👨⚖️ Минцифры рассмотрит законопроект об обязательной легализации зарубежного ПО
Минцифры рассматривает законопроект Дмитрия Кузнецова, члена комитета Госдумы по культуре, о выдаче принудительной лицензии на использование авторских продуктов иностранных компаний в России по решению суда.
Члены ассоциации разработчиков программных продуктов «Отечественный софт» считают, что внесенный законопроект не решает проблему дальнейшего использования иностранного ПО и несет риски как для разработчиков российского ПО, так и для пользователей, а также препятствует импортозамещению иностранного ПО.
По словам автора инициативы, в случае, когда иностранный правообладатель или его российский представитель необоснованно расторгли лицензионный договор, пользователь будет вправе получить другую лицензию через суд на заранее согласованных условиях.
🗞 Блог Кодебай
#news #russia #software
Минцифры рассматривает законопроект Дмитрия Кузнецова, члена комитета Госдумы по культуре, о выдаче принудительной лицензии на использование авторских продуктов иностранных компаний в России по решению суда.
Члены ассоциации разработчиков программных продуктов «Отечественный софт» считают, что внесенный законопроект не решает проблему дальнейшего использования иностранного ПО и несет риски как для разработчиков российского ПО, так и для пользователей, а также препятствует импортозамещению иностранного ПО.
По словам автора инициативы, в случае, когда иностранный правообладатель или его российский представитель необоснованно расторгли лицензионный договор, пользователь будет вправе получить другую лицензию через суд на заранее согласованных условиях.
🗞 Блог Кодебай
#news #russia #software
👍7😁5
Метрики эффективности информационной безопасности (ИБ) в компании
Тема измерения эффективности ИБ — одна из проблемных в отрасли. Как показать бизнесу, что инвестиции в ИБ были вложены не зря? Как убедить, что работа отдела эффективна? Ниже ряд показателей, которые, на наш взгляд, помогут оцифровать деятельность функции ИБ. Параметры могут быть неприменимы к конкретной организации, также их может быть меньше, чем хотелось бы, но все зависит от наличия или отсутствия инструментов. Список показателей является «подвижным, гибким», может расширяться или сужаться в зависимости от пожеланий руководства компании.
📌 Читать далее
#infosec #metrics #siem
Тема измерения эффективности ИБ — одна из проблемных в отрасли. Как показать бизнесу, что инвестиции в ИБ были вложены не зря? Как убедить, что работа отдела эффективна? Ниже ряд показателей, которые, на наш взгляд, помогут оцифровать деятельность функции ИБ. Параметры могут быть неприменимы к конкретной организации, также их может быть меньше, чем хотелось бы, но все зависит от наличия или отсутствия инструментов. Список показателей является «подвижным, гибким», может расширяться или сужаться в зависимости от пожеланий руководства компании.
📌 Читать далее
#infosec #metrics #siem
👍6🔥6
Пентест с нуля. Рекомендации на основе личного опыта
Область пентеста, как и любая другая сфера IT, это та сфера, где постоянно необходимо обучение, практика, повторение и закрепление знаний. В данной статье я по большей части буду опираться на свой личный опыт обучения. Начальный его этап проходил без более опытных наставников и идей, да и в целом во время выработки методики обучения были выработаны свои фишки и методики, которыми я хочу поделиться.
📌 Читать далее
#beginner #learning #pentest
Область пентеста, как и любая другая сфера IT, это та сфера, где постоянно необходимо обучение, практика, повторение и закрепление знаний. В данной статье я по большей части буду опираться на свой личный опыт обучения. Начальный его этап проходил без более опытных наставников и идей, да и в целом во время выработки методики обучения были выработаны свои фишки и методики, которыми я хочу поделиться.
📌 Читать далее
#beginner #learning #pentest
👍9
❗️Курс «Python для Пентестера»
Старт: 3 октября
Длительность: 3 месяца
🎓 После 3-месячного онлайн-курса «Python для пентестера» вы сможете:
✔️ Эффективно использовать базы данных и сеть Интернет;
✔️ Получать данные от сайтов в автоматическом режиме;
✔️ Писать прикладные программы на Python.
