Форум информационной безопасности - Codeby.net
Получение информации о домене с помощью Python #01
Иногда полезно узнать, какие данные находятся за адресом сайта, за его доменным именем. Конечно же, есть множество сервисов, которые с радостью предоставят вам эту информацию. Но, все это нужно будет делать вручную. Думаю, что вы понимаете, что информация о домене на Whois не заканчивается. Я, на основании некоторых примеров кода, сделал свою попытку разобраться, как же можно получить данные с помощью скриптов на Python. Конечно же, никто не даст вам стопроцентного результата поиска. Вот и у меня, не всегда, получается, найти полные данные по сайту. Впрочем, не мне судить, получилось у меня что-то или нет. Давайте начинать писать код.
Я также как и DeathDay полностью на стороне добра, а потому:
В данном случае моей целью было попробовать, как работают те...
Я также как и DeathDay полностью на стороне добра, а потому:
В данном случае моей целью было попробовать, как работают те...
Статья Полезный фаззинг
Доброго времени суток, уважаемые форумчане!
Продолжаю писать статьи, в помощь студентам курса WAPT от Академии Codeby. На днях один из учеников спросил, как найти нужный пейлоад для эксплуатации уязвимости. Посоветовал ему профаззить потенциально уязвимое место в Burp Suite при помощи одного из списков из Seclists. Не зря же люди старались и компоновали все эти списки для того, чтобы облегчить жизнь нам с вами. В ответ услышал кучу непонятных слов, по поводу того, что фаззить долго, непонятно, как после этого найти то, что нужно и вообще список уж очень большой и наверняка есть гораздо более «умные» способы для эксплуатации уязвимости. Хотел спросить человека, как его с такими мыслями затянуло на довольно сложный курс, да и вообще в достаточно сложную сферу деятельности, где нужно неимоверное терпение и внимательность. Потом решил этого не делать, потому что большинство людей, которые сталкиваются с темой пентеста впервые, рассматривают фаззинг только в качестве средства поиска каталогов, файлов, а также перебора логинов и...
Статья Новостной дайджест по ИБ/IT за 11.07-18.07
Доброго времени суток, уважаемые форумчане! За прошедшую неделю произошло много событий, а это значит, что вас ждёт много новостей!
Компания Мегафон запускает свой центр информационной безопасности для мониторинга и управления инцидентами. Таким образом, специалисты по ИБ смогут отслеживать и вовремя реагировать на различные угрозы и обеспечивать безопасность.
https://corp.megafon.ru/press/news/federalnye_novosti/20220711-1117.html
Компании хотят начать использовать неназемные сети пятого поколения
Thales, Qualcomm и Ericsson планируют совместно начать распространять сети 5G за пределами поверхности земли. Ранее упомянутые организации планируют связать земные и неназмные сети в одну.
Благодаря этому решению, у пользователей будет возможность использовать сеть даже в тех местах, где возможности связи сильно ограничены.
Ericsson, Thales...
Мегафон запускает свой SOC
Компания Мегафон запускает свой центр информационной безопасности для мониторинга и управления инцидентами. Таким образом, специалисты по ИБ смогут отслеживать и вовремя реагировать на различные угрозы и обеспечивать безопасность.
https://corp.megafon.ru/press/news/federalnye_novosti/20220711-1117.html
Компании хотят начать использовать неназемные сети пятого поколения
Thales, Qualcomm и Ericsson планируют совместно начать распространять сети 5G за пределами поверхности земли. Ранее упомянутые организации планируют связать земные и неназмные сети в одну.
Благодаря этому решению, у пользователей будет возможность использовать сеть даже в тех местах, где возможности связи сильно ограничены.
Ericsson, Thales...
Принцип работы онлайн-кассы на примере АТОЛ и взаимодействие с ней через библиотеку
Привет Codeby !
