-
15 апреля стартует «Курс «SQL-injection Master» ©» от команды The Codeby
За 3 месяца вы пройдете путь от начальных навыков работы с SQL-запросами к базам данных до продвинутых техник. Научитесь находить уязвимости связанные с базами данных, и внедрять произвольный SQL-код в уязвимые приложения.
На последнюю неделю приходится экзамен, где нужно будет показать свои навыки, взломав ряд уязвимых учебных сайтов, и добыть флаги. Успешно сдавшие экзамен получат сертификат.
Запись на курс до 25 апреля. Получить промодоступ ...
По поводу темы топика. Я тут человек совсем новый, и не только тут, а в целом в ИБ. Прошу потерпеть, как подросту профессионально, качество контента изменится (надеюсь), может и греям и рэдам будет заходить. То, что я пишу сейчас, расчитано на таких же, как и я. Мне лично такого контента не хватало в начале пути, пока я не набрел на owasp, да и новичкам тоже вроде заходит.
Ваши же статьи читаю с удовольствием и даже с жадностью, поэтому пишите пожалуйста, что знаете. Если есть возможность, выносите статьи из под хайда. Этот форум на сегодняшний день лучший в рунете, вы его сделали таким и не бросайте теперь, пока не вырастет достойная смена.
Теперь cool story )
Не знаю, тянет ли это на кул стори, но поведаю. Рассказал мне ее какой-то анонимус где-то в интернетах и он добавил, что все это выдумал.
Одно маленькое и гордое европейское государство несколько лет назад проводило у себя мероприятие всеевропейского масштаба - конкурс европейской песни и пляски ( КЕПП - пусть будет так). В числе ответственных за проведение мероприятия значилось главное местное СМИ, аналог нашего первого канала (пусть будет просто СМИ). У СМИ, конечно же, имеется свой сайт, где каждый день тоннами публикуются свежие новости на все темы - smi.site. В том же домене по адресу smi.site/blogs находятся личные блоги большинства местных журналистов, продюссеров и других причастных людей, всего несколько сотен человек, так или иначе приближенных к элите государства.
СМИ, в рамках проводимого конкурса песни и пляски, запилило сайт, посвященный данному конкурсу и разместило его по адресу kepp.site, но на том же сервере, где расположились smi.site и smi.site/blogs.
Каким образом анонимус набрел на этот сайт, история умалчивает, да это и не важно. Важно, что там он не удержался и подставил таки ковычку в запрос и бинго, есть инъекция и даже не слепая. Вытащил все базы sqlmap'ом. Среди баз одна оказалась с именем smisite, и содержала логины и пароли от админки smi.site. Хэши паролей удачно были подобраны. Зайдя в админку (она была то ли самописная, то ли просто от неизвестной анонимусу CMS), анонимус получил доступ не только к сайту, но и ко всем блогам журналистов, все их пароли и почты. У многих пароль от блога подходил к почте. Анонимус не стал косячить и написал письмо сразу двум админам (чтоб наверняка), в котором сообщил об уязвимости и для подтверждения своих слов приложил к письму пароли админов. В полной уверености, что все будет исправлено, анон свалил в закат.
Прошло пол года, анон вспомнил про тот сайт и решил проверить, как исправлена уязвимость. Оказалось, что уязвимость не только не исправлена, но админы даже пароли не поменяли, блъть. На этот раз, понимая, что писать не имеет смысла, анонимус немножко подправил верстку на главной и снова свалил в закат. Теперь-то точно исправят, подумал он.
Прошло еще пол года. Что вы думаете?
Все сайты на серваке спрятали за claudflare, основной сайт СМИ переехал на новую платформу. Ну а инъекция, хоть теперь и не тащилась sqlmap'ом, легко вытаскивалась руками. Основной сайт хоть и переехал на новую (видать, более защищенную) CMS, но переехал со старыми паролями, Карл!! Они ничего не исправили, по сути. Анон ничего больше не стал делать и просто ушел, решив забыть об этом недоразумении.
Хотя, если прикинуть, масштаб трагедии тут серьезный.
А то тут недавно в одной из тем человек писал, что адекватный заказчик сразу закроет все бэкдоры, ага.
Ваши же статьи читаю с удовольствием и даже с жадностью, поэтому пишите пожалуйста, что знаете. Если есть возможность, выносите статьи из под хайда. Этот форум на сегодняшний день лучший в рунете, вы его сделали таким и не бросайте теперь, пока не вырастет достойная смена.
Теперь cool story )
Не знаю, тянет ли это на кул стори, но поведаю. Рассказал мне ее какой-то анонимус где-то в интернетах и он добавил, что все это выдумал.
