2Fa bypass и account takeover в дикой природе
Различные приложения уже давно слились с нашей повседневностью. В них наши персональные,банковские,личные и другие данные, и их утечка может обойтись очень дорого. В этой статье я затрону насколько плохим может быть отношение к безопасности на примере довольно крупной компании в СНГ по доставке азиатской пищи. Пытаюсь зарепортить уязвимости. Описываю доказательство концепции. Надеюсь, статья будет интересна для вас.
📌 Читать далее
#bypass #2fa #xss
Различные приложения уже давно слились с нашей повседневностью. В них наши персональные,банковские,личные и другие данные, и их утечка может обойтись очень дорого. В этой статье я затрону насколько плохим может быть отношение к безопасности на примере довольно крупной компании в СНГ по доставке азиатской пищи. Пытаюсь зарепортить уязвимости. Описываю доказательство концепции. Надеюсь, статья будет интересна для вас.
📌 Читать далее
#bypass #2fa #xss
Writeup KB-VULN: 3 Vulnhub - небезопасные сервисы
Приветствую! Это прохождение третьей машины из серии KB-VULN. Атакуемая машина под управлением Ubuntu linux, на которой есть 2 флага user.txt и root.txt. Задача: получить 2 флага с целевой машины (user.txt и root.txt) и права пользователя root.
📌 Читать далее
#ctf #writeup
Приветствую! Это прохождение третьей машины из серии KB-VULN. Атакуемая машина под управлением Ubuntu linux, на которой есть 2 флага user.txt и root.txt. Задача: получить 2 флага с целевой машины (user.txt и root.txt) и права пользователя root.
📌 Читать далее
#ctf #writeup
🗃 Сервисы для взаимодействия с метаданными
Вместе с большинством создаваемых файлов (фотографии, документы, аудио и т.д.) хранится и полезная информация, невидимая обычному пользователю - метаданные. С помощью метаданных можно узнать устройство, на котором был создан файл, дату создания и даже местоположение. Рассмотрим несколько сервисов для взаимодействия с метаданными:
👥 GroupDocs.Metadata - онлайн-сервис, который позволяет просматривать, очищать, обновлять и экспортировать информацию о метаданных Microsoft Office, OpenOffice, изображений и других популярных форматов файлов.
🕵️♀️ EXIF Viewer Classic - расширение для браузера с возможностью быстрого получения метаданных (EXIF) любого просматриваемого изображения в вашем браузере.
🖼 Image Scrubber - инструмент для анонимизации фотографий. Он удаляет идентификационные метаданные с фотографий, а также позволяет выборочно размывать части изображения, чтобы скрыть лица и другую конфиденциальную информацию.
🗄 Metadata2Go - приложение для просмотра метаданных. Позволяет просматривать всю скрытую информацию (метаданные) об аудио, видео, документах, электронных книгах и изображениях.
🧰 ExifTool - функциональное приложение командной строки. С его помощью вы можете читать и записывать метаданные в самые разные файлы непосредственно из командной строки.
#useful #metadata #exif
Вместе с большинством создаваемых файлов (фотографии, документы, аудио и т.д.) хранится и полезная информация, невидимая обычному пользователю - метаданные. С помощью метаданных можно узнать устройство, на котором был создан файл, дату создания и даже местоположение. Рассмотрим несколько сервисов для взаимодействия с метаданными:
👥 GroupDocs.Metadata - онлайн-сервис, который позволяет просматривать, очищать, обновлять и экспортировать информацию о метаданных Microsoft Office, OpenOffice, изображений и других популярных форматов файлов.
🕵️♀️ EXIF Viewer Classic - расширение для браузера с возможностью быстрого получения метаданных (EXIF) любого просматриваемого изображения в вашем браузере.
🖼 Image Scrubber - инструмент для анонимизации фотографий. Он удаляет идентификационные метаданные с фотографий, а также позволяет выборочно размывать части изображения, чтобы скрыть лица и другую конфиденциальную информацию.
🗄 Metadata2Go - приложение для просмотра метаданных. Позволяет просматривать всю скрытую информацию (метаданные) об аудио, видео, документах, электронных книгах и изображениях.
