Фильтрация мусора и Content Security Policy (CSP) отчеты
Принято считать, что если вы принимаете отчеты о Content Security Policy (CSP) (на рус. "Нарушения Политики Безопасности Контента"), вам придется фильтровать множество непонятных и недействительных отчетов. Но дела обстоят получше, чем шесть лет назад, когда я впервые начал идти по пути CSP с Caspr. Браузеры и другие пользовательские агенты гораздо более продуманны в отношении того, что и когда они сообщают. А новые дополнения к CSP, такие как "script-sample", сделали фильтрацию легкой.
Читать:
https://codeby.net/threads/filtracija-musora-i-content-security-policy-csp-otchety.73870/
#filter #csp #xss
Принято считать, что если вы принимаете отчеты о Content Security Policy (CSP) (на рус. "Нарушения Политики Безопасности Контента"), вам придется фильтровать множество непонятных и недействительных отчетов. Но дела обстоят получше, чем шесть лет назад, когда я впервые начал идти по пути CSP с Caspr. Браузеры и другие пользовательские агенты гораздо более продуманны в отношении того, что и когда они сообщают. А новые дополнения к CSP, такие как "script-sample", сделали фильтрацию легкой.
Читать:
https://codeby.net/threads/filtracija-musora-i-content-security-policy-csp-otchety.73870/
#filter #csp #xss
Forwarded from Social Engineering
🔖 S.E. Заметка. Hacker Roadmap.
Начинать что-то изучать всегда непросто, и для новых дисциплин вроде информационной безопасности это особенно верно.
• Помимо крутого репозитория, обрати внимание на "План обучения пентесту с нуля и до профессионала", перейдя по ссылке, ты сможешь понять, с чего начать и на что обратить особое внимание.
• Напоминаю тебе, что в нашем канале скопилось огромное количество бесплатной, актуальной и проверенной информации. Благодаря который ты можешь освоить любое направление, касательно Информационной Безопасности и Социальной Инженерии. #СИ #ИБ #Пентест. Твой S.E.
Начинать что-то изучать всегда непросто, и для новых дисциплин вроде информационной безопасности это особенно верно.
🖖🏻 Приветствую тебя user_name.• Hacker Roadmap — репозиторий представляет собой краткий обзор книг, инструментов, теоретических и технических знаний, технологий и языков программирования, для тех кто начинает осваивать хакерское ремесло! Данная карта даст много полезной информации и направит тебя в нужное русло.
• Помимо крутого репозитория, обрати внимание на "План обучения пентесту с нуля и до профессионала", перейдя по ссылке, ты сможешь понять, с чего начать и на что обратить особое внимание.
• Напоминаю тебе, что в нашем канале скопилось огромное количество бесплатной, актуальной и проверенной информации. Благодаря который ты можешь освоить любое направление, касательно Информационной Безопасности и Социальной Инженерии. #СИ #ИБ #Пентест. Твой S.E.
Расшифровываем криптоконтейнер TrueCrypt с помощью Volatility и MKDecrypt.
Приветствую всех обитателей Codeby, недавно передо мной встала одна задачка. Задача состояла в следующим: Мне нужно было извлечь из слепка оперативной памяти мастер ключ от криптоконтейнера (TrueCrypt 7.1a). Затем с помощью этого ключа мне нужно было расшифровать собственно сам криптоконтейнер, пустяковое казалось бы дело.
Читать:
https://codeby.net/threads/rasshifrovyvaem-kriptokontejner-truecrypt-s-pomoschju-volatility-i-mkdecrypt.74360/
#crypt #truecrypt
Приветствую всех обитателей Codeby, недавно передо мной встала одна задачка. Задача состояла в следующим: Мне нужно было извлечь из слепка оперативной памяти мастер ключ от криптоконтейнера (TrueCrypt 7.1a). Затем с помощью этого ключа мне нужно было расшифровать собственно сам криптоконтейнер, пустяковое казалось бы дело.
