Исследователи предсказывают эру дипфейков, искусственного интеллекта и киберпреступлений с помощью роботов, AirTag позволяет узнать, когда в доме никого нет, в автомобилях Mercedes-Benz нашли критические уязвимости, а компания AXA отказалась от программы киберстрахования и сама стала жертвой вымогателей. Новая техника позволяет деанонимизировать пользователей Tor, россиянка добровольно отдала телефонным мошенникам 400 млн рублей, а кириллическая раскладка может обезопасить вас от русских хакеров, но это не точно. Пострадавшие от кибервымогателей DarkSide компании получат инструменты для дешифрования системы, а Япония ограничила применение иностранных технологий в целях усиления национальной кибербезопасности.
Александр Антипов еженедельно рассказывает о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру.
https://www.youtube.com/watch?v=rb6VASYf8pc
Александр Антипов еженедельно рассказывает о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру.
https://www.youtube.com/watch?v=rb6VASYf8pc
YouTube
Месть вымогателей, шпионаж через Apple AirTag, уязвимости в мерседесах. Security-новости, #18
0:00 Здравствуйте с вами Александр Антипов, ваш бессменный ведущий самых жарких новостей по информационной безопасности
0:36 Как Apple AirTag превращает пользователей в невольных шпионов в огромной сети наблюдения - https://www.securitylab.ru/news/520292.php…
0:36 Как Apple AirTag превращает пользователей в невольных шпионов в огромной сети наблюдения - https://www.securitylab.ru/news/520292.php…
XSS Уязвимость. Часть 1
Приветствую, в этой статье хочу детально описать XSS-Уязвимость. Данная серия мини-статей будет направлена именно на практику. XSS - это внедрение вредоносного кода на страницу сайта. Когда вредоносный код выполняется в браузере жертвы, злоумышленник может полностью скомпрометировать пользователя. Бывают активные и пассивные XSS. В первой части поговорим о Reflected XSS
Читать: https://codeby.net/threads/xss-ujazvimost-chast-1.77134/
#owasp #xss #web
Приветствую, в этой статье хочу детально описать XSS-Уязвимость. Данная серия мини-статей будет направлена именно на практику. XSS - это внедрение вредоносного кода на страницу сайта. Когда вредоносный код выполняется в браузере жертвы, злоумышленник может полностью скомпрометировать пользователя. Бывают активные и пассивные XSS. В первой части поговорим о Reflected XSS
Читать: https://codeby.net/threads/xss-ujazvimost-chast-1.77134/
#owasp #xss #web
От всей души рекомендуем канал человека, который принимал непосредственное участие в команде Кодебай на The Standoff
Смело присоединяйся к семидесяти тысячному каналу, не пожалеешь https://t.me/b4tr_channel
Смело присоединяйся к семидесяти тысячному каналу, не пожалеешь https://t.me/b4tr_channel
Вы получили zero-click письмо
После рутинного расследования iOS Digital Forensics и Incident Response (DFIR), ZecOps обнаружили ряд подозрительных событий, которые влияют на почтовое приложение по умолчанию на iOS, начиная с января 2018 года. ZecOps проанализировали эти события и обнаружили уязвимость, влияющую на iPhone Apple и IPADS. ZecOps также обнаружили множественные триггеры для этой уязвимости на корпоративных пользователей, VIP и MSSP, в течение длительного периода времени. Цель атаки заключается в отправке специально созданного электронного письма на почтовый ящик жертвы, позволяющая, тем самым, инициировать уязвимость в контексте iOS MobileMail на iOS 12 или maild на iOS 13. Основываясь на данных ZecOps Research и Threat Intelligence, мы с большой долей уверенности предполагаем, что эти уязвимости - в частности, удаленное переполнение кучи - широко используются в ходе целенаправленных атак со стороны продвинутого оператора(ов) угроз.
