r0hack

  1. r0hack

    Статья Эксплуатация инъекций в ORM Doctrine (DQL).

    Всем Салам. В ходе пентестов, уже несколько раз сталкивались с ORM-Doctrine и наличием там возможности эксплуатации инъекций, а в сети про DQL инъекции ничего нет. В связи с этим был сделан этот небольшой ресерч. В дальнейшем будет изучено еще глубже и другие ORM и их диалекты, например...
  2. r0hack

    Статья Remote Code Execution (RCE) в Jira (CVE-2019–11581)

    Всем Салам. Remote code execution in Atlassian Jira(CVE-2019–11581) through template engine FreeMaker. В апреле месяце была обнаружена RCE в продукте Atlassian Confluence, а если быть точнее в плагине, который почти всегда там используется. И вот через 4 месяца еще одна RCE, но теперь уже в...
  3. r0hack

    Статья RCE в Jenkins

    Всем Салам. Очень давно не писал, но недавно во время пентеста столкнулся с одной интересной уязвимостью, которую пофиксили только в этом месяце и очень многие компании, которые используют данный продукт уязвимы к RCE (удаленному выполнению кода). Говорим мы про, всем известный, Jenkins. Нашел...
  4. r0hack

    Статья Оставляем бэкдор для страховки от "нехороших" заказчиков

    Всем Салам. Сегодня хотел бы поговорить о фрилансе и как работать без потерь для себя. А именно мы будем защищаться от плохих заказчиков, которые захотят нас кинуть после выполненной работы. Вы скажете, ну чтобы не кидал, бери половину суммы наперед или все сразу. Такое условие, если и прокатит...
  5. r0hack

    Статья Вывод минимальной цены по разделу в мета-тегах в CMS bitrix

    Всем Салам. Все чаще в работе сталкиваюсь с интернет-магазинами на Битрикс и учитывая, что эта CMS система набирает сильную популярность в странах СНГ, особенно часто используют для создания интернет-магазинов, хотел бы поделится одним полезным лайфхаком. [0] - Немного теории Так как уже во...
  6. r0hack

    Статья [Новичкам] LFI или как открывать произвольный файл на сервере.

    Всем салам. Сегодня хотелось бы поговорить о такой уязвимости, как Local File Inclusion (LFI). Наличие данной уязвимости очень опасно. Но давайте обо всем оп порядку. [0] - Немного теории Как я уже говорил выше, наличие данной уязвимости очень опасно, ведь мы можем получать доступ к каким-либо...
  7. r0hack

    Конкурс Объявляю открытие конкурса статей до 16 февраля

    Приветствую вас на CodeBy. Сегодня, в этот замечательный день, мы устраиваем еще один крутой конкурс статей с огромным количеством призов! Регистрация участников на конкурс открыта до 16 февраля Публикации статьи до этого числа, является фактом регистрации. Вы можете опубликовать сколько...
  8. r0hack

    Статья Web-Shells или как управлять сервером после получения доступа

    Всем Салам. Сегодня решил поделится с вами довольно таки интересной темой. Когда мы получаем доступ к серваку, то делать руками гадать, что где находится довольно таки сложно и все это может затянуться. Поэтому, самым оптимальным решением является залить веб-шелл, через бекдор. Сегодня я не буду...
  9. r0hack

    Positive Hack Days 8

    Всем Салам. Сегодня я хочу рассказать вам о самом крупном и крутом форуме по информационной безопасности в России, которая организовывается уже на протяжении 8 лет. Мероприятие PHDays или форум по практической безопасности пройдет 15 и 16 мая 2018 года, как всегда, в московском Центре...
  10. r0hack

    Статья [2] - Подмена DNS роутера. Подстановка рекламы в браузер.

    Статья только для образовательных целей. Часть 1 Часть 2 Всем Салам. Вот уже 3я часть серии статей про подмену DNS в роутере. Мы уже разобрали, как настроить все, грабить сайт и похищать пароли. Сегодня, мы будем разбирать подстановку рекламы в браузер. Я давно еще искал информацию про такую...
  11. r0hack

    Статья [1] - Подмена DNS роутера. Граббинг сайта и получение доступов.

    Статья написана только для образовательных целей. Все делайте на свой страх и риск. Всем Салам и Доброй ночи. Люблю сидеть ночью и писать статьи, вообще такое желание возникла в далеком 2012 году, когда еще учился в школе, создал компьютерный блог и писал много статей и в то время блог был...
  12. r0hack

    Статья [0] - Подмена DNS роутера

    Статья написана только для образовательных целей Всем Салам. Писал статью про подмену DNS роутера, похищения паролей и подстановки своей рекламы, но получалось все это дело слишком громоздким. И решил я разделить на 3 части. А может будет и четвертая часть, где будем настраивать SSL для нашего...
  13. r0hack

    Статья [2] - Безопасный PHP. Защита от SQL-Injection

    Всем Салам и всех с Новым Годом. Праздники праздниками, но знания получать нужно, чем мы сейчас займемся. Как вы уже знаете по названию, сегодня мы будем разбирать SQL-Injection в PHP. Как подметили в прошлой статье про XSS, что XSS тематика обширная и не все рассмотрено. И я хочу сказать цикл...
  14. r0hack

    Статья [1] - Безопасный PHP. Защита от XSS атак.

    Всем Салам. Сегодня уже 2 часть из цикла статей безопасный PHP. И эта статья обещает быть информативной, особенно для новичков. И чтобы было представление о XSS, я разделю статью на 2 части, где в 1ом разберем, что за зверь этот XSS. А во втором рассмотрим, как она эксплуатируется в PHP и как...
  15. r0hack

    Статья [0] - Безопасность языка PHP. Начало и что еще будет

    Всем Салам. Недавно спрашивал о том, стоит ли написать, цикл статей по PHP и конечно же я не имею ввиду статьи о том, как учить PHP, про условия или циклы, нет про это итак полно информации, но на всякий случай ниже я солью достаточно годный курс, чтобы не возникало вопрос, а где же учить...
  16. r0hack

    Беспалевная автоматизация накрутки рекламы на сайте

    Доброй ночи дамы и господа. Недавно была тема на форуме, про то, как можно зарабатывать в интернете. Так вот сегодня хочу показать один из достаточно эффективных способов подзаработать неплохие деньги на рекламе на сайте. [0] - Немного теории Данный способ, в плохом его виде, для...