💸 Бесплатный LibreOffice продают в Mac App Store
Организация The Document Foundation (TDF) сообщила о выходе LibreOffice в Mac App Store. Причем в нем бесплатная версия офисного пакета стала платной. Разработчики установили цену в $8.99. Несмотря на то, что это не очень большая сумма для офисного пакета, такое нововведение может стать для некоторых неожиданностью, поскольку на других платформах это же ПО является бесплатным.
В TDF объяснили, что полученные за продажу деньги будут направлены для поддержки будущего развития организации. Также там заявили, что хотят улучшить поддержку обычных и корпоративных пользователей.
Стоит отметить, что в Mac App Store LibreOffice основан на том же исходном коде, что и пакет для Mac с официального сайта, но не оснащен Java (поскольку магазин не разрешает использовать внешние зависимости) — это ограничит функциональность офисного пакета. Пользователям ничего не мешает скачать и установить версию LibreOffice с сайта разработчика, там тоже есть версия для Mac и в ней присутствует Java.
🗞 Блог Кодебай
#news #apple #libreoffice
Организация The Document Foundation (TDF) сообщила о выходе LibreOffice в Mac App Store. Причем в нем бесплатная версия офисного пакета стала платной. Разработчики установили цену в $8.99. Несмотря на то, что это не очень большая сумма для офисного пакета, такое нововведение может стать для некоторых неожиданностью, поскольку на других платформах это же ПО является бесплатным.
В TDF объяснили, что полученные за продажу деньги будут направлены для поддержки будущего развития организации. Также там заявили, что хотят улучшить поддержку обычных и корпоративных пользователей.
Стоит отметить, что в Mac App Store LibreOffice основан на том же исходном коде, что и пакет для Mac с официального сайта, но не оснащен Java (поскольку магазин не разрешает использовать внешние зависимости) — это ограничит функциональность офисного пакета. Пользователям ничего не мешает скачать и установить версию LibreOffice с сайта разработчика, там тоже есть версия для Mac и в ней присутствует Java.
🗞 Блог Кодебай
#news #apple #libreoffice
Современные web-уязвимости (7.CSRF Bypass – Clickjacking Drag and Drop)
Напомню, кликджекинг (clickjacking) - это атака, которая является формой изменения пользовательского интерфейса. Clickjacking-атака — это попытка через изменение пользовательского интерфейса жертвы, обычно с использованием HTML тега iframe, заставить пользователя выполнить запрос на изменение данных. На вредоносном сайте злоумышленник, используя iframe, внедряет в уязвимое веб-приложение другой HTML-документ, содержащий форму для изменения данных.
📌 Читать далее
#beginner #pentest #csrf
Напомню, кликджекинг (clickjacking) - это атака, которая является формой изменения пользовательского интерфейса. Clickjacking-атака — это попытка через изменение пользовательского интерфейса жертвы, обычно с использованием HTML тега iframe, заставить пользователя выполнить запрос на изменение данных. На вредоносном сайте злоумышленник, используя iframe, внедряет в уязвимое веб-приложение другой HTML-документ, содержащий форму для изменения данных.
📌 Читать далее
#beginner #pentest #csrf
Шифрование на Python. Часть 1
Доброго времени суток, друзья! Программа для защиты информации на языке питон на основе Tkinter GUI и библиотеки pyAesCrypt. Я не знаю для чего изобретать велосипед, но можно надежно шифровать свои данные (не ТераБайтные :D например) своими силами. Скорость шифрования устраивает - на директории до 5 - 10 ГБ уйдет от 3 до 7 минут в зависимости от системы. Но тут вопрос видимо в алгоритме шифрования и мультипроцессинге имхо. В общем, всегда есть над чем работать)
📌 Читать далее
#programming #python #encryption
Доброго времени суток, друзья! Программа для защиты информации на языке питон на основе Tkinter GUI и библиотеки pyAesCrypt. Я не знаю для чего изобретать велосипед, но можно надежно шифровать свои данные (не ТераБайтные :D например) своими силами. Скорость шифрования устраивает - на директории до 5 - 10 ГБ уйдет от 3 до 7 минут в зависимости от системы. Но тут вопрос видимо в алгоритме шифрования и мультипроцессинге имхо. В общем, всегда есть над чем работать)
📌 Читать далее
#programming #python #encryption
Многие из вас знают или, может быть, слышали про Bug Bounty.
