Как веб-сервера обрабатывают запросы и почему это может привести к уязвимости
Хочу рассказать о поведении вебсерверов на не совсем обычные запросы и то, что код иногда обрабатывает их не так, как вы ожидаете на примере куска легаси кода. Так же затрону очевидные прописные истины аналогичные "Почему вебсервер должен быть первой линией обороны" и "Почему вы должны знать все о вашей конфигурации".
Читать: https://codeby.net/threads/kak-veb-servera-obrabatyvajut-zaprosy-i-pochemu-ehto-mozhet-privesti-k-ujazvimosti.66938/
#apache #nginx
Хочу рассказать о поведении вебсерверов на не совсем обычные запросы и то, что код иногда обрабатывает их не так, как вы ожидаете на примере куска легаси кода. Так же затрону очевидные прописные истины аналогичные "Почему вебсервер должен быть первой линией обороны" и "Почему вы должны знать все о вашей конфигурации".
Читать: https://codeby.net/threads/kak-veb-servera-obrabatyvajut-zaprosy-i-pochemu-ehto-mozhet-privesti-k-ujazvimosti.66938/
#apache #nginx
10 полезных инструментов для OSINT
Доброго времени суток! Сегодня я попробую прокачать вашу коллекцию закладок OSINT утилит, и рассказать об интересных сайтах, которые часто помогают при поиске.
Читать: https://codeby.net/threads/10-poleznyx-instrumentov-dlja-osint.66907/
#osint #soft
Доброго времени суток! Сегодня я попробую прокачать вашу коллекцию закладок OSINT утилит, и рассказать об интересных сайтах, которые часто помогают при поиске.
Читать: https://codeby.net/threads/10-poleznyx-instrumentov-dlja-osint.66907/
#osint #soft
Системный администратор
Системный администратор — специалист, который отвечает за стабильное и безотказное функционирование IT-инфраструктуры, занимается настройкой сетей, мониторингом, следит за безопасностью данных, а также проводит инвентаризацию и обновление программного обеспечения компании.
https://bit.ly/399mDf4
#Netology
Системный администратор — специалист, который отвечает за стабильное и безотказное функционирование IT-инфраструктуры, занимается настройкой сетей, мониторингом, следит за безопасностью данных, а также проводит инвентаризацию и обновление программного обеспечения компании.
https://bit.ly/399mDf4
#Netology
RCE в Jenkins
Говорим мы про, всем известный, Jenkins. Нашел эту уязвимость СTFер и багхантер - Orange Tsai и поэтому технические моменты, и анализировать код мы не будем, если интересен детальный разбор кода, то уже можете ознакомиться у него на блоге. Вся проблема из-за того что у Groovy, есть дополнительная вспомогательная функция Grab, помогающая программистам импортировать библиотеки, которых нет в classPath. Из-за этого у нас получается скомпилить свою небольшую библиотеку указать Grab путь к нему, а внутри библиотеки уже наш реверс шел, который выполняется на сервере жертвы при импорте. Перейдем к формированию нашей библиотеки.
Читать: https://codeby.net/threads/rce-v-jenkins.66855/
#rce #jenkins #cve
Говорим мы про, всем известный, Jenkins. Нашел эту уязвимость СTFер и багхантер - Orange Tsai и поэтому технические моменты, и анализировать код мы не будем, если интересен детальный разбор кода, то уже можете ознакомиться у него на блоге. Вся проблема из-за того что у Groovy, есть дополнительная вспомогательная функция Grab, помогающая программистам импортировать библиотеки, которых нет в classPath. Из-за этого у нас получается скомпилить свою небольшую библиотеку указать Grab путь к нему, а внутри библиотеки уже наш реверс шел, который выполняется на сервере жертвы при импорте. Перейдем к формированию нашей библиотеки.
Читать: https://codeby.net/threads/rce-v-jenkins.66855/
#rce #jenkins #cve
Ваш VPN сохраняет логи? Раскрыты политики ведения журналов 123 VPN провайдеров [Часть 1]
Почти у каждого провайдера VPN, с которым вы столкнетесь, будут определенного рода заявления относительно их политики ведения журналов/логов. Предложение вам услуги, подразумевающую политику не сохранения логов, часто рассматривается как ключевой момент продажи. Многие пользователи рассматривают VPN как средство улучшения конфиденциальности и повышения анонимности. И это действительно имеет смысл, что они не хотят просто переходить от интернет-провайдеров, отслеживающих их, к другой компании, которая будет делать то же самое.
