Форум информационной безопасности - Codeby.net

Доброго дня коллеги, давайте поговорим про OSINT. Сколько скрытого смысла в данной аббревиатуре. Это направление, которое помогает получить, возможно, верную и необходимую информацию о объекте исследования в ограниченный отрезок времени.

Для тех кто не знает что это такое цитирую википедию:
Разве́дка по откры́тым исто́чникам (англ. Open source intelligence, OSINT) — разведывательная дисциплина, включающая в себя поиск, выбор и сбор разведывательной информации из общедоступных источников, а также её анализ. В разведывательном сообществе термин «открытый источник разведывательных данных» (англ. open information source), который указывает на общедоступность источника (в отличие от секретных источников и источников с ограниченным использованием), но он не связан с понятиями «просто источник информации» (англ. open source information; OSIF), означающий любую находящуюся в пространстве СМИ информации...

Введение
Наверное каждый уважающий себя специалист по информационной безопасности знает, а может и проходил такие испытания как CTF. Это своеобразный мозговой штурм, который заставляет использовать изощренные методы взлома систем или серверов. Их основная задача оттачивать определенные навыки в поиске и эксплуатации отдельного типа уязвимостей. Площадок для тренировок огромное множество и в этой статье я решил остановиться на платформе Hack The Box. Так как мои навыки в этом деле очень малы я решил взять одну из легких машин с названием Support. И сегодня я расскажу тебе как ее пройти.

Подготовка к работе​

Перед началом тебе следует ознакомиться с тем, как вообще проходить такие CTF. Прежде всего следует начать со сканирования. Конечно, я пропускаю момент подключения к самой...

Доброго дня! Я ранее уже писал статью по open source проекту bWaPP, его установке и настройке, а также разбирал одну из уязвимостей. Продолжим разбирать HTML Injection — Reflected (POST). Как известно, опыта много не бывает. Давайте вместе рассмотрим и подумаем над решением новой задачи.

Предыдущие статьи написаные мной по bwapp:
bWaPP #0
bWaPP #1

Так что, закатывайте рукава! Если вы в футболке, то закатывайте штаны. Что делать если вы без штанов!? Наденьте штаны или рубашку и закатайте хоть что-нибудь! Начнем погружаться в глубокие пучины этичного хакинга на нашем прекрасном и сверхновом стенде!

Я не буду...

Введение
Наверное тебе всегда было интересно, как работают современные малвари. Шифровальщики, ратники, стиллеры и другие популярные вирусы это всего лишь разновидность программ заточенные под определенные задачи. Описывать каждый из них я не стану, а лучше расскажу тебе как специалисты по информационной безопасности вскрывают такое. Для примера я взял когда-то знаменитый стиллер Predator. Он имеет обширный арсенал функций и конечно же крякнутую версию по которой будет проще ориентироваться. Давай приступим к делу.

План работы​

Хуже чем отсутствия плана ничего быть не может. Поэтому давай я введу тебя в курс дела. Сначала мы разберем теоретическую часть, где я опишу основы реверс-инженерии и расскажу как это работает. Также тебе придется...

Доброго времени суток, уважаемые форумчане! В этом дайджесте вас ждёт много интересных новостей. Даже больше чем в предыдущем, а может и не больше..

Uber был взломан посредством социальной инженерии. Злоумышленник проник в систему внутренней коммуникации компании. Он получил доступ к переписке, электронным адресам сотрудников и облачным данным.
Сообщение о хакерской атаке было размещено злоумышленником в служебном канале Slack.



В Mozilla начали расширение Firefox Relay (FR). FR позволяет генерировать временные почтовые адреса...

Дисклеймер
Статья написана исключительно в ознакомительных целях, не побуждает к каким-либо злодеяниям и действиям, связанными с ними.

Нажмите, чтобы раскрыть...

Wassup.

Наверное каждому современному интернет-пользователю известно, что такое удовольствие как "скачать бесплатно без смс и регистрации" может понести за собой некие последствия. И дело даже не в том, что во многих странах это уголовно наказуемо, и не в том, что разработчики тратят годы на создание того, на что вы пожалеете 5 условных единиц. Проблема, собственно, в том, что шло "бонусом" вместе со спёртой игрой, крякнутым ПО или фильмом в качестве 8К миллион FPS. Об одном из многочисленных вариантов такого подарка судьбы пойдёт речь сегодня, имя ему - ChromeLoader.

Самым близким к истине будет его определение как вирус-троян. Стоит сразу...

Данная статья и программа опираются на статью многоуважаемого Паладина: Статья - Автоматизация эксплуатации слепой boolean-based SQL-инъекции при помощи WFUZZ. Выражаю ему большую благодарность за его вклад в мои знания.
Так же передаю привет и выражаю благодарность ребятам с моего потока WAPT: Жора и Даниил, без вас этот скрипт был бы не таким, какой он есть.

Дисклеймер
Ответственность за использование знаний и кода полученного в этой статье лежит на тех кто их использует.​

Нажмите, чтобы раскрыть...

Приступим. Для начала давайте в очередной раз разберём основополагающую теорию по SQL функциям. Нас интересуют такие функции как Sleep(), Substring(), Ascii().

Функция...

Доброго дня! Я уже написал статью по open source проекту bWaPP, его установке и настройке. Ну а теперь давайте начнем набивать опыт и развивать знания в прохождении различных задачек в bWapp.

Процесс его установки и настройки описан тут: bWaPP 0

Начнем с уязвимости HTMl Injection — Reflected (GET) уровень (medium)



Не могу не начать статью с шутки. Конечно, не такой древней как HTMl Injection, но что поделаешь - если заниматься некрофилией, так с юмором. А иначе для чего, дорогой коллега, ты читаешь мою статью?

Пришла пора поговорить про HTMl Injection! Для простоты понимания я буду объяснять в простой и шуточной форме.
Поскольку цикл данных статей предназначается для маленьких и неопытных, буду продолжать рассказывать детально. Для того, чтобы понять, как работает...