ℹ️ Преимущества онлайн-курса «Python для пентестера»:
• Помощь преподавателей при выполнении заданий и в изучении теории;
• Проверка ДЗ вручную – наставник поможет улучшить написанный вами код;
• Понятные и наглядные учебные материалы с информацией для выполнения ДЗ;
• Групповой чат в Telegram с другими учениками, проходящими курс;
• Опытные разработчики – команда Codeby School, лидер по информационной безопасности в RU-сегменте.
🔥 Имеется промо-доступ на 7 дней!
*Для прохождения курса необходимы базовые знания Python
Узнать подробнее о курсе: https://python-eh.codeby.school
Старт: 3 октября
Длительность: 3 месяца
🎓 После 3-месячного онлайн-курса «Python для пентестера» вы сможете:
✔️ Эффективно использовать базы данных и сеть Интернет;
✔️ Получать данные от сайтов в автоматическом режиме;
✔️ Писать прикладные программы на Python.
ℹ️ Преимущества онлайн-курса «Python для пентестера»:
• Помощь преподавателей при выполнении заданий и в изучении теории;
• Проверка ДЗ вручную – наставник поможет улучшить написанный вами код;
• Понятные и наглядные учебные материалы с информацией для выполнения ДЗ;
• Групповой чат в Telegram с другими учениками, проходящими курс;
• Опытные разработчики – команда Codeby School, лидер по информационной безопасности в RU-сегменте.
🔥 Имеется промо-доступ на 7 дней!
*Для прохождения курса необходимы базовые знания Python
Узнать подробнее о курсе: https://python-eh.codeby.school
🔥6👍2
🎮 Electronic Arts разработала античит, который работает на уровне ядра ОС
Electronic Arts анонсировала античит EA AntiCheat (EAAC), который будет работать на уровне ядра ОС. При этом, античит не будет иметь доступа к данным, которые не используютя запущенной игрой.
В последнее время стало заметно, что разработчики читов чаще всего переходят на уровень ядра ОС, чтобы скрыть свои продукты от используемых мер защиты в играх. По этой причине разработчикам игр рекомендуется проверять активность ядра ОС для обнаружения сторонних процессов.
Именно поэтому компания разработала EA AntiCheat (EAAC). Система защиты будет работать только с играми, которые ее используют, и закроется сразу после окончания сессии. Разработчики строго ограничили типы данных, которые анализирует программа во время своей работы. Это позволяет сохранить конфиденциальность геймеров.
Ожидается, что выход EAAC совпадет с выпуском FIFA 23. Будет ли использоваться этот античит вместе с другими играми — неизвестно.
🗞 Блог Кодебай
#news #game
Electronic Arts анонсировала античит EA AntiCheat (EAAC), который будет работать на уровне ядра ОС. При этом, античит не будет иметь доступа к данным, которые не используютя запущенной игрой.
В последнее время стало заметно, что разработчики читов чаще всего переходят на уровень ядра ОС, чтобы скрыть свои продукты от используемых мер защиты в играх. По этой причине разработчикам игр рекомендуется проверять активность ядра ОС для обнаружения сторонних процессов.
Именно поэтому компания разработала EA AntiCheat (EAAC). Система защиты будет работать только с играми, которые ее используют, и закроется сразу после окончания сессии. Разработчики строго ограничили типы данных, которые анализирует программа во время своей работы. Это позволяет сохранить конфиденциальность геймеров.
Ожидается, что выход EAAC совпадет с выпуском FIFA 23. Будет ли использоваться этот античит вместе с другими играми — неизвестно.
🗞 Блог Кодебай
#news #game
👎9🔥6👍5
📧 Госучреждения перейдут на национальные домены
Государственные учреждения, начиная с 1 декабря 2022 года, будут создавать адреса электронной почты только с использованием адресов в российской национальной доменной зоне. Переход объясняют требованиями информационной безопасности.
Речь идет о доменах .RU, .РФ и .SU. Авторы проекта утверждают, что переход «не повлечет за собой негативных социально-экономических, финансовых и иных последствий».
«Новые требования, по-видимому, связаны с проблемами госведомств с оплатой сайтов в иностранных доменных зонах, которые начались этой весной», — считает глава АНО «Информационная культура» Иван Бегтин.
