Codeby
35.9K subscribers
1.48K photos
92 videos
12 files
7.41K links
Блог сообщества Кодебай

Чат: @codeby_one
Форум: codeby.net
Обучение: codeby.school
Пентест: codeby.one
CTF: hackerlab.pro

VK: vk.com/codeby
YT: clck.ru/XG99c

Сотрудничество: @KinWiz

Реклама: @Savchenkova_Valentina
Download Telegram
DevSecOps. Эпизод 2. Менеджмент Уязвимостей

Доброго времени суток! В прошлой статье забыл упомянуть о таком крайне важном инструменте, как OAST или SCP. OAST - Open Source Application Security Testing. При внедрении DevSecOps, это, наверное самое важное. Ведь внедрение этого инструмента самое простое и безболезненное, а пользы от него довольно много.

📌 Читать далее

#beginner #security
👍13🔥3👎1
Создание мультизагрузочных дисков с помощью Ventoy в Windows и Linux

Есть множество программ, с помощью которых можно создать загрузочные диски для установки или загрузки с них образа дистрибутива операционной системы или необходимых для обслуживания ПК программ. А если у вас операционная система Linux, то для вас открывается еще одна возможность создания загрузочных дисков — утилита dd. Но есть проект, который существует уже довольно давно и способен заменить по удобству большинство методов создания загрузочных дисков, особенно, если вам нужно создать диск с мультизагрузкой. Это утилита Ventoy.

📌 Читать далее

#linux #windows
👍13🔥4
​Станьте гуру кибербезопасности!

Сегодня компании становятся мишенью для атак со стороны хакеров в охоте за деньгами, информацией о готовящихся проектах и новых продуктах. Для проникновения хакеры используют различные методы: от вредоносных программ до специальной инженерии. А теперь представьте, что в 9 из 10 компаний отсутствуют специалисты по информационной безопасности! Представляете, насколько это популярное направление?

На курсе вы научитесь:
– основам веб-разработки;
– управлять базами данных;
– защищать сайты;
– организовывать пен-тесты;
– проверять сайты на защищенность;
– искать уязвимости.

Сейчас IT-специалисты нужны как никогда! Освойте профессию, без которой не обойдётся ни один бизнес!
🔥 Также для IT-специалистов действуют специальные плюшки от государства!
Подробности по ссылке: https://clc.to/P8PyeQ

#Спонсорский
👎20😁5😢2
🔑 Автоматическая проверка пароля на утечки

При регистрации или аутентификации на веб-сайте у нас первым делом запросят именно пароль. На большинстве ресурсов именно он служит единственным барьером между злоумышленником и вашим аккаунтом. Поэтому важно регулярно проверять, не скомпрометирован ли ваш пароль.

Стандартным методом защиты от взлома является генерация сложного пароля, как правило, имеющего: буквы, цифры, специальные символы. Длина такого пароля обычно от 16 символов, что делает его очень устойчивым к перебору. Но это всё равно не даёт никакой гарантии того, что ваш пароль не попадёт в руки постороннего.

Упростить задачу проверки баз утечек помогут различные утилиты. Например, расширение PassProtect проверяет ваш пароль на сервисе и предупреждает в том случае, если он был скомпрометирован. Различные менеджеры паролей (по типу LastPass или 1Password) также помогут защитить ваш пароль.

#useful #security
👍111
🌍 Новостной дайджест по ИБ/IT за 08.08-15.08

📆 В этом выпуске:
✔️ ВКонтакте анонсировали глобальное обновление мобильного приложения
✔️ Новости Telegram
✔️ Google упал
✔️ Зачем нам малинка, если есть репка?
✔️ Zoom небезопасен
✔️ YouTube планирует создать маркетплейс подписок
✔️ Взлом Cisco
✔️ AEPIC Leak
✔️ Школьник залил шифровальщика в PyPI
✔️ Взлом терминала StarLink
✔️ Очередные блокировки
✔️ Интересное на Codeby
✔️ Блиц

📌 Читать статью

🍿 Смотреть в видео-формате

#news #digest
🔥5👍2
⚛️ Обнаружены уязвимости во фреймворке Electron

Группа исследователей безопасности обнаружила уязвимости в программном обеспечении, лежащем в основе приложений Discord, Microsoft Teams, Slack и многих других, которыми пользуются десятки миллионов людей.

Свой отчёт исследователи представили на конференции по кибербезопасности Black Hat. Также было подробно описано, как они могли взломать людей, использующих Discord, Microsoft Teams и чат-приложение Element через ПО, лежащее в их основе.

Речь идёт об уязвимостях в фреймворке Electron, построенным на Chromium, с открытым исходным кодом. За найденные уязвимости исследователи получили более 10 000 долларов в качестве вознаграждения. Ошибки уже исправлены.

