Форум информационной безопасности - Codeby.net

Soft Sitadel Web Application Security Scanner

  • 4 144
  • 3
Добрый день,Уважаемые Друзья и Форумчане.
Сегодняшний обзор будет о небольшом инструменте,который умеет проводить аудит сайтов.

За эти дни много инструментов протестировал,но остался ими недоволен,только время потерял.
Если уж и делиться с вами своими впечатлениями,то это от теста тех утилит,которые приносят наглядную результативность.

Знакомьтесь, это Web Application Security Scanner под названием Sitadel.
Создал его Shenril из Японии.

Sitadel совместим для работы с версией python3
Затаскивать его будем на Kali Linux, поэтому установка немного будет отличаться от указанной на странице автора.

Установка:
Код:
# git clone https://github.com/shenril/Sitadel.git
# cd Sitadel/
# chmod +x setup.py
# chmod +x sitadel.py
# python setup.py install
# pip3 install .
# python3 sitadel.py --help -команда запуска с выводом справки
Инструмент проводит следующие
Injection

HTML Injection
SQL Injection
LDAP Injection
XPath Injection...

Статья [2] Burp Suite: Атаки с помощью Intruder

  • 17 751
  • 6
Привет форуму и его жителям. Продолжаем цикл статей о Burp Suite, сразу перейдём к делу.

Отсылка к предыдущим частям:
Одна из основных утилит для тестирования это Burp Intruder. Принцип его работы заключается в следующем: он обрабатывает каждый HTTP-запрос (называемый «базовым запросом»), изменяя параметры различными способами, выдавая каждую измененную версию запроса и анализируя ответы приложения для...

Статья Миниатюрная сотовая станция на базе LimeSDR Mini и Orange Pi Zero

  • 47 694
  • 77
Добрейший вечерочек. Хотел бы обратить ваше внимание на насущную тему сотового фрикинга и того, каким он может стать в будущем (уже стал?). Лично для меня "Атака с помощью карманной сотовой станции" звучит из ряда вон по киберпанковски. Но современные одноплатники вкупе с SDR позволяют создавать миниатюрные сотовые станции всех поколений (2g/ 3g/ 4g), телевизионные вышки, электронные отмычки и много чего ещё.

Я же в этом треде хочу рассказать о сборке мини-сотовой станции 2G на базе LimeSDR-Mini и Orange Pi Zero. Почему не 3G и не 4G? Потому что мы не сможем подключиться к такой сети без собственной запрограмированной сим-карты. Защита в сетях последнего поколения требует, что бы в телефоне была симка с криптографическим ключом именно от этой сети. А так как сейчас на руках у меня не оказалось ни пустых симок, ни программатора, то придётся отложить эту затею на...

Статья DNS Spoofing - Фейковое обновление ПО

  • 10 191
  • 10
00.jpg

Привет, codeby.net

В данной статье я хочу поговорить о теме которая меня давно интересует, а именно фейковое обновлении ПО. Мне вообще интересна тема а в частности как проводить атаки внутри сети. Одним из векторов атаки является то самое фейковое обновление ПО. Примерно год назад мне попалась на глаза программа evilgrade, сразу загорелся желанием разобраться как она работает. Попробовал разобрать с наскоку но что то пошло не так и я забил :D Сегодня я сново вернулся к этой теме и в этот раз я добился результат.

Оговорю сразу, я не даю вам четкие инструкции как вам провести данную атаку или написать код чтобы автоматизировать процесс, я опишу методологию того как это происходит и покажу пример который наглядно покажет о чем идет речь. Суть данного...

Статья zero-click forensic imaging - инструмент для криминалистической визуализации с нулевым кликом

  • 4 210
  • 1
zero-click forensic imaging (IO) - инструмент для криминалистической визуализации с нулевым кликом, разработанный для использования в условиях высокой нагрузки. IO автоматически включает программную блокировку записи, обнаруживает изменения на подключенных устройствах и начинает создавать изображения E01 с подключенного целевого носителя без какого-либо вмешательства пользователя. Кроме того, журналы ввода-вывода включают критическую информацию об устройстве, которая требуется экспертам MEDEX (судебно-медицинская экспертиза), такую как тип устройства, модель, имя, размер, геометрия, хэши MD5 и SHA1, серийный номер оборудования, серийный номер тома для каждого раздела и VID устройства. / PID.

Кроме того, IO был спроектирован с нуля, чтобы обеспечить одновременную обработку и анализ данных наряду с визуализацией. Не влияя на общее время визуализации, IO создает отчеты по сортировке, которые включают общее количество файлов и извлеченную информацию о географическом местоположении из...