🗞 Блог Кодебай
#news #russia #mail
Государственные учреждения, начиная с 1 декабря 2022 года, будут создавать адреса электронной почты только с использованием адресов в российской национальной доменной зоне. Переход объясняют требованиями информационной безопасности.
Речь идет о доменах .RU, .РФ и .SU. Авторы проекта утверждают, что переход «не повлечет за собой негативных социально-экономических, финансовых и иных последствий».
«Новые требования, по-видимому, связаны с проблемами госведомств с оплатой сайтов в иностранных доменных зонах, которые начались этой весной», — считает глава АНО «Информационная культура» Иван Бегтин.
🗞 Блог Кодебай
#news #russia #mail
👍12😁5
🦊 Представлен инструмент для облачного пентеста с открытым исходным кодом - CloudFox
Компания Bishop Fox, специализирующаяся на кибербезопасности, выпустила инструмент с открытым исходным кодом CloudFox, предназначенный для обнаружения уязвимых мест в облачной инфраструктуре.
CloudFox содержит команды для перебора, что делает его простым в использовании даже для тех, кто относительно недавно начал заниматься облачным пентестом. Инструмент командной строки был создан для специалистов по тестированию на проникновение и других профессионалов в области наступательной безопасности.
«CloudFox рассчитан на работу с ограниченными правами только для чтения, но его цель — помочь вам найти пути атак, которые можно использовать в смоделированных сценариях компрометации», — рассказали Bishop Fox.
Инструмент может определить регионы, используемые учетной записью AWS, доступные ресурсы сервисов, пользовательские данные EC2, открытые URL и IP адреса, а также файловые системы. На данный момент инструмент может работать только с AWS (Amazon Web Services), но в будущем Bishop Fox также планирует добавить поддержку Microsoft Azure, Google Cloud Platform и Kubernetes.
Утилита доступна на GitHub.
🗞 Блог Кодебай
#news #pentest #cloud
Компания Bishop Fox, специализирующаяся на кибербезопасности, выпустила инструмент с открытым исходным кодом CloudFox, предназначенный для обнаружения уязвимых мест в облачной инфраструктуре.
CloudFox содержит команды для перебора, что делает его простым в использовании даже для тех, кто относительно недавно начал заниматься облачным пентестом. Инструмент командной строки был создан для специалистов по тестированию на проникновение и других профессионалов в области наступательной безопасности.
«CloudFox рассчитан на работу с ограниченными правами только для чтения, но его цель — помочь вам найти пути атак, которые можно использовать в смоделированных сценариях компрометации», — рассказали Bishop Fox.
Инструмент может определить регионы, используемые учетной записью AWS, доступные ресурсы сервисов, пользовательские данные EC2, открытые URL и IP адреса, а также файловые системы. На данный момент инструмент может работать только с AWS (Amazon Web Services), но в будущем Bishop Fox также планирует добавить поддержку Microsoft Azure, Google Cloud Platform и Kubernetes.
Утилита доступна на GitHub.
🗞 Блог Кодебай
#news #pentest #cloud
👍6🔥4
GIFShell атаки через Microsoft Teams - отправляем злую гифку
Недавно вышел в свет метод атаки под названием «GIFShell», который позволяет злоумышленникам использовать Microsoft Teams для фишинговых атак и краж данных с помощью… GIF-файлов. Новый сценарий атаки, показывает, как злоумышленники могут объединять многочисленные уязвимости и недостатки Microsoft Teams, чтобы злоупотреблять этой безобидной программой для внедрения вредоносных файлов, команд и данных через GIF.
📌 Читать далее
#microsoft #pentest #shell
Недавно вышел в свет метод атаки под названием «GIFShell», который позволяет злоумышленникам использовать Microsoft Teams для фишинговых атак и краж данных с помощью… GIF-файлов. Новый сценарий атаки, показывает, как злоумышленники могут объединять многочисленные уязвимости и недостатки Microsoft Teams, чтобы злоупотреблять этой безобидной программой для внедрения вредоносных файлов, команд и данных через GIF.