Читать:
https://codeby.net/threads/rasshifrovyvaem-kriptokontejner-truecrypt-s-pomoschju-volatility-i-mkdecrypt.74360/
#crypt #truecrypt
👍1
🔥 Курс «Python для Пентестера» 🔥
От команды The Codeby
Старт обучения 20 сентября
Курс будет начинаться с полного нуля, то есть начальные знания по Python не нужны. Может вы начинали уже изучать язык Python и забросили? Тогда это ваш шанс начать всё с начала. По окончании курса вы сможете писать свой собственный софт под свои нужды, и редактировать чужой. Абсолютное большинство программ для пентеста написано именно на Python, так как это очень простой язык, позволяющий в короткие сроки написать нужный софт, и имеющий в арсенале тысячи готовых модулей.
🔗 Подробнее: https://codeby.net/threads/kurs-python-dlja-pentestera.70415/
#python #курсы #обучение
От команды The Codeby
Старт обучения 20 сентября
Курс будет начинаться с полного нуля, то есть начальные знания по Python не нужны. Может вы начинали уже изучать язык Python и забросили? Тогда это ваш шанс начать всё с начала. По окончании курса вы сможете писать свой собственный софт под свои нужды, и редактировать чужой. Абсолютное большинство программ для пентеста написано именно на Python, так как это очень простой язык, позволяющий в короткие сроки написать нужный софт, и имеющий в арсенале тысячи готовых модулей.
🔗 Подробнее: https://codeby.net/threads/kurs-python-dlja-pentestera.70415/
#python #курсы #обучение
ASM – Безопасность Win. [1]. Разграничение прав доступа к объектам
Всем привет! На повестке дня – подсистема безопасности Win. Рассмотрим такие понятия как: системные объекты, права пользователей и их привилегии, токены и дескрипторы безопасности, списки контроля доступа DACL/SACL и записи в них ACE, проведём экскурсию в процесс Lsass.exe, познакомимся с диспетчером объектов, системным монитором SRM и узнаем, каким образом утилите "runas.exe" удаётся запускать процессы с админскими правами. Одним словом попытаемся бросить камень в стеклянную форточку Win и посмотрим, что из этого выйдет.
Читать:
https://codeby.net/threads/asm-bezopasnost-win-1-razgranichenie-prav-dostupa-k-obektam.78105/
#asm #windows #dacl
Всем привет! На повестке дня – подсистема безопасности Win. Рассмотрим такие понятия как: системные объекты, права пользователей и их привилегии, токены и дескрипторы безопасности, списки контроля доступа DACL/SACL и записи в них ACE, проведём экскурсию в процесс Lsass.exe, познакомимся с диспетчером объектов, системным монитором SRM и узнаем, каким образом утилите "runas.exe" удаётся запускать процессы с админскими правами. Одним словом попытаемся бросить камень в стеклянную форточку Win и посмотрим, что из этого выйдет.
Читать:
https://codeby.net/threads/asm-bezopasnost-win-1-razgranichenie-prav-dostupa-k-obektam.78105/
#asm #windows #dacl
Splunk Attack Range в виртуальной гостевой Ubuntu VM: Руководство
Splunk Attack Range - это отличный проект от Splunk, который позволяет любому заинтересовавшемуся быстро (то есть автоматически) собрать и развернуть весь инфраструктурный стак с различным ПО, либо инструментом для тестирования кибер атака на уязвимые хосты, захвата и отправки логов с хостов, пересылки данных о событиях в Splunk и даже реализации SOAR playbooks
Читать:
https://codeby.net/threads/splunk-attack-range-v-virtualnoj-gostevoj-ubuntu-vm-rukovodstvo.73460/
#ubuntu #splunk #guide
Splunk Attack Range - это отличный проект от Splunk, который позволяет любому заинтересовавшемуся быстро (то есть автоматически) собрать и развернуть весь инфраструктурный стак с различным ПО, либо инструментом для тестирования кибер атака на уязвимые хосты, захвата и отправки логов с хостов, пересылки данных о событиях в Splunk и даже реализации SOAR playbooks
Читать:
https://codeby.net/threads/splunk-attack-range-v-virtualnoj-gostevoj-ubuntu-vm-rukovodstvo.73460/
#ubuntu #splunk #guide
Forwarded from Positive Events
Hack me, если сможешь 👀
Теперь лучшие выступления с PHDays можно не только смотреть, но и слушать. Мы запустили свой подкаст.
Подключайтесь на любой удобной вам платформе: Яндекс Музыке, Apple Подкастах, Google, VK.
