Форум информационной безопасности - Codeby.net

Данная статья является переводом. Оригинал вот

Ссылка скрыта от гостей

Нажмите, чтобы раскрыть...

Принято считать, что если вы принимаете отчеты о Content Security Policy (CSP) (на рус. "Нарушения Политики Безопасности Контента"), вам придется фильтровать множество непонятных и недействительных отчетов.

Но дела обстоят получше, чем шесть лет назад, когда я впервые начал идти по пути CSP с Caspr. Браузеры и другие пользовательские агенты гораздо более продуманны в отношении того, что и когда они сообщают. А новые дополнения к CSP, такие как "script-sample", сделали фильтрацию легкой.

Эта статья даст краткий обзор, а затем расскажет о некоторых методах, которые можно использовать для фильтрации Content Security Policy отчетов. Это методы, которые хорошо сработали в от Csper.


Введение в Content Security...

Приветствую Друзей и Уважаемых Форумчан,а также постоянных Читателей Форума,кто увлекается пентестом.
Сегодня будем говорить о таком расширении для браузеров,как hackbar.

Не секрет,что ранее проблем с установкой таких дополнений не было.
Но времена меняются и разрабы firefox нам дообновляли версии до того в борьбе за безопасность...
А чего делать пентестерам,которые привыкли к вкусняшкам подобного рода?
Ответ напрашивается правильный,что нужны какие-то старые версии браузеров,но какие?
Тем,не менее,Hackbars усовершенствовались до сумасшествия и заточены под современные реалии.
Они значительно облегчают жизнь пентестеру и отличаются от своих предшественников.

Итак,самыми продвинутыми на сегодняшний день выглядят такие дополнения от Ph hitachi и XPR1M3 из Бангладеша.
Да,на последних версиях firefox зачётный hackbar от Max (на главном скрине),который вызывается клавишей F12.
Он своевременный и неплохой и автору Уважение,что постарался...

Данная статья является переводом, оригинал вот

Ссылка скрыта от гостей

Нажмите, чтобы раскрыть...

Обновления

• Мы опубликовали еще одну статью:
  Ссылка скрыта от гостей
• Уязвимость коснулась даже первого iPhone (он же iPhone 1 / iPhone 2G) на iOS 3.1.3.
• Первый триггерный запуск этой уязвимости произошел в октябре 2010 года.
• Как вы можете заметить в новой статье, эту уязвимость можно эксплуатировать, и мы рекомендуем выпустить патч как можно скорее.
• Мы запустили bounty программу для
  Ссылка скрыта от гостей
• IOCs & FAQ были обновлены.

Влияние и ключевые детали...

Предыдущие части:

1. Общие сведения. Legacy-таймеры PIT и RTC.
2. Шина PCI – таймер менеджера питания ACPI.
3. ACPI таблицы – таймер HPET.
4. Таймер контролёра Local-APIC.
5. Счётчик процессора TSC.
6. Win - профилирование кода.
---------------------------------------

[COLOR=rgb(251, 160...

Привет, сейчас речь пойдет про разбор и реализацию алгоритма хеширования md5 на языке C++. Сам алгоритм раньше широко применялся для проверки целостности информации и для хранения паролей, пока его не признали небезопасным.
Историю алгоритма вы можете прочитать на Википедии: .

Эта статья написана для начинающих, которым интересно как этот алгоритм работает изнутри и как его реализовать. Моя реализация алгоритма является обучающей, то есть код работает не так быстро, но позволяет понять как устроен md5. От читателей требуется базовое знание C++ и минимальный опыт работы с памятью и указателями. Начнем.

Алгоритм состоит из нескольких шагов, которые мы сейчас рассмотрим и сразу же реализуем.

Step 0

Сам алгоритм принимает на вход двоичную последовательность любой длины. Мы же будем решать немного иную задачу. А именно, на вход нашей программы...

Поставленная задача довольно востребована - получение данных (документы, переписки - дело обычное - нужно ВСЁ) с iPhone OS version: 13.5

Большинству своих знаний в области iOS я обязан Владимиру Каталову и блогу их компании

Ссылка скрыта от гостей

(это не реклама, это факт, что elcomsoft лидер гонки с apple).

Нажмите, чтобы раскрыть...

Для решения такой задачи вот с такой прелестью:



Нам нужно:

1. Читаем статью Full File System and Keychain Acquisition with unc0ver jailbreak: iOS 13.1 to 13.5
   Ссылка скрыта от гостей
2. Регистрируем аккаунт разработчика
   Ссылка скрыта от гостей
3. Скачиваем...

Предыдущие части:

1. Общие сведения. Legacy-таймеры PIT и RTC.
2. Шина PCI – таймер менеджера питания ACPI.
3. ACPI таблицы – таймер HPET.
4. Таймер контролёра Local-APIC.
5. Счётчик процессора TSC.
6. Win - профилирование кода.
---------------------------------------

Основным недостатком рассмотренных ранее таймеров является время доступа к ним, т.к. все эти устройства расположены за пределами центрального процессора CPU. Чтобы дотянуться до их контроллёров, процессор вынужден ждать освобождения шины FSB/DMI...

Данная статья является переводом. Оригинал вот

Ссылка скрыта от гостей

Нажмите, чтобы раскрыть...

В этой статье мы рассмотрим корпоративную структуру компании Mindgeek - лидера в области доставки контента, SEO, рекламы, хостинга и общих технологических инноваций. Они работают по всему миру, а принадлежащие им сайты создают сотни миллионов посещений в день и имеют большую пропускную способность, чем Twitter, Amazon или Facebook. Может быть, вы не знаете эту компанию, но я уверен, что они знают вас.

Если вы пропустили предыдущую часть, то можете ознакомиться с ней ниже


Примечание

MindGeek работает в сфере развлечений для взрослых, поэтому если вам неудобно читать о...

Данная статья является переводом. Оригинал вот

Ссылка скрыта от гостей

Нажмите, чтобы раскрыть...

Это вторая часть моего расследования критической инфраструктуры по всему миру. Эта статья должна была стать презентацией на конференции ICS в Сингапуре, однако, благодаря коронавирусу это будет виртуальное мероприятие. Я не заинтересован в участии, и я остался с хорошим материалом, поэтому решил сделать об этом краткий пост в блоге.

Вы все еще можете прочитать мое первое исследование ICS "Intelligence Gathering on U.S. Critical Infrastructure" на сайте конференции.


Если вы пропустили последний эпизод о том, как искать дезинформацию в социальных сетях, вы можете найти ее здесь

[URL...

Данная статья является переводом. Оригинал вот

Ссылка скрыта от гостей

Нажмите, чтобы раскрыть...

В этой части мы рассмотрим кампанию по дезинформации в польской социальной сети - wykop.pl. Она очень похожа на Reddit, хоть и без сабредитов, но с тегами и микроблогом. Я представлю методы сбора информации о пользователях, положительных / отрицательных голосов и контента. Кроме того, все будет представлено в понятной форме с диаграммой и графиком отношений для пользователей.

Если вы пропустили последнюю статью о деобфускации, анализе исходного кода и расскрытии кампании по расспространению нелегального контента, вы все еще можете прочитать ее здесь.

Offensive OSINT часть 2- Деобфускация и анализ...