Форум информационной безопасности - Codeby.net
Статья Скриншот полной страницы сайта с помощью Selenium и Python
Столкнулся я с небольшой задачей – сделать полный скриншот сайта. То есть, не только видимую область, а всю страницу целиком. Конечно, здесь могут помочь специализированные сервисы. Но, так как я реализовал данный функционал в своем скрипте, создание скриншотов с помощью сервисов автоматически отпадало. Впрочем, возможно у некоторых сервисов есть для этих целей специализированный API, однако, по моему опыту использование таких API, как правило, стоит денег. Поэтому я стал искать бесплатное и, что немаловажно, локальное решение. В данной статье хочу поделиться тем, что мне удалось найти.
Для начала рассмотрим создание скриншота с помощью сервиса от Google - PageSpeed Insights API. Как я и писал, данный сервис в своей бесплатной реализации имеет ряд ограничений. В частности, при бесплатном использовании 400 запросов в течение 100 секунд, 25000 запросов в день. И самое печальное ограничение ждет нас в части создания скриншотов. Здесь размер изображения ограничен 320px. Конечно, какое-то общее представление о содержимом страницы это дать может, вот только разглядеть детали уже не получиться. Тем не...
Для начала рассмотрим создание скриншота с помощью сервиса от Google - PageSpeed Insights API. Как я и писал, данный сервис в своей бесплатной реализации имеет ряд ограничений. В частности, при бесплатном использовании 400 запросов в течение 100 секунд, 25000 запросов в день. И самое печальное ограничение ждет нас в части создания скриншотов. Здесь размер изображения ограничен 320px. Конечно, какое-то общее представление о содержимом страницы это дать может, вот только разглядеть детали уже не получиться. Тем не...
Статья Простой способ создания дистрибутива Linux на базе Debian с установленными приложениями и обновлениями на примере Linux Mint
Как часто вам хотелось бы иметь под рукой сборку Linux, после установки которой не требуется дополнительная установка нужных для работы приложений, просто потому, что они уже присутствуют в системе? Думаю, каждый раз, когда вы устанавливаете ОС. Конечно же, можно пойти «hard way» и собрать ядро и его окружение самостоятельно. Но для этого нужно обладать нужными знаниями и квалификацией и потратить достаточно большое количество времени на осуществление задуманного. Но есть способ проще. Его мы и рассмотрим в данной статье.
Для создания своего, кастомного ISO-образа дистрибутива мы будем использовать Cubic. Это собственно, аббревиатура, которая обозначает Custom Ubuntu ISO Creator, и, как пишут сами разработчики данного приложения, представляет собой мастер с графическим интерфейсом для создания сборок на основе Ubuntu или любых, имеющих кодовую базу Debian. Так ли это, проверим на дистрибутиве Linux Mint 21.1.
Что потребуется?
Конечно же, для начала вам нужна операционная система Linux на основе Debian, ведь именно в нее необходимо устанавливать Cubic.
Затем, чтобы его...
Для создания своего, кастомного ISO-образа дистрибутива мы будем использовать Cubic. Это собственно, аббревиатура, которая обозначает Custom Ubuntu ISO Creator, и, как пишут сами разработчики данного приложения, представляет собой мастер с графическим интерфейсом для создания сборок на основе Ubuntu или любых, имеющих кодовую базу Debian. Так ли это, проверим на дистрибутиве Linux Mint 21.1.
Что потребуется?
Конечно же, для начала вам нужна операционная система Linux на основе Debian, ведь именно в нее необходимо устанавливать Cubic.
Затем, чтобы его...
Статья Работа с облаком MailRu с помощью Python. Часть 01
Хранить бэкапы в бесплатных облаках, как показывает практика, занятие довольно рискованное, так как это чревато потерей всех ваших данных в один прекрасный момент. Но вот пользоваться облаками в качестве неких перевалочных пунктов, в которых можно временно и под рукой держать различные документы или прочие файлы – почему нет? Давайте сегодня напишем небольшое приложение, с помощью которого можно будет выполнять простые действия, например: копирование, скачивание, перемещение, загрузка в облаке от MailRu с помощью Python. Почему именно в нем? Об этом немного ниже.
Думаю, что нужно начать с небольшой предыстории. Около десяти лет назад, когда Облако от MailRu только начинало свою работу, ими был представлен аттракцион невиданной щедрости – давали хранилище объемом 1 Тб. Конечно же, грех было не воспользоваться таким щедрым предложением. Хотя, на тот момент, оно особо и не было нужно. Жаль, что у меня отсутствует коммерческая жилка. Слышал, что многие в тот момент, получали кучу этих облаков, а после, когда лавочку прикрыли, успешно торговали аккаунтами с терабайтом.
Это сейчас они стали совсем...
Думаю, что нужно начать с небольшой предыстории. Около десяти лет назад, когда Облако от MailRu только начинало свою работу, ими был представлен аттракцион невиданной щедрости – давали хранилище объемом 1 Тб. Конечно же, грех было не воспользоваться таким щедрым предложением. Хотя, на тот момент, оно особо и не было нужно. Жаль, что у меня отсутствует коммерческая жилка. Слышал, что многие в тот момент, получали кучу этих облаков, а после, когда лавочку прикрыли, успешно торговали аккаунтами с терабайтом.
Это сейчас они стали совсем...
Используем технику Time-Based в SQLMAP для получения данных администратора
Здравствуйте, уважаемые читатели. В этой короткой заметке для новичков мы рассмотрим работу с инструментом SQLMAP. Рассмотрим гипотетическую ситуацию, когда вы обнаружили SQL Injection (SQLI), доступную только через time-based технику, и вашей задачей является получение полного дампа пользователей, хранящихся у админа.
