Мыслите вне рамок OWASP TOP-10/SANS TOP-25/Bug Bounty
В этой статье мы обсудим несколько примеров, чтобы донести главную идею о том, что если вы думаете ограниченно, то вы и будете ограниченными. Использование Bug bounty ухудшило качество тестирования на проникновение, как для клиентов, так и для специалистов. Клиенту трудно отличить хороший пентест от быстрого и грязного, при использовании топ-10/топ-25 будь то SANS или OWASP.
Читать статью: https://codeby.net/threads/myslite-vne-ramok-owasp-top-10-sans-top-25-bug-bounty.72818/
#pentest #owasp
В этой статье мы обсудим несколько примеров, чтобы донести главную идею о том, что если вы думаете ограниченно, то вы и будете ограниченными. Использование Bug bounty ухудшило качество тестирования на проникновение, как для клиентов, так и для специалистов. Клиенту трудно отличить хороший пентест от быстрого и грязного, при использовании топ-10/топ-25 будь то SANS или OWASP.
Читать статью: https://codeby.net/threads/myslite-vne-ramok-owasp-top-10-sans-top-25-bug-bounty.72818/
#pentest #owasp
Жертва против Хищника: aльтернативная история о борьбе с флудом на номер телефона и не только
Эта статья не будет каноничной в отношении к моим предыдущим писанинам.Категорически к слову, поэтому не судите строго, больше походить будет на практическое пособие, что делать и как защитить себя и свои гаджеты во время флуд-атак. Вы вряд-ли найдёте-то здесь пособие по тому, как свести конкурента с бизнеса или, как насолить другу, делающему домашку, но вы узнаете, как противостоять конкуренту, которых хочет вас вывести с дела, как защитить свой телефон от неминуемой гибели от перегруза.
Читать на Codeby: https://codeby.net/threads/zhertva-protiv-xischnika-alternativnaja-istorija-o-borbe-s-fludom-na-nomer-telefona-i-ne-tolko.72817/
#flood
Эта статья не будет каноничной в отношении к моим предыдущим писанинам.Категорически к слову, поэтому не судите строго, больше походить будет на практическое пособие, что делать и как защитить себя и свои гаджеты во время флуд-атак. Вы вряд-ли найдёте-то здесь пособие по тому, как свести конкурента с бизнеса или, как насолить другу, делающему домашку, но вы узнаете, как противостоять конкуренту, которых хочет вас вывести с дела, как защитить свой телефон от неминуемой гибели от перегруза.
Читать на Codeby: https://codeby.net/threads/zhertva-protiv-xischnika-alternativnaja-istorija-o-borbe-s-fludom-na-nomer-telefona-i-ne-tolko.72817/
#flood
Поисковик эксплойтов - https://sploitus.com
Позволяет искать по содержимому и имени в публичных эксплойтах, подбирать софт по его описанию, смотреть и скачивать их в два клика.
В настоящее включает в себя такие продукты как
* exploitdb
* metasploit
* 0day.today
* canvas
* d2
* packetstorm
* pwnmalw
* saint
* seebug
* vulnerlab
* zeroscience
* exploitpack
https://hsto.org/webt/a6/la/ao/a6laao2fnkrwp1iy7amwjbih22k.png
Поиск по софту включает ресурсы kitploit и n0where.
На главной странице также представлены популярные эксплойты которые появились за последнюю неделю, а также присутствует RSS лента.
TODO:
Создать возможность включения темной темы
Принимать на модерацию и добавление пользовательские эксплойты (с github).
Можете предлагать свои идеи, рассказывать о багах и отправлять ресурсы для включения в базу.Врайтап конукрса в телеграме и подстава от Google Form
Всем привет, в статье мы поговорим о том как нужно было решать наш мини квест, а ещё о некоторых моментах с гугл формами.
Читать: https://codeby.net/threads/vrajtap-konukrsa-v-telegrame-i-podstava-ot-google-form.72909/
#writeup
Всем привет, в статье мы поговорим о том как нужно было решать наш мини квест, а ещё о некоторых моментах с гугл формами.
Читать: https://codeby.net/threads/vrajtap-konukrsa-v-telegrame-i-podstava-ot-google-form.72909/
#writeup
Получаем доступ к AWS консоли с помощью API ключей
Клиенты часто просят нас протестировать приложения, сети и/или инфраструктуру, размещенные на Amazon Web Services (AWS). В рамках этих проверок, мы часто находим активные учетные данные IAM различными способами. Эти учетные данные позволяют владельцу выполнять привилегированные действия в службах AWS в пределах учетной записи AWS.
Читать статью на форуме: https://codeby.net/threads/poluchaem-dostup-k-aws-konsoli-s-pomoschju-api-kljuchej.72891/
#AWS
Клиенты часто просят нас протестировать приложения, сети и/или инфраструктуру, размещенные на Amazon Web Services (AWS). В рамках этих проверок, мы часто находим активные учетные данные IAM различными способами. Эти учетные данные позволяют владельцу выполнять привилегированные действия в службах AWS в пределах учетной записи AWS.
Читать статью на форуме: https://codeby.net/threads/poluchaem-dostup-k-aws-konsoli-s-pomoschju-api-kljuchej.72891/
#AWS
В период дистанционной работы важно не выпадать из жизни и оставаться рядом с коллегами, партнерами и друзьями. Чтобы стереть расстояния, Positive Technologies запустила вечерние стримы «ИБшник на удаленке», в которых обсуждаются насущные вопросы со спикерами от мира информационной безопасности. Сегодня в 18:00 будем говорить о подходах к мониторингу событий ИБ при переходе на удаленку и о современных принципах фишинга. Подключайтесь!
Обзор курса WAPT или Тестирование Веб-Приложений на проникновение
Всем привет, давно не выходил на связь со статьями и обзорами. Надеюсь режим изоляции не сводит всех с ума и Вы находите для себя занятие по душе.
Вот и я хочу поведать Вам о замечательном курсе, который выбрал для себя для того, чтобы подтянуть отстающие навыки в веб-хакинге, такие как SQL-injection, XSS, XXE и другие. Скажу сразу, обзор делаю крайне независимым от мнений и принадлежности себя как части форума Codeby.net мне действительно "до лампы" мнения окружающих, мне важно лишь собственное ощущение удовлетворенности от полученного и что самое важное закрепления навыка.
Читать обзор: https://codeby.net/threads/obzor-kursa-wapt-ili-testirovanie-veb-prilozhenij-na-proniknovenie.72934/
#WAPT #pentest
Всем привет, давно не выходил на связь со статьями и обзорами. Надеюсь режим изоляции не сводит всех с ума и Вы находите для себя занятие по душе.
Вот и я хочу поведать Вам о замечательном курсе, который выбрал для себя для того, чтобы подтянуть отстающие навыки в веб-хакинге, такие как SQL-injection, XSS, XXE и другие. Скажу сразу, обзор делаю крайне независимым от мнений и принадлежности себя как части форума Codeby.net мне действительно "до лампы" мнения окружающих, мне важно лишь собственное ощущение удовлетворенности от полученного и что самое важное закрепления навыка.
Читать обзор: https://codeby.net/threads/obzor-kursa-wapt-ili-testirovanie-veb-prilozhenij-na-proniknovenie.72934/
#WAPT #pentest
Как понять, что на компьютере вирус, если нет возможности воспользоваться антивирусом? Как моделировать угрозы с помощью kill chain? Специалисты Positive Technologies обсудят это на стриме «ИБшник на удаленке». Ведущие всегда читают чат и отвечают на любые вопросы об ИБ, спрашивайте :) Подключайтесь сегодня в 18:00!
Как организована удаленка в вашей компании? Positive Technologies проводит опрос, чтобы выбрать приоритеты в разработке способов защиты IT-инфраструктуры. Пожалуйста, ответьте анонимно на семь вопросов. Результаты объявим в конце апреля.
Hotjar
Hotjar Survey
Survey powered by Hotjar.com. Create your own Survey now - it's free, quick & easy!
О стеганографии кратко, ДКП, Встраивание ЦВЗ
Так как рассказать о всех тонкостях данной научной области в рамках одного поста не представляется возможным, хочу обратить ваше внимание на наиболее приглядные, с моей точки зрения, реализации стеганографии, а именно цифровых водяных знаков (далее - ЦВЗ) в современных технологиях
Читать статью на Codeby: https://codeby.net/threads/o-steganografii-kratko-dkp-vstraivanie-cvz.72975/
#Стеганография #Анонимность #ДКП
Так как рассказать о всех тонкостях данной научной области в рамках одного поста не представляется возможным, хочу обратить ваше внимание на наиболее приглядные, с моей точки зрения, реализации стеганографии, а именно цифровых водяных знаков (далее - ЦВЗ) в современных технологиях
Читать статью на Codeby: https://codeby.net/threads/o-steganografii-kratko-dkp-vstraivanie-cvz.72975/
#Стеганография #Анонимность #ДКП
Новое из раздела работа / вакансии
• Ищем специалиста по ИБ и пентесту В команду крупного проекта ищем специалиста по кибербезопасности и пентесту. ЗП от 100К плюс премии, оплата проживания, питания и тд.
