Codeby 2 место

Спасибо всем, кто болел за наших ребят!

​​Пентест веб-приложений: Передача учетных данных. Учетные данные по-умолчанию. Механизм блокировки аккаунтов

Тестирование передачи учетных данных по зашифрованному каналу. В ходе тестирования необходимо убедиться, что веб-приложение шифрует учетные данные при их передаче между клиентом и сервером. В случае перехвата сетевого трафика злоумышленником шифрование поможет избежать компрометации учетных данных. Для шифрования трафика используется протокол HTTPS.

Читать: https://codeby.net/threads/pentest-veb-prilozhenij-peredacha-uchetnyx-dannyx-uchetnye-dannye-po-umolchaniju-mexanizm-blokirovki-akkauntov.77679/

#pentest #owasp #wstg

​​Обзор фреймворка OSINT-SAN

Всем Добрый день. Решил написать первую свою статью-обзор по фреймворку OSINT-SAN. Данный фреймворк представлен в 2х версиях: OSINT-SAN и OSINT-SAN PRO.
Как следует из названия, в PRO версии функционала по больше, чем в обычной. Будет рассмотрена далее. OSINT-SAN Framework дает возможность быстро находить информацию и деанонимизировать пользователей сети интернет. Программное обеспечение представляет собой framework, в котором содержатся 30 функций для поиска информации либо деанонимизации пользователей. С помощью моего ПО вы можете собирать информацию о пользователях в сети интернет, анонимно и без особых навыков.

Читать: https://codeby.net/threads/obzor-frejmvorka-osint-san.77682/

#framework #osint

​​Мелкие вредители: история с жизни шуруповёрта

На самом деле я против зла и то, что я покажу вам далее, может быть, практически применено различного рода антагонистами. Сразу предупреждаю, что я, как автор этой писанины , снимаю с себя ответственность за то с каким умыслом будет использована эта информация дальше. Виноват только и только тот, кто применяет знания, но не тот, кто ими делится. Автор лишь преследует благие цели, используя способы и пути злоумышленников, раскрывает суть преступного механизма, открывая людям глаза, демонстрируя способы защиты, ведь лучший протект - это знания. Итак, представляю вам нового персонажа сюжетного цикла, знакомьтесь - Александр по кличке “Шуруповёрт” , великопочтён в узких кругах сверстников за особо опасные и дерзкие пакостные маневры. Почему именно “Шуруповерт” - никому не известно, но факт остается фактом - это вредитель из ряда вон , виртуоз своего дела .

Читать: https://codeby.net/threads/melkie-vrediteli-istorija-s-zhizni-shurupovjorta.77745/

#history #kali #anonymity

​​ASM – работа с базами SQLite (часть 2. Читаем cookies браузеров)

Рассмотрев в предыдущей части формат и основные возможности подсистемы SQLite, перейдём к операциям с данными, которые осуществляются посредством вызова методов из библиотеки sqlite3.dll. Самая последняя версия 3.35.05 этой либы выдаёт на экспорт всего 329 функций, предоставляя нам широкий выбор действий. Некоторые из них могут иметь переменное число параметров, и автор не стал делать на них акцент. Он просто оформил все функции с соглашением о вызове "cdecl" (декларация языка С++), а не стандартным "stdcall". Это означает, что на выходе, ответственность за очистку аргументов функции в стеке полностью возложена на нас, для чего ассемблер FASM имеет макросы cinvoke и ccall (последний используется для вызовов по указателю). Экскурсии по часто используемым функциям и посвящена данная часть статьи.

Читать: https://codeby.net/threads/asm-rabota-s-bazami-sqlite-chast-2-chitaem-cookies-brauzerov.77691/

#asm #sqlite #cookies

Через биржу или напрямую: поиск фрилансеров и сотрудничество с ними на ваших условиях

Поиск исполнителей работы иногда бывает простым. Опубликовали проект, нашли специалиста, сошлись в цене, решили задачу, разошлись. Но чаще приходится проводить тщательный отбор кандидатов с изучением портфолио, проверкой тестовых заданий и собеседованиями. Но еще до начала всех этих хлопот нужно ответить на ключевой вопрос: «А где, собственно, искать этих самых фрилансеров? На бирже или напрямую?» Оба ответа правильные, но верный лишь один. Все зависит от ваших предпочтений.