Читать: https://codeby.net/threads/vash-vpn-soxranjaet-logi-raskryty-politiki-vedenija-zhurnalov-123-vpn-provajderov-chast-1.66826/
#log #vpn #leak
Почти у каждого провайдера VPN, с которым вы столкнетесь, будут определенного рода заявления относительно их политики ведения журналов/логов. Предложение вам услуги, подразумевающую политику не сохранения логов, часто рассматривается как ключевой момент продажи. Многие пользователи рассматривают VPN как средство улучшения конфиденциальности и повышения анонимности. И это действительно имеет смысл, что они не хотят просто переходить от интернет-провайдеров, отслеживающих их, к другой компании, которая будет делать то же самое.
Читать: https://codeby.net/threads/vash-vpn-soxranjaet-logi-raskryty-politiki-vedenija-zhurnalov-123-vpn-provajderov-chast-1.66826/
#log #vpn #leak
Data Scientist
Вы станете специалистом по анализу данных, алгоритмам машинного обучения и нейросетям, сможете построить карьеру в крупной технологической компании — в России или за рубежом.
http://bit.ly/3hNpSwE
#SkillBox
Вы станете специалистом по анализу данных, алгоритмам машинного обучения и нейросетям, сможете построить карьеру в крупной технологической компании — в России или за рубежом.
http://bit.ly/3hNpSwE
#SkillBox
🔥 Новостной дайджест по ИБ/IT за 4.01-11.01 🔥
✔️ В каждой шутке есть доля шутки
✔️ Какие наркотики?
✔️ Помните, я рассказывал про bitcoin?
✔️ Удалите же, наконец, Windows 7
✔️ Алло, ну что там с деньгами?
✔️ Кто соскучился по новостям об предустановке?
✔️ admin:admin
✔️ Parler? Это вообще что?
✔️ Опять штрафы?
✔️ ... и многое другое
🔥 Самые горячие темы прошедшей недели 🔥
#Новости
✔️ В каждой шутке есть доля шутки
✔️ Какие наркотики?
✔️ Помните, я рассказывал про bitcoin?
✔️ Удалите же, наконец, Windows 7
✔️ Алло, ну что там с деньгами?
✔️ Кто соскучился по новостям об предустановке?
✔️ admin:admin
✔️ Parler? Это вообще что?
✔️ Опять штрафы?
✔️ ... и многое другое
🔥 Самые горячие темы прошедшей недели 🔥
#Новости
10 лучших бесплатных TFTP серверов для Windows, Linux и Mac
Сегодня в Интернете используется большое количество протоколов передачи файлов (File Transfer Protocols (FTP)). Одним из наиболее простых и, следовательно, наиболее широко используемых для передачи отдельных файлов низкого уровня, является Trivial FTP или Trivial File Transfer Protocol (TFTP). В этой статье мы рассмотрим 10 лучших TFTP-серверов для систем Windows и Linux. TFTP имеет решающее значение для поддержки исправлений и конфигураций встроенных устройств и будет существовать еще долгое время. Данный протокол часто встречается в таких устройствах, как маршрутизаторы, медиа-стримеры и мобильные телефоны. Это основной способ, которым файлы микропрограммного обеспечения отправляются на эти устройства для обновления или исправления. TFTP не подходит для использования через Интернет из-за недостаточной безопасности. FTP более распространен для использования через Интернет, и более безопасный SFTP становится все более популярным для безопасной передачи файлов через Интернет.