В случае с Discord, для эксплуатации ошибки нужно было отправить вредоносную ссылку на видео. В Microsoft Teams обнаруженную уязвимость можно было использовать через приглашение жертвы на встречу.

🗞 Блог Кодебай

#news #messenger #vulnerability
👍5😱3
🎓 Реально ли пройти WAPT школьнику?

Приветствую всех, друзья. Как вы уже могли догадаться по названию, в этой статье речь пойдёт о моём прохождении курса WAPT. Для тех, кто не в теме - курс познакомит вас с тестированием WEB-приложений на проникновение и расскажет о самых распространённых уязвимостях на сайтах.

📌 Читать далее

#learning #school #feedback
🔥13👍5😱3
Раскрыты более 1900 номеров телефонов пользователей Signal

В результате фишинговой атаки на Twilio злоумышленники получили доступ к телефонным номерам и SMS-кодам подтверждения почти 2000 пользователей мессенджера Signal.

Важно отметить, что доступа к истории сообщений, информации профиля или спискам контактов злоумышленники не получили, так как эти данные хранятся непосредственно на устройстве пользователя.

Для пострадавших пользователей компания отключит аутентификацию на всех устройствах и потребует повторно войти в аккаунт Signal со своим номером телефона.

🗞 Блог Кодебай

#news #messenger #data
😁8🔥2😱2
Эхо террора: сказание о Zerologon или как АНБ опять подставило весь мир под удар - взломать Пентагон было проще, чем ты думаешь

Салам. Сегодня статья будет весьма необычной, но менее интересной от этого она отнюдь не становится, и я поведаю вам истории, которые больше походят на теории заговора и даже если это все окажется выдумкой, то как минимум будет поучительно. Почему? Да потому что эти истории наглядно покажут, как небольшие человеческие оплошности приводят к фатальным последствиям. И это применимо ко всему. Поехали.

📌 Читать далее

#history
👍10😢21🎉1
Хотите эффективно тестировать веб-приложения на проникновение?

1 сентября стартует осенний поток курса WAPT

После прохождения 4-месячного онлайн-курса WAPT вы сможете:

✔️ Находить уязвимости в веб-приложениях без использования сканеров;
✔️ Повышать привилегии на скомпрометированном сервере;
✔️ Выстраивать защиту веб-сервисов от популярных видов атак;
✔️ Закрепите основы работы клиент-серверных веб-приложений;
✔️ Сможете участвовать в Bug Bounty и зарабатывать деньги!

Курс от Codeby School будет полезен специалистам, которые уже знают основы работы TCP/IP и HTTP, а также умеют пользоваться командной строкой OS Linux.

Преимущества курса «Тестирование WEB-приложений на проникновение»:

✱ Максимум практики – выполнение заданий на тестовом стенде и проверка ДЗ;
✱ Обучение в любое время благодаря методичкам и видеоурокам в записи;
✱ Обратная связь от учеников и преподавателя в чате Telegram;

Записаться на курс можно по ссылке: https://web-pentest.codeby.school/

#CodebySchool
😱121🤩9088🔥88👍48😁15
Попытка активации операционной системы от MS с помощью Python

Активация операционной системы Windows, дело сугубо индивидуальное. Кто-то активирует ее с помощью купленных ключей, кто-то, как придется. Есть такое мнение, что политика Microsoft в отношении пиратства довольно лояльна еще и потому, что используя ее продукты у человека появляется привычка. И рано или поздно, он все равно купит лицензионный ключ. А значит, здесь просто коммерческий интерес. Но, речь сейчас не об этом, а о том, как попробовать активировать ОС с помощью Python.

📌 Читать далее

#python #windows
👍19😢21
Проделки Майкрософт: развенчание абсолютной безопасности от Билла Гейтса, часть вторая - Android vs IOS

И все мы мечтаем быть богатыми: миллионерами или даже миллиардерами, наверное, не сыскать личности, которая не желала бы кучу денег, а все отрицающие - явно лжецы. Более того, я думаю, что большинство из Вас уверены, что рано или поздно это произойдет. В современном мире чтобы стать успешным больше не нужно вспахивать огород своей прабабушки в поисках нефти, достаточно лишь создать простенький сайт или приложение, которые тут же подхватят инвесторы, и вот…Вуаля, стозначные числа уже у Вас на счету, но есть один нюанс, как и в прошлом веке нужно с чего-то начинать - поднимать свою пятую точку с дивана и что-то делать, а делать-то не очень и хочется. В прошлой части вроде как я обещал проверить защищенность мобильных устройств с установленным “антивирусом” от Майкрософт, да? Ладненько, так уж и быть.

📌 Читать далее

#history #microsoft
👍9🔥6
🖼 В Госдуме предложили разблокировать Instagram* для малого бизнеса

Депутаты Госдумы предлагают снять блокировку с социальной сети Instagram*. Это хотят сделать после проверки на наличие нарушений и их исправления. Разблокировать сеть предлагают «в интересах российского малого бизнеса». Просьбу уже передали в Генпрокуратуру.