У вас есть доступ к таблице 'admins' с ID админа и таблице 'user' с 190 тысячами пользователей. Если вы попытаетесь извлечь эти данные с помощью time-based техники, это займет более месяца, и, вероятно, за это время админ устранит уязвимость. Как же быть?
Ваш первый шаг должен быть следующим: включите режим -v6 в SQLMAP, чтобы видеть, какой payload генерируется. Например, мой payload выглядит так:
Здесь генерируются разные числа (в этом случае 8186), и сортировка производится по email. Из-за этого в первую очередь будут извлекаться емейлы с цифрами, затем по алфавиту, а идентификаторы пользователей (userid) не будут в диапазоне...
У вас есть доступ к таблице 'admins' с ID админа и таблице 'user' с 190 тысячами пользователей. Если вы попытаетесь извлечь эти данные с помощью time-based техники, это займет более месяца, и, вероятно, за это время админ устранит уязвимость. Как же быть?
Ваш первый шаг должен быть следующим: включите режим -v6 в SQLMAP, чтобы видеть, какой payload генерируется. Например, мой payload выглядит так:
SQL:
(SELECT 8186 FROM (SELECT(SLEEP(2-(IF(ORD(MID((SELECT IFNULL(CAST(email AS NCHAR),0x20) FROM data.user ORDER BY email LIMIT 1,1),21,1))>45,0,2)))))XmMr)CTF Мой первый решенный исполняемый PWN на Go. VolgaCTF 2023 Qualifie, ponGO PWN
Ку, киберрекруты. На днях прошелы квалификацию на финал от VolgaCTF. Мне очень понравилось задание из категории PWN под названием panGO.
Статья Первак про массивы и строки. Реверс инжиниринг используя radare2. Часть 4
Ку, киберрекруты. Продолжаю курс реверса с использованием radare2. Сегодня я расскажу вам о некоторых базовых структурах данных, таких как одномерные массивы и массивы char, которые можно интерпретировать как строки.
Первая часть
Вторая часть
Мы будем рассматривать пример за примером, поскольку я считаю, что это один из самых простых способов обучения, и мы сосредоточимся на понимании дизазма, а не на объяснении множества функций r2.
Массивы
Массивы - это простые структуры данных, содержащие один или несколько элементов определенного типа. Массивы позволяют нам легко ссылаться на несколько элементов с помощью одного единственного тега, вместо того чтобы объявлять множество переменных.
Рассмотрим следующий код:
Первая часть
Вторая часть
Мы будем рассматривать пример за примером, поскольку я считаю, что это один из самых простых способов обучения, и мы сосредоточимся на понимании дизазма, а не на объяснении множества функций r2.
Массивы
Массивы - это простые структуры данных, содержащие один или несколько элементов определенного типа. Массивы позволяют нам легко ссылаться на несколько элементов с помощью одного единственного тега, вместо того чтобы объявлять множество переменных.
Рассмотрим следующий код:
C:
# include <stdio.h>
main(){
func();
getchar();
}
func(){
int num[5];
int sum;
num[0] = 200...Hackerlab Разбор задания "Кто же тут живет?" с площадки Игры Кодебай
Здравствуйте, друзья! Предлагаю рассмотреть задание "Кто же тут живет?" из раздела OSINT площадки codeby.games.
Writeup Codeby Games - Сочинение [Writeup]
Приветствую, уважаемые друзья! Давно уже не радовал вас врайтапами к таскам с площадки Codeby Games. Сегодня мы разберем таск из категории стеганографии под названием "Сочинение".
Статья Автоматизируем безопасность. Учимся создавать SCAP-контент
Введение
С чего начинается обеспечение безопасности? Для всех этот вопрос звучит по разному и заурядный пользователь скорее всего скажет, что с надежного и качественного пароля к учетным записям. Но если рассматривать проблему немного шире и с точки зрения специалиста в сфере ИБ, то ответ будет куда интереснее. Первым делом это обновление баз антивирусного ПО и слежение за новыми уязвимостями. Чаще всего именно с помощью свежих дыр в безопасности хакеры проникают в сети крупных компаний. Чтобы этого избежать, я предлагаю рассмотреть тебе такую тему как аудит информационной безопасности. Ключевое слово из этой темы спрятано в заголовке статьи.
План работы
Для начала давай разберем все по пунктам. Первым делом я расскажу теорию. Что такое SCAP, зачем он нужен и что он делает в информационной безопасности. После этого плавно перейдем к языкам программирования. Ты не ослышался, в сфере безопасности существуют специализированные скрипты на особых языках, цель которых автоматизировать...
С чего начинается обеспечение безопасности? Для всех этот вопрос звучит по разному и заурядный пользователь скорее всего скажет, что с надежного и качественного пароля к учетным записям. Но если рассматривать проблему немного шире и с точки зрения специалиста в сфере ИБ, то ответ будет куда интереснее. Первым делом это обновление баз антивирусного ПО и слежение за новыми уязвимостями. Чаще всего именно с помощью свежих дыр в безопасности хакеры проникают в сети крупных компаний. Чтобы этого избежать, я предлагаю рассмотреть тебе такую тему как аудит информационной безопасности. Ключевое слово из этой темы спрятано в заголовке статьи.
Для начала давай разберем все по пунктам. Первым делом я расскажу теорию. Что такое SCAP, зачем он нужен и что он делает в информационной безопасности. После этого плавно перейдем к языкам программирования. Ты не ослышался, в сфере безопасности существуют специализированные скрипты на особых языках, цель которых автоматизировать...
CTF Прохождение HackTheBox - Precious (Linux, Easy)
Приветствую, уважаемые читатели форума
Codeby! Сегодня мы пройдём, как мне кажется, самую лёгкую машину на HackTheBox, которая на данный момент вознаграждается поинтами.