Читать статью: https://freelance.codeby.net/articles/13-cherez-birzhu-ili-napramuju-poisk-frilanserov-i-sotrudnichestvo-s-nimi-na-vashih-uslovijah.html

#фриланс #freelans

#реклама

Практика атак и защиты сетей при супер-базовых знаниях в ИБ — это возможно?

Команда практикующих ИБ-спецов создали серию интенсивов для начинающих специалистов, которые хотять получить новые знания и грамотную Roadmap.

Уже 1 июня пройдёт заключительный интенсив Кибербезопастность: Level 0 — участие доступно со скидкой 50%

Интенсив гарантированно поможет разобраться:

— С чего начинается эффективная система информационной безопасности
— Принципы осуществления кибератак и построения защиты
— Как работать с системами обнаружения и предотвращения вторжений (IDS/IPS)

Десятки студентов всего за 3 дня занятий онлайн уже получили готовую базу навыков, сертификаты и бонусы от HackerU.

Бронируйте места в учебной группе уже сейчас со скидкой 50% по ссылке: https://is.gd/bEoTuF

​​Форензика приложений компаний каршеринга

Сначала думал, что получится большая статья, но сами компании каршеринга в Москве не дали мне этого сделать :) Объясню почему; я взял 4 мобильных приложения от "большой четвёрки" каршеринговых компаний Москвы. Хотя, теперь уже не только Москвы, они постепенно расползаются по регионам. Что хотелось выяснить - какую информацию о пользователе и маршруте поездки данные приложения хранят на смартфоне и насколько легко её вытащить. Методика простая - установка приложений на смартфон, бронирование автомобиля, выполнение одной типовой поездки "по району" и в общем-то всё. Далее, я планировал порыться в папках приложений без снятия физического дампа - фактически на логической копии - а если ничего не найду, то тогда уже снимать физический дамп и ковыряться в нём.

Читать: https://codeby.net/threads/forenzika-prilozhenij-kompanij-karsheringa.77703/

#forensics #android

​​Reverse crackme для начинающих [0x02]

В этой статье мы разберёмся, как узнать верный пароль для прохождения простого Crackme ( версия 2 ). Рекомендую освоить ассемблер на базовом уровне, а затем читать статьи про реверс-инжиниринг. Вам будет понятнее. Открываем crackme в PPEE или PEstudio. Нам необходимо узнать разрядность crackme. Затем, открыть в нужной версии IDA ( x64 или x86 ).

Читать: https://codeby.net/threads/reverse-crackme-dlja-nachinajuschix-0x02.77589/

#reverse #ida

Уверен, это интервью с участником команды Кодебай заинтересует многих:

Наслаждайтесь: https://t.me/mycdb/80

​​Reverse crackme для начинающих [0x03]

В этой статье мы разберёмся, как работает метод активации Crackme V3.0, а ещё, как нам активировать его. Это последняя версия из этой серии программ.
Рекомендую освоить ассемблер на базовом уровне, а затем читать статьи про реверс-инжиниринг. Вам будет понятнее. Эти три Crackme очень простые. Они написаны для архитектуры x86. А ведь существуют программы для архитектуры x64. Не стоит забывать о приложениях написанных на C#, JAVA, где используется байт-код. Не забудем некоторые популярные методы защиты: обфускация кода, упаковщики, протекторы. Всё описанное может сделать программу очень сложной для понимания и реверс-инжиниринга.

Читать: https://codeby.net/threads/reverse-crackme-dlja-nachinajuschix-0x03.77709/

#reverse #ida

​​🔳 Код ИБ: Online-конференция Безопасная среда 26.05 в 12:00 мск| Защита WEB-приложений

💬 Web-приложения - неотъемлемая часть бизнес-процессов большинства компаний. Они содержат в себе огромное количество данных, имеющих ценность для компании. Поэтому обеспечение безопасности веб-приложений - одна из ключевых задач для минимизации финансовых и репутационных рисков бизнеса.