Платформы организующие Bug Bounty (HackerOne, Bugcrowd) это не только возможность заработать на поиске багов, но и поучиться, найти вдохновение и идеи у исследователей (багхантеров) по всему миру.
Для вашего удобства мы организовали канал доставки раскрытых репортов прямо в Telegram.
Теперь ни один репорт не пролетит мимо вас, подписывайтесь:
https://t.me/h1dtl 👍
#спонсорский
Платформы организующие Bug Bounty (HackerOne, Bugcrowd) это не только возможность заработать на поиске багов, но и поучиться, найти вдохновение и идеи у исследователей (багхантеров) по всему миру.
Для вашего удобства мы организовали канал доставки раскрытых репортов прямо в Telegram.
Теперь ни один репорт не пролетит мимо вас, подписывайтесь:
https://t.me/h1dtl 👍
#спонсорский
🟥 Более 39 тыс. экземпляров Redis стали целью атаки криптовалютной кампании
Неизвестный злоумышленник атаковал десятки тысяч неаутентифицированных серверов Redis, доступ к которым открыт из Интернета, в попытке установить криптовалютный майнер. Неизвестно, сколько из этих серверов были успешно взломаны.
Данный инцидент произошёл благодаря «малоизвестной технике» для записи произвольных данных на сервера. Впервые подобный случай несанкционированного доступа был задокументирован в сентябре 2018 года.
«Общая идея этой техники эксплуатации заключается в том, чтобы настроить Redis на запись своих файлов на сервер, содержащих какой-либо метод для авторизации пользователя или запуска процесса», — говорится в сообщение Censys.
После анализа попыток компрометации экземпляров Redis было вывлено, что злоумышленник сохранял вредоносные записи в Crontab-файл, что приводило к выполнению Shell-кода на удалённом сервере. Также, SSH-ключи для доступа к системе были загружены на почти 16 тыс. серверов. Советуем следить за тем, какие ваши службы доступны из Интернета.
🗞 Блог Кодебай
#news #redis #cryptocurrency
Неизвестный злоумышленник атаковал десятки тысяч неаутентифицированных серверов Redis, доступ к которым открыт из Интернета, в попытке установить криптовалютный майнер. Неизвестно, сколько из этих серверов были успешно взломаны.
Данный инцидент произошёл благодаря «малоизвестной технике» для записи произвольных данных на сервера. Впервые подобный случай несанкционированного доступа был задокументирован в сентябре 2018 года.
«Общая идея этой техники эксплуатации заключается в том, чтобы настроить Redis на запись своих файлов на сервер, содержащих какой-либо метод для авторизации пользователя или запуска процесса», — говорится в сообщение Censys.
После анализа попыток компрометации экземпляров Redis было вывлено, что злоумышленник сохранял вредоносные записи в Crontab-файл, что приводило к выполнению Shell-кода на удалённом сервере. Также, SSH-ключи для доступа к системе были загружены на почти 16 тыс. серверов. Советуем следить за тем, какие ваши службы доступны из Интернета.
🗞 Блог Кодебай
#news #redis #cryptocurrency
🔘 Хакеры воруют аккаунты GitHub с помощью поддельных уведомлений CircleCI
Платформа GitHub предупредила о продолжающейся фишинговой кампании, которая началась 16 сентября. Злоумышленники нацелены на пользователей сервиса и отправляют им электронные письма, где выдают себя за CircleCI для сбора учетных данных пользователей и двухфакторных кодов.
