Форум информационной безопасности - Codeby.net
Статья Новостной дайджест по ИБ/IT за 7.06-14.06
Здравия всем, дамы и господа. Почти половина июня позади, а это, между прочим, составляет 1/6 часть всего лета. Я надеюсь, вы провели это время с пользой, я же, в свою очередь, подготовил для вас информацию о том, как эту неделю провёл мир IT и ИБ.
Отголоски трагедии в Казани слышны до сих пор и это один из них. Росгвардия объявила конкурс на создание автоматизированной системы контроля за оборотом огнестрельного оружия. Стартовая сумма, которую готово отдать ведомство за разработку этой системы составляет 305,5 млн рублей. Рассмотрение заявок состоится в конце июня сего года, а система должна заработать к концу сентября 2022 года, а точнее к 30 его числу. Выглядеть всё это счастье будет как место «встречи» всех участников оружейного рынка. Господа, занимающиеся лицензированием будут автоматически уведомляться о факте купли/продажи оружия. Также платформа должна быть обеспечена базой данных с информацией о разрешении на хранение оружия и единицах, имеющихся у людей единицах.
Охранным агентствам предложат отдельную платформу, с помощью которой можно будет...
IT контроль оружия
Отголоски трагедии в Казани слышны до сих пор и это один из них. Росгвардия объявила конкурс на создание автоматизированной системы контроля за оборотом огнестрельного оружия. Стартовая сумма, которую готово отдать ведомство за разработку этой системы составляет 305,5 млн рублей. Рассмотрение заявок состоится в конце июня сего года, а система должна заработать к концу сентября 2022 года, а точнее к 30 его числу. Выглядеть всё это счастье будет как место «встречи» всех участников оружейного рынка. Господа, занимающиеся лицензированием будут автоматически уведомляться о факте купли/продажи оружия. Также платформа должна быть обеспечена базой данных с информацией о разрешении на хранение оружия и единицах, имеющихся у людей единицах.
Охранным агентствам предложат отдельную платформу, с помощью которой можно будет...
Статья Интерфейс защиты данных dpapi и ассемблер: разработка программ
Защита данных в windows: освойте dpapi на ассемблере!Начинаете путь в системном программировании? Не знаете, с чего стартовать в работе с безопасностью данных? 85% успешных специалистов начинали с практики и понимания базовых механизмов защиты. Бесплатные ресурсы и сообщества — ваш ключ к быстрому входу в профессию и оттачиванию навыков.
Узнайте, как начать карьеру в разработке с платформой Codeby, погрузиться в мир asm и превратить теорию в реальные умения. Покажем, где брать задания, как развиваться и почему это лучший старт для новичка. Только проверенные методы и полезные инструменты для будущих экспертов!
Для всех, кто хочет перейти от интереса к системному программированию и безопасности к первым победам и профессиональному росту.Статья Новостной дайджест по ИБ/IT за 1.06-7.06
Здравия всем, дамы и господа. Вот и началось лето, мало того, уже прошла первая его неделя, которая ознаменовалась новым приобретением в моём «парке». Это ноутбук dell p69g, в июле, думаю, на моём сайте выйдет обзор на него, но вы здесь не за этим, так что приятного времяпрепровождения.
Или удалёнка или увольняюсь!
С этим ультиматумом, по данным нескольких исследований, были бы согласны от 35 до 50% сотрудников, переведённых ранее на работу из дома. В одном из опросов были выявлены основные преимущества работы из дома, по мнению опрошенных это отсутствие поездок и экономия денежных средств. Интересно, почему в эти «основные преимущества» не попала возможность находиться где угодно и выполнять свою работу? Некоторые крупные игроки рынка уже озаботились вопросом повышения гибкости в отношении удалённой работы, среди них Google и Ford Motor.
Bloomberg - Are you a robot?...Немного о Bug Bounty, SSRF, CRLF и XSS
Привет, Codeby!
Немного о том, как были найдены пара простых уязвимостей в ходе Bug Bounty.
Я решил не соваться на HackerOne, а зарегистрировался на платформе попроще и поменьше, называется Intigriti, которая ориентирована на европейские компании. Выбрал цель и в первом же домене, который начал исследовать, нашел уязвимость.
Нашел SSRF, на тот момент даже не зная, что это такое.
Как это получилось и почему это заслуживает интереса.
