Форум информационной безопасности - Codeby.net

Привет-привет. С вами опять Трубочист и это вторая часть статьи о шантаже. Сегодня мы с тобой реализуем алгоритм действий, которому следовал бы, по моему скромному мнению, преступник. Естественно, этот план был рожден больной головой сантехника-трубочиста, так что не надейтесь на что-то сверхновое и интересное.

Здесь вот можете почитать первую часть:

1. О шантаже в интернете: как безобидное фото в Инстаграм может скомпрометировать тебя - DeepFakeLab, ISR

Но кратко перескажу суть, если лень читать все: в прошлой статье мы создали полноценный дипфейк, используя один интересный репозиторий с Гитхаба. Также разобрались с нейросетью, которая улучшала качество изображений и несколькими скриптами для очистки и подмены метаданных.

А прежде чем начать почитайте дисклеймер:

Дисклеймер

Все...

Нажмите, чтобы раскрыть...

Данная статья и программа опираются на статью многоуважаемого Паладина: Статья - Автоматизация эксплуатации слепой boolean-based SQL-инъекции при помощи WFUZZ. Выражаю ему большую благодарность за его вклад в мои знания.
Так же передаю привет и выражаю благодарность ребятам с моего потока WAPT: Жора и Даниил, без вас этот скрипт был бы не таким, какой он есть.

Дисклеймер
Ответственность за использование знаний и кода полученного в этой статье лежит на тех кто их использует.​

Нажмите, чтобы раскрыть...

Приступим. Для начала давайте в очередной раз разберём основополагающую теорию по SQL функциям. Нас интересуют такие функции как Sleep(), Substring(), Ascii().

Функция Sleep() принимает на вход один аргумент, который является числом, и создаёт паузу в выполнении запроса, на указанное количество секунд.
В детали технической реализации со стороны sql...

Доброго дня! Я уже написал статью по open source проекту bWaPP, его установке и настройке. Ну а теперь давайте начнем набивать опыт и развивать знания в прохождении различных задачек в bWapp.

Процесс его установки и настройки описан тут: bWaPP 0

Начнем с уязвимости HTMl Injection — Reflected (GET) уровень (medium)



Не могу не начать статью с шутки. Конечно, не такой древней как HTMl Injection, но что поделаешь - если заниматься некрофилией, так с юмором. А иначе для чего, дорогой коллега, ты читаешь мою статью?

Пришла пора поговорить про HTMl Injection! Для простоты понимания я буду объяснять в простой и шуточной форме.
Поскольку цикл данных статей предназначается для маленьких и неопытных, буду продолжать рассказывать детально. Для того, чтобы понять, как работает HTML-инъекция, для начала нужно понимать, что собой представляет HTML.

Цитирую Википедию
HTML (от англ. HyperText Markup Language — «язык гипертекстовой разметки») — стандартизированный язык...

Привет, друзья. Я ещё не знаю, как вы восприняли мою первую статью об охоте на старые уязвимости, но появилась очень занятная тема для ещё одной. Этот рассказ основан на реальных событиях, точнее, это будет что-то типа попытки предугадать и предсказать то, что делал злодей, чтобы скомпрометировать мою близкую знакомую.

Шантаж в интернете. Что происходит у тебя в голове, когда ты слышишь это выражение? Лично я всегда представляю огромного толстого мужика, сидящего подле маленького лептопа в кромешно-темной комнате. Этот негодяй зачастую имеет дело только с маленькими девочками, от которых требует шекели за неразглашение чего-то личного. Мерзкая картина, не так ли?

И самое печальное в этом всем. Нет, не так. Раньше, чтобы стать шантажистом, нужно было приложить недюжинные усилия и даже так шанс на успех был крайне мал. Но сейчас, как показала эта история, достаточно лишь воспользоваться тем, что давным-давно доступно всем и каждому. Не буду уже говорить о безопасности и то, как мы...

Зачастую на одном веб-сервере, особенно, если это крупный хостинг провайдер, может быть расположено множество виртуальных хостов. А значит, на одном IP-адресе могут соседствовать большое количество сайтов. Причины, по которым необходимо получить информацию о сайтах, которые расположены на одном IP, могут быть разные. Иногда это просто любопытство. Ведь интересно же, куда можно попасть, если попробовать вбить не адрес сайта, а его IP. Иногда данная информация может быть полезна во время пентеста, когда производится первоначальный сбор информации. Идея тут в том, что разные веб-приложения могут использовать разное программное обеспечение. Таким образом, если получается выяснить, что на тестируемом IP расположено еще несколько сайтов, можно попробовать найти уязвимость на другом сайте, если не получается на целевом. То есть, найти «слабое звено», тем самым есть вероятность того, что будет скомпрометирован весь сервер. Или это может помочь в атаке на целевой ресурс. Давайте с помощью Python создадим скрипт, с помощью которого попытаемся определить домены на одном IP-адресе, если они, конечно же, там...