📌 Читать далее
#microsoft #pentest #shell
🔥6👍5
Получение списка доменов на одном IP-адресе с помощью Python (VHOST)
Зачастую на одном веб-сервере, особенно, если это крупный хостинг провайдер, может быть расположено множество виртуальных хостов. А значит, на одном IP-адресе могут соседствовать большое количество сайтов. Причины, по которым необходимо получить информацию о сайтах, которые расположены на одном IP, могут быть разные. Иногда это просто любопытство. Ведь интересно же, куда можно попасть, если попробовать вбить не адрес сайта, а его IP. Иногда данная информация может быть полезна во время пентеста, когда производится первоначальный сбор информации. Идея тут в том, что разные веб-приложения могут использовать разное программное обеспечение. Таким образом, если получается выяснить, что на тестируемом IP расположено еще несколько сайтов, можно попробовать найти уязвимость на другом сайте, если не получается на целевом. Давайте с помощью Python создадим скрипт, с помощью которого попытаемся определить домены на одном IP-адресе.
📌 Читать далее
#programming #python
Зачастую на одном веб-сервере, особенно, если это крупный хостинг провайдер, может быть расположено множество виртуальных хостов. А значит, на одном IP-адресе могут соседствовать большое количество сайтов. Причины, по которым необходимо получить информацию о сайтах, которые расположены на одном IP, могут быть разные. Иногда это просто любопытство. Ведь интересно же, куда можно попасть, если попробовать вбить не адрес сайта, а его IP. Иногда данная информация может быть полезна во время пентеста, когда производится первоначальный сбор информации. Идея тут в том, что разные веб-приложения могут использовать разное программное обеспечение. Таким образом, если получается выяснить, что на тестируемом IP расположено еще несколько сайтов, можно попробовать найти уязвимость на другом сайте, если не получается на целевом. Давайте с помощью Python создадим скрипт, с помощью которого попытаемся определить домены на одном IP-адресе.
📌 Читать далее
#programming #python
👍8
🖥 Lenovo исправила критические уязвимости в BIOS своих продуктов
Компания Lenovo предупредила пользователей об опасных уязвимостях в BIOS. Ошибки затронули: ПК, моноблоки, IdeaCentre, Legion, ThinkCentre, ThinkPad, ThinkAgile, ThinkStation и ThinkSystem.
Применение обнаруженных ошибок злоумышленниками может привести к раскрытию информации, повышению прав, отказу в обслуживании (DoS) или выполнению вредоносного кода:
— CVE-2021-28216 в TianoCore EDK II BIOS позволял злоумышленнику повысить свои права в системе и выполнить произвольный код
— CVE-2022-40134 и CVE-2022-40135 представляли собой проблемы утечки информации в обработчике Set Bios Password SMI, позволяя считывать память SMM
— CVE-2022-40137 заключается в переполнении буфера в обработчике WMI SMI, позволяя выполнить произвольный код
Поясняется, что SMM является частью прошивки UEFI и обеспечивает низкоуровневое управление оборудованием, а также управление питанием. Lenovo выпустила обновление BIOS, которое устраняет все вышеперечисленные проблемы.
🗞 Блог Кодебай
#news #lenovo #vulnerability
Компания Lenovo предупредила пользователей об опасных уязвимостях в BIOS. Ошибки затронули: ПК, моноблоки, IdeaCentre, Legion, ThinkCentre, ThinkPad, ThinkAgile, ThinkStation и ThinkSystem.
Применение обнаруженных ошибок злоумышленниками может привести к раскрытию информации, повышению прав, отказу в обслуживании (DoS) или выполнению вредоносного кода:
— CVE-2021-28216 в TianoCore EDK II BIOS позволял злоумышленнику повысить свои права в системе и выполнить произвольный код
— CVE-2022-40134 и CVE-2022-40135 представляли собой проблемы утечки информации в обработчике Set Bios Password SMI, позволяя считывать память SMM
— CVE-2022-40137 заключается в переполнении буфера в обработчике WMI SMI, позволяя выполнить произвольный код
Поясняется, что SMM является частью прошивки UEFI и обеспечивает низкоуровневое управление оборудованием, а также управление питанием. Lenovo выпустила обновление BIOS, которое устраняет все вышеперечисленные проблемы.
