-
5 июня стартует летний поток курса "Введение в информационную безопасность" от команды codeby. Научимся находить уязвимости, изучим WEB- и обратную разработку, криптографию, стеганографию, форензику, OSINT и будем выполнять задания CTF в игровой форме. На курс можно записаться до 15 июня включительно. При обращении через телеграм скидка 10%, кодовое слово менеджеру: INSEC0623
Форум информационной безопасности - Codeby.net
Статья Avast Anti-Virus CVE-2023-1585 CVE-2023-1587 Privileged file operation abuse: разбор уязвимости
0x00: Введение
Автор - небольшой любитель уязвимостей типа Privileged file operation abuse, т.к. довольно специфические уязвимости. К сожалению, не всегда приложенные усилия равны результату, но не в этот раз)В этот раз мой взгляд упал на Avast. После беглого изучения его механизма удаления вредоносных программ я провел ресерч и обнаружил подобные исследования от и , которые касались подобных уязвимостей. Моя цель заключалась в выполнении кода от SYSTEM в результате абьюза механизма...
Статья Сильный я и ловкий, ветра проучу. Реверс инжиниринг используя radare2. Часть 2
Ку, киберрекруты. Продолжаю курс реверса и использованием radare2. Сегодня мы рассмотрим некоторые простые структуры данных, такие как переменные, поймем, как работают основные условные структуры кода внутри, а также научимся отлаживать с помощью radare2.
Первая часть
Переменные
Код
Что касается числовых переменных, то первая представляет собой int, вторая - float, третья - double, а также char 'a'. В конце эти значения складываются и результат выводится на печать. Мы видим, как первая переменная хранится непосредственно в регистре (общего назначения), вторая тоже хранится в памяти, но в другом месте, а третья работает так же, за исключением того, что ей требуется в 2 раза больше места, чем второй (double).
Первая часть
Переменные
Код
Что касается числовых переменных, то первая представляет собой int, вторая - float, третья - double, а также char 'a'. В конце эти значения складываются и результат выводится на печать. Мы видим, как первая переменная хранится непосредственно в регистре (общего назначения), вторая тоже хранится в памяти, но в другом месте, а третья работает так же, за исключением того, что ей требуется в 2 раза больше места, чем второй (double).
C:
#include <stdio.h>
int main() {...Статья Получение WHOIS-информации о домене по его IP-адресу с помощью Python
При проведении различного рода исследований связанных с доменами, иногда необходимо узнать информацию WHOIS по их IP-адресу. Безусловно, в интернете существует большое множество сервисов, которые предоставляют данную услугу. Но, что, если вам необходимо проверить большое количество адресов? Иногда у сервисов есть специальный API для выполнения такого рода проверок. Вот только доступ к таким API либо, предоставляется с большими ограничениями, либо является и вовсе платным.
В частности для Python существуют библиотеки, которые выполняют запросы такого характера. Но, почему-то, из всех, на которые я натыкался довольно часто, самыми популярными являются python-whois и ipwhois. В данной статье я попробую сравнить эти две библиотеки, а также мы попробуем получить информацию о whois самостоятельно, путем написания собственных функций для этих целей.
Для начала выполним небольшое исследование, чтобы иметь...
В частности для Python существуют библиотеки, которые выполняют запросы такого характера. Но, почему-то, из всех, на которые я натыкался довольно часто, самыми популярными являются python-whois и ipwhois. В данной статье я попробую сравнить эти две библиотеки, а также мы попробуем получить информацию о whois самостоятельно, путем написания собственных функций для этих целей.
Для начала выполним небольшое исследование, чтобы иметь...
Статья Свободное программное обеспечение. Телефон
Введение
Всем привет, практически у каждого из нас есть телефон, средство связи номер 1... а также доносчик номер 1. Для чего он нужен? Звонить? Писать СМС? Очень смешно. Он нужен нам для мессенджеров, соц. сетей, браузера, видео, музыки, новостей, калькулятора и прочего. Телефон может быть даже опаснее компьютера (в плане конфиденциальности), т.к скорее всего вы сидите в нём намного чаще, чем за компьютером, а также телефон имеет камеру, микрофон, отпечаток пальца, лица, трекеры отслеживания положения в пространстве. Ух... По хорошему, я бы разбил телефон к чёрту и выкинул в окно, но в современном мире без него просто невозможно. Поэтому в этой статье я расскажу как я минимизировал свои данные, а также расскажу как получить похожий результат на телефоне на котором стоит обычный Android, без прошивки и выпаивания камеры.
