Готовимся к The Standoff 2021, или Назад в будущее
Что бы вы сделали, если бы у вас была машина времени?
🔗 Читать статью https://habr.com/ru/company/pt/blog/556720/
#TheStandoff
Что бы вы сделали, если бы у вас была машина времени?
🔗 Читать статью https://habr.com/ru/company/pt/blog/556720/
#TheStandoff
Php; Отправка данных пользователя через .txt
В этой статье, я покажу как можно отправлять данные пользователя на txt файл. Сделаем это через форму логина. Когда пользователи зарегистрируются или входят в аккаунт, все данныe отправляются на ваш файл txt. Это мы и сделаем!
Читать: https://codeby.net/threads/php-otpravka-dannyx-polzovatelja-cherez-txt.77640/
#php #data #html
В этой статье, я покажу как можно отправлять данные пользователя на txt файл. Сделаем это через форму логина. Когда пользователи зарегистрируются или входят в аккаунт, все данныe отправляются на ваш файл txt. Это мы и сделаем!
Читать: https://codeby.net/threads/php-otpravka-dannyx-polzovatelja-cherez-txt.77640/
#php #data #html
Forwarded from Codeby Media
Media is too big
VIEW IN TELEGRAM
Slowhttptest — ушатываем cайты на web серверах Apache и nginx
Slowhttptest — это имеющий множество настроек инструмент, симулирующие некоторые атаки отказа в обслуживании (DoS) уровня приложения. Программа реализует наиболее общие замедляющие работу сети DoS атаки уровня приложений,которая становится причиной очень значительного использования памяти и центрального процессора на сервере.
🔗 Источник https://codeby.net/media/slowhttptest-ushatyvaem-cajty-na-web-serverax-apache-i-nginx.148/
Slowhttptest — это имеющий множество настроек инструмент, симулирующие некоторые атаки отказа в обслуживании (DoS) уровня приложения. Программа реализует наиболее общие замедляющие работу сети DoS атаки уровня приложений,которая становится причиной очень значительного использования памяти и центрального процессора на сервере.
🔗 Источник https://codeby.net/media/slowhttptest-ushatyvaem-cajty-na-web-serverax-apache-i-nginx.148/
Ролики и подкасты от команды Кодебай и участников форума. Все в 1 месте. В планах онлайн трасляции на основе войс чата. У канала есть чат без ограничений (исключение: реклама, религия и политика)
Вливайтесь https://t.me/mycdb
#video #media
Вливайтесь https://t.me/mycdb
#video #media
Forwarded from SecurityLab.ru (Pipiggi)
Как считаете в каких технологиях недалекого будущего вопрос кибербезопасности будет актуальнее всего и почему? Авторы двух лучших ответов получат уникальную настольную игру Хакеры Противостояние и билет на PhDays!
Anonymous Poll
57%
Искуственный интеллект
22%
Биотехнологии
8%
Компьютерное зрение
2%
Зелёные технологии
5%
Гражданская космонавтика
6%
Другой
Базовые понятия и архитектурные решения для реализации стека ИБ на предприятии
Чаще всего системные администраторы или инженеры по безопасности задаются вопросом - "А что же дальше мне делать? Что внедрить что бы улучшить мою структуру?". Цель данной статьи не много структурировать технологические решения и подходы и подсказать дополнительные направления для развития ИС.
Читать: https://codeby.net/threads/bazovye-ponjatija-i-arxitekturnye-reshenija-dlja-realizacii-steka-ib-na-predprijatii.77238/
#security #stack #infosec
Чаще всего системные администраторы или инженеры по безопасности задаются вопросом - "А что же дальше мне делать? Что внедрить что бы улучшить мою структуру?". Цель данной статьи не много структурировать технологические решения и подходы и подсказать дополнительные направления для развития ИС.
Читать: https://codeby.net/threads/bazovye-ponjatija-i-arxitekturnye-reshenija-dlja-realizacii-steka-ib-na-predprijatii.77238/
#security #stack #infosec
Реальная эффективность веб сканеров
Добрый день. Неоднократно читал различные рекомендации по использованию веб сканеров. На самом деле, этот вид софта - вещь достаточно нужная, особенно при оценке уязвимостей сдаваемого Интернет-портала или большого веб приложения. Никакой пентестер не пройдет вручную 1000 (а иногда больше) страниц. Тут уже нужна автоматизация. Что выбрать? На вкус и цвет товарищей нет, но попробуем разобраться. В свое время очень любил пользоваться OWASP ZAP. Очень хороший сканер.
