Форум информационной безопасности - Codeby.net

Статья Разработка многопоточного сканера ip-диапазонов: от основ до оптимизации

  • 8 896
  • 5
Статья для участия в конкурсе Тестирование Веб-Приложений на проникновение
Приветствую тебя читатель!

Сегодня мы окунёмся в настоящую эволюцию, и напишем целых три программы, от простого к более сложному.

1483699157_figura-30.jpg


В арсенале любого хакера одним из важнейших инструментов является сканер открытых портов IP-адресов. Сканер портов – это программа, написанная для поиска хостов в сети, у которых есть открытые, интересующие хакера порты. Применяется для предварительной разведки, с последующим проникновением через уязвимости или админпанели.

У разных портов бывает разное назначение. Приведу буквально несколько примеров:

21 — FTP (File Transfer Protocol) Протокол передачи файлов...

Статья Социальная инженерия в тестировании на проникновение веб-приложений: учебное пособие

  • 5 938
  • 5
Приветствую вас, дорогие форумчане. В связи с началом конкурса, решил и я внести свою лепту, дабы не расслаблялись)

Эта статья написана с целью заполнения у многих пробелов в таком тонком и одновременно мощном векторе, как социальная инженерия. Она послужит не только хорошим методическим материалом, но и, надеюсь, поможет вам не попадаться на уловки злоумышленников. Помните: знание – сила, и в данном случае, она служит вашей защитой. Если вы только начинаете свой путь в мире кибербезопасности и пентеста и хотите глубже погрузиться в тему, рекомендую ознакомиться с нашим пошаговым руководством для новичков.

Прошу обратить ваше внимание на то, что все совпадения, имена и фамилии в примерах являются вымышленными и используются исключительно для наглядности изложения материала. Все манипуляции, описанные ниже, предназначены исключительно для легального и этичного...

Статья [0x04] Исследуем Portable Executable [Создаём программу без компилятора (часть 2)]

  • 10 220
  • 9

Доброго времени суток, друзья. В прошлой статье, мы начали создавать простейший исполняемый модуль (.exe файл) в hex-редакторе и полностью заполнили заголовки. В этой статье, мы закончим работу над нашим исполняемым файлом и получим работоспособную программу. Приступим!

Выравнивание начала секций
В прошлой статье мы заполнили заголовки, ну а в этой мы заполним секции. Как мы договорились в прошлой статье, всего у нас будет 3 секции, а именно:
  • .text - секция кода
  • .idata - секция импорта
  • .data - секция данных
Каждая секция в файле будет занимать по 0x200 (512) байт, а в памяти по 0x1000 (4096)...

Статья Анализ ESI-инъекций: Методы выявления уязвимостей

  • 4 032
  • 5
Доброго времени суток! Сегодня я хочу презентовать непопулярную инъекцию как ESII (Edge Side Include Injection)

Данную атаку можно реализовать тегом в HTML <esi> (Edge Side Includes). Так же, это новый вид атаки на некоторые кэш-серверы.


ТЕОРИЯ
Что же такое ESI, и как его используют?


Взгляните на простенькую веб-страницу:

photo_2018-11-03_23-07-27.jpg


На данной странице, есть 2 типа элементов:

image_2018-11-03_20-42-24.png


То есть, теги ESI используются для указания обратного прокси (или кэш-сервера) для получения дополнительной информации о веб-странице, для которой шаблон уже кэширован.

Эта информация может поступать с другого сервера...

Статья Лучшие приложения для шифрования ваших файлов перед загрузкой в облако

  • 10 702
  • 4
Большинство провайдеров облачных хранилищ и , таких как Google Диск, Dropbox, Box и Microsoft OneDrive, предлагают некоторый уровень шифрования - по сути, скремблируют содержимое загруженных вами файлов. Для их раскодирования требуется ключ шифрования. Большинство провайдеров облачных хранилищ сами хранят ключ шифрования, вместо того, чтобы предоставить его пользователю и, таким образом, требуют от него или нее слепого доверия к тому, что компания не будет злоупотреблять доступом к вашим файлам, не допустит утечки данных ключа для хакеров или не передаст его отслеживающим органам государственной власти. Кроме того, любой, у кого есть физический доступ к вашему телефону или ноутбуку, может легко попасть в файлы в облаке, потому что большинство этих служб по умолчанию оставляют вас залогиниными в системе.

Несколько компаний облачного резервного копирования, таких как iDrive, позволяют пользователю...

Конкурс IN DATA WE TRUST применяем публичные данные для атаки

  • 3 354
  • 2


Статья для участия в конкурсе Тестирование Веб-Приложений на проникновение

Благодаря взрывному развитию информационных технологий и в частности интернета, объем данных создаваемый каждым человеком стал действительно колоссальным, и большинство этой информации разбросанно по всему миру, хранится в виде нулей и единиц, в огромных ангарах калифорнийской пустыни и на жестком диске в компьютере пекинской домохозяйки. Понимая ценность данных, правительства разных стран приняли законы о хранение личной информации граждан в пределах страны, что говорит о ценности этой информации, но казалось бы какое кому дело до ваших геотегов, поисковых запросов или объявлениях о продаже котят? Но сегодня рассмотрим все что можно выжать из чекина в старбаксе на улице Ленина 15, вашего мейла на...

Конкурс [Истории за кодом] На пути к правильному коду.

  • 2 822
  • 0
Статья для участия в конкурсе Тестирование Веб-Приложений на проникновение.​
Часть 1 - [Истории за кодом] Притча о тривиальности. Брутфорс атака.

Доброго времени суток, codeby, продолжаем разговор, начнём сразу с практики, с того на чём остановились в прошлый раз.

Presentation Layer. Честно сказать, всё-таки я не определился с вопросом о том, что у нас будет в итоге: консольное приложение, web spa application или вообще оконный интерфейс. Но этот факт, лишь подтверждает, что у нас уже получилась хорошая архитектура. Так как хорошая архитектура позволяет откладывать решения как можно дольше! Действительно, как бы то не было, пользовательский интерфейс мы можем делать каким угодно, в итоге мы просто будем обрабатывать информацию от пользователя и передавать её...

Статья Обнаружение уязвимостей веб-ресурсов: применение Google Dorks и анализ SQL-инъекций

  • 31 108
  • 75
Статья для участия в конкурсе Тестирование Веб-Приложений на проникновение
Самый главный хакер в мире
И кто же это такой крутой хакер? Кто же этот легендарный неуловимый Джо?
Скажите как его зовут???

БУ -РА -ТИ-НО! Почти угадали )

1_slide-16.jpg


Это GOOGLE !!!

Да-да друзья, всем известный поисковик, и есть самый главный и крутой хакер )
Большинство из вас уже давно знают про такую вещь как гугл хакинг.

Гугл может, Гугл может все, что угодно,
Плавать брассом, спорить басом, дрова рубить!
Гугл может, Гугл может все, что угодно,
Ломать сайты, сливать базы - не может...