Современные web-уязвимости (3.Username Enumeration – SSN)
В 2020 году уязвимости получения имен пользователей (username enumeration) по-прежнему широко распространены. Многие компании отказываются исправлять эти недостатки из-за страха перед негативным влиянием на прибыль и удобство пользователей. Вместо того, чтобы рассматривать примеры username enumeration, которые хорошо описаны во многих книгах и онлайн, давайте рассмотрим более эффективный и продвинутый сценарий. С повсеместным использованием фреймворков JavaScript большая часть логики приложений была перенесена со стороны сервера (бекенд) на сторону клиента (фронтенд). Искусственный интеллект закрепляется в инструментах служб безопасности (синей команды). Все больше и больше компаний полагаются на обфускацию и готовые решения по безопасности для предотвращения эксплуатации уязвимостей, которые могли бы быть легко устранены несколькими строчками в серверной логике.
Читать: https://codeby.net/threads/sovremennye-web-ujazvimosti-3-username-enumeration-ssn.77394/
#pentest #research #web
В 2020 году уязвимости получения имен пользователей (username enumeration) по-прежнему широко распространены. Многие компании отказываются исправлять эти недостатки из-за страха перед негативным влиянием на прибыль и удобство пользователей. Вместо того, чтобы рассматривать примеры username enumeration, которые хорошо описаны во многих книгах и онлайн, давайте рассмотрим более эффективный и продвинутый сценарий. С повсеместным использованием фреймворков JavaScript большая часть логики приложений была перенесена со стороны сервера (бекенд) на сторону клиента (фронтенд). Искусственный интеллект закрепляется в инструментах служб безопасности (синей команды). Все больше и больше компаний полагаются на обфускацию и готовые решения по безопасности для предотвращения эксплуатации уязвимостей, которые могли бы быть легко устранены несколькими строчками в серверной логике.
Читать: https://codeby.net/threads/sovremennye-web-ujazvimosti-3-username-enumeration-ssn.77394/
#pentest #research #web
Современные web-уязвимости (2.Host Header Injection)
В то время пока работает новая схема пассивного дохода Юрия (описанная в предыдущей главе), он решает поискать другую уязвимость на GitHub. На домашней странице GitHub он выполняет поиск «$SERVER ['HTTPHOST']». Для тех, кто с PHP не знаком, $SERVER - это зарезервированная переменная, содержащая массив заголовков HTTP, путей (paths) и местоположений скриптов. Переменная $SERVER 'HTTP_HOST' получает заголовок хоста из веб-запроса (request), отправленного в приложение.
Снимок экрана, показывающий результаты поиска GitHub:
Читать: https://codeby.net/threads/sovremennye-web-ujazvimosti-2-host-header-injection.77349/
#pentest #research #web
В то время пока работает новая схема пассивного дохода Юрия (описанная в предыдущей главе), он решает поискать другую уязвимость на GitHub. На домашней странице GitHub он выполняет поиск «$SERVER ['HTTPHOST']». Для тех, кто с PHP не знаком, $SERVER - это зарезервированная переменная, содержащая массив заголовков HTTP, путей (paths) и местоположений скриптов. Переменная $SERVER 'HTTP_HOST' получает заголовок хоста из веб-запроса (request), отправленного в приложение.
Снимок экрана, показывающий результаты поиска GitHub:
Читать: https://codeby.net/threads/sovremennye-web-ujazvimosti-2-host-header-injection.77349/
#pentest #research #web
Forwarded from Positive Events
Каким будет юбилейный PHD, чего от него ждут участники и почему он так важен для IT-сообщества и бизнеса? Ответы на эти и другие вопросы – в роликах наших партнёров.
😎 Впервые на Positive Hack Days в качестве технологического партнера выступает знаменитый фуд-ритейлер, российская сеть продуктовых супермаркетов «Азбука вкуса» 🖤 – компания, которая первая в ритейл-сегменте запустила программу bug bounty. На The Standoff «Азбука вкуса» организует магазин с кассовым узлом, системой лояльности и ERP-системами и предложит участникам Bug Hunting Village пошопиться поискать в них уязвимости и дыры безопасности за вознаграждение. Приходите на PHDays 10, будет необычно!