🗞 Блог Кодебай
#news #lenovo #vulnerability
👍14
📑 Российским компаниям запретят передавать персональные данные в нежелательные организации
Роскомнадзор может запрещать российским компаниям передавать персональные данные (ПД) граждан за рубеж, если те соберутся направлять их организациям, деятельность которых в России запрещена.
Это следует из разработанных Минцифры подзаконных актов. Под запрет попадет и взаимодействие с *Meta. Юристы считают, что пользователям Facebook и Instagram ответственность не грозит, но вот у рекламных агентств и магазинов появятся новые риски.
Согласно закону «О персональных данных», который вступит в силу 1 марта 2023 года, операторы данных перед трансграничной передачей ПД будут должны сообщать Роскомнадзору о намерении сделать это. Роскомнадзор также получит право ограничивать трансграничную передачу данных, в том числе по представлениям на запрет от ФСБ, Минобороны и МИДа.
Госорганы, выполняющие некоторые международные функции (по обеспечению сотрудничества в рамках ЕАЭС, перевозок, дипломатических и консульских сношений), не будут уведомлять Роскомнадзор о передаче ПД.
*Meta — объявлена экстремистской организацией, деятельность в РФ запрещена
🗞 Блог Кодебай
#news #russia #data
Роскомнадзор может запрещать российским компаниям передавать персональные данные (ПД) граждан за рубеж, если те соберутся направлять их организациям, деятельность которых в России запрещена.
Это следует из разработанных Минцифры подзаконных актов. Под запрет попадет и взаимодействие с *Meta. Юристы считают, что пользователям Facebook и Instagram ответственность не грозит, но вот у рекламных агентств и магазинов появятся новые риски.
Согласно закону «О персональных данных», который вступит в силу 1 марта 2023 года, операторы данных перед трансграничной передачей ПД будут должны сообщать Роскомнадзору о намерении сделать это. Роскомнадзор также получит право ограничивать трансграничную передачу данных, в том числе по представлениям на запрет от ФСБ, Минобороны и МИДа.
Госорганы, выполняющие некоторые международные функции (по обеспечению сотрудничества в рамках ЕАЭС, перевозок, дипломатических и консульских сношений), не будут уведомлять Роскомнадзор о передаче ПД.
*Meta — объявлена экстремистской организацией, деятельность в РФ запрещена
🗞 Блог Кодебай
#news #russia #data
👍15🔥2😁2👎1
🤝 Крупнейшая сделка на рынке ПО: Adobe покупает Figma
Adobe объявила о покупке Figma, которая занимается созданием ПО для дизайнеров, за 20 миллиардов долларов.
Сделку уже назвали крупнейшим поглощением на рынке разработки ПО. Она будет профинансирована Adobe частично акциями, частично – наличными. На фоне этой новости акции Adobe упали на 13%.
«У нас есть огромная возможность ускорить рост и инновации платформы Figma благодаря доступу к технологиям, опыту и ресурсам Adobe», — рассказал сооснователь Figma Дилан Филд.
Ожидается, что сделка будет закрыта в 2023 году после получения одобрения регулирующих органов. Отметим, что Adobe выступает за автономную работу Figma, поэтому Филд останется гендиректором компании.
🗞 Блог Кодебай
#news #adobe #software
Adobe объявила о покупке Figma, которая занимается созданием ПО для дизайнеров, за 20 миллиардов долларов.
Сделку уже назвали крупнейшим поглощением на рынке разработки ПО. Она будет профинансирована Adobe частично акциями, частично – наличными. На фоне этой новости акции Adobe упали на 13%.
«У нас есть огромная возможность ускорить рост и инновации платформы Figma благодаря доступу к технологиям, опыту и ресурсам Adobe», — рассказал сооснователь Figma Дилан Филд.
Ожидается, что сделка будет закрыта в 2023 году после получения одобрения регулирующих органов. Отметим, что Adobe выступает за автономную работу Figma, поэтому Филд останется гендиректором компании.