И, конечно, подписывайтесь и ставьте лайки 🖤
Теперь лучшие выступления с PHDays можно не только смотреть, но и слушать. Мы запустили свой подкаст.
Подключайтесь на любой удобной вам платформе: Яндекс Музыке, Apple Подкастах, Google, VK.
И, конечно, подписывайтесь и ставьте лайки 🖤
MacroPack - Обфускация shellcode
Приветствую, сегодня хочу представить аудитории инструмент, целью которого является обфускация вашего, или где-то позаимствованного кода. Итогом будет, как обещают авторы, снижение агрессии на него АВ-программ. Я полагаю, не нужно обьяснять, что обфусцированные примеры не стоит постить на любимый многими «хакерами» ресурс.
Читать: https://codeby.net/threads/macropack-obfuskacija-shellcode.60745/
#obfuscation #kali #shell
Приветствую, сегодня хочу представить аудитории инструмент, целью которого является обфускация вашего, или где-то позаимствованного кода. Итогом будет, как обещают авторы, снижение агрессии на него АВ-программ. Я полагаю, не нужно обьяснять, что обфусцированные примеры не стоит постить на любимый многими «хакерами» ресурс.
Читать: https://codeby.net/threads/macropack-obfuskacija-shellcode.60745/
#obfuscation #kali #shell
MD5 Algorithm
Привет, сейчас речь пойдет про разбор и реализацию алгоритма хеширования md5 на языке C++. Сам алгоритм раньше широко применялся для проверки целостности информации и для хранения паролей, пока его не признали небезопасным. Эта статья написана для начинающих, которым интересно как этот алгоритм работает изнутри и как его реализовать. Моя реализация алгоритма является обучающей, то есть код работает не так быстро, но позволяет понять как устроен md5. От читателей требуется базовое знание C++ и минимальный опыт работы с памятью и указателями. Начнем.
Читать: https://codeby.net/threads/md5-algorithm.73782/
#hash #crypt #md5
Привет, сейчас речь пойдет про разбор и реализацию алгоритма хеширования md5 на языке C++. Сам алгоритм раньше широко применялся для проверки целостности информации и для хранения паролей, пока его не признали небезопасным. Эта статья написана для начинающих, которым интересно как этот алгоритм работает изнутри и как его реализовать. Моя реализация алгоритма является обучающей, то есть код работает не так быстро, но позволяет понять как устроен md5. От читателей требуется базовое знание C++ и минимальный опыт работы с памятью и указателями. Начнем.
Читать: https://codeby.net/threads/md5-algorithm.73782/
#hash #crypt #md5
Моделирование векторов атак и создание IOC-защищённых ID
Это первая часть статьи, состоящая из двух частей, в которой пойдет речь о применении шпионажа для разработки вредоносных ПО, при этом, устойчивым к форенсике и применении атрибуции. В этой первой части я собираюсь дать несколько советов и примеров того, как применять методологию моделирования угроз к процессу разработки, а также поделиться простой методикой, с которой я экспериментировал, исследуя методы создания и хранения данных, устойчивых к анализу финегрпринтов.
Читать: https://codeby.net/threads/modelirovanie-vektorov-atak-i-sozdanie-ioc-zaschischjonnyx-id.73410/
#soft #win #ioc
Это первая часть статьи, состоящая из двух частей, в которой пойдет речь о применении шпионажа для разработки вредоносных ПО, при этом, устойчивым к форенсике и применении атрибуции. В этой первой части я собираюсь дать несколько советов и примеров того, как применять методологию моделирования угроз к процессу разработки, а также поделиться простой методикой, с которой я экспериментировал, исследуя методы создания и хранения данных, устойчивых к анализу финегрпринтов.
Читать: https://codeby.net/threads/modelirovanie-vektorov-atak-i-sozdanie-ioc-zaschischjonnyx-id.73410/
#soft #win #ioc
Начало работы в Android приложениях по пентестингу (Часть 1)
Стремительное развитие и рост мобильных приложений несут в себе кучу уязвимостей, которые злоумышленники готовы эксплуатировать. Если вы разрабатываете приложения для Android и iOS-устройств и не успеваете за стратегиями пентеста, тогда вы должны быстро в них разобраться.