• Нужен верстальщик/дизайнер Нужен верстальщик/дизайнер, с опытом и примерами работ. Зп от 1к$ в месяц.
• Разработчик на проект на длительный период Необходимо развить и поддерживать проект. Знания работы клиент-серверных приложений, С\С++, умение писать чистый код, модульные приложения.
• Ищем специалиста по ИБ и пентесту В команду крупного проекта ищем специалиста по кибербезопасности и пентесту. ЗП от 100К плюс премии, оплата проживания, питания и тд.
• Нужен верстальщик/дизайнер Нужен верстальщик/дизайнер, с опытом и примерами работ. Зп от 1к$ в месяц.
• Разработчик на проект на длительный период Необходимо развить и поддерживать проект. Знания работы клиент-серверных приложений, С\С++, умение писать чистый код, модульные приложения.
Как я сдавал OSCP?!
Привет, мой друг. Вот и я решил черкануть тебе пару строк об уже нашумевшем экзамене OSCP. Думаю, если ты читаешь эту тему, то уже знаешь о чем речь, но на всякий случай, если привел тебя сюда "Random", напомню, OSCP - Offensive Security Certified Professional, знаменитый международный сертификат по наступательной безопасности, который подтверждает квалификацию пентестера. Его особенность в том, что его нельзя сдать "заучив тесты", только реальная практика пентеста, только хардкор. В этой статье я расскажу о том, как я прошел свой путь.
Читать повествование на Codeby: https://codeby.net/threads/kak-ja-sdaval-oscp.72833/
#SoolFaa #OSCP
Привет, мой друг. Вот и я решил черкануть тебе пару строк об уже нашумевшем экзамене OSCP. Думаю, если ты читаешь эту тему, то уже знаешь о чем речь, но на всякий случай, если привел тебя сюда "Random", напомню, OSCP - Offensive Security Certified Professional, знаменитый международный сертификат по наступательной безопасности, который подтверждает квалификацию пентестера. Его особенность в том, что его нельзя сдать "заучив тесты", только реальная практика пентеста, только хардкор. В этой статье я расскажу о том, как я прошел свой путь.
Читать повествование на Codeby: https://codeby.net/threads/kak-ja-sdaval-oscp.72833/
#SoolFaa #OSCP
Форум информационной безопасности - Codeby.net
Как я сдавал OSCP?!
Привет, мой друг. Вот и я решил черкануть тебе пару строк об уже нашумевшем экзамене OSCP. Думаю, если ты читаешь эту тему, то уже знаешь о чем речь, но на всякий случай, если привел тебя сюда...
Таймеры системы. Часть[2] – ACPI
Содержание:
1. Общие сведения. Legacy-таймеры PIT и RTC.
2. Шина PCI – таймер менеджера питания ACPI.
3. Усовершенствованный таймер HPET.
4. Счётчики процессора LAPIC и TSC (time-stamp-counter).
5. Win - профилирование кода.
---------------------------------------
В первой части рассматривались общие сведения и унаследованные девайсы..
В этой части познакомимся с шиной PCI и более совершенными таймерами наших дней..
Читать статью: https://codeby.net/threads/tajmery-sistemy-chast-2-acpi.73020/
#Ассемблер #Assembler
Содержание:
1. Общие сведения. Legacy-таймеры PIT и RTC.
2. Шина PCI – таймер менеджера питания ACPI.
3. Усовершенствованный таймер HPET.
4. Счётчики процессора LAPIC и TSC (time-stamp-counter).
5. Win - профилирование кода.
---------------------------------------
В первой части рассматривались общие сведения и унаследованные девайсы..
В этой части познакомимся с шиной PCI и более совершенными таймерами наших дней..
Читать статью: https://codeby.net/threads/tajmery-sistemy-chast-2-acpi.73020/
#Ассемблер #Assembler
Установка openvas на Kali Linux
Привет, мой дорогой читатель. Видел на форуме несколько проблем с установкой сканера openvas на kali linux. Решил написать полный мануал по установке этого детища, плюсом немного задену сканирование.
Для тех, кто не знает: openvas - это сканер уязвимостей в локальной сети. Однако не стоит считать любой сканер панацеей, будь то openvass, nessus либо nexpose. Платный или бесплатный инструмент - он всегда остается инструментом для сохранения времени и автоматизации рутинной работы, не более
Читать далее: https://codeby.net/threads/ustanovka-openvas-na-kali-linux.66593/
#openvas
Привет, мой дорогой читатель. Видел на форуме несколько проблем с установкой сканера openvas на kali linux. Решил написать полный мануал по установке этого детища, плюсом немного задену сканирование.
