​​Полное погружение в контроль доступа к AWS S3 - получение контроля над вашими ресурсами

TL;DR: Настройка контроля доступа AWS S3 состоит из нескольких уровней, каждый из которых имеет свой собственный уникальный риск неправильной настройки. Мы рассмотрим специфику каждого уровня и определим опасные случаи и моменты, когда слабые ACL могут создать уязвимые конфигурации, влияющие на владельца S3-bucket и/или через сторонние ресурсы, используемые многими компаниями. Мы также покажем, как сделать это должным образом и как осуществлять мониторинг такого рода проблем.

Читать: https://codeby.net/threads/polnoe-pogruzhenie-v-kontrol-dostupa-k-aws-s3-poluchenie-kontrolja-nad-vashimi-resursami.70801/

#pentest #aws

​​Уязвимость имени Векерта - Google в опасности

Рад приветствовать тебя,дорогой читатель, сегодня мы имеем дело с очередной фичей Google, точнее их недоработкой с системе определения загруженности транспортом улиц. Программисты гугл пошли по старому принципу "Большинства", если кто помнит статью о серии недоработок их системы - тот поймёт. Но в кратком содержании: любое название неподтверждённого заведения на карте можно было изменить, если несколько людей с разных айпи подадут похожую правку информации. Без лишней болтовни приступаем к делу

Читать: https://codeby.net/threads/ujazvimost-imeni-vekerta-google-v-opasnosti.72399/

#google #maps

Уязвимости WordPress и их эксплуатация для начинающего пентестера

Для начала предлагаю вспомнить (или выучить) основы. Что из себя представляет процесс взлома сайта хакером? Как происходит разведка перед эксплуатацией?

Читать: https://codeby.net/threads/ujazvimosti-wordpress-i-ix-ehkspluatacija-dlja-nachinajuschego-pentestera.67676/

#wordpress #exploit
————————————————
Фриланс Кодебай (https://freelance.codeby.net/) — сервис поиска удаленной работы и размещения заказов

#реклама

🏆 Конкурс статей от XSS.IS. Призовой фонд 15k$ 🏆

Мы запустили летний Конкурс статей "XSS Hot Summer". Как всегда, наш призовой фонд 15.000$, а приз за 1е место - 5.000$

Подробнее: https://xss.is/threads/52504/

​​Блуждаем по просторам GitHub: Дыры, скрипты, QR-коды и чертовщина

Статью эту я уже начинаю писать раз третий - не то... Прежде, чем я снова заброшу это, я хочу , чтобы ты, дорогой читатель, знал сколько времени мне пришлось потратить на сбор информации и тест всего ниже представленного на своей машине.. Около трёх дней, потерял я сноровку, давно не включал Kali - имеем, что имеем. Но я бы расценил это, как благо для тебя, читатель, ибо во время тестирования и проверки работоспособности возникали целая уйма проблем и ошибок, кстати , с которыми встретились бы вы, пытаясь использовать нижепредставленные скрипты. Ну, хватит затягивать, переходим к делу.

Читать: https://codeby.net/threads/bluzhdaem-po-prostoram-github-dyry-skripty-qr-kody-i-chertovschina.72774/

#github #qr #scripts

​​Матрица угроз для Kubernetes

Kubernetes -это самая популярная контейнерная оркестровка и один из самых быстрорастущих проектов в истории открытого программного обеспечения, которая занимает значительную часть вычислительного стека многих компаний. Гибкость и масштабируемость контейнеров побуждает многих разработчиков переносить свои рабочие нагрузки на Kubernetes. Несмотря на то, что Kubernetes имеет много преимуществ, он также ставит новые задачи в области безопасности, которые необходимо учитывать. Поэтому очень важно понимать различные риски безопасности, которые существуют в контейнерных средах, и особенно в Kubernetes.

Читать: https://codeby.net/threads/matrica-ugroz-dlja-kubernetes.73585/

#matrix #hacking #threat

🔥 Сегодня, выходит очередной стрим

18:30

Если будут изменения по времени, напишем дополнительно. Стрим будет транслироваться на следующих площадках:

✔️ https://www.twitch.tv/thecodeby
✔️ https://vk.com/codeby_net
✔️ https://www.facebook.com/codeby.net/
✔️ https://cyberhero.tele2.ru/stream/user225626
✔️ https://ok.ru/group/56709935661181

В планах добавить ютуб и линкедин.

