Форум информационной безопасности - Codeby.net
Статья Новостной дайджест по ИБ/IT за 06.06-14.06
Доброго времени суток, уважаемые форумчане! Извиняюсь за небольшую задержку в пару дней. Чтож скорее к новостям!!
Passkeys - это учётные данные следующего поколения. Ну, как минимум Во время презентации Apple именно так назвали анонсированную замену паролям. Passkeys - это новая функция, которая позволит заменить привычные пароли.
Для аутентификации пользователю нужно использовать TouchID или FaceID. Для этих целей будет генерироваться уникальный цифровой ключ, который будет работать только на конкретном сайте или сервисе.
Apple says it's game over for the password
Новый детектор сбоев
Российская компания BrandAnalytics недавно запустила в формате бета-тестирования новую платформу для отслеживания работоспособности популярных сервисов и служб.
Несмотря на то, что представители Ookla не делали никаких заявлений, из списка DownDetecor’а убрали отечественные сервисы...
Apple Passkeys
Passkeys - это учётные данные следующего поколения. Ну, как минимум Во время презентации Apple именно так назвали анонсированную замену паролям. Passkeys - это новая функция, которая позволит заменить привычные пароли.
Для аутентификации пользователю нужно использовать TouchID или FaceID. Для этих целей будет генерироваться уникальный цифровой ключ, который будет работать только на конкретном сайте или сервисе.
Apple says it's game over for the password
Новый детектор сбоев
Российская компания BrandAnalytics недавно запустила в формате бета-тестирования новую платформу для отслеживания работоспособности популярных сервисов и служб.
Несмотря на то, что представители Ookla не делали никаких заявлений, из списка DownDetecor’а убрали отечественные сервисы...
Статья Автоматизация эксплуатации слепой boolean-based SQL-инъекции при помощи WFUZZ
Всем привет!
После того, как я написал статью Автоматизация эксплуатации слепой инъекции при помощи Burp Suite я получил целых 4 положительных отзыва, поблагодарил этих людей за высокую оценку моего труда. Я провозился со статьей около 3-х дней и мне было очень приятно, что данное творение хоть кому-то пригодилось. С тех пор утекло много воды, я закончил курс WAPT, но пока решил не оставлять эту сферу деятельности, потому что она мне нравится, хоть я и полный чайник.
Недавно один человек мне задал вопрос: «А зачем нужен Burp Suite, если как фаззер он слабоват и тормознут и есть много других хороших инструментов, например, таких как wfuzz?» Я ответил, что если он сможет раскрутить при помощи того же wfuzz’а слепую sql-инъекцию, то это будет хороший материал для...
Парсим ресурсы Codeby на языке Python
Что такое парсинг?⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀Источник: Парсинг - что это такое, зачем используется...
Поиск в ВК фото с геометками в заданном диапазоне дат с помощью Python. Часть #01
Геопозиция, геоданные… Если раньше эти слова были чем-то далеким, ну или как минимум ассоциировались с дорогим навигатором, то теперь уже GPS, ГЛОНАСС есть в каждом смартфоне. Более того, множество приложений жаждет к ним доступа, чтобы поточнее вас идентифицировать. Не является исключением и камера в вашем телефоне. Правда, в некоторых телефонах, встраивание геоданных в фото отключено по умолчанию, но, так далеко не везде. И мы уже даже не обращаем на эту технологию должного внимания, настолько к ней привыкли. В этой статье я попробую показать, насколько просто можно получить геоданные и что можно с ними сделать на примере «многострадального» ВК.
На самом деле, на эту тему меня натолкнуло совершенно случайное видео, так как я искал другую тему. Тем не менее, оно меня заинтересовало. Рекламировать его здесь не буду, скажу лишь, что называется оно «Нестандартный геопоиск через API вконтакте…». Правда, учитывая, что оно аж от 2015 года...