Читать: https://codeby.net/threads/realnaja-ehffektivnost-veb-skanerov.76518/
#soft #scanner #web
Добрый день. Неоднократно читал различные рекомендации по использованию веб сканеров. На самом деле, этот вид софта - вещь достаточно нужная, особенно при оценке уязвимостей сдаваемого Интернет-портала или большого веб приложения. Никакой пентестер не пройдет вручную 1000 (а иногда больше) страниц. Тут уже нужна автоматизация. Что выбрать? На вкус и цвет товарищей нет, но попробуем разобраться. В свое время очень любил пользоваться OWASP ZAP. Очень хороший сканер.
Читать: https://codeby.net/threads/realnaja-ehffektivnost-veb-skanerov.76518/
#soft #scanner #web
reNgine - автоматизированная разведка веб-приложений
reNgine - инструмент предназначен для сбора информации во время тестирования веб-приложений на проникновения. Он поддерживает настройку механизмов сканирования, которые можно использовать для сканирования веб-сайтов, конечных точек и сбора информации. Конечно, на данный момент reNgine не дает лучший из лучших результатов по сравнению с другими инструментами, но reNgine, безусловно, прилагает максимальные усилия. Кроме того, в нем постоянно добавляются новые функции.
Читать: https://codeby.net/threads/rengine-avtomatizirovannaja-razvedka-veb-prilozhenij.75740/
#web #scanner #pentest
reNgine - инструмент предназначен для сбора информации во время тестирования веб-приложений на проникновения. Он поддерживает настройку механизмов сканирования, которые можно использовать для сканирования веб-сайтов, конечных точек и сбора информации. Конечно, на данный момент reNgine не дает лучший из лучших результатов по сравнению с другими инструментами, но reNgine, безусловно, прилагает максимальные усилия. Кроме того, в нем постоянно добавляются новые функции.
Читать: https://codeby.net/threads/rengine-avtomatizirovannaja-razvedka-veb-prilozhenij.75740/
#web #scanner #pentest
@S_E_Book — Самая редкая и актуальная литература в сети для ИТ специалистов любого уровня и направления.
Канал в котором публикуют курсы, мануалы, книги, которые невозможно найти в открытом доступе. Самый интересный материал публикуется в нашем канале еще до момента выхода в официальных источниках.
Не упусти возможность подписаться.
https://t.me/S_E_Book
Канал в котором публикуют курсы, мануалы, книги, которые невозможно найти в открытом доступе. Самый интересный материал публикуется в нашем канале еще до момента выхода в официальных источниках.
Не упусти возможность подписаться.
https://t.me/S_E_Book
Получаем сессию meterpreter на Android 10
Всем доброго времени суток. В этой статье я расскажу про то, как можно удаленно управлять своим телефоном, если вы вдруг его потеряете, или у вас его украдут. Путь не легкий, но эффективный. Прошу, не используйте это в корыстных и незаконных целях. Меньше слов больше дела, переходим сразу к практике.
Читать: https://codeby.net/threads/poluchaem-sessiju-meterpreter-na-android-10.75602/
#android #meterpreter #kali
Всем доброго времени суток. В этой статье я расскажу про то, как можно удаленно управлять своим телефоном, если вы вдруг его потеряете, или у вас его украдут. Путь не легкий, но эффективный. Прошу, не используйте это в корыстных и незаконных целях. Меньше слов больше дела, переходим сразу к практике.
Читать: https://codeby.net/threads/poluchaem-sessiju-meterpreter-na-android-10.75602/
#android #meterpreter #kali
Forwarded from Social Engineering
🔎 Поиск информации о цели, зная Email адрес.
