Форум информационной безопасности - Codeby.net
Статья [4] Burp Suite: Настройка параметров проекта
Приветствую, Codeby.net! Продолжаем разбираться в Burp Suite, эта статья посвящена настройка проекта, да, не атакам и взломам, а именно настройкам. Нужно пройти эту не очень захватывающую часть, чтобы свободно ориентироваться в инструменте, с которым вам, возможно, придётся часто работать.
Моё мнение, что свой рабочий арсенал, нужно знать досконально, итак, приступим.
В прошлых сериях:
Моё мнение, что свой рабочий арсенал, нужно знать досконально, итак, приступим.
В прошлых сериях:
Статья [3] Burp Suite: Установление доверия по HTTPS
Приветствую, Codeby.net! Продолжаем цикл статей посвященных тестированию web-приложений на проникновение с помощью Burp Suite.
- [0] Burp Suite. Тестирование web-приложений на проникновение
- [1] Burp Suite. Знакомство с основным инструментарием
- [2] Burp Suite. Атаки с помощью Intruder
Статья [7] Wi-Pi Pineapple - Работа с модулями. Модуль Evil Portal
Всем привет, это ещё одна статья посвященная работе с Wi-Fi Pineapple, в моём случае это Tetra, но надеюсь, и владельцы Nano не останутся ущемлёнными.
Итак, сегодня будем рассматривать, и применять на практике модуль Evil Portal.
Предыдущие части:
Итак, сегодня будем рассматривать, и применять на практике модуль Evil Portal.
Предыдущие части:
Статья [Шпаргалка] Iptables Essentials - Общие правила и команды
Приветствую! Решил поделиться c аудиторией небольшой шпаргалкой по IPTables.
Всё запомнить невозможно, искать в сети долго, а под рукой иметь хочется.
IPTables — утилита командной строки, является стандартным интерфейсом управления работой межсетевого экрана (брандмауэра) netfilter для ядер Linux, начиная с версии 2.4. Для использования утилиты IPTables требуются привилегии суперпользователя (root).
Данная инструкция относится больше к Debian – based дистрибутивам.
Ниже, схематично представлен принцип работы IPTables:
Перейдём непосредственно, к командам:
Посмотреть текущий список правил:
Сохранить набор правил:
Всё запомнить невозможно, искать в сети долго, а под рукой иметь хочется.
IPTables — утилита командной строки, является стандартным интерфейсом управления работой межсетевого экрана (брандмауэра) netfilter для ядер Linux, начиная с версии 2.4. Для использования утилиты IPTables требуются привилегии суперпользователя (root).
Данная инструкция относится больше к Debian – based дистрибутивам.
Ниже, схематично представлен принцип работы IPTables:
Перейдём непосредственно, к командам:
Посмотреть текущий список правил:
[B]iptables –n –L –v[/B]
Сохранить набор правил:
Код:
iptables-save >...Статья Как веб-сервера обрабатывают запросы и почему это может привести к уязвимости
Привет,
Хочу рассказать о поведении вебсерверов на не совсем обычные запросы и то, что код иногда обрабатывает их не так, как вы ожидаете на примере куска легаси кода.
Так же затрону очевидные прописные истины аналогичные "Почему вебсервер должен быть первой линией обороны" и "Почему вы должны знать все о вашей конфигурации".
Во время анализа кода одной CMS был обнаружен такой кусок кода. Что-то в нем сразу насторожило!
Как потом узнали у разработчиков, они считали что "Не может быть запроса" без метода. И поэтому оставили
Если что, правильный путь это проверять тип...
Хочу рассказать о поведении вебсерверов на не совсем обычные запросы и то, что код иногда обрабатывает их не так, как вы ожидаете на примере куска легаси кода.
Так же затрону очевидные прописные истины аналогичные "Почему вебсервер должен быть первой линией обороны" и "Почему вы должны знать все о вашей конфигурации".
Во время анализа кода одной CMS был обнаружен такой кусок кода. Что-то в нем сразу насторожило!
Как потом узнали у разработчиков, они считали что "Не может быть запроса" без метода. И поэтому оставили
console mod без авторизации, так как если у тебя есть доступ к SSH, то тебя уже мало что остановит. Соответсвенно все действия администратора можно провести без авторизации, если ты в console mode.Если что, правильный путь это проверять тип...
Статья Android/Xposed/Cydia: Ищем root и то, что может скрыть его
Привет,
Пару лет назад нужно было скрывать что на Android девайсе есть root. Было проведено изучение как определяют root права мобильные SDK (в основном рекламные, так как им нужно строить свои системы аналитики и антифрода для препятствия работе накрутчиков и скликивальщиков , но и остальные были проверены в тоннах Smali кода). Вообще много для каких задач нужно проверять наличие расширенных прав. Так делают банковские приложения для защиты, некоторое проприетарное ПО для того, чтобы скрыть свою работу или действия от динамического анализа (про статический анализ не буду говорить, так как скачать apk и засунуть его в анализатор типа MobSF/Mobile-Security-Framework-MobSF ничего не стоит, хотя MobSF умеет и в динамический).
Вообщем, получилось найти, выделить и додумать как бы я определял (если бы очень хотел найти того, кто прячет root) 9 основных методов, а именно:
Пару лет назад нужно было скрывать что на Android девайсе есть root. Было проведено изучение как определяют root права мобильные SDK (в основном рекламные, так как им нужно строить свои системы аналитики и антифрода для препятствия работе накрутчиков и скликивальщиков , но и остальные были проверены в тоннах Smali кода). Вообще много для каких задач нужно проверять наличие расширенных прав. Так делают банковские приложения для защиты, некоторое проприетарное ПО для того, чтобы скрыть свою работу или действия от динамического анализа (про статический анализ не буду говорить, так как скачать apk и засунуть его в анализатор типа MobSF/Mobile-Security-Framework-MobSF ничего не стоит, хотя MobSF умеет и в динамический).
Вообщем, получилось найти, выделить и додумать как бы я определял (если бы очень хотел найти того, кто прячет root) 9 основных методов, а именно:
- su Binary
- busybox Binary...
Статья 10 полезных инструментов для OSINT
Доброго времени суток! Сегодня я попробую прокачать вашу коллекцию закладок OSINT утилит, и рассказать об интересных сайтах, которые часто помогают при поиске.
1. Сохраненные копии сайта от Google'a
Мало кто знает, что иногда гугл создает копии сайта:
И иногда такой архив сайта помогает узнать. что именно было удаленно, либо закрыто на том, или ином сайте. К сожалению, не всегда google создает кэшированные сайты, и, как назло, может кэшировать сайты без больших интервалов, что часто только усложняет поиск удаленной информации:
2.Поиск по нику
Существует очень удобный сайт ( ). Он дает возможность узнать, имеет ли уже кто-то такой же...
1. Сохраненные копии сайта от Google'a
Мало кто знает, что иногда гугл создает копии сайта:
И иногда такой архив сайта помогает узнать. что именно было удаленно, либо закрыто на том, или ином сайте. К сожалению, не всегда google создает кэшированные сайты, и, как назло, может кэшировать сайты без больших интервалов, что часто только усложняет поиск удаленной информации:
2.Поиск по нику
Существует очень удобный сайт ( ). Он дает возможность узнать, имеет ли уже кто-то такой же...
Hacker Lab
Категории
Наши курсы