🗞 Блог Кодебай
#news #adobe #software
👎6😱6👍3🔥2😁1
Тайна переписки
В век всеобщей цифровизации, за тобой следят буквально повсюду – камеры наружного наблюдения, операционные системы на компьютерах, браузеры, сотовые операторы, банки, приложения android, почтовые сервисы, провайдеры, и ещё куча всяко-разных устройств и сервисов. Вы хотите быть реально анонимным? Я не ошибусь, если скажу, что это совершенно не тривиальная задача. Следы остаются повсюду, даже там, где вы их не видите. Однако каждый человек имеет то, чем он вовсе не хочет делиться с непонятными третьими лицами. Это быть может тайна переписки – будь то деловая, или любовная, и т.д. Что же мы можем сделать в ситуации, когда реальная анонимность весьма призрачна? Ну раз скрываться от всевидящего ока затруднительно, тогда почему бы не писать просто используя шифрование?
📌 Читать далее
#security #encryption
В век всеобщей цифровизации, за тобой следят буквально повсюду – камеры наружного наблюдения, операционные системы на компьютерах, браузеры, сотовые операторы, банки, приложения android, почтовые сервисы, провайдеры, и ещё куча всяко-разных устройств и сервисов. Вы хотите быть реально анонимным? Я не ошибусь, если скажу, что это совершенно не тривиальная задача. Следы остаются повсюду, даже там, где вы их не видите. Однако каждый человек имеет то, чем он вовсе не хочет делиться с непонятными третьими лицами. Это быть может тайна переписки – будь то деловая, или любовная, и т.д. Что же мы можем сделать в ситуации, когда реальная анонимность весьма призрачна? Ну раз скрываться от всевидящего ока затруднительно, тогда почему бы не писать просто используя шифрование?
📌 Читать далее
#security #encryption
🔥8👍7
О шантаже в интернете: как безобидное фото в Инстаграм может скомпрометировать тебя - DeepFakeLab, ISR
Привет, друзья. Этот рассказ основан на реальных событиях, точнее, это будет что-то типа попытки предугадать и предсказать то, что делал злодей, чтобы скомпрометировать мою близкую знакомую. Раньше, чтобы стать шантажистом, нужно было приложить недюжинные усилия и даже так шанс на успех был крайне мал. Но сейчас, как показала эта история, достаточно лишь воспользоваться тем, что давным-давно доступно всем и каждому. Не буду уже говорить о безопасности и то, как мы, ведя активную жизнь в социальных сетях, подвергаем опасности не только себя, но и окружение. Сегодня тебе, дорогой читатель, предстоит познать способ фальсификации материалов для дальнейшего шантажа. И поверь, доказать другим, что это подделка, будет невозможно.
📌 Читать далее
#deepfake #soceng
Привет, друзья. Этот рассказ основан на реальных событиях, точнее, это будет что-то типа попытки предугадать и предсказать то, что делал злодей, чтобы скомпрометировать мою близкую знакомую. Раньше, чтобы стать шантажистом, нужно было приложить недюжинные усилия и даже так шанс на успех был крайне мал. Но сейчас, как показала эта история, достаточно лишь воспользоваться тем, что давным-давно доступно всем и каждому. Не буду уже говорить о безопасности и то, как мы, ведя активную жизнь в социальных сетях, подвергаем опасности не только себя, но и окружение. Сегодня тебе, дорогой читатель, предстоит познать способ фальсификации материалов для дальнейшего шантажа. И поверь, доказать другим, что это подделка, будет невозможно.
📌 Читать далее
#deepfake #soceng
👍11😍1
🚕 Хакеры получили доступ к системам Uber
Компания Uber стала жертвой кибератаки, в результате которой злоумышленники смогли получить доступ к отчетам об уязвимостях.
Судя по выложенной информации, хакеры смогли получить полный доступ ко многим системам Uber, например: Windows-домен, консоль Amazon Web Services, виртуальные машины VMware ESXi, панель администратора электронной почты в Google Workspace и доступ к Slack-серверу.
По словам киберпреступников, доступ к системам был получен после атаки на одного из сотрудников компании. С помощью социальной инженерии злоумышленники украли у него пароль.
В Uber подтвердили факт атаки и отметили, что для расследования уже привлечены правоохранительные органы.