На самом деле, на эту тему меня натолкнуло совершенно случайное видео, так как я искал другую тему. Тем не менее, оно меня заинтересовало. Рекламировать его здесь не буду, скажу лишь, что называется оно «Нестандартный геопоиск через API вконтакте…». Правда, учитывая, что оно аж от 2015 года...
Статья В ИБ в 36 лет. 17 месяцев... Полет нормальный!
Приветствую друзья!
17 месяцев блин, вот так вот... И не бросил) Как вы наверное заметили, я каждые 3 месяца публиковал маленький отчет по развитию в ИБ (офенсив часть). По понятным причинам, я не стал делать публикацию в мае, в связи с происходящими событиями. Подумал что нужно время и мне и вам, чтоб все уложилось и наступило принятие ситуации. Знаю, что на ресурсе есть ребята которые наблюдают за моим развитием, поэтому пишу сейчас)
И так поехали.
Что с поставленными изначально целями?
На работу я пока не устроился, но уже в процессе. Я с самого начала допустил ошибку с английским. Нужно было сразу за него садится, уча параллельно с пентестом, тогда бы я наверное уже устроился бы, или как минимум активно подавал заявки на собес. Я этот момент прое...л( Теперь приходится терять темп и учить. ) Из хорошего то, что мы таки переехали с семьей в Европу и на инглише тут говорят почти все, разве что старички не говорят. Поэтому возможностей практиковать значительно больше чем в Украине. Фильмы в кино тоже на английском, так что все неплохо, учусь)...
Статья Историческая вирусология: поздняя хронология программ вымогателей - локер Илона Маска или как создавалась Тесла. Часть 2
Предисловие
И все таки, приветствую. У нас выпуск, который должен закончить хронологию программ-вымогателей. Но я этого не гарантирую: есть о чем рассказать, есть что проверить, посему будет неудивительно, если опять придется дробить эту часть на части.
И это уже седьмая часть.
В рамках этого подцикла я слегка шизанулся и начал отходить от канонов, но уж ничего не поделать, получается так, что я мало как сознательно могу влиять на ход развития рассказа. Большинство текста пишется в маниакально-депрессивном порыве. Но многие находят такой стиль для себя интересным, потому отрекаться от привычек никак не намереваюсь в будущем. Не будем тянуть котика за хвостик. К делу.
Теперь уже не смогу отвертеться, сказав, что статьи только обретают очертания цикла, это есть полноценная связка, прошлые статьи по этим ссылкам:
1. Немного ностальгии: историческая вирусология или LoveLetter в цвете современности -...
Статья SSDLC
Доброго времени суток.
Это продолжение статей про DevSecOps.
1 статья
2 статья
SSDLC - Secure Software Development LyfeCycle. Как было написано ранее, SSDLC это методика по обеспечению безопасности на каждом этапе разработки ПО.
Вспомним каждый этап:
Давайте посмотрим почему же SSDLC не может быть внедрено всеми компаниями.
Это продолжение статей про DevSecOps.
1 статья
2 статья
SSDLC - Secure Software Development LyfeCycle. Как было написано ранее, SSDLC это методика по обеспечению безопасности на каждом этапе разработки ПО.
Вспомним каждый этап:
- Планирование
- Анализ требований
- Проектирование и дизайн
- Разработка ПО
- Тестирование
- Поддержка и сопровождение
Давайте посмотрим почему же SSDLC не может быть внедрено всеми компаниями.
- Планирование - добавляется оценка угроз и анализ рисков. Это сложно, и дорого, так как качественную анализ рисков и угроз может делать лишь высококвалифицированный специалист.
- Анализ требований - оценка рисков, анализ поверхности атаки, требования по безопасности. Тут уже попроще, как минимум...
Статья Получаем общедоступные данные по номеру телефона с помощью Python
Можно ли по номеру телефона узнать местоположение абонента? Безусловно, да. Тут нужно правильно задать вопрос: «Кому это можно сделать?» К сожалению, ответ для нас с вами не особо утешителен.