Читать: https://codeby.net/threads/vy-poluchili-zero-click-pismo.73838/
#mail #ios #mobile
После рутинного расследования iOS Digital Forensics и Incident Response (DFIR), ZecOps обнаружили ряд подозрительных событий, которые влияют на почтовое приложение по умолчанию на iOS, начиная с января 2018 года. ZecOps проанализировали эти события и обнаружили уязвимость, влияющую на iPhone Apple и IPADS. ZecOps также обнаружили множественные триггеры для этой уязвимости на корпоративных пользователей, VIP и MSSP, в течение длительного периода времени. Цель атаки заключается в отправке специально созданного электронного письма на почтовый ящик жертвы, позволяющая, тем самым, инициировать уязвимость в контексте iOS MobileMail на iOS 12 или maild на iOS 13. Основываясь на данных ZecOps Research и Threat Intelligence, мы с большой долей уверенности предполагаем, что эти уязвимости - в частности, удаленное переполнение кучи - широко используются в ходе целенаправленных атак со стороны продвинутого оператора(ов) угроз.
Читать: https://codeby.net/threads/vy-poluchili-zero-click-pismo.73838/
#mail #ios #mobile
Forwarded from Codeby
Конференция для ИБ-директоров финансовых организаций – уже 1 июня
1 июня в Гранд Мариотт отеле состоится конференция «Безопасность в финансовой сфере: тренды, кейсы, инструменты». Никого лишнего – только руководители служб безопасности и ИБ-директора!
Деловая программа
Доклады ИБ-директоров финансовых организаций (банка Тинькофф, «Московского кредитного банка», «Банка Зенит», ГК «Элекснет», Транскапиталбанка, Ингосстраха, Росагролизинга и др.)
Дискуссия с регуляторами
Запланирована пленарка и круглый стол с регуляторами (ЦБ и ФСТЭК) и отраслевыми экспертами из Ассоциации банков России.
Неформальная часть
Кофе-брейки и большой ужин по завершению мероприятия.
Приглашаются ИБ-руководители из банков, страховых, лизинговых компаний. Участие бесплатное, но по приглашению, запросить которое можно на сайте конференции
1 июня в Гранд Мариотт отеле состоится конференция «Безопасность в финансовой сфере: тренды, кейсы, инструменты». Никого лишнего – только руководители служб безопасности и ИБ-директора!
Деловая программа
Доклады ИБ-директоров финансовых организаций (банка Тинькофф, «Московского кредитного банка», «Банка Зенит», ГК «Элекснет», Транскапиталбанка, Ингосстраха, Росагролизинга и др.)
Дискуссия с регуляторами
Запланирована пленарка и круглый стол с регуляторами (ЦБ и ФСТЭК) и отраслевыми экспертами из Ассоциации банков России.
Неформальная часть
Кофе-брейки и большой ужин по завершению мероприятия.
Приглашаются ИБ-руководители из банков, страховых, лизинговых компаний. Участие бесплатное, но по приглашению, запросить которое можно на сайте конференции
Какую машину на HTB будем проходить в субботу?
Anonymous Poll
32%
Knife
11%
Schooled
42%
Atom
15%
Pit
Ретрансляция NTLM. Часть 1
NTLM-relay - это техника позволяет находиться между клиентом и сервером для выполнения определенных действий на сервере при этом, выдавая себя за клиента. Техника может быть очень мощной и может использоваться для получения контроля над доменом Active Directory из контекста black box (без учетных данных). Целью этой статьи является разъяснение NTLM relay, а также представление ее пределов
Читать: https://codeby.net/threads/retransljacija-ntlm-chast-1.73776/
#ntlm #server
NTLM-relay - это техника позволяет находиться между клиентом и сервером для выполнения определенных действий на сервере при этом, выдавая себя за клиента. Техника может быть очень мощной и может использоваться для получения контроля над доменом Active Directory из контекста black box (без учетных данных). Целью этой статьи является разъяснение NTLM relay, а также представление ее пределов
Читать: https://codeby.net/threads/retransljacija-ntlm-chast-1.73776/
#ntlm #server
Forwarded from Social Engineering
💯 Best WiFi Hacking Adapters in 2021.
• Но что делать, если под рукой есть только старый адаптер, который поддерживает только режимы b и g? Кажется, что для атаки на беспроводные сети Wi-Fi эти адаптеры уже совсем бесполезны, но на самом деле это далеко не так!