Статья Meterpreter снова в деле: 100% FUD with Metasploit 5

  • 52 095
  • 99

Введение
Доброго времени суток друзья! Рад снова вас видеть! Написать эту статью я намеревался еще до официального релиза , но вечно не хватающее время и некоторые другие обстоятельства не позволили этому сбыться.
Сегодня речь пойдет как вы уже могли понять из заголовка - об обходе антивируса. С Metasploit 5 у нас появилась возможность "из коробки" шифровать shellcode с помощью AES-256. Таким образом наш shellcode становится абсолютно не читаемым для антивирусов. Конечно можно было бы ограничиться ссылкой на github или на официальное видео в youtube, но мне захотелось пойти дальше.

Основная часть
Начнем с установки последней версии Metasploit-Framework.

Добавляем в систему ключ и адрес репозитория
Bash:
sudo wget -qO -...

Статья Прячем изображение в спектрограмме звука

  • 12 385
  • 0
На сегодняшний момент физики под звуком понимают «воспринимаемое слухом физическое явление, порождаемое колебательными движениями частиц воздуха или другой среды».

Звук как физическое явление характеризуется определенными параметрами: высотой, силой звуковым спектром.

Если записать на графике декартовой системы с осями Ox(время) и oY(частота) точки, определенные частотой конкретного звука в промежуток времени n секунд с шагом в 1 секунду, то получится Спектрограмма. Под спектрограммой следует понимать «изображение, показывающее зависимость спектральной плотности мощности сигнала от времени». Иными словами, спектрограмма – это графическое изображение звука. Спектрограмму сформировать можно двумя способами: аппроксимировать как набор фильтров или рассчитать сигнал по времени с помощью оконного преобразования Фурье.

С появлением цифровой возможности обработки звука, открылись новые возможности для стеганографии. Проанализировав спектрограмму любого аудиофайла можем увидеть...

Статья Bettercap 2.x. Атака на WiFi сети - Атака на массы(+плюшка ban).

  • 5 103
  • 1
Приветствие

Приветствую всех читателей и обитателей ресурса Codeby.net!

В прошлой статье мы рассмотрели как можно перехватить handshake определённой точки доступа, поговорили не много о том как можно пробрутить полученный файл с handshake, но за частую бывает так что в словаре не оказывается необходимой комбинации набора символов под название "пароль", а доступ в глобальную сеть интернет необходимо получить как можно быстрей, в этом случае Bettercap как нельзя кстати!

Bettercap имеет возможность проводить атаки на все доступные точки доступа разом(конечно не одновременно, но в автоматическом режиме умеет атаковать каждую точку поочерёдно) и происходит это довольно быстро.

Предисловие

В этой статье мы рассмотрим два наиболее быстрых способа получить доступ к точке доступа сетей WiFi, это две довольно распространённые атаки на WiFi сети...

Soft [6] Wi-Fi Pineapple - PMKIDAttack

  • 5 514
  • 6
27179

Привет, codeby.net!
Хочу поделиться еще одной наработкой. Изначально не хотел выкладывать в публичный доступ, но все же решил это сделать. Данный модуль упрощает захватывать PMKID :)

Название: PMKIDAttack
Автор: @n3d.b0y
Платформа: Tetra / NANO
Версия: 1.2
GitHub: n3d-b0y/PMKIDAttack
Hack5:
Функционал:
  • Захват PMKID
Описание:
Из-за помех перехват может не получиться с первого раза, поэтому рекомендуется не останавливать атаку в течение 10 минут. Если PMKID не удалось получить значит точка доступа не поддерживает данную уязвимость.
Сканируем сеть, нажимаем кнопку attack напротив атакуемой точки доступа и ждем результат. После того как мы получим PMKID, атак автоматически...

Статья Bettercap 2.x. Атака на WiFi сети - Захват handshake.

  • 6 076
  • 1
Приветствие

Приветствую всех читателей и обитателей ресурса Codeby.net!

Китайский новый год уже закончился и хотя, некоторые граждане КНР ещё продолжают его отмечать, или просто пытаются споить тех кого ещё не видели в этом году, уже можно сказать гонка рабочих будней начинает набирать свой оборот.В связи с этим, свободного времени становится всё меньше и меньше, а значить и времени на моё хобби практически не остаётся.
Думаю буду всё таки выкраивать время для будущих постов в этом направление, в выходные дни или\и в то время когда нахожусь в пути.Честно говоря, моя работа связана с "туристическим бизнесом", соответственно мне практически каждый день приходится находится в дороге по 6-7 часов, преодолевая расстояния между городами и странами( и снова городами, и странами...) , но дорога выматывает, да и не всегда есть возможность\желание писать что то находясь в транспорте.
Хотя я и не нахожусь за рулём, и есть свободное время в этот промежуток...