🧰 ExifTool - функциональное приложение командной строки. С его помощью вы можете читать и записывать метаданные в самые разные файлы непосредственно из командной строки.
#useful #metadata #exif
Telegram бот для конвертации голосовых сообщений в текст
Приветствую! В этой статье я расскажу о том, как не будучи кодером, писал себе бота для телеграмма. Для начала - немного предыстории. Собственно, она довольно короткая. Моя позиция следующая: В мессенджеры надо писать буковки! Лично мне очень не нравятся голосовые сообщения и люди, которые их постоянно используют.
📌 Читать далее
#programming #python #telegram
Приветствую! В этой статье я расскажу о том, как не будучи кодером, писал себе бота для телеграмма. Для начала - немного предыстории. Собственно, она довольно короткая. Моя позиция следующая: В мессенджеры надо писать буковки! Лично мне очень не нравятся голосовые сообщения и люди, которые их постоянно используют.
📌 Читать далее
#programming #python #telegram
Свое облачное хранилище
Приветствую! Не так давно мне понадобилось свое облачное хранилище. В этой статье речь пойдет о поднятии своего облака. По сути, все, что нам нужно - это программа, которая будет шарить файлы, и производить над ними действия из веб интерфейса.
📌 Читать далее
#cloud #information
Приветствую! Не так давно мне понадобилось свое облачное хранилище. В этой статье речь пойдет о поднятии своего облака. По сути, все, что нам нужно - это программа, которая будет шарить файлы, и производить над ними действия из веб интерфейса.
📌 Читать далее
#cloud #information
Первый в мире Socks5-server с поддержкой UDP протокола на телефоне Android
И так, друзья, небольшое объяснение того, как все это работает. Существует виртуальная сеть под названием Yggdrasil, которая обходит NAT и позволяет превратить ваше устройство, которое находится в локальной сети, в сервер, к которому можно будет подключиться так, как будто это устройство имеет прямой доступ в Интернет. При этом эта сеть децентрализована - что-то наподобие сети TOR, но менее безопасна.
📌 Читать далее
#proxy #socks #android
И так, друзья, небольшое объяснение того, как все это работает. Существует виртуальная сеть под названием Yggdrasil, которая обходит NAT и позволяет превратить ваше устройство, которое находится в локальной сети, в сервер, к которому можно будет подключиться так, как будто это устройство имеет прямой доступ в Интернет. При этом эта сеть децентрализована - что-то наподобие сети TOR, но менее безопасна.
📌 Читать далее
#proxy #socks #android
HackTheBox разбор ID Exposed. На поиски Сары. Продолжаем разбор лаборатории OSINT (Уровень: Easy)
Здравствуйте, продолжаю цикл статей по разбору OSINT EASY-уровня. В этот раз задачка найти Сару (произносить с еврейским акцентом) по почте и по ее последним письмам. Скажу сразу: ищем руками, ботов использовать не будем. Иначе как вы научитесь? Собственно, вся информация, что у нас есть - это электронная почта и некая информация от самой Сары.
📌 Читать далее
#ctf #osint #writeup
Здравствуйте, продолжаю цикл статей по разбору OSINT EASY-уровня. В этот раз задачка найти Сару (произносить с еврейским акцентом) по почте и по ее последним письмам. Скажу сразу: ищем руками, ботов использовать не будем. Иначе как вы научитесь? Собственно, вся информация, что у нас есть - это электронная почта и некая информация от самой Сары.
📌 Читать далее
#ctf #osint #writeup
🐧 Курс «Основы Linux» от Академии Кодебай
Старт: 6 ноября
Длительность: 3 месяца
ℹ️ После прохождения курса «Основы Linux» вы сможете уверенно пользоваться ОС Linux. Кроме этого, вы овладеете важнейшими навыками администрирования и работы со смежным программным обеспечением, что станет крепкой основой для дальнейших шагов в сфере информационных технологий.
🤔 Кому будет полезен наш курс:
✔️ Новичкам, которые никогда не имели дело с ОС Linux, но хотят ее изучить.
✔️ Студентам, которые только поступили на факультет по направлению “информационная безопасность”.
✔️ Уже работающим IT-специалистам, которые хотят усовершенствовать свои навыки.
🔥 Имеется промо-доступ на 7 дней!
