exploitable Code On NetWeave) И была оценена на 10 баллов по соответствующей шкале.
Уязвимыми оказались SAP-приложения NetWeaver Application Server версий 7.30-7.5 Опасность в том,что при удалённой атаке атакующий получает доступ и контроль с админскими правами. Достигается это за счёт обхода авторизации и создании своей учётной записи.
Recon имеет две разновидности: CVE-2020-6286 и CVE-2020-6287. Первая позволяет загружать Zip-файлы в обход каталога в определённую директорию. Другая позволяет создать учётную запись как произвольного пользователя ,так и администратора.
Информация предназначена исключительно для ознакомления и изучения проблем безопасности.
Категорически запрещено её применение в незаконных...
Cscan
Добрый день, Друзья, Уважаемые Форумчане и конечно, Дорогие Читатели и Жители Форума.
Долго не мог выпускать обзоры, каюсь.
Позволю себе краткое отступление от обзора (можете пропустить абзац)
На то были причины, но мне перед вами и Братьями скрывать нечего.
(Взломал не то, что надо по работе и вместо отсечения головы был приглашён на администрирование того,что поимел)
(Знающие парни с Форума были со мной на связи в это время,за что отдельное Спасибо.)
Как всегда Форум поддерживает и не подводит своих Жителей.
Работа у меня сейчас расписана по графику.Пока дома на отдыхе.И могу позволить себе статьи на Форуме.
Присутствие на Форуме временами до этого времени благодаря чужому интернету,что прощалось (ну вы правильно поняли).
С сервера,который теперь за мной закреплён не могу во время служебных обязанностей проводить свои эксперименты. (прошу отнестись с пониманием).
Итак,по традиции,знакомлю вас с инструментами пентеста из...
Статья Keychain в iOS - что внутри?
Связка ключей Apple (англ: Keychain) — функция (другими словами — технология), с помощью которой, в одном месте операционных системах macOS и iOS, в защищённом виде, сохраняются личные данные пользователя (логины и пароли).
Советую к прочтению теории " "
Рассмотрим что же мы можем получить из связки ключей Keychain
Примером будет: Hardware model: D321AP, OS version: 13.3.1 предварительно я осуществил jail как ранее описывалось в iOS 13.5 jailbreak получение данных Elcomsoft iOS Forensic Toolkit (unc0ver)
далее мне было удобно (и так как был этот инструмент в руках) получить файл связки ключей в формате "*.xml"
Загрузив полученный образ и связку ключей я увидел всего ничего вот этим...
Советую к прочтению теории " "
Рассмотрим что же мы можем получить из связки ключей Keychain
Примером будет: Hardware model: D321AP, OS version: 13.3.1 предварительно я осуществил jail как ранее описывалось в iOS 13.5 jailbreak получение данных Elcomsoft iOS Forensic Toolkit (unc0ver)
далее мне было удобно (и так как был этот инструмент в руках) получить файл связки ключей в формате "*.xml"
Загрузив полученный образ и связку ключей я увидел всего ничего вот этим...
Конкурс Green Team каждому & футболки Massimo Dutti
Конкурс завершен: результаты
Ссылка на событие:
Green Team каждому & футболки Massimo Dutti
С легкостью получи Green Team на месяц или год. Лучших администраторов групп наградим футболками с логотипом Codeby.
- Старт ивента 22 сентября с 00:01 по мск (уже стартовал)
- Подводим итоги 1 октября в 20:00 по мск
— Green Team на год получат те, у кого будет группа с 30 и более подписчиками (за фейки дисквалификация),в которой есть активность на 20:00...
Пишем графическую оболочку на Python - часть 4
Всем привет!
По просьбам трудящихся всё-таки решил написать ещё одно продолжение предыдущих статей. Часть 1 Часть 2 Часть 3
Сегодня будем наводить красоту. В качестве подопытного возьмём генератор паролей с тремя кнопками – генерировать, очистить и сохранить.