Как с помощью сетевых экранов Web Application Firewall (WAF) обнаруживать и предотвращать атаки на прикладном и сетевом уровне обсудим с экспертами 👍🏼

📌 Бесплатная регистрация:
https://codeib.ru/event/web-2021-05-26-24/page/sreda-codeib-26-05-2021

​​Курс «Тестирование web приложений на проникновение»

🔥 От команды The Codeby 🔥

Старт курса 1 июня 2021

✔️ Погружение в мир пентеста;
✔️ Самые актуальные методы пассивного сбора информации о web приложении;
✔️ Базовые и продвинутые техники активного фаззинга;
✔️ Эксплуатация и защита от всех видов современных уязвимостей веб приложений;
✔️ Повышение привилегий на скомпрометированном сервере;
✔️ Социальная инженерия для пентестера и защита от неё;
✔️ Практическая лаборатория для продвинутой эксплуатации уязвимостей.

Узнать подробности и записаться на курс можно здесь: https://codeby.net/threads/kurs-testirovanie-veb-prilozhenij-na-proniknovenie-s-nulja-codeby-web-security.64482/

#Обучение

​​Ни на что не намекаем, но пора бы уже посмотреть записи докладов PHDays и The Standoff 😎

Тем более, они такие интересные, полезные и крутые. Вот, например:

👌🏻 Security gym: тренируйся бороться с уязвимостями

Доклад о том, как разрабатывать безопасные приложения. Спикеры поделились опытом и показали систему, которая позволяет тренироваться в поиске и корректировке уязвимостей.
https://standoff365.com/phdays10/schedule/development/security-gym-train-to-crush-vulnerabilities/

👌🏻 Ломаем Bluetooth c помощью ESP32

Спикер рассказал, что такое Bluetooth (BLE), как происходит установление соединения и последующий обмен данными между различными устройствами. Он поговорил о атаках на Bluetooth и о том, как обеспечить безопасность технологии.
https://standoff365.com/phdays10/schedule/tech/how-to-pwn-bluetooth-with-esp32/

👌🏻 Простой и аккуратный метод обмануть предсказание top-k

Спикер продемонстрировал способ обмана предсказания top-k на датасетах Imagenet и CIFAR-10.
https://standoff365.com/phdays10/schedule/technical-village/a-simple-and-neat-way-to-deceive-top-k-prediction/

Докладов было намного больше — остальные смотри на сайте: https://standoff365.com/phdays10

#PHDays #TheStandoff

​​Снятие парольной защиты с помощью Cellebrite UFED Touch 2 на примере «SM-J510H».

К нам попал Samsung J5 «SM-J510H» на котором стоит парольная защита в виде пин кода, с заданием снять эту парольную защиту. Для этого мы будем использовать Cellebrite UFED Touch 2. Так же нам потребуются комплектные кабели и переходники

Читать: https://codeby.net/threads/snjatie-parolnoj-zaschity-s-pomoschju-cellebrite-ufed-touch-2-na-primere-sm-j510h.77778/

#password #lockscreen #touch

​​Новая жизнь: один вечер с бытия паранойика

Приветствую, достаточно непонятный режим выпуска работ имеем: то тишина месяцами, то за несколько дней выходят несколько интересностей. Но что поделать, добро пожаловать в очередной сюжетный материал, устаивайтесь поудобнее, заварите чего-нибудь попить, а мы начнем наше увлекательное путешествие в мир примитивной и образной информационной безопасности. И будьте аккуратней, там человек писал, что зачитался и чуть не угодил под автомобиль.

Читать: https://codeby.net/threads/novaja-zhizn-odin-vecher-s-bytija-paranojika.77760/

#history #rat #android

🔥 Разбираем инактив тачки hackthebox 🔥

Сегодня в 19:00 по мск будем ломать SENSE

🔗 Залетай: https://www.twitch.tv/thecodeby

#hackthebox

Исследователи предсказывают эру дипфейков, искусственного интеллекта и киберпреступлений с помощью роботов, AirTag позволяет узнать, когда в доме никого нет, в автомобилях Mercedes-Benz нашли критические уязвимости, а компания AXA отказалась от программы киберстрахования и сама стала жертвой вымогателей. Новая техника позволяет деанонимизировать пользователей Tor, россиянка добровольно отдала телефонным мошенникам 400 млн рублей, а кириллическая раскладка может обезопасить вас от русских хакеров, но это не точно. Пострадавшие от кибервымогателей DarkSide компании получат инструменты для дешифрования системы, а Япония ограничила применение иностранных технологий в целях усиления национальной кибербезопасности.

Александр Антипов еженедельно рассказывает о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру.

https://www.youtube.com/watch?v=rb6VASYf8pc