📌 С программой курса можно ознакомиться по ссылке: https://codeby.school/catalog/kurs-osnovy-linux
Старт: 6 ноября
Длительность: 3 месяца
ℹ️ После прохождения курса «Основы Linux» вы сможете уверенно пользоваться ОС Linux. Кроме этого, вы овладеете важнейшими навыками администрирования и работы со смежным программным обеспечением, что станет крепкой основой для дальнейших шагов в сфере информационных технологий.
🤔 Кому будет полезен наш курс:
✔️ Новичкам, которые никогда не имели дело с ОС Linux, но хотят ее изучить.
✔️ Студентам, которые только поступили на факультет по направлению “информационная безопасность”.
✔️ Уже работающим IT-специалистам, которые хотят усовершенствовать свои навыки.
🔥 Имеется промо-доступ на 7 дней!
📌 С программой курса можно ознакомиться по ссылке: https://codeby.school/catalog/kurs-osnovy-linux
Основы работы антивирусного программного обеспечения. Часть 1
Статья предназначена для тех, кто желает понять, как устроены современные антивирусные средства, с целью создания собственных средств анализа ПО, позволяющих выявить те или иные вредоносные действия какого-либо конкретного вирусного ПО, а также посмотреть, какими способами и механизмами предотвращается и детектируется атака с использованием заражённых файлов.
📌 Читать далее
#beginner #antivirus
Статья предназначена для тех, кто желает понять, как устроены современные антивирусные средства, с целью создания собственных средств анализа ПО, позволяющих выявить те или иные вредоносные действия какого-либо конкретного вирусного ПО, а также посмотреть, какими способами и механизмами предотвращается и детектируется атака с использованием заражённых файлов.
📌 Читать далее
#beginner #antivirus
Свой OpenVPN сервер на VPS Ubuntu
Привет, Codeby! В этой статье хотелось поделиться опытом настройки VPS и установки/настройки OVPN на Linux Ubuntu 20.04. Начал работать с линукс недавно и в процессе возникали подводные камни, которые вроде бы удалось побороть. В сети достаточно много мануалов по данной теме, но проблема в том, что та или иная инструкция не сработала для меня полностью, пришлось покурить несколько доков и в итоге собрать из них один. Плюс сразу добавить некоторые рекомендации по безопасности сервера. По идее все должно работать с данной ОС без проблем.
📌 Читать далее
#linux #vpn
Привет, Codeby! В этой статье хотелось поделиться опытом настройки VPS и установки/настройки OVPN на Linux Ubuntu 20.04. Начал работать с линукс недавно и в процессе возникали подводные камни, которые вроде бы удалось побороть. В сети достаточно много мануалов по данной теме, но проблема в том, что та или иная инструкция не сработала для меня полностью, пришлось покурить несколько доков и в итоге собрать из них один. Плюс сразу добавить некоторые рекомендации по безопасности сервера. По идее все должно работать с данной ОС без проблем.
📌 Читать далее
#linux #vpn
📊 CISA выпустила инструмент визуализации C&C-логов с открытым исходным кодом
CISA выпустила RedEye, интерактивный аналитический инструмент с открытым исходным кодом для визуализации и отчетности о деятельности Red Team и Blue Team. Инструмент и его детальное описание уже размещены на GitHub.
RedEye позволяет оператору оценить и отобразить сложные данные, оценить стратегии по снижению последствий и поможет принять правильное решение в ответ на действия специалистов из Red Team.
Инструмент анализирует логи, например, журналы Cobalt Strike, и представляет данные в удобном формате. Пользователи могут отмечать и добавлять комментарии к действиям, отображаемым в инструменте. Операторы же могут использовать режим презентации для представления результатов и рабочего процесса заинтересованным сторонам.
🗞 Блог Кодебай
#news #cisa #analyse
CISA выпустила RedEye, интерактивный аналитический инструмент с открытым исходным кодом для визуализации и отчетности о деятельности Red Team и Blue Team. Инструмент и его детальное описание уже размещены на GitHub.
RedEye позволяет оператору оценить и отобразить сложные данные, оценить стратегии по снижению последствий и поможет принять правильное решение в ответ на действия специалистов из Red Team.
