Форум информационной безопасности - Codeby.net
CTF Поиск CTF на root-me HTML - Source code
Добрый день коллеги!
Давно ничего не писал, обойдемся без долгих разговоров. И решим очень простую задачу, возможно она будет интересна для неопытных.
Давайте рассмотрим прохождение таски из серии WEB - SERVER на тренировочном ресурсе root-me.org
Задача “мега сложная” запасайтесь терпением и попкорном, начнем разбор
Описание навыков которые получите из решения задач
Эти задачи предназначены для обучения пользователей работе с HTML, HTTP и другими серверными механизмами. Следующая серия задач будет способствовать лучшему пониманию таких методов, как : Базовая работа нескольких механизмов аутентификации, обработка данных форм, внутренняя работа веб-приложений и т.д.
Предпосылки:
Понять HTML.
Понять протокол HTTP.
Способность манипулировать веб-браузером.
при вводе любого символа выдается ошибка о неправильном пароле
Нам требуется посмотреть код страницы, самое интересное нас ожидает именно там
При просмотре кода нет ничего интересного, кроме одного...
Давно ничего не писал, обойдемся без долгих разговоров. И решим очень простую задачу, возможно она будет интересна для неопытных.
Давайте рассмотрим прохождение таски из серии WEB - SERVER на тренировочном ресурсе root-me.org
Задача “мега сложная” запасайтесь терпением и попкорном, начнем разбор
Описание навыков которые получите из решения задач
Эти задачи предназначены для обучения пользователей работе с HTML, HTTP и другими серверными механизмами. Следующая серия задач будет способствовать лучшему пониманию таких методов, как : Базовая работа нескольких механизмов аутентификации, обработка данных форм, внутренняя работа веб-приложений и т.д.
Предпосылки:
Понять HTML.
Понять протокол HTTP.
Способность манипулировать веб-браузером.
при вводе любого символа выдается ошибка о неправильном пароле
Нам требуется посмотреть код страницы, самое интересное нас ожидает именно там
При просмотре кода нет ничего интересного, кроме одного...
Статья Историческая вирусология: поздняя хронология программ-вымогателей - ZeuS, CryptoLocker, CTB: вирусный трафик ценой в миллиарды. Часть 1
Предисловие
Желание наскрести денег на плату за коммуналку или же мысли типа: “Мир прогнил, его ждет неизбежно лишь одно - разрушение , поэтому стану-ка я богом этого нового мира”. Как знать, но что-то таки побудило создателей вымогателей выпустить свои творения в сеть, но одно знаем мы наверняка - это вошло в историю, а о ней мы и поговорим.
Итак, это вторая часть, поэтому разглагольствовать не стану в предисловии, так как просто продолжаем прошлую статью. Теперь на повестке дня у нас поздняя хронология программ-вымогателей. В прошлой мы разобрали появление и примитивную эволюцию вплоть к 2010 году. Теперь же движемся от 2010 до сегодня.
Возможно, эта статья тоже будет поделена на две части, ведь действительно есть о чем говорить, да и наконец будет анализ, практика. О да.
Честно признаться, я устал. Каждый день писать по две статьи, но как минимум ещё четыре выпущу, дальше нужно будет взять перерыв. Так...
Статья Историческая вирусология: ранняя хронология программ-вымогателей - AIDS, GPcode, Arhivarius. Или как шутка психически больного стала каноном
Историческая вирусология: раняя хронология программ-вымогателей - AIDS,GPcode,Arhivarius. Часть первая: или как шутка психически больного стала каноном
Желание наскрести денег на плату за коммуналку или же мысли типа: “Мир прогнил, его ждет неизбежно лишь одно - разрушение , поэтому стану-ка я богом этого нового мира”. Как знать, но что-то таки побудило создателей вымогателей выпустить свои творения в сеть, но одно знаем мы наверняка - это вошло в историю, а о ней и поговорим.
Предисловие
Оп-оп-оп, а что это у нас здесь? А-а-а, очередная статья из цикла Историческая вирусология? Неужели, так она ведь пятая за эту неделю. Автор живой ещё писать...