Фишинговые сообщения уведомляют пользователей о том, что их сессия CircleCI истекла и им необходимо повторно войти в аккаунт, используя свои учетные данные GitHub. При переходе по ссылке пользователь попадает на фишинговый сайт, который выглядит как реальная страница входа в GitHub, но при этом всё введённые учётные данные отправляются злоумышленникам.
В случае, если у пользователя включена двухфакторная аутентификация (2FA), фишинговый сайт также передает все коды 2FA хакеру, что делает незащищенными учетные записи даже с такой защитой. А вот аккаунты, защищенные аппаратными ключами безопасности, не подвержены этой атаке.
🗞 Блог Кодебай
#news #phishing #github
Платформа GitHub предупредила о продолжающейся фишинговой кампании, которая началась 16 сентября. Злоумышленники нацелены на пользователей сервиса и отправляют им электронные письма, где выдают себя за CircleCI для сбора учетных данных пользователей и двухфакторных кодов.
Фишинговые сообщения уведомляют пользователей о том, что их сессия CircleCI истекла и им необходимо повторно войти в аккаунт, используя свои учетные данные GitHub. При переходе по ссылке пользователь попадает на фишинговый сайт, который выглядит как реальная страница входа в GitHub, но при этом всё введённые учётные данные отправляются злоумышленникам.
В случае, если у пользователя включена двухфакторная аутентификация (2FA), фишинговый сайт также передает все коды 2FA хакеру, что делает незащищенными учетные записи даже с такой защитой. А вот аккаунты, защищенные аппаратными ключами безопасности, не подвержены этой атаке.
🗞 Блог Кодебай
#news #phishing #github
Writeup KB-VULN: 1 Vulnhub (Уровень: Easy)
Приветствую! У меня скопилось некое количество записей о прохождении различных коробок с Vulnhub, вот я и решил выложить часть из них сюда. Меньше слов больше дела, начнем с малого, в данном врайтапе представлено прохождение Easy машины KB-VULN: 1
📌 Читать далее
#beginner #ctf #writeup
Приветствую! У меня скопилось некое количество записей о прохождении различных коробок с Vulnhub, вот я и решил выложить часть из них сюда. Меньше слов больше дела, начнем с малого, в данном врайтапе представлено прохождение Easy машины KB-VULN: 1
📌 Читать далее
#beginner #ctf #writeup
Переполнение буфера и перезапись указателя на функцию - Изучение методов эксплуатации на примерах, часть 4
Привет Codeby =) В предыдущей статье мы научились использовать среду переменных окружения для переполнения буфера, что само по себе уже не плохо. В этой статье мы познакомимся с новым принципом при переполнение буфера и немного поиграем с адресами памяти. Поехали!!!
📌 Читать далее
#asm #gdb
Привет Codeby =) В предыдущей статье мы научились использовать среду переменных окружения для переполнения буфера, что само по себе уже не плохо. В этой статье мы познакомимся с новым принципом при переполнение буфера и немного поиграем с адресами памяти. Поехали!!!
📌 Читать далее
#asm #gdb
🐍 15-летняя уязвимость в Python затрагивает более 350 тыс. проектов
Исследовательский центр Trellix опубликовал результаты исследования 15-летней уязвимости в Python — CVE-2007-4559. Судя по оценкам, ошибка присутствует в более чем 350 тыс. проектов с открытым исходным кодом и встречается в проектах с закрытым исходным кодом.
Уязвимость находится в модуле tarfile, который является модулем по умолчанию в любом проекте, использующем Python, и возникает из-за отсутствия очистки файлов перед вызовом функций extract() и extractall(). Ошибка позволяет злоумышленнику перезаписывать произвольные файлы, а значит, не составит труда загрузить вредоносный файл для выполнения произвольного кода.
Эксперты считают, что более 70 тысяч проектов получат исправления в ближайшее время. Из-за огромного количества затронутых репозиториев исправление всех ошибок будет чрезвычайно сложной задачей, которая может занять годы.