Инструмент анализирует логи, например, журналы Cobalt Strike, и представляет данные в удобном формате. Пользователи могут отмечать и добавлять комментарии к действиям, отображаемым в инструменте. Операторы же могут использовать режим презентации для представления результатов и рабочего процесса заинтересованным сторонам.
🗞 Блог Кодебай
#news #cisa #analyse
📹 В версии Zoom для macOS исправили опасную уязвимость
В macOS-версии популярного сервиса видеоконференций Zoom была обнаружена опасная уязвимость. Она позволяет потенциальному злоумышленнику подключаться и управлять приложениями в уязвимой системе.
Уязвимость получила идентификатор CVE-2022-28762 и 7.3 балла по шкале CVSS. Основной причиной возникновения ошибки является неправильная конфигурация порта отладки, который Zoom открывает в macOS.
«macOS-версия клиента Zoom (как стандартная, так и для администраторов) содержит неправильную конфигурацию порта отладки. Баг затрагивает версии с 5.10.6 по 5.12.0. Локальный порт открывается в том случае, если включён режим рендеринга контекста — API Zoom Apps Layers. Злоумышленник может использовать порт отладки для подключения и контроля приложений в Zoom-клиенте», — описывают уязвимость разработчики Zoom.
Разработчики уже выпустили патч, который мы рекомендуем установить всем пользователям уязвимых версий Zoom для macOS.
🗞 Блог Кодебай
#news #zoom #vulnerability
В macOS-версии популярного сервиса видеоконференций Zoom была обнаружена опасная уязвимость. Она позволяет потенциальному злоумышленнику подключаться и управлять приложениями в уязвимой системе.
Уязвимость получила идентификатор CVE-2022-28762 и 7.3 балла по шкале CVSS. Основной причиной возникновения ошибки является неправильная конфигурация порта отладки, который Zoom открывает в macOS.
«macOS-версия клиента Zoom (как стандартная, так и для администраторов) содержит неправильную конфигурацию порта отладки. Баг затрагивает версии с 5.10.6 по 5.12.0. Локальный порт открывается в том случае, если включён режим рендеринга контекста — API Zoom Apps Layers. Злоумышленник может использовать порт отладки для подключения и контроля приложений в Zoom-клиенте», — описывают уязвимость разработчики Zoom.
Разработчики уже выпустили патч, который мы рекомендуем установить всем пользователям уязвимых версий Zoom для macOS.
🗞 Блог Кодебай
#news #zoom #vulnerability
Как работает цепочка блоков ? Приоткрываем капот Blockchain
Привет, Codeby! Я впервые затрагиваю тему криптовалюты, не кидайте камни :3 Я не буду скидывать все в общий котел, копипастить определения из вики и тому подобное. Все рассмотреть сейчас у меня не получится и эта статья будет посвещена основной идее добычи, а именно - майнинге криптовалюты. О том, что из себя представляют все эти транзакции, блокчейны и процесс их добывания.
📌 Читать далее
#beginner #cryptocurrency #blockchain
Привет, Codeby! Я впервые затрагиваю тему криптовалюты, не кидайте камни :3 Я не буду скидывать все в общий котел, копипастить определения из вики и тому подобное. Все рассмотреть сейчас у меня не получится и эта статья будет посвещена основной идее добычи, а именно - майнинге криптовалюты. О том, что из себя представляют все эти транзакции, блокчейны и процесс их добывания.