Читать: https://codeby.net/threads/10-luchshix-besplatnyx-tftp-serverov-dlja-windows-linux-i-mac.66783/
#tftp #server #free
Сегодня в Интернете используется большое количество протоколов передачи файлов (File Transfer Protocols (FTP)). Одним из наиболее простых и, следовательно, наиболее широко используемых для передачи отдельных файлов низкого уровня, является Trivial FTP или Trivial File Transfer Protocol (TFTP). В этой статье мы рассмотрим 10 лучших TFTP-серверов для систем Windows и Linux. TFTP имеет решающее значение для поддержки исправлений и конфигураций встроенных устройств и будет существовать еще долгое время. Данный протокол часто встречается в таких устройствах, как маршрутизаторы, медиа-стримеры и мобильные телефоны. Это основной способ, которым файлы микропрограммного обеспечения отправляются на эти устройства для обновления или исправления. TFTP не подходит для использования через Интернет из-за недостаточной безопасности. FTP более распространен для использования через Интернет, и более безопасный SFTP становится все более популярным для безопасной передачи файлов через Интернет.
Читать: https://codeby.net/threads/10-luchshix-besplatnyx-tftp-serverov-dlja-windows-linux-i-mac.66783/
#tftp #server #free
Forwarded from Ilya Shaposhnikov
Добрый вечер, с разрешения админа скину в чатик тулзу для коллаборации тестирований на проникновение (аналог dradis/faraday). Позволяет менеджерить проекты пентеста внутри команды, есть совместимость с 10 тулзами (+burp плагин). Опенсорсная, портативная и кроссплатформенная. Также можно запустить бесплатно в облаке heroku в один клик. В целом на противостоянии может помочь когда много людей из команды ковыряют одну инфраструктуру (+ генерация отчетов по произвольному шаблону). Если есть вопросы/предложения, то лучше в лс.
https://gitlab.com/invuls/pentest-projects/pcf
https://gitlab.com/invuls/pentest-projects/pcf
GitLab
Invuls / Pentest projects / Pentest-Collaboration-Framework · GitLab
Opensource, cross-platform and portable toolkit for automating routine processes when carrying out various works for testing!
SQL и получение данных
Программа обучения SQL — первый шаг в профессиональном росте дата саентистов и аналитиков данных в сильных командах и проектах. Уже через 5 лет, по словам экспертов активно развивающихся отраслей (телекома, финтеха, ритейла и мобильных сервисов), без владения SQL невозможно будет вырасти выше уровня junior.
https://bit.ly/2XpKstn
#Netology
Программа обучения SQL — первый шаг в профессиональном росте дата саентистов и аналитиков данных в сильных командах и проектах. Уже через 5 лет, по словам экспертов активно развивающихся отраслей (телекома, финтеха, ритейла и мобильных сервисов), без владения SQL невозможно будет вырасти выше уровня junior.
https://bit.ly/2XpKstn
#Netology
Что такое реверс-инжиниринг
Реверс-инжиниринг применятся во многих компьютерных областях, вот только несколько примеров такого применения:
✔️ Сделать возможным взаимодействие с кодом, написанным не вами;
✔️ Взлом платной программы, что бы бесплатно получить полную версию;
✔️ Исследование вирусов и малвари;
✔️ Нахождение и исправление ошибок в программах;
✔️ Добавление функционала в существующее приложение.
🔥 Читать статью 🔥
#Reverse
Реверс-инжиниринг применятся во многих компьютерных областях, вот только несколько примеров такого применения:
✔️ Сделать возможным взаимодействие с кодом, написанным не вами;
✔️ Взлом платной программы, что бы бесплатно получить полную версию;
✔️ Исследование вирусов и малвари;
✔️ Нахождение и исправление ошибок в программах;
✔️ Добавление функционала в существующее приложение.
🔥 Читать статью 🔥
#Reverse
Evilginx2 - Phishing. Bypassing 2FA.
Hello to Codeby.net forum guests and members. In this article we will talk about phishing and 2factor authentication bypassing with help of great tool – Evilginx2. I already wrote about it previous version. Who is interested in it can find. But the article turned out weak because there was not big desire to understand deeply into functionality, that is why the simple overview was released. The second version of Evilginx, attract me by it feature to help pentesters and other good people to bypass 2-factor-autentification and get account data from different accounts of our target.
Читать: https://codeby.net/threads/evilginx2-phishing-bypassing-2fa.66768/
#phishing #evilginx2 #2fa
Hello to Codeby.net forum guests and members. In this article we will talk about phishing and 2factor authentication bypassing with help of great tool – Evilginx2. I already wrote about it previous version. Who is interested in it can find. But the article turned out weak because there was not big desire to understand deeply into functionality, that is why the simple overview was released. The second version of Evilginx, attract me by it feature to help pentesters and other good people to bypass 2-factor-autentification and get account data from different accounts of our target.
