Форум информационной безопасности - Codeby.net

Привет, Codeby. Меня зовут Трубочист и это моя первая статья на портале, не судите строго. В последнее время в новостях то и дело можно заметить разные заметки о взломах и других действиях хакеров, но о критических уязвимостей нулевого дня, способных поставить под удар безопасность мира - ни слова.

Прочитав заметки от @Johan Van и @DeathDay, меня посетила интересная мысля. Последний автор использовал давно забытую уязвимость, чтобы получить доступ к устройству обманщика. А первый занимался написанием слушателя на Python, который мог принимать как раз такие соединения без участия Metasploit.

А ты никогда, дорогой читатель, не думал, что современные методы никак не требуют современных решений? Вдруг злоумышленники все это время использовали давно забытые методы и пути... Так ли это на самом деле? В этой заметке как раз и разберемся.

[COLOR=rgb(243, 121...

Нажмите, чтобы раскрыть...

Осень, время традиционного приглашения на . Начинаем приглашать! В этом году поводов подискутировать много как никогда: новые указы, уход иностранных вендоров, увеличение числа атак. А к моменту нашей первой конференции Минцифры уже, возможно, примет решение об оборотных штрафах за утечку данных. И начнется совсем другая жизнь.

Есть что обсудить.

Вот что будет в повестке конференции:

1. Новое в наших продуктах.

Да, конференция вендорская, будем рассказывать, что успели реализовать в продуктах за год и что планируем к релизу в ближайшее время.

2. Кейс от клиента – опыт решения ИБ-проблемы в отдельно взятой компании.

В каждый город приглашаем практикующего специалиста, который без купюр рассказывает о своем опыте применения наших...

Добро. В этой теме отписываемся с пожеланиями, какие статьи и на какую тематику вы хотели бы почитать, увидеть. Собственно эта тема создана, как заказ на статью.

Ниже список тем, однозначно рекомендуемых к написанию:

1. История поиска интересной уязвимости в публичном сервисе/продукте/операционной системе;
2. Ваша разработка для проведения пентеста;
3. Полноценный CheatSheet по одной узкой теме из этичного хакинга;
4. Hardware: Истории о том, как вы собирали дешевые аналоги дорогих устройств на базе ардуино или распберри пи. Или ломали таковые;
5. Как ломали IoT;
6. Защита, от теории - к практике, инструменты;
7. Анализ аномалий в сети, способы решения;
8. Шлюзы для почты/файрволы;
9. Виртуализация, оркестровка, общий обзор инструментов и платформ, Далее возможны тематические детализации, В мире много создано тулов, но документация слишком обширная или наоборот - малоструктурированная;
10. Железо бытового и корпоративного...

Закончилось лето, наступил новый учебный год и вдруг, сразу же появилось желание попробовать что-то новое. А потому, я решил попробовать поучиться использовать Metasploit для эксплуатации уязвимостей. Для этого организовал небольшой тестовый стенд, скачал нужное и… А вот что было дальше, это уже ниже. Это мой первый опыт, а потому, хотелось бы сказать в свое, так сказать оправдание, если я что-то сделал совсем уж по нубски, словами Равшана и Джамшуда: «Прошу понять и простить...»

Дисклеймер: Все данные, предоставленные в данной статье, взяты из открытых источников, не призывают к действию и являются только лишь данными для ознакомления, и изучения механизмов используемых технологий.

Нажмите, чтобы раскрыть...

Тестовый стенд

Чтобы организовать тестовый стенд, который получился у меня, нужно скачать два образа...

Доброго дня, коллеги!
На сайте встречается огромное количество прекрасных статей от опытных специалистов из разных сфер информационной безопасности.
Но что делать совсем зеленым и неопытным, которые только хотят попробовать себя в инфобезе? Вокруг очень много разных данных, и все по-разному предлагают подходить к процессу обучения.