По просьбам трудящихся всё-таки решил написать ещё одно продолжение предыдущих статей. Часть 1 Часть 2 Часть 3
Сегодня будем наводить красоту. В качестве подопытного возьмём генератор паролей с тремя кнопками – генерировать, очистить и сохранить.
Python:
from tkinter import *
import random
from tkinter import filedialog as fd
import string
__version__ = 'Version: 2.1'
root = Tk()
root.resizable(width=False, height=False)
root.title("Password generator " + str(__version__))
root.geometry("420x320+300+300")
calculated_text = Text(root, height=14, width=50)
def erase():
calculated_text.delete('1.0', END)
chars = string.ascii_letters +...Статья Собери себе BadUsb, не хуже, чем Rubber Ducky от Hak5
Всем привет!
Представляю вашему вниманию статью из разряда “очумелые ручки”.
С помощьюпластиковых бутылок платы с микроконтроллером Atmega32u4 и паяльника сделаем BadUSB.
Вот ссылки на статьи об устройстве BadUSB на нашем форуме, при разработке я их активно использовал и перерабатывал под свои нужды. Всем авторам и комментаторам спасибо.
codeby.net
codeby.net
codeby.net
codeby.net
Да, возможно, кого-то тема BadUSB уже подзадолбала, но я давно хотел смастерить девайс, реально похожий на флешку и не стоящий 50...
Представляю вашему вниманию статью из разряда “очумелые ручки”.
С помощью
Вот ссылки на статьи об устройстве BadUSB на нашем форуме, при разработке я их активно использовал и перерабатывал под свои нужды. Всем авторам и комментаторам спасибо.
Digispark - badusb за 1$
Хочу рассказать о младшем (возможно даже отсталом и ущербном) брате Rubber Ducky - DigiSpark.
Bad USB на ATtiny 85
Всем привет. Представляю вам Bad USB на ATtiny 85. Разработчик -== Yukinoshita47/megumi-san-bad-usb Проект USB BAD или более известный как Ducky Rubber USB. Megumum usb bad - это проект, ориентированный на аппаратное хакерство от Garuda Security Hackers. Оборудование может быть...
Bad Usb или как я уток разводил, Практическое пособие по Rubber Duck
Дали им звучное имя Rubber Duck. Как Вы догадались, эта порода уток ни что иное, как Bad Usb.
Учим BadUSB работать с разными раскладками клавиатуры
Заглавие Всем доброго времени суток, о BadUsb, Usb Rubber Ducky и о том, как самому сделать аналог данного устройства написано уже много статей. В этой же статье мы рассмотрим решение проблемы BadUsb при работе с разными раскладками клавиатуры. В качестве инструкции по созданию своего BadUsb...
Введение
Да, возможно, кого-то тема BadUSB уже подзадолбала, но я давно хотел смастерить девайс, реально похожий на флешку и не стоящий 50...
Статья ФСТЭК Приказ №21
Всем привет! Сегодня я хотел бы затронуть тему защиты персональных данных со стороны требований Федеральной службы по техническому и экспортному контролю (далее – ФСТЭК), рассмотреть общие понятия и разобрать недостатки. В предыдущих статьях я раскрывал, общее понятие персональных данных, требования Роскомнадзора, подготовка к проверке РКН и еще много чего интересного (кому интересно ссылки на предыдущие статьи: Нарушения при проверке РКН: Рекомендации, Штрафы, Защита персональных данных, ФЗ-152, Проверка РКН, подготовка документов).
Итак, помимо основного регулятора по персональным данным Роскомнадзора у нас также есть ФСТЭК со своими требованиями и приказами. На самом верху, как я и говорил у нас ФЗ-152, его мы пропускаем (если ты дошел до требований ФСТЭК, то значит...
Итак, помимо основного регулятора по персональным данным Роскомнадзора у нас также есть ФСТЭК со своими требованиями и приказами. На самом верху, как я и говорил у нас ФЗ-152, его мы пропускаем (если ты дошел до требований ФСТЭК, то значит...
Hacker Lab
Категории
Наши курсы