🔥 Курс «Python с нуля до Junior» 🔥

От команды The Codeby

Старт обучения 14 июня

Курс будет начинаться с полного нуля, то есть начальные знания по Python не нужны. Может вы начинали уже изучать язык Python и забросили? Тогда это ваш шанс начать всё с начала. Знание основ работы с сетью и БД будет вашим преимуществом. По окончании курса вы сможете писать свой собственный софт под свои нужды, и редактировать чужой.

Длительность обучения 7 недель. Учащиеся получат методички, видеолекции и домашние задания. Много практики. Будет обратная связь с инструкторами, которые помогут с решением возникших проблем.

Краткое содержание курса:

✔️ Введение
✔️ Переменные
✔️ Типы данных
✔️ Операторы ветвления(условные операторы)
✔️ Циклы
✔️ Функции
✔️ Модули и пакеты в Python
✔️ Исключения (exceptions)
✔️ Работа с файлами
✔️ Форматирование в Python
✔️ Классы и ООП

Подробнее https://codeby.net/threads/kurs-python-s-nulja-do-junior.75073/

#Обучение

Мы так в практис 4х4 на стриме запускаем

​​Автоматизация OWASP ZAP, Часть 1, Вводная часть

Данная статья больше вступительная, рабочая информация начнется со второй части. По данной теме планирую выпустить цикл статей, по мере того, как сам буду проходить те или иные этапы автоматизации. Буду эгоистичным, и скажу, что весь цикл больше предназначен для меня, чтобы структурировать полученные знания и навыки, сохранить их еще где-то, кроме поспешных записок в блокноте ну и поделиться граблями и советами, чтобы у последователей все протекло более гладко.

Читать: https://codeby.net/threads/avtomatizacija-owasp-zap-chast-1-vvodnaja-chast.73228/

#owasp #testing #scanner

​​Автоматизация OWASP ZAP, Часть 2, Запуск в Docker, доступ к API

Почему Docker? Тут все очевидно и просто. Докер образ нам позволяет изолировать среду, более быстро и оперативно решать проблемы, либо не решать их совсем, а просто откатываться к предыдущим версиям образов, или обнулять все конфигурации например. К тому же докер нам позволяет переносить все зависимости и всю среду AS IS(как есть) практически на любую операционную систему, а также позволяет постоянно обновляться и проводить тестирование на самых новых версиях OWASP ZAP.

Читать: https://codeby.net/threads/avtomatizacija-owasp-zap-chast-2-zapusk-v-docker-dostup-k-api.73331/

#owasp #testing #docker

Web-application security

Предложения принимаются до 09.07.2021

Приглашаем в команду специалиста.

Работа в офисе или удаленно
График с 9:00 до 18:00

Требования:
✔️ Понимание работы компьютерных сетей (TCP/IP, модель OSI)
✔️ Знание работы веб-приложений
✔️ Понимание OWASP TOP 10
✔️ Умение пользоваться основными инструментами для проведения тестирования веб-приложений (BurpSutie, Acunetix, ffuf, ZAP)
✔️ Базовые знания языков программирования (Python, Ruby)
✔️ Уверенный пользователь windows/unix
✔️ Опыт работы с Kali Linux/Parrot OS security
✔️ Приветствуется участие на CTF площадках (root-me, vulnhub, hackthebox)

Основные обязанности:
✔️ Анализировать защищённость веб-приложений
✔️ Проводить тестирование на проникновение в том числе в формате red-team
✔️ Оформление результатов своей работы (написание отчетов)

📎 Откликнуться: https://freelance.codeby.net/orders/web-application-security-256.html

Десятая конференция ZeroNights пройдет 30 июня в летнем Санкт-Петербурге!

В 2021 году в десятый раз пройдет ZeroNights – ежегодная международная конференция, посвященная практическим аспектам информационной безопасности.

Ничто не заменит нам энергию живого общения! Поэтому приглашаем отметить свое десятилетие в неформальной обстановке 30 июня в пространстве "Севкабель Порт". Вас ждет насыщенный день и мощная программа с тематическими активностями.

Для кого?
Для технических специалистов, администраторов, руководителей и сотрудников служб ИБ, пентестеров, программистов и всех, кто интересуется прикладными аспектами отрасли.

Что будет?
– Доклады ключевых спикеров и выступления основной программы (клуб "МОРЗЕ").
– Выступления секций Defensive Track, Web Village и Hardware Zone (в фор­мате open-air на просторной набережной, крытые трибуны обеспечат слушателям комфорт в любую погоду).