Данная статья является переводом. Оригинал​

Нажмите, чтобы раскрыть...

Дисклеймер
Статья написана исключительно в ознакомительных целях, не побуждает к каким-либо злодеяниям и действиям, связаными с ними.

Нажмите, чтобы раскрыть...

Wassup. Недавно вышел в свет метод атаки под названием «GIFShell», который позволяет злоумышленникам использовать Microsoft Teams для фишинговых атак и краж данных с помощью… GIF-файлов.
Новый сценарий атаки, показывает, как злоумышленники могут объединять многочисленные уязвимости и недостатки Microsoft Teams, чтобы злоупотреблять этой безобидной программой для внедрения вредоносных файлов, команд и данных через GIF.
Поскольку эксфильтрация данных осуществляется через собственные серверы Microsoft, трафик будет труднее обнаружить программному обеспечению...

Иногда, смотря видео на YouTube в которых учат как писать скрипты на Python я задавался вопросом, что едят данные люди? Ведь это надо как-то умудриться набирать код с приличной скоростью, да еще при этом не сделать ни одной ошибки. Но, впоследствии я понял, что все намного проще и прозаичнее, а питание у них, скорее всего, не отличается от нашего с вами. А дело в том, что для создания обучающих видео по Python, можно использовать скрипт на нем же, для того, чтобы набирать текст в, к примеру, PyCharm. Я не собираюсь делать обучающих видео, но скрипт, который делает что-то подобное написал.


Конечно же, данный скрипт заточен под набор только того текста, который введен в команде. Но, если постараться, то можно сделать его более универсальным. Давайте начнем писать код.

Что понадобится?

Для того, чтобы написать данный код, понадобится установить библиотеку pyautogui. Для ее установки пишем в терминале команду:

pip install pyautogui

Больше, из нестандартного, устанавливать ничего не нужно. После установки библиотеки импортируем все необходимое в код...

Доброго времени суток, уважаемые форумчане! Сегодня вас ждёт много интересных новостей, а начнём мы сегодня со сбоев!


Пользователи в РФ со 2 сентября начали сталкиваться с проблемами доступа к сайтам и сервисам Google.
Блокировка lh3.googleusercontent.com

После обновления приложения Mir Pay для Android тысячи пользователей начали жаловаться на проблемы в работе сервиса.
Пользователи массово жалуются на проблемы с Mir Pay

6 сентября сервис Яндекс Музыка и Алиса перестали работать. Через 25 минут после начала инцидента, всё заработало штатно.
«Яндекс Музыка» перестала работать из-за сбоя, были недоступны приложение, веб-версия и «Алиса», починили через 25 минут


Обновление KB5016691 для Windows 11 21H2 блокирует возможность входа в систему для недавно...

Привет, Codeby. Меня зовут Трубочист и это моя первая статья на портале, не судите строго. В последнее время в новостях то и дело можно заметить разные заметки о взломах и других действиях хакеров, но о критических уязвимостей нулевого дня, способных поставить под удар безопасность мира - ни слова.

Прочитав заметки от @Johan Van и @DeathDay, меня посетила интересная мысля. Последний автор использовал давно забытую уязвимость, чтобы получить доступ к устройству обманщика. А первый занимался написанием слушателя на Python, который мог принимать как раз такие соединения без участия Metasploit.

А ты никогда, дорогой читатель, не думал, что современные методы никак не требуют современных решений? Вдруг злоумышленники все это время использовали давно забытые методы и пути... Так ли это на самом деле? В этой заметке как раз и разберемся.

Дисклеймер

Все описанные способы и мои манипуляции - это исключительно плод фантазий. Информация предоставлена исключительно в рамках ознакомительного материала и не несет...

Нажмите, чтобы раскрыть...

Осень, время традиционного приглашения на Road Show SearchInform. Начинаем приглашать! В этом году поводов подискутировать много как никогда: новые указы, уход иностранных вендоров, увеличение числа атак. А к моменту нашей первой конференции Минцифры уже, возможно, примет решение об оборотных штрафах за утечку данных. И начнется совсем другая жизнь.

Есть что обсудить.

Вот что будет в повестке конференции:

1. Новое в наших продуктах.

Да, конференция вендорская, будем рассказывать, что успели реализовать в продуктах за год и что планируем к релизу в ближайшее время.

2. Кейс от клиента – опыт решения ИБ-проблемы в отдельно взятой компании.

В каждый город приглашаем практикующего специалиста, который без купюр рассказывает о своем опыте применения наших решений.

3. Разговор о том, как меняется ИБ.

Подискутируем об облаках, сервисах, аутсорсинге и как он может помочь в решении кадрового вопроса.

4. Разбор громкого...