📌 Сегодня ты узнаешь:
• Для каких атак подходят старые Wi-Fi адаптеры;
• Насколько до сих пор популярны Точки Доступа на Wi-Fi стандартах b и g;
• Как в Airodump-ng узнать, на каком стандарте Wi-Fi (b, g, n, ac) работает Точка Доступа;
• Драйверы для старых Wi-Fi адаптеров;
• Атака Pixie Dust;
• Захват рукопожатий;
• Проверка по базе данных 3WiFi;
• Сбор информации о Точках Доступа;
и многое другое....
👨🏻💻 Читать статью.
• Смотрите онлайн книгу, в которой собран весь материал по аудиту безопасности Wi-Fi сетей: Взлом Wi-Fi сетей с Kali Linux и BlackArch. Если же вам нужен современный Wi-Fi адаптер с большими антеннами, с поддержкой 5 GHz, стандарта AC и режимом монитора, то список вы найдёте здесь.
‼️ Другую дополнительную информацию ты можешь найти по хештегам #wifi #hack и #Взлом. Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E.
🖖🏻 Приветствую тебя user_name.• Для того чтобы использовать ускоренные способы взлома Wi-Fi, атаковать скрытые сети и обходить фильтрацию по MAC-адресам, нам необходимо выбрать мощный адаптер.
• Но что делать, если под рукой есть только старый адаптер, который поддерживает только режимы b и g? Кажется, что для атаки на беспроводные сети Wi-Fi эти адаптеры уже совсем бесполезны, но на самом деле это далеко не так!
📌 Сегодня ты узнаешь:
• Для каких атак подходят старые Wi-Fi адаптеры;
• Насколько до сих пор популярны Точки Доступа на Wi-Fi стандартах b и g;
• Как в Airodump-ng узнать, на каком стандарте Wi-Fi (b, g, n, ac) работает Точка Доступа;
• Драйверы для старых Wi-Fi адаптеров;
• Атака Pixie Dust;
• Захват рукопожатий;
• Проверка по базе данных 3WiFi;
• Сбор информации о Точках Доступа;
и многое другое....
👨🏻💻 Читать статью.
• Смотрите онлайн книгу, в которой собран весь материал по аудиту безопасности Wi-Fi сетей: Взлом Wi-Fi сетей с Kali Linux и BlackArch. Если же вам нужен современный Wi-Fi адаптер с большими антеннами, с поддержкой 5 GHz, стандарта AC и режимом монитора, то список вы найдёте здесь.
‼️ Другую дополнительную информацию ты можешь найти по хештегам #wifi #hack и #Взлом. Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E.
Ретрансляция NTLM, Часть 2
Подпись является методом проверки подлинности и гарантирует, что информация не была подделана между отправкой и получением. Например, если пользователь jdoe посылает текст, I love hackndo, и подписывает этот документ в цифровом виде, то любой, кто получит этот документ и его подпись. Также, можно проверить, что редактировал его jdoe, и jdoe написал это предложение, а никто другой. Подпись гарантирует, что документ не был изменен. Принцип подписи может быть применен к любому обмену, если протокол его поддерживает. Это, например, касается SMB, LDAP и даже HTTP. Но на практике подпись HTTP сообщений реализуется редко.
Читать: https://codeby.net/threads/retransljacija-ntlm-chast-2.73923/
#ntlm #server #mitm
Подпись является методом проверки подлинности и гарантирует, что информация не была подделана между отправкой и получением. Например, если пользователь jdoe посылает текст, I love hackndo, и подписывает этот документ в цифровом виде, то любой, кто получит этот документ и его подпись. Также, можно проверить, что редактировал его jdoe, и jdoe написал это предложение, а никто другой. Подпись гарантирует, что документ не был изменен. Принцип подписи может быть применен к любому обмену, если протокол его поддерживает. Это, например, касается SMB, LDAP и даже HTTP. Но на практике подпись HTTP сообщений реализуется редко.
