Форум информационной безопасности - Codeby.net

Иногда, смотря видео на YouTube в которых учат как писать скрипты на Python я задавался вопросом, что едят данные люди? Ведь это надо как-то умудриться набирать код с приличной скоростью, да еще при этом не сделать ни одной ошибки. Но, впоследствии я понял, что все намного проще и прозаичнее, а питание у них, скорее всего, не отличается от нашего с вами. А дело в том, что для создания обучающих видео по Python, можно использовать скрипт на нем же, для того, чтобы набирать текст в, к примеру, PyCharm. Я не собираюсь делать обучающих видео, но скрипт, который делает что-то подобное написал.


Конечно же, данный скрипт заточен под набор только того текста, который введен в команде. Но, если постараться, то можно сделать его более универсальным. Давайте начнем писать код.

Что понадобится?

Для того, чтобы написать данный код, понадобится установить библиотеку pyautogui. Для ее установки пишем в терминале команду:

pip install pyautogui

Больше, из нестандартного, устанавливать ничего не нужно. После установки библиотеки импортируем все необходимое в код...

Доброго времени суток, уважаемые форумчане! Сегодня вас ждёт много интересных новостей, а начнём мы сегодня со сбоев!


Пользователи в РФ со 2 сентября начали сталкиваться с проблемами доступа к сайтам и сервисам Google.
Блокировка lh3.googleusercontent.com

После обновления приложения Mir Pay для Android тысячи пользователей начали жаловаться на проблемы в работе сервиса.
Пользователи массово жалуются на проблемы с Mir Pay

6 сентября сервис Яндекс Музыка и Алиса перестали работать. Через 25 минут после начала инцидента, всё заработало штатно.
«Яндекс Музыка» перестала работать из-за сбоя, были недоступны приложение, веб-версия и «Алиса», починили через 25 минут


Обновление KB5016691 для Windows 11 21H2 блокирует возможность входа в систему для недавно...

Привет, Codeby. Меня зовут Трубочист и это моя первая статья на портале, не судите строго. В последнее время в новостях то и дело можно заметить разные заметки о взломах и других действиях хакеров, но о критических уязвимостей нулевого дня, способных поставить под удар безопасность мира - ни слова.

Прочитав заметки от @Johan Van и @DeathDay, меня посетила интересная мысля. Последний автор использовал давно забытую уязвимость, чтобы получить доступ к устройству обманщика. А первый занимался написанием слушателя на Python, который мог принимать как раз такие соединения без участия Metasploit.

А ты никогда, дорогой читатель, не думал, что современные методы никак не требуют современных решений? Вдруг злоумышленники все это время использовали давно забытые методы и пути... Так ли это на самом деле? В этой заметке как раз и разберемся.

Дисклеймер

Все описанные способы и мои манипуляции - это исключительно плод фантазий. Информация предоставлена исключительно в рамках ознакомительного материала и не несет...

Нажмите, чтобы раскрыть...

Осень, время традиционного приглашения на Road Show SearchInform. Начинаем приглашать! В этом году поводов подискутировать много как никогда: новые указы, уход иностранных вендоров, увеличение числа атак. А к моменту нашей первой конференции Минцифры уже, возможно, примет решение об оборотных штрафах за утечку данных. И начнется совсем другая жизнь.

Есть что обсудить.

Вот что будет в повестке конференции:

1. Новое в наших продуктах.

Да, конференция вендорская, будем рассказывать, что успели реализовать в продуктах за год и что планируем к релизу в ближайшее время.

2. Кейс от клиента – опыт решения ИБ-проблемы в отдельно взятой компании.

В каждый город приглашаем практикующего специалиста, который без купюр рассказывает о своем опыте применения наших решений.

3. Разговор о том, как меняется ИБ.

Подискутируем об облаках, сервисах, аутсорсинге и как он может помочь в решении кадрового вопроса.

4. Разбор громкого...

Добро. В этой теме отписываемся с пожеланиями, какие статьи и на какую тематику вы хотели бы почитать, увидеть. Собственно эта тема создана, как заказ на статью.

Ниже список тем, однозначно рекомендуемых к написанию:

1. История поиска интересной уязвимости в публичном сервисе/продукте/операционной системе;
2. Ваша разработка для проведения пентеста;
3. Полноценный CheatSheet по одной узкой теме из этичного хакинга;
4. Hardware: Истории о том, как вы собирали дешевые аналоги дорогих устройств на базе ардуино или распберри пи. Или ломали таковые;
5. Как ломали IoT;
6. Защита, от теории - к практике, инструменты;
7. Анализ аномалий в сети, способы решения;
8. Шлюзы для почты/файрволы;
9. Виртуализация, оркестровка, общий обзор инструментов и платформ, Далее возможны тематические детализации, В мире много создано тулов, но документация слишком обширная или наоборот - малоструктурированная;
10. Железо бытового и корпоративного уровня. Настройки/управление. Как пример вайфай менеджмент железо (например микротик). IP камеры;
11. По видео... кодирование/декодирование, обзор современных возможностей платформ (от штеуда до АРМом)...