Я просто фаззил сначала директории, потом файлы, потом параметры в URL. Обычно при таком фаззинге выполняются GET-запросы. Если бы я при фаззинге выполнял только GET-запросы, то это ничего мне не дало бы. Не знаю, что меня сподвигло, но я решил пофаззить все тоже самое POST-запросами.
В том месте, где GET-запрос возвращал мне ответ от сервера 404, метод POST возвратил мне ответ 500. То есть если я запрашивал URL -
Немного о том, как были найдены пара простых уязвимостей в ходе Bug Bounty.
Я решил не соваться на HackerOne, а зарегистрировался на платформе попроще и поменьше, называется Intigriti, которая ориентирована на европейские компании. Выбрал цель и в первом же домене, который начал исследовать, нашел уязвимость.
Нашел SSRF, на тот момент даже не зная, что это такое.
Как это получилось и почему это заслуживает интереса.
Я просто фаззил сначала директории, потом файлы, потом параметры в URL. Обычно при таком фаззинге выполняются GET-запросы. Если бы я при фаззинге выполнял только GET-запросы, то это ничего мне не дало бы. Не знаю, что меня сподвигло, но я решил пофаззить все тоже самое POST-запросами.
В том месте, где GET-запрос возвращал мне ответ от сервера 404, метод POST возвратил мне ответ 500. То есть если я запрашивал URL -
http://domen.com/image, то приходил ответ, что такого файла или пути...Статья Новостной дайджест по ИБ/IT за 24.05-31.05
Здравия всем, дамы и господа. Аккурат к концу месяца выходит очередной дайджест. И в начале его я хотел бы высказать всем читателям искренние поздравления по поводу скорого, или уже произошедшего, наступления лета. Как по мне — это прекрасная пора — время идей, возможностей и отдыха. На этом с поздравлениями, пожалуй, закончу и перейдём к вопросам насущным, а что, собственно, произошло за прошедшую неделю?
Писал, не раз и не два, но это ведь не значит что не напишу сегодня. В этот раз на рассмотрении целых четыре случая в которых кого-то оштрафовали или планируют это сделать, и угадайте, кто же становится штрафующим в этих случаях? … Если вы сказали Россия, то вы правы. Во всех четырёх случаях инициатором штрафных санкций становятся гос. Структуры РФ.
Первой жертвой дубины для выбивания денег пал Google, отдавший 6 млн рублей по трём протоколам. Все они, разумеется, «за неудаление запрещённого контента».
Суд в Москве оштрафовал Google на 6 млн рублей за отказ удалить запрещенный контент
Вторым...
Вы любите штрафы?
Про них я писал!
Про них я писал!
Писал, не раз и не два, но это ведь не значит что не напишу сегодня. В этот раз на рассмотрении целых четыре случая в которых кого-то оштрафовали или планируют это сделать, и угадайте, кто же становится штрафующим в этих случаях? … Если вы сказали Россия, то вы правы. Во всех четырёх случаях инициатором штрафных санкций становятся гос. Структуры РФ.
Первой жертвой дубины для выбивания денег пал Google, отдавший 6 млн рублей по трём протоколам. Все они, разумеется, «за неудаление запрещённого контента».
Суд в Москве оштрафовал Google на 6 млн рублей за отказ удалить запрещенный контент
Вторым...
Видео 🔥 Разбираем инактив тачки hackthebox 🔥
Расписание трансляций:
Ссылка на твич
Приветствую всех на канале Codeby, от лица портала я буду проходить в режиме Live уязвимые машины на портале HackTheBox. В первом видео-стриме мы разберем машину Sence. Мы будем вместе с вами разбирать прохождение и эксплуатирование уязвимости, а так же будем соблюдать best-practics pentest.
ПЛАН
- Вторник 18:30 (прохождение HTB тачки)
- Четверг 18:30 (прохождение HTB тачки)
- Суббота 18:30 (интервью с персоной из ИБ)
Ссылка на твичПриветствую всех на канале Codeby, от лица портала я буду проходить в режиме Live уязвимые машины на портале HackTheBox. В первом видео-стриме мы разберем машину Sence. Мы будем вместе с вами разбирать прохождение и эксплуатирование уязвимости, а так же будем соблюдать best-practics pentest.
ПЛАН
- Конспектирование наших действий для дальнейшего написание отчета
- Проведение разведки (Собираем информацию о атакуем машине, проводим анализ, разбираем использование инструментов)
- Проверка на типовые web-app уязвимости
- Поиск эксплойта и его анализ
- Закрепление на хосте
- Написание...
🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
Категории
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →
