​Универсальный обход SSL pinning для андроид приложений

Привет всем, в этой статье, я объясню как обойти SSL pinning для андроид приложений используя Frida framework. Я попытаюсь объяснить все в деталях,четко и понятно. В настоящее время большинство приложений реализуют SSL pinning в своем мобильном приложении. Почему же? Давайте рассмотрим, что мы хотим безопасно обмениваться некоторыми данными между нашим устройством и сервером. Сделает ли шифрование транспортного уровня ssl передачу данных безопасной и надежной? Ну, тут есть подвох.

📌 Читать далее

#android #ssl #bypass

​​Фаззинг веб-приложений на практике

Одна из стадий аудита веб-приложений – это, как известно, фаззинг. В данной статье я хочу рассказать о практической стороне фаззинга, показать, как это работает, и как искать баги, используя данную технику тестирования веб-приложений. Также рассмотрю некоторые средства автоматизации и программу “Fuzzer”, которая призвана частично автоматизировать процесс фаззинга веб-приложения. Статья будет полезна для специалистов уровня Junior.

📌 Читать далее

#beginner #pentest

‼️ Прокачайся до Junior+ за 4 месяца

Вы еще можете записаться на наш новый курс "Основы DevOps" по 26 октября включительно!

Курс направлен на изучение методологии DevOps и основных применяемых в ней практик. Особое внимание уделено изучению микросервисов и их оркестрации с помощью Kubernetes, построению конвейеров CI/CD c помощью Jenkins и управлению инфраструктурой как кодом с помощью Terraform и Ansible.

Прибавьте к этому сопровождение куратора, 400+ страниц методичек, практическую отработку - и вы не будете думать о том, как пройти собеседование.

В финале вы защищаете дипломный проект, который потом сможете добавить в своё резюме.✅

После завершения обучения выдается удостоверение о повышении квалификации.📃

Успевай записаться на курс "Основы DevOps"

​Как стать гуру или WiFi Cheat Sheet

А что мы знаем про пентест Wi-Fi? Кажется, что уже всё, но вот на offzone 2023 была представлена атака WPA‑E (Надеюсь, в скором времени выложат запись и pdf) и я задумался, а так ли всё хорошо с моими знаниями... Нет, я всё с концами оставил на старых ЖД и где‑то далеко в памяти, пришлось восстанавливать по крупицам всю информацию. Заметки, время и старания — главное составляющее статьи.

📌 Читать далее

#wifi #cheatsheet

​ver 0.0 или моё начало пути в мир инфобеза

Всем доброго времени суток, меня зовут XXX, мне 3X лет и работаю я в XXX по профессии XXX. Так сложилось что на своем рабочем месте имею неограниченное свободное время, компьютер и практически не имею каких-либо обязанностей. Еще со студенческих лет я восхищался ребятами которые занимались программированием, радиофизикой и связанной с этим темами. И вот с недавнего времени все на том же ютубе мне стали попадаться видеоматериалы связанные с темой "пентеста". Как-то читая очередную статью окутанную флером противостояния криминалистов из организации XXX и неких неизвестных хакеров, пришло осознание того, что я сам хочу погрузиться в этот доселе невиданный, но такой интересный мир информационной безопасности.

📌 Читать далее

#beginner #learning #roadmap

🔎 Курс «Боевой OSINT» от Академии Кодебай!

Старт: 6 ноября
Длительность: 3 месяца

ℹ️ «Боевой OSINT» — курс представляет собой полную, подробную, пошаговую методику сбора информации из открытых источников.

✔️ Подробные текстовые методички;
✔️ Подробная видео инструкция в каждом уроке;
✔️ Общий чат учащихся курса;
✔️ Поддержка куратора на протяжении всего курса;
✔️ Лабораторная работа после каждого урока;
✔️ Итоговая практическая работа.

🧐 Будет полезен специалистам служб корпоративной безопасности, собственникам и руководителям предприятий, сотрудникам государственных спецслужб, всем желающим получить профессиональные навыки сбора и обработки полученной информации.

📌 Узнать подробнее о курсе

​​ASM. Демоны в Windows (1) – сессии, станции, рабочие столы

В системах класса Win, одним из привлекательных направлений является программирование сервисов. Связано это с тем, что сервисы имеют приоритет над обычными приложениями, поскольку предназначены для обслуживания работы самой ОС и запускаются от имени системы. По этой причине, их ещё называют системными службами. Если провести аналогию с Linux, то сервисы Win можно сравнить с демонами, которые присутствуют всегда, но не выползая в свет работают в фоне. В данном треде попробуем разобраться с технической их стороной и посмотрим, какую они представляют угрозу безопасности. Материал получился обширным, а потому пришлось разделить его на две части.

📌 Читать далее

#asm #windows #software

​​Блуждаем по просторам GitHub: Дыры, скрипты, QR-коды и чертовщина

Не будем мы с вами открывать Америку и вновь: пойдёт дело о вещах общедоступных,но опасных в меру, о небольшой халатности и мошенничестве, что ставит под угрозу вашу приватность и безопасность. Сегодня предлагаю я вам достаточно увлекательный тур по просторам GitHub'a.

📌 Читать далее

#github #software

⚙️ Курс «Введение в реверс-инжиниринг»

Изучите тайны программного обеспечения и познакомьтесь с обратной разработкой на курсе от Академии Кодебай.

Всего за 6 месяцев вы научитесь анализировать исполняемые файлы, понимать их структуру и исследовать вредоносное ПО. Главной темой курса является реверс-инжиниринг программ, написанных на языке ассемблера и Си.

Курс подойдет как новичкам, знающим основы программирования, так и практикующим специалистам: вирусным аналитикам, реверс-инженерам, программистам, разработчикам ПО, багхантерам и пентестерам.

📆 Старт курса - 6 ноября

🔝 Преимущества: личная поддержка от куратора, более 120 заданий в практической лаборатории, закрытый чат единомышленников, подробные методические материалы для быстрого погружения в программу и сертификат при успешной сдаче экзамена.

ℹ️ Узнать подробнее о курсе

​WebSocket. Краткий экскурс в пентест ping-pong протокола

"Краткость - сестра таланта" - именно так сказал Антон Павлович Чехов, и теперь говорю я. Сегодня, завтра и до конца дней площадки речь пойдет о WebSocket-ах: "Что это?", "Как работает?" и главное - "Как это взламывать?" (в целях этичного хакинга конечно). Начнем с простого и будем идти к более сложному, пробираясь через тернии к звёздам. Приятного чтения

📌 Читать далее

#beginner #pentest #websocket

🚩 Киберколизей: открыта регистрация на международные CTF-соревнования по кибербезопасности!

⏰ Старт: 11 ноября 10:00. Продолжительность 48 часов.

👥 Формат: Jeopardy (Classic). Участвуй самостоятельно или собери команду до 5 человек.

🏆 Призы для команд-победителей:
1 место — 50.000 руб, мерч, сертификат
2 место — 40.000 руб, мерч, сертификат
3 место — 30.000 руб, мерч, сертификат
4-10 места — электронный серт. + статус на форуме

Также первая тройка победителей получит скидку на любой курс Академии Кодебай: 50%, 40%, 30% соответственно.

✅ Подробности и регистрация команд: https://cybercoliseum.codeby.games

Принять участие могут все желающие, независимо от уровня подготовки. Пригласите друзей и вместе завоюйте победу!

​​Анализ паролей для предотвращения Credential stuffing

Если вы этого не понимаете, вбейте в гугл "почему пароли - отстой", и я избавлю вас от нескольких страниц текста. На протяжении многих лет, веб-сайты требовали от пользователей создавать все более сложные пароли, пытаясь не дать злоумышленнику получить доступ к учетной записи жертвы, путем брутфорса. Каждый сайт имеет свой собственный смехотворный набор правил, в результате чего пароли трудно запоминаются. Многие предпочитают создать один "хороший" пароль и использовать его для всех своих учетных записей в Интернете. Если оставить кражу пароля в стороне, то это может быть нормально, доверять безопасную передачу и хранение вашего пароля каждому веб-приложению, но дело в том, что они часто не могут этого сделать.