Онлайн-касса ( ОК ), которую можно видеть сейчас в любом магазине, супермаркете, аптеке и так далее, представляет собой такое устройство. В каждой пятерочке или ашане, конечно, каждый видел подобный аппарат, кому-то приходилось нетерпеливо ожидать чека, когда времени мало, а инет в магазине видимо подтупливает)
Работа с этими аппаратами регламентируется 54 ФЗ "О применении контрольно-кассовой техники при осуществлении расчетов в Российской Федерации" и если кратко, то основное отличие онлайн-кассы от кассовых аппаратов, которые использовались раньше - это собственно слово "онлайн", а значит передача данных происходит через сеть и вся процедура продажи и отправки данных проходит в течении 2-5 секунд.
Весь аппарат по сути является принтером чеков, а основную функцию передачи выполняет фискальный накопитель (ФН, скрин ниже). Это устройство, которое вставляется в онлайн-кассу...
Онлайн-касса ( ОК ), которую можно видеть сейчас в любом магазине, супермаркете, аптеке и так далее, представляет собой такое устройство. В каждой пятерочке или ашане, конечно, каждый видел подобный аппарат, кому-то приходилось нетерпеливо ожидать чека, когда времени мало, а инет в магазине видимо подтупливает)
Работа с этими аппаратами регламентируется 54 ФЗ "О применении контрольно-кассовой техники при осуществлении расчетов в Российской Федерации" и если кратко, то основное отличие онлайн-кассы от кассовых аппаратов, которые использовались раньше - это собственно слово "онлайн", а значит передача данных происходит через сеть и вся процедура продажи и отправки данных проходит в течении 2-5 секунд.
Весь аппарат по сути является принтером чеков, а основную функцию передачи выполняет фискальный накопитель (ФН, скрин ниже). Это устройство, которое вставляется в онлайн-кассу...
Статья Обзор VPN-соединения Kaspersky Secure Connection
Обзор VPN-соединения Kaspersky Secure Connection
В этой статье я сделаю обзор на Kaspersky VPN. Антивирус Касперского для многих является лучшим антивирусным программным обеспечением. И эта российская компания позаботилась о том, чтобы он оставался таким более двух десятилетий. Эта компания является эталоном компьютерной безопасности и благодаря множеству продуктов, антивирусу и онлайн безопасности, она укрепила свои позиции на рынке. Однако речь в этой статье пойдёт про что иное, как Kaspersky VPN. Компания обещает надёжную безопасность, быстрое соединения, неограниченную пропускную способность и безлимитный трафик. Но хорош ли этот VPN и стоит ли он того, чтобы Вы его купили? В этом обзоре я постараюсь ответить на этот и многие другие вопросы связанные с этим VPN, а так же предложу Вам две альтернативы, которые намного лучше во всех отношениях.
Факт №1
VPN доступен на Windows, iOS и android - Mac OS, это довольно стандартный набор. Это означает...
Поиск, скачивание и извлечение метаданных из документов в свободном доступе с помощью Python. #02
В предыдущей статье мы начали писать скрипт поиска проиндексированных документов на определенном сайте, скачивание этих документов и извлечение из них доступных метаданных. И все это с помощью Python. Давайте продолжим создавать код и разбирать работу функций.
Загрузка найденных документов
После того, как документы будут найдены, нужно их загрузить для анализа, да и просто, если есть желание, для чтения. Иногда можно узнать много нового и полезного. Создадим функцию downloads(url, addr). На вход она принимает ссылку на документ и название сайта на котором производился поиск. Название сайта нужно, чтобы сохранять документы в созданную...
Загрузка найденных документов
После того, как документы будут найдены, нужно их загрузить для анализа, да и просто, если есть желание, для чтения. Иногда можно узнать много нового и полезного. Создадим функцию downloads(url, addr). На вход она принимает ссылку на документ и название сайта на котором производился поиск. Название сайта нужно, чтобы сохранять документы в созданную...