Руководитель отдела информационной безопасности Азбуки вкуса Дмитрий Кузеванов участникам Positive Hack Days 👇🏼
https://youtu.be/7L_OdKZc9EI
😎 Впервые на Positive Hack Days в качестве технологического партнера выступает знаменитый фуд-ритейлер, российская сеть продуктовых супермаркетов «Азбука вкуса» 🖤 – компания, которая первая в ритейл-сегменте запустила программу bug bounty. На The Standoff «Азбука вкуса» организует магазин с кассовым узлом, системой лояльности и ERP-системами и предложит участникам Bug Hunting Village пошопиться поискать в них уязвимости и дыры безопасности за вознаграждение. Приходите на PHDays 10, будет необычно!
Руководитель отдела информационной безопасности Азбуки вкуса Дмитрий Кузеванов участникам Positive Hack Days 👇🏼
https://youtu.be/7L_OdKZc9EI
YouTube
[RUS] Дмитрий Кузеванов, Азбука вкуса
Делаем MiniPwner из Orange Pi Zero или на что годен апельсин
Недавно я приобрел себе плату Orange Pi Zero. Размер платы всего 46 x 48мм. Я давно хотел сделать MiniPwner. Так давайте попробуем сделать эту игрушку. MiniPwner это небольшое устройство, при незаметном подключение этого устройства к сети которую вы хотите атаковать мы получите доступ 100% доступ к сети.
Читать: https://codeby.net/threads/delaem-minipwner-iz-orange-pi-zero-ili-na-chto-goden-apelsin.62231/
#pi #armbian #lan
Недавно я приобрел себе плату Orange Pi Zero. Размер платы всего 46 x 48мм. Я давно хотел сделать MiniPwner. Так давайте попробуем сделать эту игрушку. MiniPwner это небольшое устройство, при незаметном подключение этого устройства к сети которую вы хотите атаковать мы получите доступ 100% доступ к сети.
Читать: https://codeby.net/threads/delaem-minipwner-iz-orange-pi-zero-ili-na-chto-goden-apelsin.62231/
#pi #armbian #lan
Адаптеры для пентестера в свободной продаже
Привет всем! Начну тему с описанием и тестированием на себе адаптеров из своболной продажи в наших магазинах без всяких Китайских рынков, с которых ждать долго и получаешь порой не совсем нужное. Тестирую на ос Kali и Parrot установленные как на VirtualBox так и в живую. airgeddon как основная утилита для хендшейка и wps
Читать: https://codeby.net/threads/adaptery-dlja-pentestera-v-svobodnoj-prodazhe.62224/
#pentest #wifi #adapter
Привет всем! Начну тему с описанием и тестированием на себе адаптеров из своболной продажи в наших магазинах без всяких Китайских рынков, с которых ждать долго и получаешь порой не совсем нужное. Тестирую на ос Kali и Parrot установленные как на VirtualBox так и в живую. airgeddon как основная утилита для хендшейка и wps
Читать: https://codeby.net/threads/adaptery-dlja-pentestera-v-svobodnoj-prodazhe.62224/
#pentest #wifi #adapter
SocialFish фишинговая атака с помощью Ngrok
Приветствую Друзей,Уважаемых Форумчан и Гоcтей форума. Сегодня мы рассмотрим и поговорим о ещё одном способе метода фишинговой атаки. Основана она на злоупотреблении сервисом Ngrok. Как известно,сервис позволяет осуществить проброс локального вашего веб-сервиса. Задуман он для того,чтобы разработчики смогли поделиться между собой какими-то работами,посмотреть их,продемонстрировать c любой точки планеты. А мы,в свою очередь,будем говорить о том ,как можно атаковать,используя ту лёгкость ,с которой позволяет Ngrok в глобальной сети увидеть вашу фишинговую страницу.