Закончилось лето, наступил новый учебный год и вдруг, сразу же появилось желание попробовать что-то новое. А потому, я решил попробовать поучиться использовать Metasploit для эксплуатации уязвимостей. Для этого организовал небольшой тестовый стенд, скачал нужное и… А вот что было дальше, это уже ниже. Это мой первый опыт, а потому, хотелось бы сказать в свое, так сказать оправдание, если я что-то сделал совсем уж по нубски, словами Равшана и Джамшуда: «Прошу понять и простить...»

Дисклеймер: Все данные, предоставленные в данной статье, взяты из открытых источников, не призывают к действию и являются только лишь данными для ознакомления, и изучения механизмов используемых технологий.

Нажмите, чтобы раскрыть...

Тестовый стенд

Чтобы организовать тестовый стенд, который получился у меня, нужно скачать два образа операционных систем для виртуальной машины. Для какой — выбирать вам. Я пользуюсь VmWare, потому скачивал для них. Но, если использовать VirtualBox, все действия будут точно такими же.

Итак, для скачивания...

Доброго дня, коллеги!
На сайте встречается огромное количество прекрасных статей от опытных специалистов из разных сфер информационной безопасности.
Но что делать совсем зеленым и неопытным, которые только хотят попробовать себя в инфобезе? Вокруг очень много разных данных, и все по-разному предлагают подходить к процессу обучения.

Я хочу предложить вам свою версию получения навыков и опыта при помощи такого древнего зла как Bwapp. Скорее всего, после услышанного названия в меня полетят различные продукты жизнедеятельности, и крики: «Ну ты бы еще чего похуже предложил!». Пардоньте, ничего хуже я пока не нашел. Я считаю, что учиться нужно на том, что неплохо задокументировано и на тему чего написано много статей по прохождению задачек различной сложности.

Цитирую перевод автора данного творения:
«bWAPP, или глючное веб-приложение, - это бесплатное веб-приложение с открытым исходным кодом, намеренно небезопасное.
Это помогает энтузиастам безопасности, разработчикам и студентам обнаруживать и предотвращать веб-уязвимости.

bWAPP готовит человека к проведению успешного тестирования на...

Доброго времени суток, уважаемые форумчане! Чтож, вот и началась осень, а значит подходящее время, чтобы почитать новости




USB Promoter Group анонсировала USB4 2.0 с рекордной пропускной способностью до 80 Гбит/с, что в два раза выше, чем у Thunderbolt 4. Такой показатель объясняется обновлённой архитектурой физического уровня (PHY).
Обновление PHY позволяет туннелировать данные по USB 3.2 со скоростью более 20 Гбит/с.
https://www.businesswire.com/news/home/20220901005211/en/USB-Promoter-Group-Announces-USB4®-Version-2.0


Microsoft обнаружила в приложении TikTok для Android серьёзную уязвимость, которая позволяла злоумышленникам взломать учётные записи пользователей “одним щелчком мыши”. Однако, Уязвимость уже была устранена, и никаких доказательств её эксплуатации не выявили.
Кража аккаунтов была возможной...

Не так давно утилита Берта Хуберта воспроизводящая звуковой сигнал каждый раз, когда браузер отправляет данные в Google, наделала много шуму в онлайн-прессе. Сама идея перехвата трафика не нова, и я подумал, а почему бы не сделать утилиту на Python с похожим функционалом. Конечно, с утилитой, написанной на «C» она не сравнится по скорости работы, но ведь ее можно использовать не только для того, чтобы детектить Google. Можно детектить еще и Яндекс ))). Но на самом деле, с ее помощью получится регистрировать открытие разных сайтов, детектить адреса за Cloudflare и при необходимости составлять список сайтов, которые используют этот CDN.


Конечно же, у меня получилось не совсем то же самое. Я не перехватывал адреса, которые проходят напрямую по ip-адресу. То есть, слой перехваченного пакета IP остался не затронут. Однако, у меня и не было такой цели. Нужно было сделать перехват запросов к сайтам, с возможностью получения адреса и по возможности ip-адреса. Ну, а определение адресов Яндекс, Google и Cloudflare, это добавилось уже позже. Так что, на данный момент скрипт может перехватывать адреса...

За последние несколько десятков лет сети мобильной связи претерпели значительные изменения, где каждое новое поколение наследовало инфраструктурные решения своих предшественников. На период 2022 года в совокупности с анализом больших данных, развитии искусственного интеллекта (всё это лежит в основе Индустрии 4.0) речь идёт о сети связи «пятого поколения», также имеющую в себе зависимость от компонентов 4G/LTE. Стоит отметить, что хотя в новых сетях 4G используется другая сигнальная система, именуемая Diameter, вопросы безопасности SS7 имеют всё тот же острый характер, так как операторы мобильной связи должны обеспечить поддержку 2G и 3G сетей, а также взаимодействие между сетями разных поколений.



Одной из самых крупных проблем систем 2G/3G является использование протокола сигнализации SS7, который берет свое начало в 1970-х годах и является очень уязвимым для хакеров из-за устаревших принципов организации безопасности. SS7 - это набор протоколов сигнализации телефонии, служащий для организации большинства мировых телефонных...