По российскому гос. номеру или VIN авто:
• @av100_bot — дает крупный отчет с данными влядельца, историей авто и фото, получить бесплатный отчет возможно только если вы пригласите другой аккаунт в бот
• vin01.ru — найдет VIN и по нему покажет историю регистраций, историю ДТП, пробег, ОСАГО и многое другое
• vinformer.su — проверка ПТС, поиск по VIN
• shtrafometr.ru — найдет штрафы, поиск по ТС (VIN) или номера кузова или шасси
• dkbm-web.autoins.ru — дает сведения о договоре ОСАГО, поиск по VIN и по номеру авто, а так же можно искать по номеру кузова или шасси, необходимо знать дату, на которую запрашиваются сведения договора ОСАГО
• @AntiParkonBot — найдет номер телефона владельца, маловероятно что результат будет
• @smart_search_3_bot — находит ФИО, VIN, телефон, марку автомобиля
• nomerogram.ru — найдет фото автомобиля, поиск по гос. номеру
• @Quick_OSINT_bot — дает данные владельца, ФИО, дату рождения, паспорт, номер телефона, адреса, объявления и парковки
• checkvehicle.sfri.ru — сервис проверки управляемых инвалидом авто или используемых для перевозки инвалида
• eaisto.info — поиск по гос.номеру, VIN, номеру кузова, номеру ДК, выдаст актуальную информацию о тех.осмотре, и историю прохождения
• @ru_auto_bot — находит VIN, модель, марку и СТС
• @clerkinfobot — находит ФИО, VIN, CNC, марку, ОСАГО
Поиск по позывному самолета
• de.flightaware.com — найдет историю перелетов, даст общую информацию о воздушном судне
• globe.adsbexchange.com — найдет на карте все самолеты в воздухе с таким позывным, есть военные воздушные судна
• planespotters.net — находит историю самолета, тех. состояние, авиакомпании
• avherald.com — история инцидентов самолета
• sanctionssearch.ofac.treas.gov — поиск в санкционном списке США
Поиск по модели самолета:
• rzjets.net/aircraft — база моделей джетов, найдет владельца, регистрационный номер и многое другое
• radarbox.com — найдет все самолеты в небе
• globe.adsbexchange.com — найдет на карте все самолеты в воздухе такой модели, есть военные воздушные судна
• seatguru.com — схема сидений самолета, есть номера мест
• planespotters.net — находит историю самолета, позывные, тех. состояние, авиакомпании
• avherald.com — история инцидентов самолета
Поиск по номеру поезда в Европе
• pass.rzd.ru — показывает график следования, необходимо указать станцию прибытия на территории России
• www.sncf.com — показывает расписание движения поезда в конкретную дату на территории Франции
• bahn.de — расписание движения поезда в конкретную дату на территории Германии
• junatkartalla.vr.fi — фактическое движение поезда на карте в реальном времени, есть расписание остановок на территории Финляндии
Поиск по номеру вагона:
• gdevagon.ru (r) — проверит действительность номера
Поиск по имени судна:
• marinetraffic.com — найдет позывной, MMSI, IMO, рейсы и историю имени судна
• maritime-connector.com — найдет базовую информацию и данные о владельце
• www.vesselfinder.com — найдет судно на карте в реальном времени
• sanctionssearch.ofac.treas.gov — поиск в санкционном списке США
‼️ Другую дополнительную информацию ты можешь найти по хештегам #OSINT и #СИ. Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E.