Всем привет, практически у каждого из нас есть телефон, средство связи номер 1... а также доносчик номер 1. Для чего он нужен? Звонить? Писать СМС? Очень смешно. Он нужен нам для мессенджеров, соц. сетей, браузера, видео, музыки, новостей, калькулятора и прочего. Телефон может быть даже опаснее компьютера (в плане конфиденциальности), т.к скорее всего вы сидите в нём намного чаще, чем за компьютером, а также телефон имеет камеру, микрофон, отпечаток пальца, лица, трекеры отслеживания положения в пространстве. Ух... По хорошему, я бы разбил телефон к чёрту и выкинул в окно, но в современном мире без него просто невозможно. Поэтому в этой статье я расскажу как я минимизировал свои данные, а также расскажу как получить похожий результат на телефоне на котором стоит обычный Android, без прошивки и выпаивания камеры.
CTF Клиент всегда прав
Здравствуйте, друзья! Я рад представить вам авторский врайтап, который поможет раскрыть тайны таска "Клиент всегда прав / Веб" с платформы Игры Кодебай. Мы рассмотрим уязвимость XSS и научимся использовать её, чтобы получить Cookies администратора. Давайте начнем!
Статья Смотрим немного базовых уязвимостей в K8S
Всем привет, сегодня хотел бы разобрать самые базовые дыры в Kubernetes (или сокращенно K8S). Но давайте сначала разберемся с базовыми понятиями в K8S.
Статья Генератор паролей из мнемонических фраз. Делаем скрипт на Python
Генераторы паролей уже давно не являются чем-то редким и эксклюзивным. Тем более, что вы всегда можете воспользоваться своим природным «генератором», то есть мозгом для того, чтобы придумать пароль. Более того, доступно множество как оффлайн, так и онлайн решений для выполнения данной задачи. Но, мне всегда хотелось сделать что-то подобное самостоятельно, чтобы немного понять принцип работы данного продукта. Поэтому я сделал небольшой скрипт на Python, которым хочу с вами поделиться. Может быть он будет кому-то полезен.
Что потребуется?
Как это не удивительно, но установки сторонних библиотек в данном случае не нужны. Однако, это не значит, что для создания генератора будет достаточно написать только код. Ведь мы будем генерировать не просто набор букв в случайной последовательности, а именно парольные фразы, которые по сути являются мнемоническим паролем. Как...
Что потребуется?
Как это не удивительно, но установки сторонних библиотек в данном случае не нужны. Однако, это не значит, что для создания генератора будет достаточно написать только код. Ведь мы будем генерировать не просто набор букв в случайной последовательности, а именно парольные фразы, которые по сути являются мнемоническим паролем. Как...
Статья Я ведь не из робких, всё мне по плечу. Реверс инжиниринг используя radare2. Часть 1
Ку, киберрекруты. Начинаю курс реверса с использованием radare2. В этой серии постов, которую я начинаю с этого, будут рассмотрены основы реверс-инжиниринга с помощью "популярного" фреймворка radare2. Я хочу провести вас через разнообразный набор примеров двоичных файлов, написанных на C, которые будут охватывать наиболее распространенные алгоритмы и структуры данных, которые вы можете найти в программах, так что в конце вы сможете определить их и работать с ними. Это не будет продвинутый/профи курс, но он начнется с самых низов и будет охватывать гораздо больше, чем средний бесплатный курс/учебник.
В этой серии статей мы начнем с исходного файла / алгоритма на языке C, скомпилируем его в 32-битной и 64-битной системах, а затем проведем реверс-инжиниринг с помощью radare2, чтобы вы смогли оценить различия между 32- и
64-битными двоичными файлами. После того как мы рассмотрим основы...
В этой серии статей мы начнем с исходного файла / алгоритма на языке C, скомпилируем его в 32-битной и 64-битной системах, а затем проведем реверс-инжиниринг с помощью radare2, чтобы вы смогли оценить различия между 32- и
64-битными двоичными файлами. После того как мы рассмотрим основы...
Статья Злые устройства. Быстрый способ поиска и эксплуатации IoT уязвимостей
Введение
Давай вспомним, когда последний раз ты читал новости? Я думаю, что не так давно. А теперь подумай, когда весь мир мог прожить без единого масштабного взлома. Нас постоянно окружают гаджеты и умные девайсы и производители этих устройств не так часто заботятся о их безопасности. Кто-то забывает выпустить свежие патчи или просто перестает поддержку старых моделей. Из-за этого они ставят под угрозу большинство владельцев, потому что современные умные вещи не очень хорошо ладят с безопасностью. Поэтому я предлагаю прогуляться по миру IoT и показать...
Статья ШХ. Анализируем никнейм, номер телефона и ведём учёт
Введение
Снова приветствую дорогих читателей. В этой рубрике я рассказываю про различные инструменты и методы киберразведки по открытым источникам. Сегодня хочу обозреть для вас несколько инструментов, связанных непосредственно с OSINT.
Enola Holmes
Все наверняка знают такого известного сыщика, как Шерлок Холмс. Разумеется, ведь его имя практически официально стало синонимом к слову детектив. А книги о нём стали классикой детективного жанра, написанные Артуром Конаном Дойлом. Так вот, у Шерлока Холмса так же была и...Категории блога
Наши курсы
Команда онлайн
-
DzenWell-known member
Наши книги
