Codeby web-security - новый курс от Codeby Security School

Представляем вашему вниманию новый курс от команды The Codeby - "Тестирование Веб-Приложений на проникновение с нуля". Общая теория, подготовка рабочего окружения, пассивный фаззинг и фингерпринт, Активный фаззинг, Уязвимости, Пост-эксплуатация, Инструментальные средства, Social Engeneering и многое другое. Подробнее ...


Перевод: Анна Давыдова
Источник: n0where.net

XSSer - От XSS к RCE

От XSS к RCE: XSSer

Данный пример демонстрирует, как атакующий может использовать XSS для выполнения произвольного кода на веб сервере, когда администратор неумышленно запускает спрятанный XSS пейлоад. Пользовательские инструменты и пейлоады, встроенные в Metasploit Meterpreter в высокоавтоматизированном подходе, будут продемонстрированы в реальном времени, включая пост эксплуатационные сценарии и интересные данные, которые могут быть получены из взломанных приложений. Эта версия включает в себя отличные уведомления и новые векторы атак!

Скачать XSSer

Межсайтовый скриптинг (XSS) является типом уязвимости компьютерной безопасности, которая обычно присутствует в веб-приложениях. XSS позволяет злоумышленникам внедрять клиентские скрипты на веб-страницы, просматриваемые другими пользователями. Уязвимость межсайтового скриптинга может быть использована атакующими для обхода средств управления доступом, как правило, того же происхождения. Уязвимости, связанные с межсайтовым скриптингом, могут варьироваться от мелких неприятностей до значительного риска безопасности, в зависимости от значимости данных, обрабатываемых уязвимым сайтом, и характера любого смягчения безопасности, реализованного владельцем сайта. Способность запускать выполнение произвольного кода с одной машины на другой (особенно через глобальную сеть, такую как Интернет) часто называют выполнение удаленного кода.


Paranoid - курс от Codeby Security School

Представляем вашему вниманию курс от команды codeby - "Комплекс мер по защите персональных данных, анонимности в интернете и не только" Подробнее ...


Требования

  • Python (2.7.*, версия 2.7.11 была использована для разработки и демоверсии)
  • Gnome
  • Bash
  • Msfconsole (доступна через переменные среды)
  • Netcat (nc)
  • cURL (curl) [Новое]
  • PyGame (apt-get install python-pygame) [Новое]

Совместимость пейлоадов

  • Chrome (14 Nov 2015) – Эта все еще будет работать.
  • Firefox (04 Nov 2016) – Была протестирована в режиме реального времени на Black Hat Arsenal 2016

Директории

  • Аудио: Содержит ремиксные звуковые уведомления.
  • Эксплойты: Содержит DirtyCow (DCOW) эксплойты эскалации привилегий.
  • Joomla_Backdoor: Содержит образец бэкдора расширения Joomla, который можно загрузить как администратор, а затем использовать для выполнения произвольных команд в системе с помощью системы ($ _ GET [‘c’]).
  • Payloads/javascript: Содержит пейлоады JavaScript. Содержит новый пейлоад «добавить нового админа» для Joomla.
  • Оболочки: Содержит оболочки PHP для вставки, включая немного измененную версию оболочки pentestmonkey, которая подключается обратно через wget.



Codeby Market от Сodeby

Мы запустили свой магазин CodebyMarket Equipment for InfoSec. Уже добавили RaspberryAlfa Long-RangeOrange PiArduino и многое другое. Купить Pentesting Devices