Форум информационной безопасности - Codeby.net

Публикую перевод ресерчей по книге 2021 года от Brandon Wieser , потому что сам ничего подобного сотворить пока не могу :*(

1. Html Injection
2. Host Header Injection
3. Username Enumeration – SSN
4. Same Origin Policy и Exploiting CORS Misconfigurations...

Всем привет! Вот и новый выпуск видео-новостного дайджеста по IT
По оригинальной статье от @denez
Статья : https://codeby.net/threads/novostnoj-dajdzhest-po-ib-it-za-5-04-12-04.77217

Приятного просмотра !
Ролик :

Здравия всем, дамы и господа. Сегодня я вновь здесь, пишу для вас, приятного времяпрепровождения.




В заголовке указана мощность Ддос атаки. Господа знающие не дадут соврать, что такая атака — детский лепет. Или, быть может, стоит напомнить мощность атаки на GitHub? Так я напомню, мне это труда не составит. В самом первом выпуске была упомянута атака, произошедшая 28 ноября 2018 года и мощность её была 1.35 Тб/с. Путём несложных арифметических действий мы приходим к тому, что защита, закупаемая центральной избирательной комиссией выдержит чуть меньше одного процента той атаки, что обрушилась на Github. Таким образом, сгодится она только чтобы сайты ЦИК не запинговали насмерть. ИБ-эксперт, работающий с ЦИК сказал, что это штатная процедура, но интересует нас другое, он сказал, что услуга вылилась комиссии в не особо большую сумму и добавил - «Чрезмерной защиты...

Приветствую!
Стоило мне в предыдущем своем посте написать от том, что мне не попадаются коробки о которых хотелось бы написать, как сразу же мне встречается сказочный зверек в лице Inclusiveness от OffSec. Эта машина сразу же начала давать отпор и я постоянно сталкивался с вещами которые мне не знакомы, а соответствено было чему учиться.

Начнем
Name: Inclusiveness
OffSec level: Easy
Author level: intermediate

Recon/Enum:
Сканирую хост на доступные порты, ОС nmap -A -p- 192.168.1.8 -vv

Доброго времени суток, уважаемые форумчане! Как было обговорено в первой “истории хакера”, говорить мы будем не только о хакерах, но и о других интересных личностях. Сегодня речь пойдёт об основателе проекта GNU, и фонда свободного программного обеспечения(FSF).



Ричард Мэттью Столлман - Родился в Нью-Йорке в марте 1953 года. Создал множество ПО, и основал несколько всемирно известных проектов (GNU,FSF).

Хотя нельзя сказать что он не был хакером, так как в 70-е года хакерами были не “Злые ИБшники”, а хорошо разбирающиеся в программировании люди.



Столлман известен также под никнеймом “RMS”. В одной из своих работ он написал:

«Ричард Столлман — моё имя для непосвящённых. Зовите меня RMS»

Нажмите, чтобы раскрыть...

Ричард интересовался компьютерами еще до того как это стало...

Добрый день уважаемые коллеги, продолжаем искать флаги на сайте overthewire.org ​

Если вы сразу попали в текущую статью просьба прочитать предыдущие статьи тут и тут иначе у вас не получиться повторить текущий эксперимент.

Ссылка скрыта от гостей

Читаем что от нас требуется

The password for the next level is stored in a file called spaces in this filename located in the home directory

Нажмите, чтобы раскрыть...

Собственно, нужно открыть файл spaces in this filename расположенном в домашнем каталоге. Подсказка команды, которые вам могут понадобиться для решения...

Добрый день уважаемые коллеги, я много раз задавал разным людям как легче всего начать путь в этичный хакинг. Из наиболее простых что бы поверить в собственные силы мне посоветовали данный . Нет не чего легче что бы поверить в свои силы начать с чего ни будь простого что бы идти к более сложному. Данный хорош тем, что искать флаг можно не только с компьютера, но и со смартфона установив на него любой удобный для вас ssh клиент.

Описание на сайте следующее;

Захват флага Bandit рассчитан на абсолютных новичков. Он научит основам, необходимым для подобных игр основаных на данной тематике.

Нажмите, чтобы раскрыть...

Для подключения к серверу на указаны (креденшелы (карандаши)).

Для поиска флага необходимо...

disclaimer: Данный материал является свободным (приближенным к оригиналу) переводом методического материала PWK, в частности Глава 9. Атаки на веб-приложения. В связи с закрытым форматом распространения данного материала убедительная просьба ознакомившихся с ней не осуществлять свободное распространение содержимого статьи, чтобы не ставить под удар других участников форума. Приятного чтения.

Нажмите, чтобы раскрыть...

В этом модуле сосредоточимся на выявлении и эксплуатации распространенных уязвимостей веб-приложений. Современные среды разработки и решения для хостинга упростили процесс создания и развертывания веб-приложений. Однако эти приложения обычно открывают большую поверхность для атак из-за отсутствия зрелого кода приложения, множественных зависимостей и небезопасных конфигураций сервера.

Веб-приложения могут быть написаны на различных языках программирования и фреймворках, каждый из которых может включать определенные типы...

Всем привет! Третий выпуск видео - новостного дайджеста за 29.03 - 5.04
По оригинальной статье @denez
Статья : https://codeby.net/threads/novostnoj-dajdzhest-po-ib-it-za-29-03-5-04.77162

И собственно видео:

В ИБ в 36. Реально ли...

Приветствую!

Прошло 3 полных месяца с момента когда я решился осуществить свою школьную мечту, отдаться сфере ИБ. Хотел бы поделится с Вами своими результатами и иной информациией с которой столкнулся за это время. Но вначале хотел бы поблагодарить жителей этого ресурса за теплый (а он действительно теплы) прием. Спасибо всем кто писал мне и поддерживал комментариями. Хочу отметить, что это единственный профильный ресурс, где новичка реально поддерживают как администрациия, так и другие участники, низкий поклон Вам и успехов во всем!

Начнем...



Я не буду возвращаться к процессу обучения, он описан мной в предыдущем посте. Хочу отметить, рост конечно же чувствуется! И это очень радует, так как 3 месяца назад я даже не знал как сканировать хост))) Но не буду об этом. Давайте об активности...