Читать: https://codeby.net/threads/retransljacija-ntlm-chast-2.73923/
#ntlm #server #mitm
Stored XSS. Часть 2
Stored XSS возникает, когда веб-приложение без проверки включает данные в свои последующие HTTP-ответы и сохраняет, к примеру, в базе данных. Представим блог какого-нибудь программиста, под каждой статьей можно оставить комментарий, но т.к. наш программист не очень умный, он забыл сделать фильтрацию комментов. Мы, как пентестеры, у которых программист заказал пентест, пробуем найти XSS-ку, видим, что у нас есть такая красивая форма для комментов и ПИХАЕМ ТУДА КЕЙЛОГЕР.
Читать: https://codeby.net/threads/stored-xss-chast-2.77213/
#xss #owasp
Stored XSS возникает, когда веб-приложение без проверки включает данные в свои последующие HTTP-ответы и сохраняет, к примеру, в базе данных. Представим блог какого-нибудь программиста, под каждой статьей можно оставить комментарий, но т.к. наш программист не очень умный, он забыл сделать фильтрацию комментов. Мы, как пентестеры, у которых программист заказал пентест, пробуем найти XSS-ку, видим, что у нас есть такая красивая форма для комментов и ПИХАЕМ ТУДА КЕЙЛОГЕР.
Читать: https://codeby.net/threads/stored-xss-chast-2.77213/
#xss #owasp
🔥 Подборка самых интересных каналов про IT, хакинг и безопасность.
@Hacckingbook - огромная подборка книг и бесплатных курсов по всем языкам программирования (только все самое актуальное и лучшее), как для новичков так и для профи!
@vschannel - канал Дмитрия Момота (aka VektorT13). Он рассказывает про уникализацию, антидетекты, методики отслеживания, анти-фрод системы, отпечатки браузера, железа и операционной системы.
Библиотека хакера - канал, где собраны лучшие книги и курсы по информационной безопасности, программированию и этичному хакерству.
@TG_security - как обезопасить личные данные в интернете, обходить ограничения и слежку государств. Самые новые обучающие курсы, анонсы мероприятий, а также актуальные новости из мира ИТБ.
@Hacckingbook - огромная подборка книг и бесплатных курсов по всем языкам программирования (только все самое актуальное и лучшее), как для новичков так и для профи!
@vschannel - канал Дмитрия Момота (aka VektorT13). Он рассказывает про уникализацию, антидетекты, методики отслеживания, анти-фрод системы, отпечатки браузера, железа и операционной системы.
Библиотека хакера - канал, где собраны лучшие книги и курсы по информационной безопасности, программированию и этичному хакерству.
@TG_security - как обезопасить личные данные в интернете, обходить ограничения и слежку государств. Самые новые обучающие курсы, анонсы мероприятий, а также актуальные новости из мира ИТБ.
Как взломать Wi-Fi - Знакомство с терминами и технологиями
Я уже слышу ваши разочарованные вздохи, но знание основ - это фундамент, необходимый для перехода к более продвинутому взлому. А затем, вы, я надеюсь, научитесь разрабатывать собственные инструменты для взлома.
Читать: https://codeby.net/threads/kak-vzlomat-wi-fi-znakomstvo-s-terminami-i-texnologijami.57673/
#wifi #hacking
Я уже слышу ваши разочарованные вздохи, но знание основ - это фундамент, необходимый для перехода к более продвинутому взлому. А затем, вы, я надеюсь, научитесь разрабатывать собственные инструменты для взлома.
Читать: https://codeby.net/threads/kak-vzlomat-wi-fi-znakomstvo-s-terminami-i-texnologijami.57673/
#wifi #hacking
Друзья, с вашей помощью на прошлом стриме мы реализовали уязвимость Signature Validation Bypass Leading to RCE и закрепились на удалённом хосте, запустили winpeas и нам осталось только повысить привилегии, по вашей просьбе результат работы скрипта выкладываем на pastebin. Следующая наша встреча пройдёт в субботу, 5 июня, в 18:30
https://pastebin.com/btHxjG9g
https://pastebin.com/btHxjG9g
Twitch
Twitch is the world's leading video platform and community for gamers.