Подробности, программа и билеты на сайте — https://zeronights.ru/

​​Обзор способов оставаться анонимным в Сети

Желаю Всем доброго времени суток! Мне задавали довольно часто вопрос о том, как настроить полностью свою систему так, чтобы она была анонимная и безопасна. Хочу предупредить заранее, что эта статья не представляет собой мануал-инструкцию, а фактически является набором тезисов, которые будут отражать суть проблемы и возможные варианты решения. Скажем проще - это будет просто перечень пунктов на которые нужно обратить внимание. Это не инструкция, поскольку у каждого свое финансовое обеспечение, свои задачи, которые они требуют от системы, у каждого свои знания и навыки в этой сфере. Некоторые из Вас однозначно подумают, что я нагнетаю ситуацию, однобоко рассматриваю ситуацию и даже являюсь параноиком. Я не заставляю Вас это выполнять, решать только Вам. Поехали!

Читать: https://codeby.net/threads/obzor-sposobov-ostavatsja-anonimnym-v-seti.74207/

#anonymity #cybersec #web

​​Sparrow-WiFi: графический инструмент анализа WiFi и Bluetooth

Если вы когда-нибудь оказывались в ситуации, когда вам нужно было взглянуть на спектр беспроводной связи, будь то для устройств Bluetooth или Wi-Fi, есть увлекательный инструмент на основе Python 3 под названием Sparrow-wifi, который вам стоит попробовать. Он кроссплатформенный, простой в использовании и имеет впечатляющий графический интерфейс, который показывает мощность сигнала ближайших устройств. Sparrow-wifi, известный как инструмент анализа нового поколения для беспроводной разведки и наблюдения, прост в установке. Вам нужно всего лишь несколько библиотек Python, и независимо от того, в какой системе вы работаете, она должна быть довольно простой в использовании. Он отлично работает на Raspberry Pi и так же хорошо на Kali Linux .

Читать: https://codeby.net/threads/sparrow-wifi-graficheskij-instrument-analiza-wifi-i-bluetooth.77553/

#wifi #gui #scanner

🔖 S.E.Заметка. Telegram OSINT.

🖖🏻 Приветствую тебя user_name.

• Поисковики по Telegram;
• Каталоги и справочники Telegram;
• Вспомогательные инструменты;
• Боты;
• Другие ресурсы для проведения #OSINT в Telegram;
и многое другое....

💬 На самом деле очень сочный репо, который поможет тебе найти нужную информацию на просторах Telegram.
https://github.com/ItIsMeCall911/Awesome-Telegram-OSINT

Не забывай про другие ресурсы:
OSINT в Telegram. Находим чаты в которых состоит наша цель.
Поиск цели по ip, MAC и Физическому адресу.
Поиск информации о цели, зная Email адрес.
Поиск информации о цели, имея данные о транспорте.
Поиск информации с помощью документов.
Подборка полезных поисковиков для поиска нужной информации о цели.
OSINT по номеру кошелька + подборка поисковиков.

#Заметка #OSINT.

🔥 Друзья, сегодня в 18:30 играем в battlegrounds

При достаточном количестве людей будем играть 4 на 4.

battlegrounds его цель:

У вас есть пол часа для того что бы защитить свою инфраструктуру и уничтожить противника.

Развивает скорость нахождения уязвимостей и заставляет быстро думать

Стрим будет транслироваться на следующих площадках:

✔️ https://www.twitch.tv/thecodeby
✔️ https://www.youtube.com/channel/UCKgJTuOCdxO7c9A3-ZVxTSA
✔️ https://vk.com/codeby_net
✔️ https://www.facebook.com/codeby.net/
✔️ https://cyberhero.tele2.ru/stream/user225626
✔️ https://ok.ru/group/56709935661181

Ждем вас сегодня в 18:30

​​Как обнаружить присутствие вредоносного кода в файле, если антивирус молчит

В статье описаны начальные методы и техники выявления вредоносного кода в файлах, и в каких условиях стоит обследовать малварь. Первым делом что нам предстоит сделать, во избежание заражения инфраструктуры малварью это: изолировать потенциально зараженный ПК от других сетей, сделать дамп оперативной памяти, снять образ диска. Образ диска и дамп оперативной памяти позволяет выполнить ПО FTK Imager.

Читать: https://codeby.net/threads/kak-obnaruzhit-prisutstvie-vredonosnogo-koda-v-fajle-esli-antivirus-molchit.70601/

#malware #research #analysis