Форум информационной безопасности - Codeby.net

Если кто то пропустил новость - выводите крипту с Blockchain‌.com до 27 октября. Пока вывод работает без проблем.

В результате новых правительственных санкций, введенных ЕС, Blockchain.com в настоящее время не может предоставлять кастодиальные услуги и вознаграждения гражданам России.

Пожалуйста, выведите свои депозитные средства (включая вознаграждения) до 27 октября 2022 г., после чего ваша учетная запись будет заблокирована. Остановка начисления вознаграждений вступает в силу немедленно, но они могут быть сняты до 27 октября. Инструкции по снятию средств с вашего торгового счета можно найти...

Нажмите, чтобы раскрыть...

Стань нашим партнером и зарабатывай до 15 000 руб. с каждой продажи любого нашего курса по IT и кибербезопасности!

Наша партнерская программа подходит:

Веб-мастерам, у которых есть посещаемый онлайн-ресурс — блог, каталог, сервис, портал;
Блогерам, у которых есть свой YouTube, Instagram, Twitter, сообщество Вконтакте, телеграм-канал;
Всем желающим, которые готовы зарабатывать и расти вместе с нами!

Как зарабатывать с помощью нашей партнерской программы?

Пройди простую регистрацию;
Получи доступ к личному кабинету;
Продвигай наши курсы через свои ресурсы и источники трафика;
Размести ссылки в блоге, на сайте или отправь друзьям, рассказывай о нас в выпусках и постах;
Зарабатывай от 16% с каждой продажи курса по своей партнерской ссылке.

Подробнее о партнерской программе: ООО «Академия Кодебай»

Тик-тик-тик - это звук обычных механических часов. А значит, время идет. Что мы планировали? Эпоху великих изменений, планировали вывести монтаж и подачу материала на новый уровень. Но это все в прошлом, привет-привет, дорогие друзья, с вами, как всегда, Мамикс… Стоп. Не тот текст, извините. На связи странный парнишка под ником DeathDay, пусть я и ошибся с текстом, но одна истина в этом все таки была - время неостановимо и постоянно движется вперед. Никаких регрессий. А то, что было - это исключительно прошлое, а о прошлом как раз и наш цикл - Историческая вирусология, остальные выпуски здесь:

Введение

Boolean based Blind SQL Injection - это техника инъекции, которая заставляет приложение возвращать различное содержимое в зависимости от логического результата (TRUE или FALSE) при запросе к реляционной базе данных. Результат позволяет судить о том, истинна или ложна используемая полезная нагрузка, даже если никакие данные из базы не раскрываются в явном виде. Таким образом, становится возможно раскрытие данных, например, посимвольным подбором искомого значения.

Естественно, что ручной дамп базы данных при такой инъекции крайне неэффективен. Существуют мощные инструменты, позволяющие доставать данные при слепых инъекциях в автоматическом режиме, например, широко известный sqlmap. Но ввиду того, что SQL инъекции могут возникать в различных местах приложения (GET параметры, POST body, Headers и т.д.), запросы к базам данных требуют специального синтаксиса в зависимости от типа этих баз данных (MYSQL, PostgeSQL, Oracle и т.д.), а ответ приложения, позволяющий идентифицировать истинность/ложность запроса, вообще является уникальным в каждом отдельном...

Введение
Не так давно большинство новостных каналов заполонили новости о работе вредоносного программного обеспечения. Существует множество вирусов для контроля системы и все они очень хорошо прячутся и самообороняются от нежелательного изучения исходного кода. Разработчики придумывают все более изощренные способы защиты и иногда ставят в тупик даже опытных реверс инженеров. Но поговорим немного о другом. Обычно за созданием вредоносов стоят хакерские группировки, которые придумывают свою версию малвари лишь бы ее не мог найти антивирус. А теперь я открою тебе глаза и скажу, что существуют целые компании по созданию ратников для администрирования компьютеров. Да, это не очередная опечатка, а реальный факт. Давай я на примере частной компании Venom Software разберу их продукт с очевидным и громким названием Venom.

План работы
Он, на удивление, очень короткий и простой. Я постараюсь объяснить тебе как работает такого типа...