Читать: https://codeby.net/threads/socialfish-fishingovaja-ataka-s-pomoschju-ngrok.62104/
#phishing #ngrok #se
Приветствую Друзей,Уважаемых Форумчан и Гоcтей форума. Сегодня мы рассмотрим и поговорим о ещё одном способе метода фишинговой атаки. Основана она на злоупотреблении сервисом Ngrok. Как известно,сервис позволяет осуществить проброс локального вашего веб-сервиса. Задуман он для того,чтобы разработчики смогли поделиться между собой какими-то работами,посмотреть их,продемонстрировать c любой точки планеты. А мы,в свою очередь,будем говорить о том ,как можно атаковать,используя ту лёгкость ,с которой позволяет Ngrok в глобальной сети увидеть вашу фишинговую страницу.
Читать: https://codeby.net/threads/socialfish-fishingovaja-ataka-s-pomoschju-ngrok.62104/
#phishing #ngrok #se
[Python для хакера] - Часть 1. Начало.
Всех приветствую дорогие друзья! Долго думая, я решил начать цикл статей по сами знаете какой теме. В этой части я посмотрю , нужно ли вам это вообще. Вести я буду этот цикл параллельно с простыми уроками по питону. И собственно проводить в этом разделе. Т.к. относится это к хеку. Начнем)
Читать: https://codeby.net/threads/python-dlja-xakera-chast-1-nachalo.61287/
#python #backdoor #hacking
Всех приветствую дорогие друзья! Долго думая, я решил начать цикл статей по сами знаете какой теме. В этой части я посмотрю , нужно ли вам это вообще. Вести я буду этот цикл параллельно с простыми уроками по питону. И собственно проводить в этом разделе. Т.к. относится это к хеку. Начнем)
Читать: https://codeby.net/threads/python-dlja-xakera-chast-1-nachalo.61287/
#python #backdoor #hacking
Media is too big
VIEW IN TELEGRAM
🔥 Ролик про самые нашумевшие взломы минувших лет 🔥
🔗 Сказать спасибо автору ролика https://codeby.net/threads/samye-gromkie-vzlomy-poslednix-let.77497/
#video
🔗 Сказать спасибо автору ролика https://codeby.net/threads/samye-gromkie-vzlomy-poslednix-let.77497/
#video
Пишем backdoor [Python для хакера] Часть 2
Всем привет, дорогие друзья! Наконец мы дожили до второй части. Заранее извиняюсь, если кого-то заставил ждать. Прошлая часть немного навела шороху, надеюсь и эта не отстанет. Backdoor(или же "запасной ход") - это программный код при помощи которого злоумышленник может получить доступ к системе(в частых случаях к shell'у). Так почему же backdoor - черный ход? - спросите вы. Потому, что его используют для повторного проникновения в уже взломанную систему! - отвечу вам, я) Кстати, Shell - это консольная оболочка системы. К ней мы сегодня и постараемся получить доступ.
Читать: https://codeby.net/threads/pishem-backdoor-python-dlja-xakera-chast-2.62153/
#python #backdoor #hacking
Всем привет, дорогие друзья! Наконец мы дожили до второй части. Заранее извиняюсь, если кого-то заставил ждать. Прошлая часть немного навела шороху, надеюсь и эта не отстанет. Backdoor(или же "запасной ход") - это программный код при помощи которого злоумышленник может получить доступ к системе(в частых случаях к shell'у). Так почему же backdoor - черный ход? - спросите вы. Потому, что его используют для повторного проникновения в уже взломанную систему! - отвечу вам, я) Кстати, Shell - это консольная оболочка системы. К ней мы сегодня и постараемся получить доступ.