🗞 Блог Кодебай
#news #uber #data
Компания Uber стала жертвой кибератаки, в результате которой злоумышленники смогли получить доступ к отчетам об уязвимостях.
Судя по выложенной информации, хакеры смогли получить полный доступ ко многим системам Uber, например: Windows-домен, консоль Amazon Web Services, виртуальные машины VMware ESXi, панель администратора электронной почты в Google Workspace и доступ к Slack-серверу.
По словам киберпреступников, доступ к системам был получен после атаки на одного из сотрудников компании. С помощью социальной инженерии злоумышленники украли у него пароль.
В Uber подтвердили факт атаки и отметили, что для расследования уже привлечены правоохранительные органы.
🗞 Блог Кодебай
#news #uber #data
👍6🔥4😁1
Автоматизация Boolean-based Blind SQLi на Python
Данная статья и программа опираются на статью по автоматизации эксплуатации слепой boolean-based SQL-инъекции при помощи WFUZZ. Для начала давайте в очередной раз разберём основополагающую теорию по SQL функциям. Нас интересуют такие функции как Sleep(), Substring(), Ascii(). Данной статьи будет достаточно для понимания общей концепции данной автоматизации.
📌 Читать далее
#python #pentest #sqli
Данная статья и программа опираются на статью по автоматизации эксплуатации слепой boolean-based SQL-инъекции при помощи WFUZZ. Для начала давайте в очередной раз разберём основополагающую теорию по SQL функциям. Нас интересуют такие функции как Sleep(), Substring(), Ascii(). Данной статьи будет достаточно для понимания общей концепции данной автоматизации.
📌 Читать далее
#python #pentest #sqli
🔥7👍3👎1
bWaPP #1 HTMl Injection — Reflected (GET) сложность (medium). Боль, слезы и этичный хакинг
Доброго дня! Я уже написал статью по open source проекту bWaPP, его установке и настройке. Ну а теперь давайте начнем набивать опыт и развивать знания в прохождении различных задачек в bWapp. Начнем с уязвимости HTMl Injection — Reflected (GET) уровень (medium)
📌 Читать далее
#beginner #pentest #bwapp
Доброго дня! Я уже написал статью по open source проекту bWaPP, его установке и настройке. Ну а теперь давайте начнем набивать опыт и развивать знания в прохождении различных задачек в bWapp. Начнем с уязвимости HTMl Injection — Reflected (GET) уровень (medium)
📌 Читать далее
#beginner #pentest #bwapp
👍11
🧩 Расширяем функционал вашего браузера
🔎 Overload Search - предоставляет графический интерфейс, с помощью которого можно задать параметры для расширенного поиска информации в Google.
🖼 EXIF Viewer Pro - инструмент для быстрого исследования метаданных фотографий, размещённых на веб-сайтах.
🌐 Chaff - генерирует случайный трафик для просмотра веб-страниц чтобы скрыть реальное поведение пользователя от мониторинга.
🎭 User-Agent Switcher - с помощью этого расширения можно быстро и легко изменять свой User-Agent для разных сайтов. Кроме этого, можно установить определённые URL, при посещении которых каждый раз будет новый User-Agent.
🧰 Wappalyzer - определяет технологии, используемые на веб-сайтах: CMS, JS-библиотеки, фреймворки и т.д.
#useful #browser #extension
🔎 Overload Search - предоставляет графический интерфейс, с помощью которого можно задать параметры для расширенного поиска информации в Google.
🖼 EXIF Viewer Pro - инструмент для быстрого исследования метаданных фотографий, размещённых на веб-сайтах.
🌐 Chaff - генерирует случайный трафик для просмотра веб-страниц чтобы скрыть реальное поведение пользователя от мониторинга.
🎭 User-Agent Switcher - с помощью этого расширения можно быстро и легко изменять свой User-Agent для разных сайтов. Кроме этого, можно установить определённые URL, при посещении которых каждый раз будет новый User-Agent.
🧰 Wappalyzer - определяет технологии, используемые на веб-сайтах: CMS, JS-библиотеки, фреймворки и т.д.