📌 Читать далее

#analysis #password #information

🥷 Paranoid R+ - уникальный курс по организации безопасного доступа в сеть и защите данных

Перестань волноваться о своих персональных данных и обеспечь безопасность своих действий в интернете. Мы предлагаем тебе перенять навыки от наших экспертов кибербезопасности на курсе Paranoid R+

🎓 Всего за 2 месяца мы научим тебя работать с open-source средствами шифрования криптоконтейнеров и дисков в Linux, познакомим с анонимной работой с криптовалютой, радиоэлектроникой и виртуальными машинами.

Курс будет полезен всем интересующимся темой анонимности, а так же специалистам, по роду деятельности связанным с хранением или передачей конфиденциальной информации.

📆 Старт курса - 6 ноября

🔝 Преимущества: квалифицированная поддержка куратором, доступ в закрытый чат единомышленников, подробные методические материалы для быстрого погружения в программу и сертификат об окончании обучения после успешной сдачи экзамена.

ℹ️ Узнать подробнее о курсе

​​Обработка ошибок в языке Си

В языке Си нет никакой нативной обработки ошибок, а значит приходится пользоваться всякими костылями, чтобы эту обработку ошибок сделать.

📌 Читать далее

#programming #c

​ASM – техники из старого сундука

Есть поговорка: "Программистами не рождаются – ими умирают". Исходя из этой парадигмы можно сделать вывод, что за долгий свой/программерский путь, у каждого из нас снежным комом накапливаются различные техники и алгоритмы, поделиться с общественностью которыми было-бы не грех. К примеру на этапе моего начинания, мир процессора для меня был так юн, что некоторые вещи не приобрели ещё свои имена и приходилось указывать на них пальцем. Позже, все просветления было решено записывать в блокнот, который постепенно разбух до увесистого романа. Фильтр элементарных заметок сделал своё дело и на данный момент в этом блокноте осталось ~1000 строк, которые я и решил сбросить сюда с краткими комментариями.

📌 Читать далее

#asm #cpuid

​​Проект на Django и реализация на Apache2

Python на сегодняшний день является одним из наиболее популярных языков программирования, позволяющим решать задачи в разных областях IT-сферы, в том числе и разработке веб-приложений. Например, YouTube, Instagram, Spotify, написаны с использованием данного фреймворка, что говорит нам о его актуальности,

📌 Читать далее

#programming #python #apache

​WinHook – легальный шпионаж

Порой логика инженеров Microsoft не выдерживает никакой критики. В священных войнах с хакерами они сами вручают им мандат на использование уязвимых функций, после чего отлавливают их-же с претензиями на взлом. Из большого числа подобных API на передний план буйком выплывает SetWindowsHookEx(), при помощи которой одним кликом мыши можно внедрить "творческую" свою DLL сразу во все активные процессы системы. В итоге, даже обычный юзверь может перехватить любые действия пользователя, вплоть до логирования клавиатурного ввода. И что особенно важно, ничего криминального в этом нет, поскольку мелкософт сама предлагает нам эту функцию, оформив ей прописку в библиотеке user32.dll. Чем они руководствовались остаётся для нас загадкой, но функция есть, а значит имеет смысл рассмотреть подробно её реализацию.

📌 Читать далее

#asm #windows

Грамотный аналитик, исследуя открытые источники, должен работать тихо и незаметно, как ниндзя 🥷

Хочешь научиться искусству OSINT и при этом защитить свою приватность? У нас есть отличное предложение для тебя:
❗️ До 16 ноября при покупке пакета курсов «Боевой OSINT» + «Paranoid R+» ты получаешь скидку 20%

Обучающая программа разработана экспертами с многолетним опытом и нацелена на максимально комфортное и эффективное освоение материала.

Наши кураторы на протяжении всего обучения будут проверять решения, подсказывать наиболее оптимальные подходы и помогут тебе достичь поставленных целей.

🏆 Выдаём удостоверение о повышении квалификации/сертификат при успешной сдаче экзамена. Возможна оплата в рассрочку

📌 Подробнее об акции