Форум информационной безопасности - Codeby.net

Статья Как обнаружить уязвимость SACK Panic с помощью Wireshark

  • 190
  • 0
Недавно мы провели углубленный анализ уязвимости SACK Panic (которая впервые была раскрыта в июне 2019 года), чтобы выяснить ее эффективность для машин Linux. В ходе этого исследования мы нашли новый метод обнаружения уязвимых серверов с помощью популярного анализатора сетевого трафика Wireshark. В этой статье приводятся сведения об уязвимости SACK Panic, новом методе обнаружения и ряде мер по смягчению, рекомендованных для защиты от SACK Panic. Хотя воздействие, по-видимому, ограничивается атаками типа «отказ в обслуживании» , эту проблему необходимо решить, чтобы пользователи поняли...

Статья Побеждаем MODX - льём шеллы со всех сторон

  • 2 083
  • 2
Всем привет! Сегодня я решил поделиться с вами своими личными исследованиями по внедрению шеллов в CMS MODX. Эта CMS не такая популярная и распространённая как Wordpress или Joomla. Просто она не такая дружелюбная к пользователю, и «любая домохозяйка» не сможет быстро разобраться как делать сайт, так как здесь свой специфичный подход, основанный на применении чанков. сниппетов и плагинов. Тем не менее на мо́дэкс написано порядка 3-4% сайтов, что в итоге выливается в довольно приличное количество. Сама CMS больше защищена в сравнении с более популярными системами, и под неё...

Статья ZIP'аем файл вручную (часть.1. упаковщик)

  • 1 489
  • 3
Допустим имеем файл и нужно перенести его в своей программе на чужую машину. Если этот файл будет внешним (на подобии библиотеки или драйвера), то сразу бросится в глаза. А что если зашить его в своё тело и создавать при запуске основного приложения? Благо производительность современных процессоров это позволяет и жертва даже не успеет понять в чём дело. Другими словами получим матку, которая будет порождать файлы. Всё-бы хорошо, только таскать в себе готовые бинарники типа exe\dll в несжатом виде тоже не лучшая идея – одних только "байтов выравнивания" в них под 50%, а для использования...

Статья Proxmark3 как написать свой вариант автономного режима

  • 2 738
  • 14
Купил себе китайский proxmark3 easy вот играюсь. Для начала я его маленько модифицировал аккумулятор приделал 150 млач хватает на 3 часа непрерывной эмуляции. Еще штекер приделал для перепрошивки. Но меня не устраивало что в автономном режиме у него мало фукционала и чтобы сменить режим нужно перепрошивать чип. Вот я накал себе standalone mode который эмулирует все типы карт которые у меня есть т.е. Mifare HID EM410. Сделать это в принципе не очень сложно. Я юзаю релиз отсюда "RfidResearchGroup/proxmark3" там есть скелетон и объяснялка как им пользоваться и как подключать. Кому...

Soft Тест Cms с Medusa и разведка с Magnifier

  • 3 192
  • 4
Приветствую Друзей и Уважаемых Форумчан. Сегодня рассмотрим пару инструментов,заслуживающих внимания. Поработают они последовательно в связке. Тестировать и атаковать будем один из недобросовестных ресурсов с помощью BlackArch. Будет также немного трэша,но главной задачей останется демонстрация работы инструментов. При тестировании не нанесено ни малейшего ущерба web-ресурсам,а также юр.и физ.лицам. Вся информация предоставлена исключительно в рамках ознакомления и изучения безопасности. Первый инструмент из раздела Information Gathering . Название Magnifier ему было дано известным...

Статья Bad Usb или как я уток разводил, Практическое пособие по Rubber Duck

  • 2 730
  • 19
Предисловие Решил я как-то хозяйство дома завести, благо земли хватает вдоволь. Выбор остановил на утках. Знающие люди сказали, что от них куда больше пользы, чем от кур да и вкуснее они. Началось с того (как это частенько бывает), что узнал я про этих уток не из новостных лент, я практически от первоисточника, а точнее всеми любимого DEFCON-а. Заинтересовало меня их послание, хотя, если честно, не скажу, что я да и другие разработчики не догадывались об этом раньше, но ребята потрудились на славу и выдали миру весьма полезную информацию, касаемо этих самых уток и дали им...

Статья SetupAPI – информация об устройствах

  • 2 396
  • 0
Перед любым системным программистом, рано или поздно встаёт задача определения текущего оборудования системы. Причин для этого может быть много, например: установить драйвер на девайс, собрать лог всех устройств для последующей работы с ними и т.п. Если мы не будем готовы к таким поворотам судьбы, то придётся переобуваться в воздухе (на скорую руку штудируя доки), в результате чего на выходе получим как-минимум кривой софт. Да.., в штатной поставке Windows имеется оснастка WMI Control – Windows Management Instrumentation (инструментарий управления Win), которая прекрасно решает проблемы...