Скрываем текст в изображении тремя алгоритмами с помощью Python
Еще пару-тройку лет назад стеганография вызвала довольно большой интерес у интернет-аудитории. И инструкций о том, как скрыть сообщения и даже файлы в картинке, а то и в аудиозаписи, было довольно много. Но, постепенно интерес поубавился. И, хотя это все еще довольно популярная тема, но, она была вытеснена другими новостями и событиями. Я же решил сделать для себя небольшой «комбайн», который скрывает простой текст в изображении с помощь Python. И то, что у меня получилось, будет описано ниже.
Для начала я определил, что это должно быть приложение с пользовательским интерфейсом, а значит, его нужно на чем-то делать. Либо это будет Tkinter, либо PyQt. Выбор пал на последний, так как Qt Designer очень похож на визуальный редактор, который использовался в Delphi. Да и в целом легче накидать элементов на форму, а потом уже описывать логику их работы. Ну, или так для меня. Суть не в том.
Теперь нужно было определиться с алгоритмами. В приложении будут использованы алгоритмы скрытия информации в JPG изображении в Exif Headers, то есть в...
Для начала я определил, что это должно быть приложение с пользовательским интерфейсом, а значит, его нужно на чем-то делать. Либо это будет Tkinter, либо PyQt. Выбор пал на последний, так как Qt Designer очень похож на визуальный редактор, который использовался в Delphi. Да и в целом легче накидать элементов на форму, а потом уже описывать логику их работы. Ну, или так для меня. Суть не в том.
Теперь нужно было определиться с алгоритмами. В приложении будут использованы алгоритмы скрытия информации в JPG изображении в Exif Headers, то есть в...
Всплывающие сообщения в Windows и Linux с помощью Python
Всем доброго времени суток. Давайте поговорим сегодня о простой, но далеко не самой очевидной вещи, которая не лежит не виду, а когда с ней сталкиваешься, приходиться некоторое время гуглить информацию. О всплывающих сообщениях. Ведь порою в скриптах нужно отображать информацию не только в консоли. А если приложение имеет еще и пользовательский интерфейс, то сообщения, конечно же, лучше выводить без ее использования.
Что потребуется?
Тут все зависит от операционной системы и способа, которым вы выберете выводить сообщение. Если операционная система Linux, то здесь может не потребоваться ничего, так как будет использоваться функция операционной системы. А можно установить специальную библиотеку notify2. Установка происходит через терминал с помощью команды pip:
А дальше импортируем в скрипт.
Всплывающие сообщения в Linux
Давайте посмотрим, какие сообщения можно вывести с помощью данной библиотеки, и с какими небольшими «подводными камнями» я столкнулся при ее использовании.
Что потребуется?
Тут все зависит от операционной системы и способа, которым вы выберете выводить сообщение. Если операционная система Linux, то здесь может не потребоваться ничего, так как будет использоваться функция операционной системы. А можно установить специальную библиотеку notify2. Установка происходит через терминал с помощью команды pip:
pip install notify2А дальше импортируем в скрипт.
import notify2Всплывающие сообщения в Linux
Давайте посмотрим, какие сообщения можно вывести с помощью данной библиотеки, и с какими небольшими «подводными камнями» я столкнулся при ее использовании.
Python:
icon_path =...Статья CVE-2022-30190. Разбор MSDT уязвимости
Приветствую, Codeby!
В этой статье мы разберем как работает CVE-2022-30190 и на практике испытаем данную уязвимость.
Введение:
27 Мая на VirusTotal из Беларуси поступил документ Microsoft Office со странным зловредным кодом, уязвимость была опознана как 0-day, что делало ее особенно опасной в атаках.
Риск затрагивает только компьютеры со включенным протоколом MSDT URI и с ОС Winows.
Для эксплуатации так-же не требуется использование макросов, что делает атаку еще легче, все что требуется атакующему - специальный юрл с использованием MSDT URI для выполнения powershell команд.
