Форум информационной безопасности - Codeby.net

Видео Вебинар «Как заниматься OSINTом и не спалиться?»

  • 4 304
  • 0

Самых крутых хакеров ловят на самых глупых ошибках. Один опубликовал фотку, по которой спалили его местоположение. Другой в качестве пароля от архива с интересными вещами поставил кличку своей собаки. Что же остается нам, простым ОСИНТерам? Конечно, не повторять их ошибок!

На вебинаре вы узнаете:
  • Как разделять свою рабочую среду, использовать виртуализацию и контейнеризацию: что выбрать?
  • Насколько хороши и безопасны виртуальные машины?
  • Как безопасно использовать TOR и VPN?
  • Что такое honeypot, с чем его едят, и причем тут секс-агенты КГБ?
  • Чем шифровать, чтобы потом не было мучительно больно за бесцельно потраченное время?
И, конечно же, вы узнаете ответ на самый главный вопрос: «как не попасться», систематически занимаясь OSINTом.

Статья Что такое Git? Для начинающих.

  • 5 380
  • 1

git-github.png

Официальный Сайт Git
Официальный Сайт GitHub

Введение

Привет, Кодебай! Сегодня я хочу поговорить о таком проекте, как 'Git'. Для чего он используется? Чем отличается от GitHub? Попытаюсь показать и рассказать, как все работает. Статья создана для самых маленьких программистов, начинающих исследователей. Приятного ознакомления!

Git

Git - распределенная система контроля и управления версиями кода. Система Git состоит из неких коммитов, в которой работает система контроля версий - когда код внезапно перестал работать, но СКВ вернула его в рабочее состояние. Здесь и подключаются некие коммиты ('сохранить изменения'), которые действуют как контрольные точки.

Коммит можно назвать пакетом, который хранит в себе последние изменения: добавленные или удалённые разработчиком части...

Статья Технический анализ Fortinet FortiNAC CVE-2022-39952

  • 4 291
  • 1
b2dde80c-d9f7-49f4-9e7d-a94029828aad.jpeg

Введение

В четверг, 16 февраля 2023 года, компания Fortinet выпустила PSIRT, в котором подробно описана CVE-2022-39952, критическая уязвимость, затрагивающая ее продукт FortiNAC. Эта уязвимость, обнаруженная Gwendal Guégniaud из Fortinet, позволяет неаутентифицированному злоумышленнику записать произвольные файлы в системе и в результате получить RCE от root'а.

Извлечение образа

Извлечение файловых систем из устройств происходит просто, сначала из vmdk перечисляются пути к монтируемым файловым системам:
sudo virt-filesystems --filesystems -a fortinac-9.4.1.0726.vmdk

Screen-Shot-2023-02-20-at-8.38.22-AM.png


Далее мы подключаем файловую систему в созданный нами каталог:
sudo guestmount -a fortinac-9.4.1.0726.vmdk -m...

Видео 🔍 Вебинар «Поисковые системы: подход 2.0»

  • 7 652
  • 2
prew.jpg

На вебинаре вы узнаете о том, что у Google и Яндекс «под капотом», как поисковики собирают и ранжируют информацию:
  • Почему страсть поисковых систем к индексации может довести до беды
  • Как поисковые системы собирают информацию
  • Порядок ранжирования данных в поисковых системах
  • Нестандартные поисковики и с чем их едят
  • Поиск информации в Интернете вещей (IoT)
  • Работа поисковиков в Дарквебе
Отдельно поговорим про Google Dorks и их использование в OSINT для поиска «сочной» информации.

⏰ Когда: 28 февраля в 19:00 по мск

📌 Где: Поисковые системы: подход 2.0 (Пин-код: 5829)

Статья Venator: OSINT-браузер для киберразведки

  • 35 823
  • 5

prew.jpg

Введение

Рад снова приветствовать всех читателей этой статьи! Cегодня хочу для вас обозреть браузер, заточенный под OSINT. На самом деле ещё давно хотел про него написать, но никак руки не доходили. И вот наконец недавно я его скачал и установил, после чего я был весьма изумлён. Думаю каждый, когда первый раз запускал Kali Linux, и начинал во вкладке "Приложения" смотреть на эти огромные списки различных инструментов для тестирования, испытывал такое чувство, которое я испытал, когда зашёл в этот браузер. Ну что же, давайте начинать!

Немного о Venator

Venator - Многофункциональный OSINT браузер на базе Firefox. Браузер, ориентированный именно на СНГ сегмент что и отличает его от Oryon, CSI и прочих.
Если же говорить с моей точки зрения, то это как бы специальные настройки профиля в браузере LibreWolf. То есть конкретный функционал заключается в огромном списке различных вкладок, с сайтами и интернет-ресурсами для тех или иных целей в OSINT разведке...

Статья Открытый код. KeePassXC вместо KeePass.

  • 9 917
  • 4

KeePassXC: ключевые возможности, которые стоит знать​

KeePassXC - кроссплатформенный менеджер паролей с открытым кодом (лицензия GPL), работающий на Linux, Windows, macOS и BSD. Построен на Qt, использует формат .kdbx (KeePass 2.x) и поддерживает шифрование AES-256, Twofish и ChaCha20.

Поддержка YubiKey и ключевых файлов​

В треде не упомянуто: KeePassXC поддерживает YubiKey challenge-response и ключевые файлы как дополнительные факторы защиты помимо мастер-пароля. Это существенно повышает устойчивость к компрометации базы.

Браузерное расширение​

Расширение KeePassXC-Browser доступно для Firefox, Tor Browser, Chrome, Chromium, Vivaldi и Microsoft Edge. Включается через настройки интеграции в десктопном приложении и позволяет автозаполнять пароли на сайтах.