Решено OFFZONE и Codeby 16 и 17 апреля 2020

  • 2 087
  • 2
OFFZONE 16-17 апреля 2020 Ссылка на сайт мероприятия Билеты тут В этом году наша команда обязательно посетит это замечательное мероприятие. Поставим стенд, будем раздавать стикеры. Допускаю, что один из участников команды выступит с докладом. Кстати, еще можно успеть подать заявку на доклад. Еще подготовим небольшие задания, которые сможете решить на месте. Призы гарантируем. Пригласим моделей, с которыми сможете сфоткаться :) Отзыв одного из участников форума, который был на офзоне в прошлом году: https://codeby.net/threads/offzone-2019.68202/ Кратко мероприятии: 16 и 17 апреля 2020...

[SLASH] Come play my Game

  • 6 628
  • 62
Предлагаю сыграть в игру всем, кому наскучила обыденная жизнь и хочется добавить в неё ярких красок :) Правила игры просты, если Вы решили принять участие в игре: Напишете в комментариях данной темы, что Вы в игре; Напишите мне в личные сообщения ответ на поставленный вопрос (ни в коем случае НЕ в саму ТЕМУ). Просьба писать ответы на разные задания в одном сообщении, а не создавать разные! Кто справился с первым заданием, тот может переходить ко второму и последующему, по мере его появления в теме. Ответы принимаются только от тех, кто успешно справился с предыдущими заданиями. P.S. Я...

Статья Адресация и передача данных в сети

  • 3 194
  • 2
КОМПЬЮТЕРНЫЕ СЕТИ << Начало 4. Адресация и передача данных в сети Как нам стало известно из предыдущих статей - существуют различные каналы передачи данных, такие как электрические провода, оптоволоконные кабели, радиоволны. Но для того, чтобы объединить цифровые устройства в единую сеть нужно одно общее условие. Этим условием является – протокол, который подразумевает набор правил для взаимодействия между сетевыми устройствами. Протокол включает в себя обращение одного устройства к другому по имени, рукопожатие (handshake), обмен информацией в виде передачи данных и разрыв соединения...

Статья Полное погружение в контроль доступа к AWS S3 - получение контроля над вашими ресурсами

  • 1 818
  • 4
Статья является переводом. Оригинал находится здесь TL;DR: Настройка контроля доступа AWS S3 состоит из нескольких уровней, каждый из которых имеет свой собственный уникальный риск неправильной настройки. Мы рассмотрим специфику каждого уровня и определим опасные случаи и моменты, когда слабые ACL могут создать уязвимые конфигурации, влияющие на владельца S3-bucket и/или через сторонние ресурсы, используемые многими компаниями. Мы также покажем, как сделать это должным образом и как осуществлять мониторинг такого рода проблем. Упрощенная версия этой статьи доступна в блоге Detectify...

Решено Positive Hack Days 13–14 мая 2020

  • 2 218
  • 10
ВНИМАНИЕ! Перенос сроков проведения PHDays 10 Одно из самых ожидаемых событий года 13–14 мая 2020 Positive Hack Days В этой теме будем вести обсуждение этого замечательного мероприятия. Немного истории codeby: https://codeby.net/threads/codeby-na-positive-hack-days-21-i-22-maja-2019-goda.67791/ https://codeby.net/threads/uchastie-komandy-codeby-v-the-standoff-na-positive-hack-days-9.67304/ https://codeby.net/threads/vstrecha-uchastnikov-codeby-na-phdays-v-mae-2018.63212/ https://codeby.net/threads/chto-bylo-na-phdays-8.63346/

Пользователи онлайн

  • lorion
  • shoma525
  • ddr3
  • ivan242
  • kallibr44
  • Андрей Машура
  • kilovat
  • Tarxyn
  • allex696
  • Cheker
  • D4ckD4ck
  • CREATORIS
  • mydearrose
  • Kot111
  • magistr
  • Антон Мясников
  • lolkek123
  • Zano
  • jggh
  • tryweryn
  • pijagorda123
  • Qwerty1234567890
  • invincible
  • Vava1
  • TttTTr
  • Aleksandr87
  • jassik1
  • gR33n_dUck
  • Catherine
  • Gnomee
  • psy_cho
  • mr_save
  • proto
  • Rook
  • yashka072
  • Joe
  • komarepublic1488
  • baseR
  • theme1211
  • Nekromant13
  • Instagram
  • Cosiano
  • Maxim Filimonov
  • x oneDD
  • triger16rus
  • yr1
  • agent6969
  • Илья Нефедов
  • RIDan
  • f3d3r1n3
...и ещё 10.

Наши книги

Information Security

InfoSec