Для тех, кто не знает: openvas - это сканер уязвимостей в локальной сети. Однако не стоит считать любой сканер панацеей, будь то openvass, nessus либо nexpose. Платный или бесплатный инструмент - он всегда остается инструментом для сохранения времени и автоматизации рутинной работы, не более
Читать далее: https://codeby.net/threads/ustanovka-openvas-na-kali-linux.66593/
#openvas
Свежее предложение с биржи труда
Вакансия Консультант/ Аудитор ИБ Оклад: 80 000- 150 000 руб. ( готовы обсудить большие суммы); Годовой бонус в размере 4-х окладов; Обучение и сертификация за счет компании
Вакансия Консультант/ Аудитор ИБ Оклад: 80 000- 150 000 руб. ( готовы обсудить большие суммы); Годовой бонус в размере 4-х окладов; Обучение и сертификация за счет компании
PHONE PARSER - Поиск по телефону RU
PHONE PARSER
PHONE PARSER — Это утилита которая поможет найти ту или иную информацию по номеру телефона.
AVITO
PHONE PARSER — Ищет данные на авито если с этого номера публиковались обьявления в эту платформу
Так же если в обьявление был указан Адрес он так же его вам покажет, даже в том случае если обьявление удалили!
GETCONTACT
GETCONTACT — Всеми нами знакомый сервис для поиска по номеру И.Ф Владельца, PHONE PARSER и его не обошел стороной и ищет номер в их базе
Внимание! Для чтения необходим статус Green Team. Читать статью на форуме: https://codeby.net/threads/phone-parser-poisk-po-telefonu-ru.72553/
#osint
PHONE PARSER
PHONE PARSER — Это утилита которая поможет найти ту или иную информацию по номеру телефона.
AVITO
PHONE PARSER — Ищет данные на авито если с этого номера публиковались обьявления в эту платформу
Так же если в обьявление был указан Адрес он так же его вам покажет, даже в том случае если обьявление удалили!
GETCONTACT
GETCONTACT — Всеми нами знакомый сервис для поиска по номеру И.Ф Владельца, PHONE PARSER и его не обошел стороной и ищет номер в их базе
Внимание! Для чтения необходим статус Green Team. Читать статью на форуме: https://codeby.net/threads/phone-parser-poisk-po-telefonu-ru.72553/
#osint
Свежие вакансии с биржи труда
• Набор команды по пентесту в startup Нужно провести пентест трех объектов на территории европы (разрешение имеется) для проверки навыков с предоставлением письменных отчетов.
• В поисках Старшего системного администратора Windows Одна из крупнейших Российских компаний, в области информационной безопасности, ищет в команду Старшего системного администратора (DevOps).
• Набор команды по пентесту в startup Нужно провести пентест трех объектов на территории европы (разрешение имеется) для проверки навыков с предоставлением письменных отчетов.
• В поисках Старшего системного администратора Windows Одна из крупнейших Российских компаний, в области информационной безопасности, ищет в команду Старшего системного администратора (DevOps).
DVR и Kali - методы "открытия" DVR-ов разных типов
Всем привет. Совместно с @Sunnych хочу поделиться своими наработками по "открытию" DVRов разных типов и собрать методы в одну статью.
Рабочие инструменты:
- Kali
- Metasploit
- John The Reaper
- RouterSploit
- RouterScan
- SmartPSS + windows 7\10
Отправные точки - Что ищем? и Где ищем?
Читать на Кодебай: https://codeby.net/threads/dvr-i-kali-metody-otkrytija-dvr-ov-raznyx-tipov.73014/
#Форензика #Forensics
Всем привет. Совместно с @Sunnych хочу поделиться своими наработками по "открытию" DVRов разных типов и собрать методы в одну статью.
Рабочие инструменты:
- Kali
- Metasploit
- John The Reaper
- RouterSploit
- RouterScan
- SmartPSS + windows 7\10
Отправные точки - Что ищем? и Где ищем?
Читать на Кодебай: https://codeby.net/threads/dvr-i-kali-metody-otkrytija-dvr-ov-raznyx-tipov.73014/
#Форензика #Forensics
Новости с биржи труда:
Frontend-разработчик (middle/senior) В Blogman мы занимаемся разработкой собственного приложения для блогеров и рекламодателей. В нашей команде уже более 50 разработчиков и мы продолжаем расти. Сейчас мы ищем инженера с опытом коммерческой разработки на JavaScript.