🖖🏻 Приветствую тебя user_name.• Продолжаем пополнять нашу коллекцию #OSINT ресурсов. Каким образом используется полученная информация в сфере #СИ ты можешь узнать в нашем канале если воспользуешься поиском по словам или хештегу. Сегодня я собрал для тебя подборку полезных сервисов и инструментов, благодаря которым ты сможешь найти полезную информацию о цели, зная информацию о различном транспорте:
По российскому гос. номеру или VIN авто:
• @av100_bot — дает крупный отчет с данными влядельца, историей авто и фото, получить бесплатный отчет возможно только если вы пригласите другой аккаунт в бот
• vin01.ru — найдет VIN и по нему покажет историю регистраций, историю ДТП, пробег, ОСАГО и многое другое
• vinformer.su — проверка ПТС, поиск по VIN
• shtrafometr.ru — найдет штрафы, поиск по ТС (VIN) или номера кузова или шасси
• dkbm-web.autoins.ru — дает сведения о договоре ОСАГО, поиск по VIN и по номеру авто, а так же можно искать по номеру кузова или шасси, необходимо знать дату, на которую запрашиваются сведения договора ОСАГО
• @AntiParkonBot — найдет номер телефона владельца, маловероятно что результат будет
• @smart_search_3_bot — находит ФИО, VIN, телефон, марку автомобиля
• nomerogram.ru — найдет фото автомобиля, поиск по гос. номеру
• @Quick_OSINT_bot — дает данные владельца, ФИО, дату рождения, паспорт, номер телефона, адреса, объявления и парковки
• checkvehicle.sfri.ru — сервис проверки управляемых инвалидом авто или используемых для перевозки инвалида
• eaisto.info — поиск по гос.номеру, VIN, номеру кузова, номеру ДК, выдаст актуальную информацию о тех.осмотре, и историю прохождения
• @ru_auto_bot — находит VIN, модель, марку и СТС
• @clerkinfobot — находит ФИО, VIN, CNC, марку, ОСАГО
Поиск по позывному самолета
• de.flightaware.com — найдет историю перелетов, даст общую информацию о воздушном судне
• globe.adsbexchange.com — найдет на карте все самолеты в воздухе с таким позывным, есть военные воздушные судна
• planespotters.net — находит историю самолета, тех. состояние, авиакомпании
• avherald.com — история инцидентов самолета
• sanctionssearch.ofac.treas.gov — поиск в санкционном списке США
Поиск по модели самолета:
• rzjets.net/aircraft — база моделей джетов, найдет владельца, регистрационный номер и многое другое
• radarbox.com — найдет все самолеты в небе
• globe.adsbexchange.com — найдет на карте все самолеты в воздухе такой модели, есть военные воздушные судна
• seatguru.com — схема сидений самолета, есть номера мест
• planespotters.net — находит историю самолета, позывные, тех. состояние, авиакомпании
• avherald.com — история инцидентов самолета
Поиск по номеру поезда в Европе
• pass.rzd.ru — показывает график следования, необходимо указать станцию прибытия на территории России
• www.sncf.com — показывает расписание движения поезда в конкретную дату на территории Франции
• bahn.de — расписание движения поезда в конкретную дату на территории Германии
• junatkartalla.vr.fi — фактическое движение поезда на карте в реальном времени, есть расписание остановок на территории Финляндии
Поиск по номеру вагона:
• gdevagon.ru (r) — проверит действительность номера
Поиск по имени судна:
• marinetraffic.com — найдет позывной, MMSI, IMO, рейсы и историю имени судна
• maritime-connector.com — найдет базовую информацию и данные о владельце
• www.vesselfinder.com — найдет судно на карте в реальном времени
• sanctionssearch.ofac.treas.gov — поиск в санкционном списке США
‼️ Другую дополнительную информацию ты можешь найти по хештегам #OSINT и #СИ. Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E.
Вышло обновление Мобильного Клиента форума Кодебай. Приятного общения!
Обсудить https://codeby.net/threads/obsuzhdenie-bagi-i-predlozhenija-po-mobilnomu-klientu-foruma.75927/
#mk #codeby
Обсудить https://codeby.net/threads/obsuzhdenie-bagi-i-predlozhenija-po-mobilnomu-klientu-foruma.75927/
#mk #codeby
Биндим к .apk файлу метерпретер при помощи apkmod
Всем привет! в данной статье я расскажу как забиндить к .apk файлу метерпретер при помощи apkmod. Нам понадобится: .apk к которому клеем, metasploit и apkmod.
Читать: https://codeby.net/threads/bindim-k-apk-fajlu-meterpreter-pri-pomoschi-apkmod.75566/
#apk #meterpreter
Всем привет! в данной статье я расскажу как забиндить к .apk файлу метерпретер при помощи apkmod. Нам понадобится: .apk к которому клеем, metasploit и apkmod.
Читать: https://codeby.net/threads/bindim-k-apk-fajlu-meterpreter-pri-pomoschi-apkmod.75566/
#apk #meterpreter
ASM – работа с базами SQLite (часть 1. Формат файла)
Традиционно, для работы с СУБД используются скриптовые языки типа: Python, SQL, Tcl, Perl и прочие. Это вполне оправдано, поскольку их синтаксис максимально приближен к человеческой речи, а огромный набор рычагов и предметно-ориентированных модулей превращает решение вполне серьёзных проблем, чуть-ли не в игру. Единственным недостатком скриптов является скорость выполнения ими задач, т.к. в отличии от компилируемых программ они работают через интерпретатор – т.е. сначала построчный анализ текста, перевод его в байт-код, и лишь потом исполнение.