Эксплуатация:
Как мы поняли, эксплуатировать данную уязвимость очень легко, POC для исполнения кода уже доступен на гитхабе, с помощью него мы сгененерируем документ с полезной нагрузкой для запуска произвольных команд...
В этой статье мы разберем как работает CVE-2022-30190 и на практике испытаем данную уязвимость.
Введение:
27 Мая на VirusTotal из Беларуси поступил документ Microsoft Office со странным зловредным кодом, уязвимость была опознана как 0-day, что делало ее особенно опасной в атаках.
Риск затрагивает только компьютеры со включенным протоколом MSDT URI и с ОС Winows.
Для эксплуатации так-же не требуется использование макросов, что делает атаку еще легче, все что требуется атакующему - специальный юрл с использованием MSDT URI для выполнения powershell команд.
Эксплуатация:
Как мы поняли, эксплуатировать данную уязвимость очень легко, POC для исполнения кода уже доступен на гитхабе, с помощью него мы сгененерируем документ с полезной нагрузкой для запуска произвольных команд...
Анонс Саммит директоров по информационной безопасности, 16 июня, Москва
Дата: 16 июня
Место: Москва
Сайт: security-summit.ru/
16 июня в Москве состоится конференция Security Summit - 2022. Это мероприятие, на котором руководители отделов информационной безопасности крупных и средних российских компаний и поставщики ИБ-решений и услуг поделятся опытом и мнением по текущим задачам по защите корпоративной информации и безопасного доступа к ресурсам.
Ключевые темы Security Summit:
- Как построить эффективную стратегию информационной безопасности в 2022 году.
- Роль департамента информационной безопасности в поддержке кризисных ситуаций.
- Управление доступом.
- Защита от внешних угроз: кибератаки, фишинг, вирусы, сетевые угрозы.
- Мониторинг внутренних угроз и обеспечение безопасности.
- Регламенты информационной безопасности и защита персональных данных.
- Защита мобильных приложений.
Статья Делаем быструю и удобную программу для шифрования файлов с usb сертификатом
Привет Codeby !
Интро
Надумал сделать удобную программу для шифрования файлов без паролей, с использованием ключа, чтобы он хранился на носителе, таким образом чтобы шифровать/дешифровать файлы/директории было удобно и просто, запустил экзешник, засунул флешку, и готово. Алгоритм симметричного шифрования работает достаточно быстро, да и к слову совсем изголяться и от кого то прятаться не является целью данной статьи. Но у меня есть доки и файлы, в которых я могу писать пароли к некоторым сервисам и тд. т.к. всего не упомнишь и хотелось бы чтобы эти данные были скрыты от чужих глаз, если что. Фотки видосы скрипты - все что угодно. Мне понравилась функциональность данного скрипта и я использую его в своих целях, именно поэтому решил написать тут, кто то может использовать его или допилить и сделать более круто и удобно т.к. сам код достаточно прост. Заодно попытаюсь немного разобрать плюсы/минусы симметричного шифрования, на деле же думаю что более безопасен гибридный метод совмещающий ассиметричные и...
Интро
Надумал сделать удобную программу для шифрования файлов без паролей, с использованием ключа, чтобы он хранился на носителе, таким образом чтобы шифровать/дешифровать файлы/директории было удобно и просто, запустил экзешник, засунул флешку, и готово. Алгоритм симметричного шифрования работает достаточно быстро, да и к слову совсем изголяться и от кого то прятаться не является целью данной статьи. Но у меня есть доки и файлы, в которых я могу писать пароли к некоторым сервисам и тд. т.к. всего не упомнишь и хотелось бы чтобы эти данные были скрыты от чужих глаз, если что. Фотки видосы скрипты - все что угодно. Мне понравилась функциональность данного скрипта и я использую его в своих целях, именно поэтому решил написать тут, кто то может использовать его или допилить и сделать более круто и удобно т.к. сам код достаточно прост. Заодно попытаюсь немного разобрать плюсы/минусы симметричного шифрования, на деле же думаю что более безопасен гибридный метод совмещающий ассиметричные и...