Я хочу предложить вам свою версию получения навыков и опыта при помощи такого древнего зла как Bwapp. Скорее всего, после услышанного названия в меня полетят различные продукты жизнедеятельности, и крики: «Ну ты бы еще чего похуже предложил!». Пардоньте, ничего хуже я пока не нашел. Я считаю, что учиться нужно на том, что неплохо задокументировано и на тему чего написано много статей по прохождению задачек различной сложности.

Цитирую перевод автора данного творения:
«bWAPP, или глючное веб-приложение, - это бесплатное веб-приложение с открытым исходным кодом...

Доброго времени суток, уважаемые форумчане! Чтож, вот и началась осень, а значит подходящее время, чтобы почитать новости




USB Promoter Group анонсировала USB4 2.0 с рекордной пропускной способностью до 80 Гбит/с, что в два раза выше, чем у Thunderbolt 4. Такой показатель объясняется обновлённой архитектурой физического уровня (PHY).
Обновление PHY позволяет туннелировать данные по USB 3.2 со скоростью более 20 Гбит/с.



Microsoft обнаружила в приложении TikTok для Android серьёзную уязвимость, которая позволяла...

Не так давно утилита Берта Хуберта воспроизводящая звуковой сигнал каждый раз, когда браузер отправляет данные в Google, наделала много шуму в онлайн-прессе. Сама идея перехвата трафика не нова, и я подумал, а почему бы не сделать утилиту на Python с похожим функционалом. Конечно, с утилитой, написанной на «C» она не сравнится по скорости работы, но ведь ее можно использовать не только для того, чтобы детектить Google. Можно детектить еще и Яндекс ))). Но на самом деле, с ее помощью получится регистрировать открытие разных сайтов, детектить адреса за Cloudflare и при необходимости составлять список сайтов, которые используют этот CDN.


Конечно же, у меня получилось не совсем то же самое. Я не перехватывал адреса, которые проходят напрямую по ip-адресу. То есть, слой перехваченного пакета IP остался не затронут. Однако, у меня и не было такой цели. Нужно было сделать перехват запросов к сайтам, с...

За последние несколько десятков лет сети мобильной связи претерпели значительные изменения, где каждое новое поколение наследовало инфраструктурные решения своих предшественников. На период 2022 года в совокупности с анализом больших данных, развитии искусственного интеллекта (всё это лежит в основе Индустрии 4.0) речь идёт о сети связи «пятого поколения», также имеющую в себе зависимость от компонентов 4G/LTE. Стоит отметить, что хотя в новых сетях 4G используется другая сигнальная система, именуемая Diameter, вопросы безопасности SS7 имеют всё тот же острый характер, так как операторы мобильной связи должны обеспечить поддержку 2G и 3G сетей, а также взаимодействие между сетями разных поколений.



Одной из самых крупных проблем систем 2G/3G является использование протокола сигнализации SS7, который берет свое начало в 1970-х...

Этим летом прошла международная конференция OFFZONE 2022. Команда Codeby выступила со своим крутым стендом, а так же приготовила для вас обзор этого мероприятия.

Приятного просмотра!

Загрузка видео на локальный диск, это дело хорошее. Потому, что у любого контента в интернете есть не очень хорошее свойство — рано или поздно он попросту теряется, либо его удаляют. Я немного покопался в коде страничек ВК и сделал небольшой скрипт, который загружает видео. А использовал я для этого Python.


Что потребуется?

Для корректной работы скрипта нужно установить библиотеку requests, чтобы можно было выполнять запросы к странице и загружать видео. Также, для того, чтобы парсить содержимое полученных страниц нужно установить библиотеки BeautifulSoup и lxml. А для того, чтобы немного раскрасить вывод в терминале, установим библиотеку colorama. Для установки данных библиотек пишем в терминале команду:

pip install requests bs4 lxml colorama

После того, как необходимые библиотеки установятся, нужно импортировать их в...