Поиск, скачивание и извлечение метаданных из документов в свободном доступе с помощью Python. #01
В широком понимании метаданных, все уже привыкли к тому, что метаданные есть в фото, аудио или видео. Но мы редко задумываемся о том, что метаданные есть и у других типов файлов. Например, у различных форматов офисных документов. И содержаться в них может имя учетной записи, который этот документ создал, иногда электронная почта или ФИО, реже телефон. И если с фото более-менее все почти наладилось и очисткой метаданных занимаются сами сайты, куда вы его загружаете, если это не стоковое изображение, конечно, то вот с документами несколько иная картина. Редко кто заморачивется над тем, чтобы удалить метаданные из документа, перед тем, как его загрузить на сайт. А вот о том, как получить документы с нужного сайта и извлечь эти метаданные с помощью Python давайте и поговорим.
[COLOR=rgb(0...
[COLOR=rgb(0...
Статья Новостной дайджест по ИБ/IT за 04.07-11.07
Доброго времени суток, уважаемые форумчане! Вот и прошла очередная неделя, а значит настало время для нового выпуска новостей. Чтож, перейдем к новостям!
Версия в видеоформате: смотреть
Сервис Tutu.ru разослал пострадавшим от утечки данных пользователям письмо с предупреждением и сбросил пароли к учеткам. Компания заверила, что платёжные данные и персональная информация клиентов не утекла, но хакеры начали добавлять в базы данных существующих утечек других компаний данные клиентов сервиса.
Hi-Tech | Новости IT | Наука
Система оформления FanID сломалась, а фото начали проверять вручную
4 июля система FanID начала работать, однако чуть позже появились массовые сбои при оформлении. В техподдержке «Госуслуг» пояснили, что в курсе массовой проблемы и пытаются её исправить, хотя это может занять несколько дней.
В Минцифры...
Версия в видеоформате: смотретьTutu.ru разослали письма пострадавшим
Сервис Tutu.ru разослал пострадавшим от утечки данных пользователям письмо с предупреждением и сбросил пароли к учеткам. Компания заверила, что платёжные данные и персональная информация клиентов не утекла, но хакеры начали добавлять в базы данных существующих утечек других компаний данные клиентов сервиса.
Hi-Tech | Новости IT | Наука
Система оформления FanID сломалась, а фото начали проверять вручную
4 июля система FanID начала работать, однако чуть позже появились массовые сбои при оформлении. В техподдержке «Госуслуг» пояснили, что в курсе массовой проблемы и пытаются её исправить, хотя это может занять несколько дней.
В Минцифры...
Статья Тайны CSRF-уязвимостей: Глубокий аудит веб-приложений для профессионалов
CSRF на JSON API: от разведки до эксплуатации. Практический кейс
Лирическое отступление
Вавилен был доволен своим рабочем местом в конторе. Он приносил деньги себе и своему начальству, которое давало для этого всю инфраструктуру. Но в один прекрасный день боссы, в очередной раз срубив куш на труде Вавилена, решили с ним не делиться. Так они потеряли ценного сотрудника и получили в ответ обманутого и очень мотивированного человека, жаждущего возмездия.Постановка цели
После ухода из конторы все доступы к инфраструктуре, разумеется, были отозваны. Но это не проблема. Основные активы бизнеса крутятся в кастомном...Видео 🔥 Интервью с участником команды True0xA3!
Друзья, мы с хорошими новостями! В это воскресенье вас ждёт стрим-интервью!
В качестве специального гостя - Павел Шлюндин. Руководитель канала @redteambro и участник команды True0xA3.
Также, Павел имеет большое количество сертификатов по ИБ: OSCP, OSCE, OSWE, CRTE, LPT, eCPTXv2.
Обсудим следующие темы:
Путь Павла в RedTeam Основные отличия RedTeam от Pentest Какими навыками должен обладать RedTeam-специалист Интересные кейсы в RedTeam проектах
Не пропусти! 10 июля в 18:00 по московскому времени. Ждём каждого! Смотрите стрим на нашем Youtube-канале