Читать: https://codeby.net/threads/nachalo-raboty-v-android-prilozhenijax-po-pentestingu-chast-1.73355/
#android #pentest
Стремительное развитие и рост мобильных приложений несут в себе кучу уязвимостей, которые злоумышленники готовы эксплуатировать. Если вы разрабатываете приложения для Android и iOS-устройств и не успеваете за стратегиями пентеста, тогда вы должны быстро в них разобраться.
Читать: https://codeby.net/threads/nachalo-raboty-v-android-prilozhenijax-po-pentestingu-chast-1.73355/
#android #pentest
macOS Catalina 10.15.1 один из способов получения копии данных для дальнейшего изучения
Бывают случаи когда нет возможности извлечь SSD, HDD из устройств macOS, то нужно распаивать экран или сложность разборки, а информацию получить для дальнейшей обработки нужно. Способы с загрузкой разных дистрибутивов особенно Linux для команды DD не дают результат или получаем образ системы который не может распознать: FTK, X-Ways, belkasoft, а программные продукты UFS Explorer, R-Studio так же результатов не дают, хотя тут я немного преувеличил так как программа DMDE (DM Disk Editor and Data Recovery Software) с такого не понятного образа восстанавливает файлы (жаль что без имён) но она всё таки даёт рабочие файлы.
Читать: https://codeby.net/threads/macos-catalina-10-15-1-odin-iz-sposobov-poluchenija-kopii-dannyx-dlja-dalnejshego-izuchenija.73087/
#macintosh #data #forensic
Бывают случаи когда нет возможности извлечь SSD, HDD из устройств macOS, то нужно распаивать экран или сложность разборки, а информацию получить для дальнейшей обработки нужно. Способы с загрузкой разных дистрибутивов особенно Linux для команды DD не дают результат или получаем образ системы который не может распознать: FTK, X-Ways, belkasoft, а программные продукты UFS Explorer, R-Studio так же результатов не дают, хотя тут я немного преувеличил так как программа DMDE (DM Disk Editor and Data Recovery Software) с такого не понятного образа восстанавливает файлы (жаль что без имён) но она всё таки даёт рабочие файлы.
Читать: https://codeby.net/threads/macos-catalina-10-15-1-odin-iz-sposobov-poluchenija-kopii-dannyx-dlja-dalnejshego-izuchenija.73087/
#macintosh #data #forensic
Взлом через умные лампочки: уязвимость сети, советы по безопасности, примеры и рекомендации
Дорогой читатель, расскажу инфу, которую узнал недавно, и это стало причиной написания статьи. Также поделюсь советами, как обеспечить безопасность работы удаленно. Как говорится – предупрежден, значит защищен! Итак!
Читать: https://codeby.net/threads/vzlom-cherez-umnye-lampochki-ujazvimost-seti-sovety-po-bezopasnosti-primery-i-rekomendacii.74749/
#hacking #network
Дорогой читатель, расскажу инфу, которую узнал недавно, и это стало причиной написания статьи. Также поделюсь советами, как обеспечить безопасность работы удаленно. Как говорится – предупрежден, значит защищен! Итак!
Читать: https://codeby.net/threads/vzlom-cherez-umnye-lampochki-ujazvimost-seti-sovety-po-bezopasnosti-primery-i-rekomendacii.74749/
#hacking #network
Друзья, после небольшого перерыва, мы рады вновь встретиться с вами на стриме, с рубрикой "интервью".
В эту пятницу у нас в гостях команда форума Codeby по компьютерной форензике, а именно:
f123123; Unison; Sunnych.
На трансляции мы с вами узнаем:
● Что такое компьютерная криминалистка
● Где стоит искать информацию о форензике
● Нюансы компьютерной и мобильной криминалистики
Время проведения стрима: 30 июля, в 17:00 по московскому времени, на следующих платформах:
✔️ https://www.twitch.tv/thecodeby
✔️ https://www.youtube.com/channel/UCKgJTuOCdxO7c9A3-ZVxTSA
✔️ https://vk.com/codeby_net
✔️ https://www.facebook.com/codeby.net/
В эту пятницу у нас в гостях команда форума Codeby по компьютерной форензике, а именно:
f123123; Unison; Sunnych.