Проверка утечек и оценка паролей​

KeePassXC использует библиотеку zxcvbn для оценки стойкости паролей и умеет проверять учётные данные по базе Have I Been Pwned? прямо из интерфейса. Исследование 2024 года показало, что ни один из 14 проверенных менеджеров не выявил все скомпрометированные...

Статья Перехват базовых запросов с помощью Selenium Wire и Python

  • 19 435
  • 30
В данной статье я хотел бы вернуться к способам перехвата запросов и ответов API в браузере. С помощью Selenium в связке с Python можно парсить достаточно сложные сайты, которые требуют выполнения различного рода скриптов. Но иногда этого бывает недостаточно и требуется получить данные, которые возвращает API на внешний интерфейс. В этом случае можно воспользоваться локальным прокси-сервером, как в этой статье (Статья - Перехват запросов с веб-страницы с помощью selenium и browsermobproxy в Python). Или, для перехвата запросов и ответов, можно воспользоваться Wireshark. Но это уже будет внешнее приложение. Давайте разберемся, как с помощью дополнительной библиотеки и Python перехватывать запросы и ответы без использования внешнего прокси.

000.png


Давайте поставим некоторую задачу, выполнение которой продемонстрирует работу по перехвату запросов и ответов. К примеру, у нас есть Облако Mail.ru. И в этом облаке храниться некий мультимедийный контент, например видео-курсы по Python...

Статья Metasploit. Учимся вместе полезным фишкам.

  • 14 688
  • 13
🔄 Обновлено: 26.06.2026

Metasploit Framework: ключевые факты и практика запуска​

Metasploit Framework - открытый фреймворк на Ruby для создания, тестирования и применения эксплойтов при пентесте. Создан H.D. Moore в 2003 году (первая версия на Perl), переписан на Ruby к 2007 году, с 2009 года принадлежит Rapid7. Существует в бесплатной (Framework, Community) и коммерческой (Metasploit Pro) редакциях.

Чего нет в треде, но важно знать​

Архитектура и компоненты. Помимо эксплойтов, фреймворк включает базу опкодов, архив шеллкодов, auxiliary-модули (сканеры, фаззеры), post-модули и энкодеры для обхода IDS/IPS. Для разведки перед атакой необходимы дополнительные инструменты - Nmap, Nessus - чтобы определить сервисы и версии на цели.

Запуск и базовые команды. Основной интерфейс - msfconsole. Типовой рабочий цикл:
Код:
msfconsole
search <уязвимость или CVE>
use <путь_к_модулю>
show options
set RHOSTS <цель>
set PAYLOAD <payload>
exploit
Установка вне Kali. На Linux/macOS - через официальный Nightly Installer от Rapid7. Для ручной сборки из исходников нужен Ruby, PostgreSQL (для...

Статья Автоматизированный сбор данных с сайта бесплатных объявлений с помощью Python

  • 13 859
  • 7
Решил я тут на днях попробовать парсить Авито. Наверное, раньше это была одна из излюбленных площадок для обучения парсингу. И, действительно, ещё примерно год назад можно было собирать данные с этой площадки особо не напрягаясь. Но, возможно, в связи с громкими утечками данных защита от парсинга значительно усилилась. Сначала появились временные телефоны, которые, насколько я понимаю, выделяются на виртуальной АТС. И если ещё какое-то время назад их можно было посмотреть без авторизации, то теперь это обязательное условие. Единственные, чьи телефоны остались доступны для просмотра, это телефоны организаций. Но, сами по себе они ценности не имеют, так как, по сути, доступны в любом онлайн справочнике.

000.png

Впрочем, авторизацию и даже двухфакторную аутентификацию с помощью SMS обойти вполне возможно. Вот только использование виртуальных номеров напрочь обесценивает эту затею. Так что Авито теперь парсить можно, но только лишь для маркетинговых исследований рынка. Узнать, так сказать, "среднюю температуру" товара "по больнице". Хотя, с другой стороны, это тоже интересная тема. Но сейчас не об этом. Решил...

Реальные примеры Цифровой Криминалистики. Что происходит с Вашими устройствами?

  • 11 183
  • 5
f3807f2a2ee94586b7a4adb261cb2543_00000.jpg

Введение
Всем привет, Кодебай! Сегодня я хочу рассказать и показать, реальные примеры работы специалистов из области Форензики. Смотря фильмы или сериалы по IT-тематике, встречал такое, что главный герой открывает крышку своего системного блока и достает некоторые компоненты (процессор, жесткий диск и оперативную память), а затем они оказываются либо в микроволновках, или под работой дрели. К чему я это? Для этого я и пишу данную статью. Новички, которые только узнали об этой сфере, будет идеально ознакомиться! Статья получится очень легкой для восприятия, я не буду здесь использовать сложную терминологию.

На столе Компьютер и Телефон, но данный человек совершил преступление, используя Технологии
Представим такое, что человек, используя некие цифровые технологии, совершил преступление в сфере денежных махинаций. Специальные службы изначально должны понять, в какое время данный человек использует свои устройства и время неактивности для того, чтобы...
🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
🧭 Навигатор · ИБ 2026
Не знаешь, какой трек твой?
5 направлений ИБ, реальные зарплаты и точка входа для каждого — в одном треде.
JuniorSenior+
100K → 600K+ ₽ /мес
Открыть навигатор →
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →

Пользователи онлайн

Статистика форума

Темы
52 580
Сообщения
346 931
Пользователи
161 257
Новый пользователь
kitezhgrad