Читать: https://codeby.net/threads/evilginx2-phishing-bypassing-2fa.66768/
#phishing #evilginx2 #2fa
zero-click forensic imaging - инструмент для криминалистической визуализации с нулевым кликом
zero-click forensic imaging (IO) - инструмент для криминалистической визуализации с нулевым кликом, разработанный для использования в условиях высокой нагрузки. IO автоматически включает программную блокировку записи, обнаруживает изменения на подключенных устройствах и начинает создавать изображения E01 с подключенного целевого носителя без какого-либо вмешательства пользователя. Кроме того, журналы ввода-вывода включают критическую информацию об устройстве, которая требуется экспертам MEDEX (судебно-медицинская экспертиза), такую как тип устройства, модель, имя, размер, геометрия, хэши MD5 и SHA1, серийный номер оборудования, серийный номер тома для каждого раздела и VID устройства. / PID.
Читать: https://codeby.net/threads/zero-click-forensic-imaging-instrument-dlja-kriminalisticheskoj-vizualizacii-s-nulevym-klikom.66744/
#forensic #usb #zeroclick
zero-click forensic imaging (IO) - инструмент для криминалистической визуализации с нулевым кликом, разработанный для использования в условиях высокой нагрузки. IO автоматически включает программную блокировку записи, обнаруживает изменения на подключенных устройствах и начинает создавать изображения E01 с подключенного целевого носителя без какого-либо вмешательства пользователя. Кроме того, журналы ввода-вывода включают критическую информацию об устройстве, которая требуется экспертам MEDEX (судебно-медицинская экспертиза), такую как тип устройства, модель, имя, размер, геометрия, хэши MD5 и SHA1, серийный номер оборудования, серийный номер тома для каждого раздела и VID устройства. / PID.
Читать: https://codeby.net/threads/zero-click-forensic-imaging-instrument-dlja-kriminalisticheskoj-vizualizacii-s-nulevym-klikom.66744/
#forensic #usb #zeroclick
Meterpreter снова в деле: 100% FUD with Metasploit 5
Доброго времени суток друзья! Рад снова вас видеть! Написать эту статью я намеревался еще до официального релиза Metasploit 5, но вечно не хватающее время и некоторые другие обстоятельства не позволили этому сбыться. Сегодня речь пойдет как вы уже могли понять из заголовка - об обходе антивируса. С Metasploit 5 у нас появилась возможность "из коробки" шифровать shellcode с помощью AES-256. Таким образом наш shellcode становится абсолютно не читаемым для антивирусов. Конечно можно было бы ограничиться ссылкой на github или на официальное видео в youtube, но мне захотелось пойти дальше.
Читать: https://codeby.net/threads/meterpreter-snova-v-dele-100-fud-with-metasploit-5.66730/
#metasploit #fud #msf5
Доброго времени суток друзья! Рад снова вас видеть! Написать эту статью я намеревался еще до официального релиза Metasploit 5, но вечно не хватающее время и некоторые другие обстоятельства не позволили этому сбыться. Сегодня речь пойдет как вы уже могли понять из заголовка - об обходе антивируса. С Metasploit 5 у нас появилась возможность "из коробки" шифровать shellcode с помощью AES-256. Таким образом наш shellcode становится абсолютно не читаемым для антивирусов. Конечно можно было бы ограничиться ссылкой на github или на официальное видео в youtube, но мне захотелось пойти дальше.
Читать: https://codeby.net/threads/meterpreter-snova-v-dele-100-fud-with-metasploit-5.66730/
#metasploit #fud #msf5
#реклама
Какие уязвимости будут в топе для эксплуатации в 2021 году?🧨🧨🧨
Поговорим об этом на интенсиве «Pentesting: Level 0», где вы также узнаете, из чего состоят будни пентестера на практике. Как это будет?