На трансляции мы с вами узнаем:
● Что такое компьютерная криминалистка
● Где стоит искать информацию о форензике
● Нюансы компьютерной и мобильной криминалистики
Время проведения стрима: 30 июля, в 17:00 по московскому времени, на следующих платформах:
✔️ https://www.twitch.tv/thecodeby
✔️ https://www.youtube.com/channel/UCKgJTuOCdxO7c9A3-ZVxTSA
✔️ https://vk.com/codeby_net
✔️ https://www.facebook.com/codeby.net/
Twitch
TheCodeby - Twitch
Оттачиваем искусство пентеста на площадке - hackerlabs. В выходные дни берем интервью у лучших специалистов информационной безопасности со всего мира. Подписывайся и узнавай новое вместе с нами!
#реклама
Как проводить анализ безопасности продуктов и систем? Расскажут и обучат практикующие пентестеры!
На курсе «Специалист по тестированию на проникновение» от команды HackerU вы погрузитесь в рабочие задачи «атакующиих» игроков кибербезопасности и получите возможность построить карьеру в одном из самых востребованных направлений IT!
Сомневатесь в своих возможностях? Проверить себя и на практике познакомиться с инструментами пентестеров можно уже сейчас на новом трехдневном интенсиве «RED, BLUE & APPSEC»
На интенсиве вас ждут:
— Разбор основных инструментов и техник анализа безопасности кода
— CTF-турнир и разбор заданий
— Карьерные лайфхаки от экспертов инфобеза, а также полезные учебные материалы
— 3 дня = три эксперта-практика
Интенсив проводится онлайн в формате «живых классов» в небольших группах. Запуск интенсива уже 2 августа!
Записывайтесь по ссылке: https://is.gd/pWWhHD
Как проводить анализ безопасности продуктов и систем? Расскажут и обучат практикующие пентестеры!
На курсе «Специалист по тестированию на проникновение» от команды HackerU вы погрузитесь в рабочие задачи «атакующиих» игроков кибербезопасности и получите возможность построить карьеру в одном из самых востребованных направлений IT!
Сомневатесь в своих возможностях? Проверить себя и на практике познакомиться с инструментами пентестеров можно уже сейчас на новом трехдневном интенсиве «RED, BLUE & APPSEC»
На интенсиве вас ждут:
— Разбор основных инструментов и техник анализа безопасности кода
— CTF-турнир и разбор заданий
— Карьерные лайфхаки от экспертов инфобеза, а также полезные учебные материалы
— 3 дня = три эксперта-практика
Интенсив проводится онлайн в формате «живых классов» в небольших группах. Запуск интенсива уже 2 августа!
Записывайтесь по ссылке: https://is.gd/pWWhHD
PHONE PARSER - Поиск по телефону RU
PHONE PARSER — Это утилита которая поможет найти ту или иную информацию по номеру телефона.
Читать: https://codeby.net/threads/phone-parser-poisk-po-telefonu-ru.72553/
#parser #osint
PHONE PARSER — Это утилита которая поможет найти ту или иную информацию по номеру телефона.
Читать: https://codeby.net/threads/phone-parser-poisk-po-telefonu-ru.72553/
#parser #osint
Друзья, сегодня стрим.
Пока болел, время зря не терял, и научился некоторым абузам в battelground.
Сегодня разберем большую часть машин из раздела практики:
● Продемонстрирую рабочие уязвимости
● Как быстро залетать на машину и брать рута.
Стрим будет проходить 28 июля в 19:00 по московскому времени на следующих платформах:
✔️Twitch,tv
✔️YouTube
✔️Vk.com
✔️Facebook
Пока болел, время зря не терял, и научился некоторым абузам в battelground.
Сегодня разберем большую часть машин из раздела практики:
● Продемонстрирую рабочие уязвимости
● Как быстро залетать на машину и брать рута.
Стрим будет проходить 28 июля в 19:00 по московскому времени на следующих платформах:
✔️Twitch,tv
✔️YouTube
✔️Vk.com
✔️Facebook
Twitch
TheCodeby - Twitch
Оттачиваем искусство пентеста на площадке - hackerlabs. В выходные дни берем интервью у лучших специалистов информационной безопасности со всего мира. Подписывайся и узнавай новое вместе с нами!