Читать: https://codeby.net/threads/asm-rabota-s-bazami-sqlite-chast-1-format-fajla.77663/
#asm #sqlite #cookies
Традиционно, для работы с СУБД используются скриптовые языки типа: Python, SQL, Tcl, Perl и прочие. Это вполне оправдано, поскольку их синтаксис максимально приближен к человеческой речи, а огромный набор рычагов и предметно-ориентированных модулей превращает решение вполне серьёзных проблем, чуть-ли не в игру. Единственным недостатком скриптов является скорость выполнения ими задач, т.к. в отличии от компилируемых программ они работают через интерпретатор – т.е. сначала построчный анализ текста, перевод его в байт-код, и лишь потом исполнение.
Читать: https://codeby.net/threads/asm-rabota-s-bazami-sqlite-chast-1-format-fajla.77663/
#asm #sqlite #cookies
Positive Technologies помогла VMware исправить критически опасную уязвимость в средстве анализа эффективности облачных ресурсов
Встроенный механизм обновления позволял злоумышленникам выполнять произвольные команды на сервере, аутентификация не требовалась
Компания VMware устранила опасную уязвимость в VMware Realize Business for Cloud. Этот продукт разработан для анализа затрат на облачные ресурсы: он позволяет визуализировать и планировать расходы, сравнивать бизнес-показатели. Уведомление было опубликовано на сайте VMware.
Уязвимость, обнаруженная экспертом Positive Technologies Егором Димитренко, получила идентификатор CVE-2021-21984 и оценку 9,8 по шкале CVSSv3. Ошибка относится к классу Pre-auth RCE (выполнение произвольных команд от имени неаутентифицированного пользователя). Среди потенциальных угроз — полный контроль над сервером, возможность проводить атаки на инфраструктуру компании.
«Из-за некорректной настройки приложения неаутентифицированный злоумышленник мог получить доступ к встроенной функции обновления приложения, — рассказал Егор Димитренко. — Данная функция позволяет выполнять произвольные команды на сервере, эксплуатируя легитимный механизм установки новых версий продукта. В основе этих ошибок, связанных с неправильной настройкой списков доступа, лежит недостаточное тестирование новой функциональности при выпуске релизов продукта».
Чтобы устранить уязвимость, необходимо руководствоваться рекомендациями официального уведомления компании VMware. Обнаружить признаки проникновения (например, в случае невозможности установки обновления) помогут системы класса SIEM (в частности, MaxPatrol SIEM), которые позволяет выявить подозрительное поведение на сервере, зарегистрировать инцидент и своевременно остановить продвижение злоумышленников внутри корпоративной сети.
Ранее VMware поблагодарила Егора Димитренко за помощь в устранении уязвимостей в ПО для мониторинга инфраструктуры, в средстве репликации данных VMware vSphere Replication и в платформе VMware для защиты конечных устройств.
Встроенный механизм обновления позволял злоумышленникам выполнять произвольные команды на сервере, аутентификация не требовалась
Компания VMware устранила опасную уязвимость в VMware Realize Business for Cloud. Этот продукт разработан для анализа затрат на облачные ресурсы: он позволяет визуализировать и планировать расходы, сравнивать бизнес-показатели. Уведомление было опубликовано на сайте VMware.
Уязвимость, обнаруженная экспертом Positive Technologies Егором Димитренко, получила идентификатор CVE-2021-21984 и оценку 9,8 по шкале CVSSv3. Ошибка относится к классу Pre-auth RCE (выполнение произвольных команд от имени неаутентифицированного пользователя). Среди потенциальных угроз — полный контроль над сервером, возможность проводить атаки на инфраструктуру компании.
«Из-за некорректной настройки приложения неаутентифицированный злоумышленник мог получить доступ к встроенной функции обновления приложения, — рассказал Егор Димитренко. — Данная функция позволяет выполнять произвольные команды на сервере, эксплуатируя легитимный механизм установки новых версий продукта. В основе этих ошибок, связанных с неправильной настройкой списков доступа, лежит недостаточное тестирование новой функциональности при выпуске релизов продукта».