Читать: https://codeby.net/threads/pishem-backdoor-python-dlja-xakera-chast-2.62153/
#python #backdoor #hacking
🔗 Сказать "Спасибо" человеку: https://codeby.net/threads/offshore-hosting-spoofing-allowed-zmap-l7.73519/
#СКАМ
#СКАМ
В чате https://t.me/thecodeby запустили тестовый голосовой чат. Кому интересно пообщаться - присоединяйтесь.
Первые утвержденные доклады ZeroNights 2021
Десятая конференция ZeroNights пройдет в Петербурге в символическое и очень комфортное для туристов время. Участников ждет насыщенный день на одной из самых излюбленных туристами и горожанами площадок Петербурга.
Читать: https://codeby.net/threads/pervye-utverzhdennye-doklady-zeronights-2021.77535/
#zeronoghts #conference #it
Десятая конференция ZeroNights пройдет в Петербурге в символическое и очень комфортное для туристов время. Участников ждет насыщенный день на одной из самых излюбленных туристами и горожанами площадок Петербурга.
Читать: https://codeby.net/threads/pervye-utverzhdennye-doklady-zeronights-2021.77535/
#zeronoghts #conference #it
BlackWidow - Python Web - scanner
Привет! Сегодня речь пойдет о новом сканере уязвимостей и содержимого ресурса BlackWidow. BlackWidow - это сканер веб-приложений на основе Python, используется для сбора субдоменов, URL-адресов, динамических параметров, адресов электронной почты и телефонных номеров с целевого веб-сайта. Этот проект, также включает, Fuzzer Inject-X для сканирования динамических URL-адресов по общим уязвимостям OWASP.
Читать: https://codeby.net/threads/blackwidow-python-web-scanner.61828/
#python #scanner #web
Привет! Сегодня речь пойдет о новом сканере уязвимостей и содержимого ресурса BlackWidow. BlackWidow - это сканер веб-приложений на основе Python, используется для сбора субдоменов, URL-адресов, динамических параметров, адресов электронной почты и телефонных номеров с целевого веб-сайта. Этот проект, также включает, Fuzzer Inject-X для сканирования динамических URL-адресов по общим уязвимостям OWASP.
Читать: https://codeby.net/threads/blackwidow-python-web-scanner.61828/
#python #scanner #web
В чате https://t.me/thecodeby запустили голосовой чат. Кому интересно пообщаться - присоединяйтесь.
XAttacker Tool - Website Vulnerability Scanner & Auto Exploiter
Привет Codeby! В этой статье, я хочу познакомить Вас с довольно полезным инструментом, достойным занять свое место ящике инструментов пентестера. Xattacker – это инструмент, для обнаружения и эксплуатации уязвимостей, на веб ресурсах.
Читать: https://codeby.net/threads/xattacker-tool-website-vulnerability-scanner-auto-exploiter.61825/
#kali #exploit #web
Привет Codeby! В этой статье, я хочу познакомить Вас с довольно полезным инструментом, достойным занять свое место ящике инструментов пентестера. Xattacker – это инструмент, для обнаружения и эксплуатации уязвимостей, на веб ресурсах.
Читать: https://codeby.net/threads/xattacker-tool-website-vulnerability-scanner-auto-exploiter.61825/
#kali #exploit #web
Reverse crackme для начинающих
Недавно решился окунуться в это глубокое море реверса, Linux стоит, как основная OS. Первым делом попробовал установить IDA Pro через wine. Успешно, но local debugger не был найден. Спустя некоторое время было понятно одно - нужна винда. На windows переходить не хотелось. Привык уже к linux. Необходимо ставить Windows на Virtual Box. Загрузка Windows 7 lite, установка - ну, вроде живое. В ближайшем будущем, собираюсь установить FLARE-VM ради более удобной работы.
Читать: https://codeby.net//threads/reverse-crackme-dlja-nachinajuschix.74796/
#reverse #ida
Недавно решился окунуться в это глубокое море реверса, Linux стоит, как основная OS. Первым делом попробовал установить IDA Pro через wine. Успешно, но local debugger не был найден. Спустя некоторое время было понятно одно - нужна винда. На windows переходить не хотелось. Привык уже к linux. Необходимо ставить Windows на Virtual Box. Загрузка Windows 7 lite, установка - ну, вроде живое. В ближайшем будущем, собираюсь установить FLARE-VM ради более удобной работы.