#useful #browser #extension
👍12🔥4🤩2
Google заплатила $250 тыс. не тому хакеру
Исследователь безопасности Сэм Карри рассказал, что получил неизвестный платеж в размере $250 тыс. долларов от Google.
Исследователь занимается поиском различных уязвимостей и уже довольно давно работает инженером по безопасности в Yuga Labs. Сэм не потратил полученные деньги, потому что был уверен, что перевод был ошибочным.
«Прошло чуть больше 3 недель с тех пор, как Google случайным образом отправил мне 249 999 долларов, а я до сих пор ничего не узнал от службы поддержки. Есть ли какой-нибудь способ связаться с Google?», — написал Карри в Twitter.
После огласки инцидента, представитель корпорации сообщил, что платёж был ошибочно произведён «в результате человеческого фактора». Компания оценила то, что Карри сообщил об этом, и уже работает над исправлением ситуации.
🗞 Блог Кодебай
#news #google
Исследователь безопасности Сэм Карри рассказал, что получил неизвестный платеж в размере $250 тыс. долларов от Google.
Исследователь занимается поиском различных уязвимостей и уже довольно давно работает инженером по безопасности в Yuga Labs. Сэм не потратил полученные деньги, потому что был уверен, что перевод был ошибочным.
«Прошло чуть больше 3 недель с тех пор, как Google случайным образом отправил мне 249 999 долларов, а я до сих пор ничего не узнал от службы поддержки. Есть ли какой-нибудь способ связаться с Google?», — написал Карри в Twitter.
После огласки инцидента, представитель корпорации сообщил, что платёж был ошибочно произведён «в результате человеческого фактора». Компания оценила то, что Карри сообщил об этом, и уже работает над исправлением ситуации.
🗞 Блог Кодебай
#news #google
😁18🔥6👍5
BruteForce, как недооцененный вид атаки (Account TakeOver)
Решил поднять тему BruteForce атак, хотя многие, с пеной во рту, очень часто кричат, что это никогда не прокатывает, зачем об этом писать, ужасный вид атаки и т.д. Но не буду сейчас кому-то пытаться доказывать, что bruteforce имеет место быть, что это очень эффективный вид атаки. Главное научиться, где и как её правильно применять. Не буду философствовать, сразу перейдем к делу.
📌 Читать далее
#pentest #bruteforce
Решил поднять тему BruteForce атак, хотя многие, с пеной во рту, очень часто кричат, что это никогда не прокатывает, зачем об этом писать, ужасный вид атаки и т.д. Но не буду сейчас кому-то пытаться доказывать, что bruteforce имеет место быть, что это очень эффективный вид атаки. Главное научиться, где и как её правильно применять. Не буду философствовать, сразу перейдем к делу.
📌 Читать далее
#pentest #bruteforce
👍9🔥3
Анализ вируса Chromeloader: что, как и с чем едят или чем опасно пиратство
Наверное каждому современному интернет-пользователю известно, что такое удовольствие как "скачать бесплатно без смс и регистрации" может понести за собой некие последствия. И дело даже не в том, что во многих странах это уголовно наказуемо, и не в том, что разработчики тратят годы на создание того, на что вы пожалеете 5 условных единиц. Проблема, собственно, в том, что шло "бонусом" вместе со спёртой игрой, крякнутым ПО или фильмом в качестве 8К миллион FPS. Об одном из многочисленных вариантов такого подарка судьбы пойдёт речь сегодня, имя ему - ChromeLoader. Самым близким к истине будет его определение как вирус-троян.
📌 Читать далее
#malware #powershell
Наверное каждому современному интернет-пользователю известно, что такое удовольствие как "скачать бесплатно без смс и регистрации" может понести за собой некие последствия. И дело даже не в том, что во многих странах это уголовно наказуемо, и не в том, что разработчики тратят годы на создание того, на что вы пожалеете 5 условных единиц. Проблема, собственно, в том, что шло "бонусом" вместе со спёртой игрой, крякнутым ПО или фильмом в качестве 8К миллион FPS. Об одном из многочисленных вариантов такого подарка судьбы пойдёт речь сегодня, имя ему - ChromeLoader. Самым близким к истине будет его определение как вирус-троян.
📌 Читать далее
#malware #powershell
👍14👎2