Требуется Senior Unity 3D Developer (gamedev) Мы - это один из самых быстрорастущих разработчиков мобильных игр на рынке. Мы ищем сильного Unity разработчика уровня Senior, для работы над нашим главным тайтлом Dragon Champions.
Вакансия Консультант/ Аудитор ИБ Оклад: 80 000- 150 000 руб. ( готовы обсудить большие суммы); Годовой бонус в размере 4-х окладов; Обучение и сертификация за счет компании;
Набор команды по пентесту в startup Нужно провести пентест трех объектов на территории европы (разрешение имеется) для проверки навыков с предоставлением письменных отчетов.
Новости с фриланс биржи
Давно хотите выйти на клиентов из буржунета, но языковой барьер и страх быть принятым за индуса Вам мешает? Рада познакомиться, Я – Анастасия, Ваш будущий проводник к новым клиентам на западный рынок.
Напишем для вас регеры, спамеры, кликеры, чекеры, парсеры Добрый день. Наша команда напишет для Вас код любой сложности. Создадим проект на http запросах или браузерный.
Ведение страницы в instagram Представляю вашему вниманию свой сервис по работе со страницами в instagram
Frontend-разработчик (middle/senior) В Blogman мы занимаемся разработкой собственного приложения для блогеров и рекламодателей. В нашей команде уже более 50 разработчиков и мы продолжаем расти. Сейчас мы ищем инженера с опытом коммерческой разработки на JavaScript.
Требуется Senior Unity 3D Developer (gamedev) Мы - это один из самых быстрорастущих разработчиков мобильных игр на рынке. Мы ищем сильного Unity разработчика уровня Senior, для работы над нашим главным тайтлом Dragon Champions.
Вакансия Консультант/ Аудитор ИБ Оклад: 80 000- 150 000 руб. ( готовы обсудить большие суммы); Годовой бонус в размере 4-х окладов; Обучение и сертификация за счет компании;
Набор команды по пентесту в startup Нужно провести пентест трех объектов на территории европы (разрешение имеется) для проверки навыков с предоставлением письменных отчетов.
Новости с фриланс биржи
Давно хотите выйти на клиентов из буржунета, но языковой барьер и страх быть принятым за индуса Вам мешает? Рада познакомиться, Я – Анастасия, Ваш будущий проводник к новым клиентам на западный рынок.
Напишем для вас регеры, спамеры, кликеры, чекеры, парсеры Добрый день. Наша команда напишет для Вас код любой сложности. Создадим проект на http запросах или браузерный.
Ведение страницы в instagram Представляю вашему вниманию свой сервис по работе со страницами в instagram
macOS Catalina 10.15.1 один из способов получения копии данных для для дальнейшего изучения
Бывают случаи когда нет возможности извлечь SSD, HDD из устройств macOS, то нужно распаивать экран или сложность разборки, а информацию получить для дальнейшей обработки нужно. Способы с загрузкой разных дистрибутивов особенно Linux для команды DD не дают результат или получаем образ системы который не может распознать: FTK, X-Ways, belkasoft, а программные продукты UFS Explorer, R-Studio так же результатов не дают, хотя тут я немного преувеличил так как программа DMDE (DM Disk Editor and Data Recovery Software) с такого не понятного образа восстанавливает файлы (жаль что без имён) но она всё таки даёт рабочие файлы.
Читать на форуме: https://codeby.net/threads/macos-catalina-10-15-1-odin-iz-sposobov-poluchenija-kopii-dannyx-dlja-dlja-dalnejshego-izuchenija.73087/
#catalina #dmg #forensic #macos
Бывают случаи когда нет возможности извлечь SSD, HDD из устройств macOS, то нужно распаивать экран или сложность разборки, а информацию получить для дальнейшей обработки нужно. Способы с загрузкой разных дистрибутивов особенно Linux для команды DD не дают результат или получаем образ системы который не может распознать: FTK, X-Ways, belkasoft, а программные продукты UFS Explorer, R-Studio так же результатов не дают, хотя тут я немного преувеличил так как программа DMDE (DM Disk Editor and Data Recovery Software) с такого не понятного образа восстанавливает файлы (жаль что без имён) но она всё таки даёт рабочие файлы.
Читать на форуме: https://codeby.net/threads/macos-catalina-10-15-1-odin-iz-sposobov-poluchenija-kopii-dannyx-dlja-dlja-dalnejshego-izuchenija.73087/
#catalina #dmg #forensic #macos