Читать: https://codeby.net//threads/reverse-crackme-dlja-nachinajuschix.74796/
#reverse #ida
Программирование HDD/SSD. Часть.1 – устройство
Жёсткие диски это тот раздел программирования, который покрыт мраком и тайной. Дефицит информации на эту тему накладывает свой отпечаток, и даже простое копирование больших объёмов данных может стать нетривиальной задачей. Но если копнуть глубже, оказывается не всё так плохо, и большинство базовых операций на низком уровне доступно не только админу, но и простому смертному юзеру. На практике, мифы о высоком либидо и буйном темпераменте дисков несколько преувеличены, и надеюсь данная статья поможет нам разобраться в этом. Поскольку материал получился обширным, пришлось разделить его на две части – теория и практика.
Читать: https://codeby.net/threads/programmirovanie-hdd-ssd-chast-1-ustrojstvo.74600/
#sata #sdd #hdd
Жёсткие диски это тот раздел программирования, который покрыт мраком и тайной. Дефицит информации на эту тему накладывает свой отпечаток, и даже простое копирование больших объёмов данных может стать нетривиальной задачей. Но если копнуть глубже, оказывается не всё так плохо, и большинство базовых операций на низком уровне доступно не только админу, но и простому смертному юзеру. На практике, мифы о высоком либидо и буйном темпераменте дисков несколько преувеличены, и надеюсь данная статья поможет нам разобраться в этом. Поскольку материал получился обширным, пришлось разделить его на две части – теория и практика.
Читать: https://codeby.net/threads/programmirovanie-hdd-ssd-chast-1-ustrojstvo.74600/
#sata #sdd #hdd
Фрилансер или штатный сотрудник: выбираем с пользой для бизнеса
Конечно, фрилансер! Вон у нас их целая биржа. Предсказуемый ответ, не так ли? И во многих случаях единственно верный. Незачем раздувать штат, когда компания разово нуждается в чем бы то ни было. Например, в разработке несложного сайта. В других случаях все не так однозначно. И дело не только в том, кому меньше платить. Аспектов при выборе между фрилансером и штатным работником как минимум 5.
Читать статью: https://freelance.codeby.net/articles/16-frilanser-ili-shtatnyj-sotrudnik-vybirajem-s-polzoj-dla-biznesa.html
#фриланс
Конечно, фрилансер! Вон у нас их целая биржа. Предсказуемый ответ, не так ли? И во многих случаях единственно верный. Незачем раздувать штат, когда компания разово нуждается в чем бы то ни было. Например, в разработке несложного сайта. В других случаях все не так однозначно. И дело не только в том, кому меньше платить. Аспектов при выборе между фрилансером и штатным работником как минимум 5.
Читать статью: https://freelance.codeby.net/articles/16-frilanser-ili-shtatnyj-sotrudnik-vybirajem-s-polzoj-dla-biznesa.html
#фриланс
Forwarded from SecurityLab.ru (Pipiggi)
GitHub опубликовал изменения правил, определяющих политику в отношении размещения эксплоитов и результатов исследования вредоносного ПО, а также соблюдения действующего в США Закона об авторском праве в цифровую эпоху (DMCA). Изменения пока находятся в состоянии черновика, доступного для обсуждения в течение 30 дней.
https://www.securitylab.ru/news/519577.php
https://www.securitylab.ru/news/519577.php
SecurityLab.ru
GitHub ужесточает правила, связанные с размещением результатов исследований безопасности
Изменения, внесённые в правила, касающиеся эксплоитов и вредоносного ПО, учитывают критику, прозвучавшую после удаления компанией Microsoft прототипа эксплоита для Microsoft Exchange, используемого для совершения атак.
😐1