Одно маленькое и гордое европейское государство несколько лет назад проводило у себя мероприятие всеевропейского масштаба - конкурс европейской песни и пляски ( КЕПП - пусть будет так). В числе ответственных за проведение мероприятия значилось главное местное СМИ, аналог нашего первого канала (пусть будет просто СМИ). У СМИ, конечно же, имеется свой сайт, где каждый день тоннами публикуются свежие новости на все темы - smi.site. В том же домене по адресу smi.site/blogs находятся личные блоги большинства местных журналистов, продюссеров и других причастных людей, всего несколько сотен человек, так или иначе приближенных к элите государства.
СМИ, в рамках проводимого конкурса песни и пляски, запилило сайт, посвященный данному конкурсу и разместило его по адресу kepp.site, но на том же сервере, где расположились smi.site и smi.site/blogs.
Каким образом анонимус набрел на этот сайт, история умалчивает, да это и не важно. Важно, что там он не удержался и подставил таки ковычку в запрос и бинго, есть инъекция и даже не слепая. Вытащил все базы sqlmap'ом. Среди баз одна оказалась с именем smisite, и содержала логины и пароли от админки smi.site. Хэши паролей удачно были подобраны. Зайдя в админку (она была то ли самописная, то ли просто от неизвестной анонимусу CMS), анонимус получил доступ не только к сайту, но и ко всем блогам журналистов, все их пароли и почты. У многих пароль от блога подходил к почте. Анонимус не стал косячить и написал письмо сразу двум админам (чтоб наверняка), в котором сообщил об уязвимости и для подтверждения своих слов приложил к письму пароли админов. В полной уверености, что все будет исправлено, анон свалил в закат.
Прошло пол года, анон вспомнил про тот сайт и решил проверить, как исправлена уязвимость. Оказалось, что уязвимость не только не исправлена, но админы даже пароли не поменяли, блъть. На этот раз, понимая, что писать не имеет смысла, анонимус немножко подправил верстку на главной и снова свалил в закат. Теперь-то точно исправят, подумал он.
Прошло еще пол года. Что вы думаете?
Все сайты на серваке спрятали за claudflare, основной сайт СМИ переехал на новую платформу. Ну а инъекция, хоть теперь и не тащилась sqlmap'ом, легко вытаскивалась руками. Основной сайт хоть и переехал на новую (видать, более защищенную) CMS, но переехал со старыми паролями, Карл!! Они ничего не исправили, по сути. Анон ничего больше не стал делать и просто ушел, решив забыть об этом недоразумении.
Хотя, если прикинуть, масштаб трагедии тут серьезный.
А то тут недавно в одной из тем человек писал, что адекватный заказчик сразу закроет все бэкдоры, ага.
@larchik ну то что начинающие не умеют гуглить - это давно ясный факт. Но обычно про OWASP понимают после 2-3-его видиокурса.
я с выше упомянутой @IioS даже перводил пару глав. Вот только мы не опубликовали его
@larchik ну вот давай - вот тебе кейс - помочь редтим челену захостить сканер codeby за 0 уе. Твоё решение?
для простоты учтём что там нужен простой vds сервер
лол я чё один остался?
я с выше упомянутой @IioS даже перводил пару глав. Вот только мы не опубликовали его
@larchik ну вот давай - вот тебе кейс - помочь редтим челену захостить сканер codeby за 0 уе. Твоё решение?
для простоты учтём что там нужен простой vds сервер
лол я чё один остался?
Как вариант hyperhost.ua.
Предлагают разные конфигурации исходя из потребностей, но что бы получить сервер бесплатно, надо их заинтересовать своим проектом. Минус, что хостинг находится на Украине и только Винда.
Наверняка есть и другие подводные камни, потому что в бесплатность я не верю.
Еще вариант - hostiman.ru. Можно получить бесплатный vps, если проект косвенно связан с сайтостроением и посещаемость от 150 чел в сутки.
Я бы тоже выбрал амазон и не парился )
Добавлю вот что. Пользуюсь iphoster.net, очень доступные цены, от 1 доллара в месяц за vps. Готов даже посодействовать в оплате, чтоб не плясать с амазонами и тем более нашими хостерами.
Предлагают разные конфигурации исходя из потребностей, но что бы получить сервер бесплатно, надо их заинтересовать своим проектом. Минус, что хостинг находится на Украине и только Винда.
Наверняка есть и другие подводные камни, потому что в бесплатность я не верю.
Еще вариант - hostiman.ru. Можно получить бесплатный vps, если проект косвенно связан с сайтостроением и посещаемость от 150 чел в сутки.
Я бы тоже выбрал амазон и не парился )
Добавлю вот что. Пользуюсь iphoster.net, очень доступные цены, от 1 доллара в месяц за vps. Готов даже посодействовать в оплате, чтоб не плясать с амазонами и тем более нашими хостерами.
Последнее редактирование:
Суровые реали настоящего просто не позволяют уделять много времени форуму.
Что бы написать более менее качественную статью необходимо потратить 4-5 часов, время улетает не заметно и т.д.
А когда в голове поиск решений совершенно других проблем, которые вообще не относятся к теме it, то вообще сконцентрироваться просто не реально.
Когда всё хорошо, то конечно почему бы и нет...