— 3 дня и 15 ак.часов практики в формате турнира (CTF)
— Проверка дз практикующими пентестерами
— Видеоконференции и чаты с преподавателями
— Обратная связь 24/7
Вы разберете типичные задачи RedTeam, изучите процессы взлома и инструменты для работы с анализом защищенности, а также получите бонусы при поступлении на любые практические курсы по кибербезопасности!
Не пропустите запуск интенсива! Запись по ссылке: https://is.gd/SHAiGP
Какие уязвимости будут в топе для эксплуатации в 2021 году?🧨🧨🧨
Поговорим об этом на интенсиве «Pentesting: Level 0», где вы также узнаете, из чего состоят будни пентестера на практике. Как это будет?
— 3 дня и 15 ак.часов практики в формате турнира (CTF)
— Проверка дз практикующими пентестерами
— Видеоконференции и чаты с преподавателями
— Обратная связь 24/7
Вы разберете типичные задачи RedTeam, изучите процессы взлома и инструменты для работы с анализом защищенности, а также получите бонусы при поступлении на любые практические курсы по кибербезопасности!
Не пропустите запуск интенсива! Запись по ссылке: https://is.gd/SHAiGP
Bettercap 2.x. Атака на WiFi сети - Захват handshake.
Думаю стоит начать с самого начала, правда сначала хотел выложить перевод справки, но когда перевёл справку по модулям, нашёл в сети схожий, (хотя и не много устаревший) перевод с справки официального источника, поэтому решил всё таки пытаться не повторятся и постить на Codeby.net(на сколько это возможно) "эксклюзивный материал".Начнём с самого начала пути тестирования WiFi сетей с использованием Bettercap 2.x, а именно с получения доступа к точке доступа в WiFi сети.Могу добавить, Bettercap позволяет ускорить весь процесс захвата handshakes, конечно есть и другие инструменты которые справляются ни чем не хуже, а в некоторых случаях даже и лучше, всё таки bettercap имеет своё право на внимание, хотя бы как один из способов получения доступа к точкам доступа в WiFi сетях.
Читать: https://codeby.net/threads/bettercap-2-x-ataka-na-wifi-seti-zaxvat-handshake.66702/
#bettercap #handshake #pyrit
Думаю стоит начать с самого начала, правда сначала хотел выложить перевод справки, но когда перевёл справку по модулям, нашёл в сети схожий, (хотя и не много устаревший) перевод с справки официального источника, поэтому решил всё таки пытаться не повторятся и постить на Codeby.net(на сколько это возможно) "эксклюзивный материал".Начнём с самого начала пути тестирования WiFi сетей с использованием Bettercap 2.x, а именно с получения доступа к точке доступа в WiFi сети.Могу добавить, Bettercap позволяет ускорить весь процесс захвата handshakes, конечно есть и другие инструменты которые справляются ни чем не хуже, а в некоторых случаях даже и лучше, всё таки bettercap имеет своё право на внимание, хотя бы как один из способов получения доступа к точкам доступа в WiFi сетях.
Читать: https://codeby.net/threads/bettercap-2-x-ataka-na-wifi-seti-zaxvat-handshake.66702/
#bettercap #handshake #pyrit
Bettercap 2.x. Атака на WiFi сети - Атака на массы(+плюшка ban).
В прошлой статье мы рассмотрели как можно перехватить handshake определённой точки доступа, поговорили не много о том как можно пробрутить полученный файл с handshake, но за частую бывает так что в словаре не оказывается необходимой комбинации набора символов под название "пароль", а доступ в глобальную сеть интернет необходимо получить как можно быстрей, в этом случае Bettercap как нельзя кстати! Bettercap имеет возможность проводить атаки на все доступные точки доступа разом(конечно не одновременно, но в автоматическом режиме умеет атаковать каждую точку поочерёдно) и происходит это довольно быстро.
Читать: https://codeby.net/threads/bettercap-2-x-ataka-na-wifi-seti-ataka-na-massy-pljushka-ban.66717/
#bettercap #wifi #pmkid
В прошлой статье мы рассмотрели как можно перехватить handshake определённой точки доступа, поговорили не много о том как можно пробрутить полученный файл с handshake, но за частую бывает так что в словаре не оказывается необходимой комбинации набора символов под название "пароль", а доступ в глобальную сеть интернет необходимо получить как можно быстрей, в этом случае Bettercap как нельзя кстати! Bettercap имеет возможность проводить атаки на все доступные точки доступа разом(конечно не одновременно, но в автоматическом режиме умеет атаковать каждую точку поочерёдно) и происходит это довольно быстро.