🗞 Блог Кодебай
#news #python #vulnerability
Исследовательский центр Trellix опубликовал результаты исследования 15-летней уязвимости в Python — CVE-2007-4559. Судя по оценкам, ошибка присутствует в более чем 350 тыс. проектов с открытым исходным кодом и встречается в проектах с закрытым исходным кодом.
Уязвимость находится в модуле tarfile, который является модулем по умолчанию в любом проекте, использующем Python, и возникает из-за отсутствия очистки файлов перед вызовом функций extract() и extractall(). Ошибка позволяет злоумышленнику перезаписывать произвольные файлы, а значит, не составит труда загрузить вредоносный файл для выполнения произвольного кода.
Эксперты считают, что более 70 тысяч проектов получат исправления в ближайшее время. Из-за огромного количества затронутых репозиториев исправление всех ошибок будет чрезвычайно сложной задачей, которая может занять годы.
🗞 Блог Кодебай
#news #python #vulnerability
🎣 В России разработали систему для быстрой блокировки фишинговых сайтов
Генпрокуратура России разработала быструю систему, в которой также участвуют Банк России и Роскомнадзор, для блокировки фишинговых сайтов и прочих ресурсов, которые могут незаконно использовать финансовую информацию пользователей.
«На весь процесс блокировки уходит от 3 до 24 часов, а механизм взаимодействия осуществляется в электронном виде с использованием специального программного обеспечения. Такой подход позволил нам кратно повысить эффективность данной работы», — отметил генпрокурор РФ Игорь Краснов.
Технические подробности работы этой системы пока неизвестны. Помимо этого, создано специальное ПО, которое используется при расследовании финансовых преступлений и мониторинга финансовой сферы. Оно работает с использованием элементов ИИ.
🗞 Блог Кодебай
#news #russia #phishing
Генпрокуратура России разработала быструю систему, в которой также участвуют Банк России и Роскомнадзор, для блокировки фишинговых сайтов и прочих ресурсов, которые могут незаконно использовать финансовую информацию пользователей.
«На весь процесс блокировки уходит от 3 до 24 часов, а механизм взаимодействия осуществляется в электронном виде с использованием специального программного обеспечения. Такой подход позволил нам кратно повысить эффективность данной работы», — отметил генпрокурор РФ Игорь Краснов.
Технические подробности работы этой системы пока неизвестны. Помимо этого, создано специальное ПО, которое используется при расследовании финансовых преступлений и мониторинга финансовой сферы. Оно работает с использованием элементов ИИ.
🗞 Блог Кодебай
#news #russia #phishing
Stryker - или как я пытаюсь перевернуть мобильный пентест!
Привет всем, я снова бросил себе вызов по мобильной разработке и кажется справился на отлично!) Но это судить не мне, а вам, приятного чтения! Давайте будем честны, большинство людей считают мобильный пентест "невозможным", "неудобным" или "только терминал". И скорее именно из-за этого я и решил написать свою собственную программу, которая способна разбить эти стереотипы!)
📌 Читать далее
#pentest #smartphone #network
Привет всем, я снова бросил себе вызов по мобильной разработке и кажется справился на отлично!) Но это судить не мне, а вам, приятного чтения! Давайте будем честны, большинство людей считают мобильный пентест "невозможным", "неудобным" или "только терминал". И скорее именно из-за этого я и решил написать свою собственную программу, которая способна разбить эти стереотипы!)
📌 Читать далее
#pentest #smartphone #network
bWaPP #2 Уязвимость HTML Injection — Reflected (POST) уровень (Low). Боль, слезы и этичный хакинг
Доброго дня! Я ранее уже писал статью по open source проекту bWaPP, его установке и настройке, а также разбирал одну из уязвимостей. Продолжим разбирать HTML Injection — Reflected (POST). Как известно, опыта много не бывает. Давайте вместе рассмотрим и подумаем над решением новой задачи.