По поводу vds, амазон наверное самое простое решение, тем более учитывая условие в 0$.
Что бы написать более менее качественную статью необходимо потратить 4-5 часов, время улетает не заметно и т.д.
А когда в голове поиск решений совершенно других проблем, которые вообще не относятся к теме it, то вообще сконцентрироваться просто не реально.
Когда всё хорошо, то конечно почему бы и нет...
По поводу vds, амазон наверное самое простое решение, тем более учитывая условие в 0$.
Цитировать неудобно с мобилки, но да, я о вас говорил. Люди не закрывают дыры годами, даже если им тыкать в эти дыры. А если дыру запрятать хорошо, то и подавно.
То есть я не согласен с вашим утверждением, что бэкдор быстро прикроют.
Я сказал своими словами то же самое, что говорите вы.
Формулировки ваши такие:
Из этого я сделал вывод, что по-вашему мнению “сказочный идиот” не прикроет бэкдор, и обратное - адекватный заказчик прикроет.
Разве я не правильно уловил суть?
Или это просто придирка к словам?
То есть это ваша интерпретация моих слов вне контекста.
А вас не смутил контекст вопроса в той теме и контекст темы, где вы сослались якобы на мои слова?
Естественно - это моя интерпретация, а не чья-то еще.
Разъясните, вместо наводящих вопросов.
А вообще, я так вам скажу. Когда я упомянул слова о адекватных заказчиках и бэкдорах, я не преследовал цель оскорбить или задеть вас. Я даже не думал, что вы это прочитаете вообще.
Цель была в том, что бы показать, как хреново на самом деле обстоят дела с ИБ. Считайте, что для красного словца (ведь там вся история выдумка, если помните).
Вы же, почему-то, все восприняли на свой счет и близко к сердцу.
Забудьте об этом и не занудствуйте.
Вам уже посоветовали написать статью на тему бекдора - это было бы гораздо лучше и для вас и для всего форума. Если вы напишете статью, к вашей точке зрения однозначно прислушаются. Если вы все разложите по полочкам, объясните, как не надо делать, почему так не надо делать, как надо и почему так надо, без лишних “вы выдаете свою неопытность”, “индийские танцы” и “голодающих детей африки”, за такой контент вам и сам автор той статьи r0hack наверно спасибо скажет и другие мемберы. Это читать намного интересней и приятней, чем срачи в комментах, которые ни к чему хорошему не приводят никогда. Раз уж пришли на форум и обладаете знаниями, делитесь ими в удобоваримой форме. Как раз этот трэд об этом - нужен годный контент )
Последнее редактирование:
Сергей Попов
Кодебай
В начале 2019 года была активность на форуме и контент обновлялся практически ежедневно.
Посмотрите форум, на разделы со статьями, статьи есть, не огромное количество, но есть.
Самое главное это качество, нету тупого копипаста, наибольшая часть статей авторских,на других ресурсах в основном один копипаст с разных источников.
О, меня тут вспоминают добрыми словами - это приятно. Спасибки @Vertigo . По поводу DarkNode - он мой хороший друг. Но сейчас он весь в делах. Пиши мне че за таск, может я смогу чем помочь.
На форум я залетаю раз в пару недель, разгрести оповещения, которые мелькают.
О себе: Я посылал и посылаю за яблоками только тех и только тогда, когда это обоснованно и заслуженно. Если ты говоришь по делу - умничка. А если ты, например, несешь пургу про то,что дружишь с анонимусами (за что я и турнул того дурачка из чата в ТГ, за что потом и сам слетел с модерки, и далее события) ну как бэ, такое себе.
Когда я увидел в тебе перспективного человека, тогда и зацепился. Элитку нельзя было превращать в проходной двор. Что сейчас с ней я не вкурсе. Никто никакие статусы мне не возвращал, я не просил, а ребята не звали. Я не могу даже читать Промо разделы.
Но я по прежнему всех люблю и зову в баньку. Так что пишите, задавайте вопросы и все такое. А так я в режиме рид онли.
На форум я залетаю раз в пару недель, разгрести оповещения, которые мелькают.
О себе: Я посылал и посылаю за яблоками только тех и только тогда, когда это обоснованно и заслуженно. Если ты говоришь по делу - умничка. А если ты, например, несешь пургу про то,что дружишь с анонимусами (за что я и турнул того дурачка из чата в ТГ, за что потом и сам слетел с модерки, и далее события) ну как бэ, такое себе.
Когда я увидел в тебе перспективного человека, тогда и зацепился. Элитку нельзя было превращать в проходной двор. Что сейчас с ней я не вкурсе. Никто никакие статусы мне не возвращал, я не просил, а ребята не звали. Я не могу даже читать Промо разделы.
Но я по прежнему всех люблю и зову в баньку. Так что пишите, задавайте вопросы и все такое. А так я в режиме рид онли.
Обучение наступательной кибербезопасности в игровой форме. Начать игру!