- Есть варианты за деньги, то есть оплачиваешь тарифный план и пользуешься. Как правило, такие сервисы предоставляют данные на основе HLR-запросов.
- Есть вариант хакнуть сеть сигнализации SS7. Но, тут уж как звезды сойдутся. Да и не получиться это сделать у любого человека с улицы. У вас должен быть выход в эту сеть, плюс к тому возможность формировать любые сообщения сигнализации, а также в сети не должно быть фильтрации некорректных или подозрительных сообщений SS7.
- И как вариант, запрос правоохранительных органов.
Если вы не нашли своего состояния в данных описаниях, то скорее всего просто так получить данные у вас не получиться.
Получение местонахождения мобильного телефона
Первый – это получение примерного местонахождения с помощью HLR-запроса отправленного в СМС-центр. Подробнее о данном способе можно поискать информацию в интернете, да и наверняка вы видели рекламу сервисов предоставляющих эту услугу...
- Есть варианты за деньги, то есть оплачиваешь тарифный план и пользуешься. Как правило, такие сервисы предоставляют данные на основе HLR-запросов.
- Есть вариант хакнуть сеть сигнализации SS7. Но, тут уж как звезды сойдутся. Да и не получиться это сделать у любого человека с улицы. У вас должен быть выход в эту сеть, плюс к тому возможность формировать любые сообщения сигнализации, а также в сети не должно быть фильтрации некорректных или подозрительных сообщений SS7.
- И как вариант, запрос правоохранительных органов.
Если вы не нашли своего состояния в данных описаниях, то скорее всего просто так получить данные у вас не получиться.
Получение местонахождения мобильного телефона
Первый – это получение примерного местонахождения с помощью HLR-запроса отправленного в СМС-центр. Подробнее о данном способе можно поискать информацию в интернете, да и наверняка вы видели рекламу сервисов предоставляющих эту услугу...
Создание сигнализационной системы с помощью Python.
Приветствую, Codeby.
В этой статье мы создадим свою сигнализационную систему для дома, с помощью лишь ноутбука с веб-камерой и Python
Введение:
Сигнализации в доме стали повседневностью в нашей жизни, их предлагают компании, государство, одиночные специалисты.
Во всех случаях установка и дальнейшая эксплуатация обходятся в копеечку, при этом мы сами часто не знаем как устроена система в нашем доме.
Чаще всего сигнализация представляет собой датчик движения подключенный к двери для отключения и включения, если датчик засекает какое-либо движение, то отправляется определенный сигнал.
Планируется сделать цикл из 2 статей, так как в этой мы лишь создадим датчик движения для обнаружения сторонних объектов.
Основное:
Для определения движения используются следующие библиотеки:
cv2 - получение, вывод, работа с изображениями
numpy - для более удобного проведения некоторых операций
imutils - grab_contours
time - время
collections - deque
Код уже существует и состоит из функций get_movement, get_background...
В этой статье мы создадим свою сигнализационную систему для дома, с помощью лишь ноутбука с веб-камерой и Python
Введение:
Сигнализации в доме стали повседневностью в нашей жизни, их предлагают компании, государство, одиночные специалисты.
Во всех случаях установка и дальнейшая эксплуатация обходятся в копеечку, при этом мы сами часто не знаем как устроена система в нашем доме.
Чаще всего сигнализация представляет собой датчик движения подключенный к двери для отключения и включения, если датчик засекает какое-либо движение, то отправляется определенный сигнал.
Планируется сделать цикл из 2 статей, так как в этой мы лишь создадим датчик движения для обнаружения сторонних объектов.
Основное:
Для определения движения используются следующие библиотеки:
cv2 - получение, вывод, работа с изображениями
numpy - для более удобного проведения некоторых операций
imutils - grab_contours
time - время
collections - deque
Код уже существует и состоит из функций get_movement, get_background...