Чтобы устранить уязвимость, необходимо руководствоваться рекомендациями официального уведомления компании VMware. Обнаружить признаки проникновения (например, в случае невозможности установки обновления) помогут системы класса SIEM (в частности, MaxPatrol SIEM), которые позволяет выявить подозрительное поведение на сервере, зарегистрировать инцидент и своевременно остановить продвижение злоумышленников внутри корпоративной сети.
Ранее VMware поблагодарила Егора Димитренко за помощь в устранении уязвимостей в ПО для мониторинга инфраструктуры, в средстве репликации данных VMware vSphere Replication и в платформе VMware для защиты конечных устройств.
MailDemon — Техника, Тригеры и Bounty
ZecOps призывает Apple выпустить out of band исправление для недавно обнаруженных уязвимостей и надеется, что эта статья предоставит дополнительное подкрепление для релиза патчей как можно раньше. В данной статье мы покажем простой способ heap spraying, с помощью которого мы смогли доказать, что дистанционная эксплуатация может создавать возможные проблемы, и мы также предоставим два примера триггеров, наблюдаемых на практике.
Читать: https://codeby.net/threads/maildemon-texnika-trigery-i-bounty.73966/
#bounty #ios
ZecOps призывает Apple выпустить out of band исправление для недавно обнаруженных уязвимостей и надеется, что эта статья предоставит дополнительное подкрепление для релиза патчей как можно раньше. В данной статье мы покажем простой способ heap spraying, с помощью которого мы смогли доказать, что дистанционная эксплуатация может создавать возможные проблемы, и мы также предоставим два примера триггеров, наблюдаемых на практике.
Читать: https://codeby.net/threads/maildemon-texnika-trigery-i-bounty.73966/
#bounty #ios
Курс «Тестирование web приложений на проникновение»
🔥 От команды The Codeby 🔥
Старт курса 1 июня. Запись до 10 июня 2021
✔️ Погружение в мир пентеста;
✔️ Самые актуальные методы пассивного сбора информации о web приложении;
✔️ Базовые и продвинутые техники активного фаззинга;
✔️ Эксплуатация и защита от всех видов современных уязвимостей веб приложений;
✔️ Повышение привилегий на скомпрометированном сервере;
✔️ Социальная инженерия для пентестера и защита от неё;
✔️ Практическая лаборатория для продвинутой эксплуатации уязвимостей.
🔗 Узнать подробности и записаться на курс можно здесь: https://codeby.net/threads/kurs-testirovanie-veb-prilozhenij-na-proniknovenie-s-nulja-codeby-web-security.64482/
#Обучение
🔥 От команды The Codeby 🔥
Старт курса 1 июня. Запись до 10 июня 2021
✔️ Погружение в мир пентеста;
✔️ Самые актуальные методы пассивного сбора информации о web приложении;
✔️ Базовые и продвинутые техники активного фаззинга;
✔️ Эксплуатация и защита от всех видов современных уязвимостей веб приложений;
✔️ Повышение привилегий на скомпрометированном сервере;
✔️ Социальная инженерия для пентестера и защита от неё;
✔️ Практическая лаборатория для продвинутой эксплуатации уязвимостей.
🔗 Узнать подробности и записаться на курс можно здесь: https://codeby.net/threads/kurs-testirovanie-veb-prilozhenij-na-proniknovenie-s-nulja-codeby-web-security.64482/
#Обучение
Forwarded from Фриланс Кодебай
Нужно реализовать простой asp.net проект с уязвимостью sql-инекции
Предложения принимаются до 19.05.2021
Данный код не будет использоваться в незаконных целях. Это имеет сугубо познавательный характер
🔗 Откликнуться https://freelance.codeby.net/orders/nuzhno-realizovat-prostoj-aspnet-projekt-s-ujazvimostju-sql-inekcii-248.html
#freelance
Предложения принимаются до 19.05.2021
Данный код не будет использоваться в незаконных целях. Это имеет сугубо познавательный характер
🔗 Откликнуться https://freelance.codeby.net/orders/nuzhno-realizovat-prostoj-aspnet-projekt-s-ujazvimostju-sql-inekcii-248.html
#freelance