📌 Читать далее
#beginner #cryptocurrency #blockchain
Zerologon и Active Directory! HackTheBox Fuse Windows (Уровень: Средний)
Приветствую! Продолжаем проходить лаборатории и CTF с сайта HackTheBox! В этой лаборатории мы разберём машину Fuse (Windows). Сегодня мы научимся применять разведку в Active Directory, а так же рассмотрим Zerologon exploit! Начинаем)
📌 Читать далее
#ctf #windows #ad
Приветствую! Продолжаем проходить лаборатории и CTF с сайта HackTheBox! В этой лаборатории мы разберём машину Fuse (Windows). Сегодня мы научимся применять разведку в Active Directory, а так же рассмотрим Zerologon exploit! Начинаем)
📌 Читать далее
#ctf #windows #ad
Codeby
🐧 Курс «Основы Linux» от Академии Кодебай Старт: 6 ноября Длительность: 3 месяца ℹ️ После прохождения курса «Основы Linux» вы сможете уверенно пользоваться ОС Linux. Кроме этого, вы овладеете важнейшими навыками администрирования и работы со смежным программным…
🔥 Друзья, добавлен промо-доступ для ознакомления с курсом «Основы Linux»
Бесплатный доступ на 7 дней можно получить по ссылке: https://codeby.school/buy/44
Бесплатный доступ на 7 дней можно получить по ссылке: https://codeby.school/buy/44
Новый сайт поможет найти ретрофайлы
IT-специалист Джейсон Скотт запустил новый веб-сайт DiscMaster, позволяющий найти нужную информацию среди 91.7 миллиона старых файлов, которые хранились на дискетах и компакт-дисках. База данных Скотта содержит изображения, текстовые документы, музыку, игры, видеофайлы и многое другое.
Новый веб-ресурс, по сути, открывает своеобразное окно в мир старых медиафайлов. Скотту удалось получить все эти данные от тысяч пользователей, которые годами загружали устаревшие файлы в Internet Archive. С помощью Discmaster можно выполнять детальный поиск по типу файла, размеру, источнику, формату, дате и многим другим параметрам.
Для самого разработчика история компьютерных технологий очень важна, поэтому Discmaster, как место сбора старой информации, будет незаменим инструментом для ностальгирующих пользователей или «IT-археологов».
🗞 Блог Кодебай
#news #data
IT-специалист Джейсон Скотт запустил новый веб-сайт DiscMaster, позволяющий найти нужную информацию среди 91.7 миллиона старых файлов, которые хранились на дискетах и компакт-дисках. База данных Скотта содержит изображения, текстовые документы, музыку, игры, видеофайлы и многое другое.
Новый веб-ресурс, по сути, открывает своеобразное окно в мир старых медиафайлов. Скотту удалось получить все эти данные от тысяч пользователей, которые годами загружали устаревшие файлы в Internet Archive. С помощью Discmaster можно выполнять детальный поиск по типу файла, размеру, источнику, формату, дате и многим другим параметрам.
Для самого разработчика история компьютерных технологий очень важна, поэтому Discmaster, как место сбора старой информации, будет незаменим инструментом для ностальгирующих пользователей или «IT-археологов».
🗞 Блог Кодебай
#news #data
🦆 Выпущена публичная бета-версия браузера DuckDuckGo для macOS
Разработчики веб-браузера DuckDuckGo, ориентированного на конфиденциальность и безопасность в сети, представили первую публичную бета-версию для пользователей macOS.
Создатели браузера уверяют, что он гарантирует действительно безопасный веб-серфинг от отслеживания третьих лиц, таргетированной рекламы, регистрации запросов и отслеживания профиля пользователя. По оценкам разработчиков, DuckDuckGo использует на 60% меньше данных, чем Chrome, а также блокирует все трекеры.
На данный момент текущую бета-версию DuckDuckGo 0.30 нельзя назвать стабильной, но она отличается несколькими новыми функциями. Например, встроенный проигрыватель YouTube — Duck Player, который автоматически блокирует создание рекламного профиля пользователя.
Поисковой системой по умолчанию является одноименный поисковик DuckDuckGo, который не использует в своей выдаче пользовательские данные. По большому счету, DuckDuckGo для macOS представлен как альтернатива режиму «Инкогнито», присутствующему в других браузерах.
🗞 Блог Кодебай
#news #duckduckgo #macos
Разработчики веб-браузера DuckDuckGo, ориентированного на конфиденциальность и безопасность в сети, представили первую публичную бета-версию для пользователей macOS.
Создатели браузера уверяют, что он гарантирует действительно безопасный веб-серфинг от отслеживания третьих лиц, таргетированной рекламы, регистрации запросов и отслеживания профиля пользователя. По оценкам разработчиков, DuckDuckGo использует на 60% меньше данных, чем Chrome, а также блокирует все трекеры.
На данный момент текущую бета-версию DuckDuckGo 0.30 нельзя назвать стабильной, но она отличается несколькими новыми функциями. Например, встроенный проигрыватель YouTube — Duck Player, который автоматически блокирует создание рекламного профиля пользователя.