Парсинг данных, это всегда увлекательная и полезная штука, ведь получив данные мы можем выполнить различные виды анализа или использовать полученные данные в нужных приложениях, будь то телеграмм-бот или иное приложение. В марте этого года на сайте фриланса fl.ru мне попалось задание, которое показалось интересным и, хоть у меня и нет там премиум-аккаунта, я решил попробовать выполнить это задание для себя, просто, чтобы попрактиковаться. Благо, параметры задания были доступны для всех. Конечно же, для сбора необходимых данных я решил использовать Python.

Дисклеймер: Все данные, предоставленные в данной статье, взяты из открытых источников, не призывают к действию и являются только лишь данными для ознакомления, и изучения механизмов используемых технологий.

Нажмите, чтобы раскрыть...

Сбор данных и анализ запросов

К сожалению, так как прошло уже довольно много времени, страница с заданием недоступна, а я просто не догадался сохранить документ с ним. Тем не менее, так как я задание это выполнял, суть его я...

Привет, как Вы уже могли понять, эта статья будет другой, так как начинается немного иначе, но разница не только в первых словах, а и в концепте. Сегодня это будет более похоже на техническое интервью, где некий человек поделится способами, как он организовал миллионную малварьную сеть на базе обычного человеческого эгоизма и желания почувствовать превосходство над другими. А продолжим в моем излюбленном стиле.

Алчность, желание силы и безграничное эго. Что из всего этого тебе знакомо? Наверное, ничего , если ты никогда не играл в соревновательные онлайн игры, в которых игрок противопоставляется игроку, то есть PvP. И заметил я странную тенденцию, все хотят доминировать, а зацикленность на этом зачастую приводит к этому...

Доброго дня коллеги, давайте поговорим про OSINT. Сколько скрытого смысла в данной аббревиатуре. Это направление, которое помогает получить, возможно, верную и необходимую информацию о объекте исследования в ограниченный отрезок времени.

Для тех кто не знает что это такое цитирую википедию:
Разве́дка по откры́тым исто́чникам (англ. Open source intelligence, OSINT) — разведывательная дисциплина, включающая в себя поиск, выбор и сбор разведывательной информации из общедоступных источников, а также её анализ. В разведывательном сообществе термин «открытый источник разведывательных данных» (англ. open information source), который указывает на общедоступность источника (в отличие от секретных источников и источников с ограниченным использованием), но он не связан с понятиями «просто источник информации» (англ. open source information; OSIF), означающий любую находящуюся в пространстве СМИ информации. Это понятие не тождественно «публичной разведке» (англ. public intelligence). Также его не стоит путать с понятием «открытое программное обеспечение» (англ. open-source software).

Я не буду Вас...

Введение
Наверное каждый уважающий себя специалист по информационной безопасности знает, а может и проходил такие испытания как CTF. Это своеобразный мозговой штурм, который заставляет использовать изощренные методы взлома систем или серверов. Их основная задача оттачивать определенные навыки в поиске и эксплуатации отдельного типа уязвимостей. Площадок для тренировок огромное множество и в этой статье я решил остановиться на платформе Hack The Box. Так как мои навыки в этом деле очень малы я решил взять одну из легких машин с названием Support. И сегодня я расскажу тебе как ее пройти.

Подготовка к работе​

Перед началом тебе следует ознакомиться с тем, как вообще проходить такие CTF. Прежде всего следует начать со сканирования. Конечно, я пропускаю момент подключения к самой лаборатории при помощи openvpn, но думаю с этим ты разберешься сам. Далее идет анализ портов и поиск уязвимых из них. Не переживай, на каждую дыру есть свой эксплоит, поэтому проводить все вручную...

Доброго дня! Я ранее уже писал статью по open source проекту bWaPP, его установке и настройке, а также разбирал одну из уязвимостей. Продолжим разбирать HTML Injection — Reflected (POST). Как известно, опыта много не бывает. Давайте вместе рассмотрим и подумаем над решением новой задачи.

Предыдущие статьи написаные мной по bwapp:
bWaPP #0
bWaPP #1

Так что, закатывайте рукава! Если вы в футболке, то закатывайте штаны. Что делать если вы без штанов!? Наденьте штаны или рубашку и закатайте хоть что-нибудь! Начнем погружаться в глубокие пучины этичного хакинга на нашем прекрасном и сверхновом стенде!

Я не буду детально рассказывать простые вещи, которые разобрал в предыдущей статье. Цель моих статей - не словоблудие, а донесение важной информации. Так что, если что-то непонятно - будьте добры, читайте предыдущую...