📌 Читать далее
#learning #pentest #bwapp
Доброго дня! Я ранее уже писал статью по open source проекту bWaPP, его установке и настройке, а также разбирал одну из уязвимостей. Продолжим разбирать HTML Injection — Reflected (POST). Как известно, опыта много не бывает. Давайте вместе рассмотрим и подумаем над решением новой задачи.
📌 Читать далее
#learning #pentest #bwapp
Основы шифрования данных 2/2
Доброго времени суток, уважаемые форумчане! Как я уже писал в первой части: “Шифрование данных на сегодня является основным методом обеспечения конфиденциальности информации.”, Поэтому продолжим знакомиться с основными методами шифрования данных.
📌 Читать далее
#encryption #stego
Доброго времени суток, уважаемые форумчане! Как я уже писал в первой части: “Шифрование данных на сегодня является основным методом обеспечения конфиденциальности информации.”, Поэтому продолжим знакомиться с основными методами шифрования данных.
📌 Читать далее
#encryption #stego
Язык программирования Crystal: описание, возможности и история
Crystal – это достаточно новый объектно-ориентированный язык программирования, который был разработан в 2014 году. В 2021 вышло его первое обновление до версии 1.1.1. Он относится к категории языков общего назначения. По своему синтаксису похож на Ruby, но при этом является статически типизированным, компилируемым и работающим с выводом типов. Разработчики утверждают, что по скорости работы он ничем не уступает C.
📌 Читать далее
#programming
Crystal – это достаточно новый объектно-ориентированный язык программирования, который был разработан в 2014 году. В 2021 вышло его первое обновление до версии 1.1.1. Он относится к категории языков общего назначения. По своему синтаксису похож на Ruby, но при этом является статически типизированным, компилируемым и работающим с выводом типов. Разработчики утверждают, что по скорости работы он ничем не уступает C.
📌 Читать далее
#programming
Дыра в docker или Writeup KB-VULN: 2 Vulnhub
Приветствую! Это продолжение прохождения серии коробок с Vulnhub - KB-VULN. В данной статье представлено прохождение машины KB-VULN: 2. Имеется атакуемая машина под управлением Ubuntu linux, на которой есть флаги. Задача: получить 2 флага с целевой машины и права пользователя root.
📌 Читать далее
#ctf #docker #writeup
Приветствую! Это продолжение прохождения серии коробок с Vulnhub - KB-VULN. В данной статье представлено прохождение машины KB-VULN: 2. Имеется атакуемая машина под управлением Ubuntu linux, на которой есть флаги. Задача: получить 2 флага с целевой машины и права пользователя root.
📌 Читать далее
#ctf #docker #writeup
Карманный бот для анализа веб-сайта в Телеграме
Думаю многие сталкивались с проблемой, когда нужно было сделать базовый анализ какого либо вебсайта и ПК/Ноутбука рядом не находились, но был смартфон. В таких случаях есть несколько решений, например кто-то имеет SSH доступ к основной машине, кто-то VNC. Главной проблемой остается управление, нужно что-то удобное, почему бы нам не взять телеграм ботов? Они гораздо более удобные, в них есть список комманд на которые достаточно нажать, а не печатать полностью, да и сам интерфейс более юзер-френдли.
📌 Читать далее
#programming #python #pentest
Думаю многие сталкивались с проблемой, когда нужно было сделать базовый анализ какого либо вебсайта и ПК/Ноутбука рядом не находились, но был смартфон. В таких случаях есть несколько решений, например кто-то имеет SSH доступ к основной машине, кто-то VNC. Главной проблемой остается управление, нужно что-то удобное, почему бы нам не взять телеграм ботов? Они гораздо более удобные, в них есть список комманд на которые достаточно нажать, а не печатать полностью, да и сам интерфейс более юзер-френдли.
📌 Читать далее
#programming #python #pentest
Очередные поиски флага на Hackthebox в категории OSINT
Привет, дорогой друг! Сегодня я продолжу рассказывать про поиск флага на Hackthebox. Забегу немного вперед: данная статья будет очень короткой. Мне довольно легко и быстро удалось найти флаг. В задании нас просят найти в социальных сетях информацию, которая поможет проникнуть в компанию "Evil Corp LLC".