Hack-Tools - расширение All-In-One для Веб-Пентестеров
HackTools - это веб-расширение, облегчающее тесты на проникновения ваших веб-приложений, оно включает в себя шпаргалки, а также все инструменты, используемые во время тестирования, такие как полезные нагрузки XSS, Reverse shells и многое другое. С расширением вам больше не нужно искать полезные нагрузки на разных веб-сайтах или в локальном хранилище, большинство инструментов доступны в один клик. Hack Tools доступен либо во всплывающем режиме, либо во всей вкладке в части Devtools браузера с F12.
Читать: https://codeby.net/threads/hack-tools-rasshirenie-all-in-one-dlja-veb-pentesterov.74818/
#web #pentest #soft
HackTools - это веб-расширение, облегчающее тесты на проникновения ваших веб-приложений, оно включает в себя шпаргалки, а также все инструменты, используемые во время тестирования, такие как полезные нагрузки XSS, Reverse shells и многое другое. С расширением вам больше не нужно искать полезные нагрузки на разных веб-сайтах или в локальном хранилище, большинство инструментов доступны в один клик. Hack Tools доступен либо во всплывающем режиме, либо во всей вкладке в части Devtools браузера с F12.
Читать: https://codeby.net/threads/hack-tools-rasshirenie-all-in-one-dlja-veb-pentesterov.74818/
#web #pentest #soft
Поглядываем через камеры
1. Будем пользоваться моим любимым инструментом - Nesca. 2. Найдем IP-диапазон какого-либо города. Я взял IP-диапазон одного из городов страны, которая часто упоминается со словом "Слава". 3. Нужно сохранить эти IP-диапазоны в .txt файл. По умолчанию в Nesca уже есть файлы, которые позволяют сразу начать сканить, но мы внесем свои изменения. В ip.txt занесем наши диапазоны, а в pass оставим лишь стандартные для камер на 37777 порту пароли.
Читать: https://codeby.net/threads/pogljadyvaem-cherez-kamery.77652/
#camera #bruteforce #soft
1. Будем пользоваться моим любимым инструментом - Nesca. 2. Найдем IP-диапазон какого-либо города. Я взял IP-диапазон одного из городов страны, которая часто упоминается со словом "Слава". 3. Нужно сохранить эти IP-диапазоны в .txt файл. По умолчанию в Nesca уже есть файлы, которые позволяют сразу начать сканить, но мы внесем свои изменения. В ip.txt занесем наши диапазоны, а в pass оставим лишь стандартные для камер на 37777 порту пароли.
Читать: https://codeby.net/threads/pogljadyvaem-cherez-kamery.77652/
#camera #bruteforce #soft
Как найти и удержать хорошего заказчика: полезные советы
Хороший заказчик не обязательно тот, кто много платит. Адекватные требования, постоянные задачи, своевременная оплата, комфортное общение, быстрая обратная связь – набор признаков, которые хотелось бы видеть в работодателе. Найти его и заинтересовать – это полдела, нужно еще уметь удержать. И здесь все зависит от профессионального уровня и личных качеств фрилансера. Где искать хороших заказчиков Часто […] https://freelance.codeby.net/blog/?p=538
Хороший заказчик не обязательно тот, кто много платит. Адекватные требования, постоянные задачи, своевременная оплата, комфортное общение, быстрая обратная связь – набор признаков, которые хотелось бы видеть в работодателе. Найти его и заинтересовать – это полдела, нужно еще уметь удержать. И здесь все зависит от профессионального уровня и личных качеств фрилансера. Где искать хороших заказчиков Часто […] https://freelance.codeby.net/blog/?p=538
Огромная подборка книг по всем языкам программирования (только все самое актуальное и лучшее), как для новичков так и для профи!
Большое кол-во бесплатных курсов.
https://t.me/S_E_Book
Большое кол-во бесплатных курсов.
https://t.me/S_E_Book
Telegram
S.E.Book
Copyright: @SEAdm1n
Вакансии: @infosec_work
Сотрудничество - @SEAdm1n
Обратная связь. Вопросы, предложения, пожелания, жалобы - @Social_Engineering_bot
РКН: https://vk.cc/cN3VGo
Вакансии: @infosec_work
Сотрудничество - @SEAdm1n
Обратная связь. Вопросы, предложения, пожелания, жалобы - @Social_Engineering_bot
РКН: https://vk.cc/cN3VGo