Читать: https://codeby.net/threads/bettercap-2-x-ataka-na-wifi-seti-ataka-na-massy-pljushka-ban.66717/
#bettercap #wifi #pmkid
#реклама
🏆 ][ak квест #2021 🏆
Представляем вам старый добрый олдскульный ][ak квест. Именно такой, какими были квесты в 2005 году :)
При себе необходимо иметь: пару байт сообразительности, чуть веба, немного малвари, чутка реверсинга. Уровень сложности: 6/10.
Приз за 1️⃣ место - 500$, 2️⃣ - 200$, 3️⃣ - 100$
Начинаем 17.01.2021.
🏆 ][ak квест #2021 🏆
Представляем вам старый добрый олдскульный ][ak квест. Именно такой, какими были квесты в 2005 году :)
При себе необходимо иметь: пару байт сообразительности, чуть веба, немного малвари, чутка реверсинга. Уровень сложности: 6/10.
Приз за 1️⃣ место - 500$, 2️⃣ - 200$, 3️⃣ - 100$
Начинаем 17.01.2021.
Заходите: https://xss.is/threads/46675/Как сделать Kali Live USB с сохранением обновлений, файлов и программ
Kali Linux имеет по умолчанию 2 типа загрузки с флешки: Kali Live USB — обычная загрузка Kali c USB флешки. Kali Live USB persistence (Потенциально стойкий) — сохранение данных на USB флешке. Это может быть чрезвычайно полезным дополнением, и позволяет сохранить документы, собранные результаты тестирования, конфигурации и т.д.
Читать: https://codeby.net/threads/kak-sdelat-kali-live-usb-s-soxraneniem-obnovlenij-fajlov-i-programm.66639/
#kali #usb #linux
Kali Linux имеет по умолчанию 2 типа загрузки с флешки: Kali Live USB — обычная загрузка Kali c USB флешки. Kali Live USB persistence (Потенциально стойкий) — сохранение данных на USB флешке. Это может быть чрезвычайно полезным дополнением, и позволяет сохранить документы, собранные результаты тестирования, конфигурации и т.д.
Читать: https://codeby.net/threads/kak-sdelat-kali-live-usb-s-soxraneniem-obnovlenij-fajlov-i-programm.66639/
#kali #usb #linux
Docker в приложениях asp.net core
Докер появился сравнительно давно, и смог завоевать сердца сообщества разработчиков ( и не только ). Знающий читатель может опустить дальнейшие абзацы, и перейти непосредственно к части контейнеризации, для всех остальных я хочу рассказать что такое Docker и главное какую проблему он решает.
Читать: https://codeby.net/threads/docker-v-prilozhenijax-asp-net-core.66626/
#docker #react #asp
Докер появился сравнительно давно, и смог завоевать сердца сообщества разработчиков ( и не только ). Знающий читатель может опустить дальнейшие абзацы, и перейти непосредственно к части контейнеризации, для всех остальных я хочу рассказать что такое Docker и главное какую проблему он решает.
Читать: https://codeby.net/threads/docker-v-prilozhenijax-asp-net-core.66626/
#docker #react #asp
Специалист по информационной безопасности
В мире все больше киберпреступлений, и бизнесу не справиться без специалистов по информационной безопасности. У них всегда будет высокооплачиваемая работа: например, за 2019 год бюджеты на эту сферу в России выросли на 20%. Вы научитесь искать уязвимости веб-сервисов, предотвращать угрозы и обеспечивать безопасность IT-систем.
http://bit.ly/35Jlytk
#GeekBrains
В мире все больше киберпреступлений, и бизнесу не справиться без специалистов по информационной безопасности. У них всегда будет высокооплачиваемая работа: например, за 2019 год бюджеты на эту сферу в России выросли на 20%. Вы научитесь искать уязвимости веб-сервисов, предотвращать угрозы и обеспечивать безопасность IT-систем.
http://bit.ly/35Jlytk
#GeekBrains