📌 Читать далее
#osint #ctf #htb
Привет, дорогой друг! Сегодня я продолжу рассказывать про поиск флага на Hackthebox. Забегу немного вперед: данная статья будет очень короткой. Мне довольно легко и быстро удалось найти флаг. В задании нас просят найти в социальных сетях информацию, которая поможет проникнуть в компанию "Evil Corp LLC".
📌 Читать далее
#osint #ctf #htb
🔵 Приложение ВКонтакте пропало из App Store
Приложение соц. сети «ВКонтакте» исчезло из магазина App Store. Также не удается найти дочернее приложение музыкального сервиса «VK Музыка». Приложение для Android по-прежнему остается доступным в Google Play.
Пока точно неизвестно, почему приложения исчезли из App Store. Ранее Apple не выступала против приложений и сервисов холдинга VK. До этого все удаления доставались проектам «Сбера», например, недавно из магазина исчез сервис 2ГИС.
🗞 Блог Кодебай
#news #apple #vk
Приложение соц. сети «ВКонтакте» исчезло из магазина App Store. Также не удается найти дочернее приложение музыкального сервиса «VK Музыка». Приложение для Android по-прежнему остается доступным в Google Play.
Пока точно неизвестно, почему приложения исчезли из App Store. Ранее Apple не выступала против приложений и сервисов холдинга VK. До этого все удаления доставались проектам «Сбера», например, недавно из магазина исчез сервис 2ГИС.
🗞 Блог Кодебай
#news #apple #vk
Минимизация использования не рекомендованного программного обеспечения в компании
Что такое программное обеспечение для пользователя? Инструменты для реализации идей, а также служебных задач. Что такое программное обеспечение для сотрудников отдела информационной безопасности? Набор уязвимостей, которые необходимо регулярно удалять из корпоративной сети.
📌 Читать далее
#software #pentest
Что такое программное обеспечение для пользователя? Инструменты для реализации идей, а также служебных задач. Что такое программное обеспечение для сотрудников отдела информационной безопасности? Набор уязвимостей, которые необходимо регулярно удалять из корпоративной сети.
📌 Читать далее
#software #pentest
Entropy: Тестируем IP-камеры
Добрый день, уважаемые друзья и форумчане. Решил запостить что-нибудь лёгкое. У Entynetproject Organization стали попадаться неплохие инструменты для pentest.
Автор данного инструмента enty8080. Предназначен для тестирования и эксплуатации уязвимости wifi-камер, связанных с сервером GoAhead.
📌 Читать далее
#software #camera
Добрый день, уважаемые друзья и форумчане. Решил запостить что-нибудь лёгкое. У Entynetproject Organization стали попадаться неплохие инструменты для pentest.
Автор данного инструмента enty8080. Предназначен для тестирования и эксплуатации уязвимости wifi-камер, связанных с сервером GoAhead.
📌 Читать далее
#software #camera
Звонок в поддержку. Проходим машину Support на Hack The Box
Наверное каждый уважающий себя специалист по информационной безопасности знает, а может и проходил такие испытания, как CTF. Это своеобразный мозговой штурм, который заставляет использовать изощренные методы взлома систем или серверов. Так как мои навыки в этом деле очень малы, я решил взять одну из легких машин с названием Support. И сегодня я расскажу тебе о том, как ее пройти.
📌 Читать далее
#ctf #htb #writeup
Наверное каждый уважающий себя специалист по информационной безопасности знает, а может и проходил такие испытания, как CTF. Это своеобразный мозговой штурм, который заставляет использовать изощренные методы взлома систем или серверов. Так как мои навыки в этом деле очень малы, я решил взять одну из легких машин с названием Support. И сегодня я расскажу тебе о том, как ее пройти.
📌 Читать далее
#ctf #htb #writeup
