Форум информационной безопасности - Codeby.net

Приветствую!

В этой статье я расскажу о том, как не будучи кодером, писал себе бота для телеграмма. Для начала - немного предыстории. Собственно, она довольно короткая.

Моя позиция следующая: В мессенджеры надо писать буковки!

Лично мне очень не нравятся голосовые сообщения и люди, которые их постоянно используют. Для меня - это просто не удобно, не всегда есть наушники, для того чтоб прослушать присланное сообщение (слушать, через динамики, то, что тебе прислали в личку - вообще не приемлемо), не всегда бывает его вообще слышно (например в транспорте, или на улице)... Это долго, в конце-то концов. Гораздо проще и быстрее прочитать присланные буковы, чем слушать все эти *эээээ*, *мммм*, *чмчавк* и шум на фоне.

Каждое присланное мне голосовое сообщение напрягало меня все больше и больше. И вот, наконец, я не выдержал и решил написать себе бота, который будет всю эту неприятность переводить.

В качестве языка программирования был выбран питон, т.к. на нем я хоть что-то могу написать, а в качестве площадки для бота - телеграмм, т.к. api телеграмма для ботов имеет...

Здравия всем дамы и господа, сегодня речь пойдёт о новостях прошедшей недели и это ни для кого не секрет. Так что не вижу смысла тянуть, приятного прочтения.


В скором времени, возможно такой вопрос перестанет звучать из уст геймеров по всему миру, ведь в приложении XBOX на Windows уже тестируется отметка о совместимости. По названию не трудно догадаться, что это просто плашка, показывающая насколько хорошо ваш компьютер сможет справиться с этой игрой. Доступ к новой функции есть только у пользователей программ Xboxразвитие insider. Регистрация в программе не ограничена, так что если есть желание — можете опробовать новую функцию чуточку раньше всех. Пока что было обнаружено только два варианта этой отметки:

• «Должна отлично работать на этом ПК»;​
• «Проверка производительности еще недоступна».​

The Xbox Windows app will let you know if games play well on your PC before you download them

Минувшие выходные были веселыми для ряда компаний и отдельных разработчиков.
Случилась эпидемия уязвимости log4j одного из популярнейших фреймворков логирования.
Продукты HCL так же проверяются на наличие уязвимости, размещены две страницы с Knowlege base.
Если ссылки не открываются, то ниже есть адресная строка, надо только убрать _ в https

Общая для всех продуктов, откуда можно посмотреть интересующий:

h_ttp_s://support.hcltechsw.com/csm?id=kb_article&sysparm_article=KB0095490

Конкретная по продуктам около Domino:

h_ttp_s://support.hcltechsw.com/csm?id=kb_article&sysparm_article=KB0095516

Информация на страницах будет обновляться по мере проверки ПО.
Сейчас уже известно что Notes/Designer, Xpage, AppDevPack, Traveler , verse - не затронуты данной уязвимостью.
Тем не менее, если вы самостоятельно добавляли данную библиотеку в продукты на базе Domino/Notes/xpage/AppDevPack и выставили сервер с этим приложением "наружу" - вам рекомендовано проверить и устранить уязвимость.

Добрый день , Уважаемые Форумчане и Друзья. На днях была обнаружена уязвимость в платформе Grafana. При эксплуатации она позволяет получить доступ к произвольным файлам сервера. Причиной стала некорректная работа обработчика пути /public/plugins/. Эксплуатация возможна за счёт наличия предустановленных плагинов.

Уязвимыми оказались версии Grafana 5.0.0,8.0.0-beta3,8.0.0-beta1, 8.0.7 , 8.1.8, 8.2.7, 8.3.1
Причём, первые две версии подвержены уязвимостям CVE-2021-43813 и CVE-2021-43815.

Конечно такой уязвимости был присвоен высокий класс опасности.



Попробуем посмотреть насколько просто проэксплуатировать данную уязвимость. Но для начала в поисковике найдём ресурсы с Grafana. Если для поиска воспользоваться ресурсом Fofa, то достаточно ввести запрос, указав код страны.

app="Grafana" && country="US" && body="v8."

Grafana работает с большим количеством плагинов, поэтому...

Друзья, представляем вашему вниманию нашего гостя - Артем Кадушко, капитан команды Bulba Hackers!



Артем развивает CTF в Беларуси. Он организовал команду для участия в соревнованиях CTF. Также они заняли 5 место на The Standoff 2021.

Команда состоит из достаточно юных представителей ИБ, поэтому их стремление и подготовка не может не удивлять.

Подробнее вы можете узнать о команде на их сайте или в Twitter

Мы же познакомимся с ними в это воскресенье в 18:00 по мск. Не пропусти!

На всех платформах Codeby:

• Twitch.tv
• YouTube
• Vk.com
• Facebook

Приветствую!

Если взялся - надо доводить до конца, поэтому представляю вашему вниманию прохождение четвертой - финальной машины из серии KB-VULN. Прохождение предыдущих коробок можно посмотреть тут 1, 2 и 3.
Найти и скачать представленную в разборе коробку можно тут KB-VULN: 4 FINAL.

Исходные данные:
Атакуемая машина под управлением Ubuntu linux, на которой есть 2 флага user.txt и root.txt.
Основная машина (с которой проводится атака) под управлением ОС Kali Linux
Задача: получить 2 флага с целевой машины (user.txt и root.txt) и права пользователя root.

По стандарту - сначала найдем атакуемую машину в сети используя команду:
~$ sudo netdiscover
Получаем нужный ip: 192.168.3.146

Далее просканируем машину nmap'ом:
~$ nmap -A -p- -v...

Доброго дня! На данном форуме вы найдете топовых специалистов по ИБ, которые окажут помощь в сложных ситуациях и дадут полезные рекомендации. Я решил присоединиться к ним и подготовил статью, которая поможет не дать телефонным мошенникам опустошить ваши банковские счета.

Итак, начнем. У программного обеспечения всегда есть слабые места. Но каким бы навороченным ни было бы ПО, большинство проблем возникают по причине самого человека. В основном мошенники используют методы социальной инженерии. Им не нужно взламывать программы или похищать смартфоны в метро - все, что им нужно, это просто начать беседу с человеком.

Жулики буквально ломают мозги. Схемы обмана всегда разные, но их цель - выманить ваши деньги. В качестве жертв выступают люди вне зависимости от возраста - обмануть можно не только доверчивую пенсионерку, но и прогрессивного молодого человека.

Вступление:

Для разбора взят часто используемый мошеннический кейс. Из-за него люди часто теряют свои деньги. Ниже будет приведен разбор сценария общения с мошенником с целью показать...

Приветствую!

Это прохождение третьей машины из серии KB-VULN. Прохождение предыдущих машин можно посмотреть тут 1 и 2.

Найти и скачать коробку можно тут KB-VULN: 3

Исходные данные:
Атакуемая машина под управлением Ubuntu linux, на которой есть 2 флага user.txt и root.txt.
Основная машина (с которой проводится атака) под управлением ОС Kali Linux
Задача: получить 2 флага с целевой машины (user.txt и root.txt) и права пользователя root.

Как всегда, сначала найдем атакуемую машину в сети при помощи команды:
~$ sudo netdiscover
В результате видим нужный ip: 192.168.3.142
Теперь просканируем машину nmap'ом:
~$ nmap -A -p- -v 192.168.3.142



Видим 3 сервиса: 22 порт - ssh, 80 порт - http и самба (139...