Поисковой системой по умолчанию является одноименный поисковик DuckDuckGo, который не использует в своей выдаче пользовательские данные. По большому счету, DuckDuckGo для macOS представлен как альтернатива режиму «Инкогнито», присутствующему в других браузерах.
🗞 Блог Кодебай
#news #duckduckgo #macos
Web-shell без JavaScript с файл-менеджером на борту
Всем привет! Давно мною был написан простой вариант шелла с небольшим набором функций. Данный шелл был заточен под невидимость для антивирусов и другого специализированного ПО. Но вот мне захотелось написать уже вариант имеющий в арсенале файл-менеджер с разными плюшками. Так как писать много раз написанное не всегда интересно, то я поставил себе более сложную задачу – написать такой шелл без единой строчки кода JavaScript.
📌 Читать далее
#pentest #web #shell
Всем привет! Давно мною был написан простой вариант шелла с небольшим набором функций. Данный шелл был заточен под невидимость для антивирусов и другого специализированного ПО. Но вот мне захотелось написать уже вариант имеющий в арсенале файл-менеджер с разными плюшками. Так как писать много раз написанное не всегда интересно, то я поставил себе более сложную задачу – написать такой шелл без единой строчки кода JavaScript.
📌 Читать далее
#pentest #web #shell
Вездесущее сказание о Github: они уже в твоей голове
Приветствую. Будем беседовать о вещах приземлённых , но неординарно и в своей специфической манере изложения. Собственно, знакомьтесь – это Майкл: типичный студент-иностранец , который проходит обучение в политехническом ВУЗе на втором курсе, специальность значения особого не играет, но важно определить себе ключи его психотипа - он любит всякие хацкерские примочки и штучки, потому постоянно носит с собой ноутбук. Добравшись домой, Майкл начинает парсить Github на предмет наличия интересного и нового, а этим и займёмся вместе с ним мы.
📌 Читать далее
#history #github #software
Приветствую. Будем беседовать о вещах приземлённых , но неординарно и в своей специфической манере изложения. Собственно, знакомьтесь – это Майкл: типичный студент-иностранец , который проходит обучение в политехническом ВУЗе на втором курсе, специальность значения особого не играет, но важно определить себе ключи его психотипа - он любит всякие хацкерские примочки и штучки, потому постоянно носит с собой ноутбук. Добравшись домой, Майкл начинает парсить Github на предмет наличия интересного и нового, а этим и займёмся вместе с ним мы.
📌 Читать далее
#history #github #software
🔎 Курс «Боевой OSINT» от Академии Кодебай!
Старт: 7 ноября
Длительность: 3 месяца
ℹ️ «Боевой OSINT» — курс представляет собой полную, подробную, пошаговую методику сбора информации из открытых источников.
✔️ Подробные текстовые методички;
✔️ Подробная видео инструкция в каждом уроке;
✔️ Общий чат учащихся курса;
✔️ Поддержка куратора на протяжении всего курса;
✔️ Лабораторная работа после каждого урока;
✔️ Итоговая практическая работа.
🧐 Будет полезен специалистам служб корпоративной безопасности, собственникам и руководителям предприятий, сотрудникам государственных спецслужб, всем желающим получить профессиональные навыки сбора и обработки полученной информации.
📌 Подробнее: https://codeby.school/catalog/kurs-osint-2022
Старт: 7 ноября
Длительность: 3 месяца
ℹ️ «Боевой OSINT» — курс представляет собой полную, подробную, пошаговую методику сбора информации из открытых источников.
✔️ Подробные текстовые методички;
✔️ Подробная видео инструкция в каждом уроке;
✔️ Общий чат учащихся курса;
✔️ Поддержка куратора на протяжении всего курса;
✔️ Лабораторная работа после каждого урока;
✔️ Итоговая практическая работа.
🧐 Будет полезен специалистам служб корпоративной безопасности, собственникам и руководителям предприятий, сотрудникам государственных спецслужб, всем желающим получить профессиональные навыки сбора и обработки полученной информации.
📌 Подробнее: https://codeby.school/catalog/kurs-osint-2022
