Форум информационной безопасности - Codeby.net

Здравствуйте, дорогие братья и сестры.
Сегодня мы поучимся с вами мыслить немного нестандартно. Я покажу вам, к чему могут привести такие вещи, как забывчивость поменять (удалить) стандартные учетные записи, игнорирование создания сертификатов и публичные сервисы.
Затронем некоторые сетевые протоколы, такие как SSH, telnet, FTP, smb и т.п. Как только вы уловите мысль, сможете крутить как вздумается.

Данное микро исследование предназначено для мамкиных хакеров и тех, кто не в состоянии самостоятельно сделать шаг влево шаг вправо и пользуется чужими разработками c красной кнопкой “Хекнуть без регистрации и СМС”. Матёрым волкам всё это известно и не будет интересно в принципе (наверное).

Дисклеймер: данная статья носит чисто информативный характер. Все действия, показанные в данной статье, выдуманы в состоянии аффекта и отрисованы в фотожопе.
Вы сами...

Нажмите, чтобы раскрыть...

Всем привет. Хочу представить свой авторский софт, знаю что LFI-уязвимости уже сто лет в обед, но всё же до сих пор встречаются немало веб-ресурсов на просторах интернета с наличием этой дыры. Прошу строго не судить, баги и недочёты есть, исправим

Итак, краткое описание самой уязвимости:

LFI - это возможность использования и выполнения локальных файлов на серверной стороне. Уязвимость позволяет удаленному пользователю получить доступ с помощью специально сформированного запроса к произвольным файлам на сервере, в том числе содержащую конфиденциальную информацию.

Нажмите, чтобы раскрыть...

Что конкретно умеет софт:

• Ищет гугл дорки с помощью Google CSE(Custom Search Engine).
• Фильтрует найденые сайты.
• В многопоточном режиме сканирует сайты на предмет наличия уязвимости по заданным шаблонам.
• Также есть возможность указать свой список сайтов.
• Использование SOCKS5 проксей.

Теперь разберёмся как юзать тулзу.

[ATTACH type="full" width="593px"...

Здравствуй, codeby!

Тестирование безопасности платформы, на которой развернуто веб-приложение, так же важно, как и тестирование безопасности самого приложения. Вся инфраструктура сильна настолько, насколько сильно ее самое слабое звено. Некоторые ошибки конфигурации платформы могут скомпрометировать веб-приложение так же, как и уязвимое приложение может скомпромитировать сервер.

Например, уязвимость, позволяющая неаутентифицированному пользователю загружать на веб-сервер файлы, может привести к тому, что атакующий загрузит на сервер вредоносный код, который будет выполняться так же, как и код приложения, либо изменить некоторые части приложения, подменив его оригинальные файлы на свои собственные.

Как вы помните, в прошлых статьях мы провели разведку, выявили, из каких элементов состоит инфраструтура приложения и по итогу составили карту архитектуры приложения. Теперь необходимо провести анализ конфигурации и выявить типичные проблемы для тестируемой системы. Сервер...

Привет, codeby!

Сегодня мы научимся определять фреймворк и веб-приложение, а так же составим карту архитектуры приложения. На этом «разведка перед боем» будет завершена и следующих статьях приступим непосредственно к тестированию.

Призы:

• 1 место - Alfa AWUS036NHA
• 2 место - Banana Pi M2 zero
• 3 место - 500 руб

Что делать:

• Подписаться на нашу VK группу The Codeby и сделать репост вот этого сообщения Стена

Итоги подведем в рандомайзере KonkursVK 10 июля в 20:00 по мск. Сделаем прямую трансляцию.

Исследование исходных кодов веб-страниц приложения.

При тестировании веб-приложений методом BlackBox у нас, как правило, не будет доступа ко всем исходным кодам приложения. Однако нам всегда доступен исходный код веб-страниц. Его необходимо тщательно изучить на предмет утечек информации.

Программисты, в том числе и разработчики веб-приложений, стараются комментировать свой код. Комментарии в коде полезны как во время разработки, так и после, особенно если разработчиков, работающих с данным кодом, много. Но комментарии в коде могут быть полезны и злоумышленникам, если они сожержат конфиденциальную информацию.

Тестирование на проникновение инфраструктуры заказчиков. Работа 100% законная.

Приглашаем в нашу команду для удаленной работы.

Вакансии:

• Веберы
• Реверсеры
• Инфраструктурщики
• Боги OSINT-a
• Люди, разбирающиеся в железе

Практический успешный опыт пентеста обязателен.

Подробное резюме присылайте мне в ЛС. Ссылка на профиль hackthebox и подобных площадках будет плюсом при выборе кандидатуры.

1. Неполный рабочий день
2. Совмещение
3. Подработка
4. Свободный график
5. Без оформления по трудовой
6. Оплата сдельная
7. Оклада нет

Доброго времени суток, в этой теме рассмотрим 2 вопроса: сколько раз телефон загружался(при включении или перезагрузке) с момента первой конфигурации и его аптайм.
Если вы ни разу не пользовались ADB или позабыли как, дальше есть инструкция где взять/как запустить/как подключить

1. Если у Вас нет ADB
   Ссылка скрыта от гостей
   и распаковываем SDK Platform tools. В составе SDK Platform tools идет новый adb и fastboot. Если у Вас есть ADB и Вы умеете им пользоватся переходим к пункту 6.
2. Скачиваем драйвера под телефон(это можно сделать в профильной ветке 4pda/xda).
3. Переходим в папку, где находится ADB (по дефолту \platform-tools_r28.0.2-windows\platform-tools).
4. Для запуска можно использовать 2 метода:
   1. Powershell: удобнее, т.к. можно запустить прям из папки с помощью сочетания "Shift + ПКМ" - "Открыть окно Powershell здесь". Но для запуска ADB в Powershell нужно добавлять ".\"перед...