Форум информационной безопасности - Codeby.net

Все, кто хоть немного дорожит своей информацией, направляют фокус на её защиту. Учитывая эти обстоятельства, начиная ещё с Win-2k инженеры Microsoft ввели в состав своей ОС специальный интерфейс и назвали его "Data-Protection Programming Interface", или коротко DPAPI. В результате, не прибегая к услугам внешних библиотек, у нас появилась возможность защищать свои данные вполне крипткостойким механизмом, причём эти данные могут находиться как на жёстком диске, так и непосредственно в памяти. В состав этого интерфейса входят всего 4 функции, однако практическая его реализация довольно сложна и корнями уходит в нёдра операционной системы, иначе DPAPI не получил-бы столь высокий кредит доверия в высшем обществе. В данной статье рассматриваются технические детали этого интерфейса, и некоторые советы к области его применения.

Содержание:

Привет, Codeby!
Немного о том, как были найдены пара простых уязвимостей в ходе Bug Bounty.

Я решил не соваться на , а зарегистрировался на платформе попроще и поменьше, называется , которая ориентирована на европейские компании. Выбрал цель и в первом же домене, который начал исследовать, нашел уязвимость.
Нашел , на тот момент даже не зная, что это такое.

Как это получилось и почему это заслуживает интереса.

Я просто фаззил сначала директории, потом файлы, потом параметры в URL. Обычно при таком фаззинге выполняются GET-запросы. Если бы я при фаззинге выполнял только GET-запросы, то это ничего мне не дало бы. Не знаю, что меня сподвигло, но я решил пофаззить все тоже самое POST-запросами.

В том месте, где...

Здравия всем, дамы и господа. Аккурат к концу месяца выходит очередной дайджест. И в начале его я хотел бы высказать всем читателям искренние поздравления по поводу скорого, или уже произошедшего, наступления лета. Как по мне — это прекрасная пора — время идей, возможностей и отдыха. На этом с поздравлениями, пожалуй, закончу и перейдём к вопросам насущным, а что, собственно, произошло за прошедшую неделю?




Писал, не раз и не два, но это ведь не значит что не напишу сегодня. В этот раз на рассмотрении целых четыре случая в которых кого-то оштрафовали или планируют это сделать, и угадайте, кто же становится штрафующим в этих случаях? … Если вы сказали Россия, то вы правы. Во всех четырёх случаях инициатором штрафных санкций становятся гос. Структуры РФ.
Первой жертвой дубины для выбивания денег пал Google, отдавший 6 млн рублей по трём протоколам...

В апреле мы провели 2 профильные конференции для ИБ-директоров, они прошли на ура, так что мы продолжаем!

1 июня в Гранд Мариотт отеле организуем конференцию «Безопасность в финансовой сфере: тренды, кейсы, инструменты». Никого лишнего – только руководители служб безопасности и ИБ-директора!

Как и на двух прошедших конференциях будет много практических докладов, точнее, еще больше – программа уже сейчас не вмещает всех желающих высказаться по теме.

Деловая программа

Доклады ИБ-директоров финансовых организаций. Участие подтвердили представители банка Тинькофф, «Московского кредитного банка», «Банка Зенит», ГК «Элекснет», Транскапиталбанка, Ингосстраха, Росагролизинга, «Бест Эффортс Банк», «НРК -...

Расписание трансляций:

• Вторник 18:30 (прохождение HTB тачки)​
• Четверг 18:30 (прохождение HTB тачки)​
• Суббота 18:30 (интервью с персоной из ИБ)​

Первый стрим 27 мая в 19:00
Ссылка на твич

Приветствую всех на канале Codeby, от лица портала я буду проходить в режиме Live уязвимые машины на портале HackTheBox. В первом видео-стриме мы разберем машину Sence. Мы будем вместе с вами разбирать прохождение и эксплуатирование уязвимости, а так же будем соблюдать best-practics pentest.



ПЛАН

1. Конспектирование наших действий для дальнейшего написание отчета
2. Проведение разведки (Собираем...