«Рекламный рынок малого и среднего бизнеса на 100% концентрировался в Instagram. По экспертным оценкам, в прошлом году он оценивался от 12 до 15 млрд рублей. В 2020 году — в 18 млрд рублей. Это был один из немногих способов для продвижения своего товара и услуг малому и среднему бизнесу», — рассказал председатель комитета Госдумы по малому и среднему предпринимательству Александр Демин.

Такое заявление объясняется рядом причин. Во-первых, с момента блокировки Instagram* в России приложения для обхода блокировок (VPN) скачали более 24 млн раз, а это значит, что поставленная задача все равно не решена. Во-вторых, социальная сеть была заблокирована из-за недопустимого контента — теперь такой контент модерируется и удаляется. Так же, ещё не появилась площадка, функционал которой был бы аналогичен заблокированной платформе.

* — Социальная сеть Instagram принадлежат компании Meta, признанной в России экстремистской организацией, ее деятельность в стране запрещена.

🗞 Блог Кодебай

#news #russia #information
😁16👍8
📶 Эксплойт для критической уязвимости в Realtek SDK выложили на GitHub

Исследователи из компании Faraday Security на конференции DEFCON рассказали о деталях эксплуатации критической уязвимости (CVE-2022-27255) в SDK для чипов Realtek RTL819x.

Ошибка позволяет выполнить произвольный код на устройстве через отправку специального UDP-пакета. Она получила 9.8 баллов из 10 по шкале CVSS (статус критической). Примечательно, что уязвимость позволяет атаковать устройства, в которых отключён доступ в WEB-интерфейс для внешних сетей.

CVE-2022-27255 представляет собой классическую проблему переполнения буфера на уровне стека. С помощью этой уязвимости злоумышленник может использовать специально созданные SIP-пакеты с вредоносными SDP-данными внутри для выполнения кода без аутентификации.

Разработчики Realtek устранили баг в марте, отметив, что он затрагивает серии rtl819x-eCos-v0.x и rtl819x-eCos-v1.x. Согласно описанию, атаку можно совершить и через WAN-интерфейс.

🗞 Блог Кодебай

#news #realtek #vulnerability
👍6🔥5😱4
📱 «Лаборатория Касперского» дорабатывает свой мобильный телефон

«Лаборатория Касперского» дорабатывает функционал своего защищенного от взломов мобильного телефона для работы с критической инфраструктурой. Ещё необходимо наладить работу камеры и улучшить производительность устройства.

«Там еще не до конца готов функционал… Мы писали все с самого нуля, поэтому еще нужно доделывать. Камера не работает. Мы делаем, но это требует времени. Плюс производительность — там еще есть работа, чтобы он работал с той же скоростью, к чему мы привыкли. Там куча всяких технических проблем, с которыми мы потихонечку справляемся. Когда мы его покажем и скажем, что вот, готово — не знаю», — сказал директор компании Евгений Касперский.

Устройство будет представлять из себя что-то среднее между смартфоном и кнопочным телефоном. Это не будет заменой современным популярным гаджетам, поскольку «это больше для работы с критической инфраструктурой», которой нужно управлять удаленно.

🗞 Блог Кодебай

#news #russia #kaspersky
👍12👎4😁3
🚰 В России количество утекших записей больше населения страны

Аналитический центр InfoWatch представил интересную статистику по утечкам персональных данных. Так, в первом полугодии 2022 года в сеть утекло больше записей ПДн, чем население России.

В общей сложности аналитикам удалось зафиксировать 2101 утечку, что на 93,2% выше, чем за аналогичный период прошлого года. В России этот показатель скромнее — в первом полугодии 2022 года — 305 утечек, но это все равно на 45,9% больше, чем в первом полугодии 2021 года. В случае количества скомпрометированных записей ПДн и платежной информации отмечаются противоположные показатели: в этом году слили на 27,8% меньше единиц данных, чем год назад.

Эксперты InfoWatch считают, что причина в избирательности киберпреступников, которые в последнее время видят смысл в похищении исключительно ликвидных на чёрном рынке данных. Тем не менее эта цифра по России выросла в 16,75 раза и составила 187,6 млн записей.

Первое место по числу обнаруженных утечек в дарквебе держат США, на втором месте — Россия.

🗞 Блог Кодебай

#news #russia #data
👍9😱6👎1
🥷🏻 EasyHacking - Social Engineering Toolkit + NGROK. Добываем данные пользователя.

Рубрика роликов про вводную часть в пентест, здесь мы на пальцах будем разбирать те или иные утилиты которые подтолкнут вас в разнообразный мир пентеста.

В данном ролике мы научимся создавать "злые" сайты двойники для сбора данных.

🍿 Смотреть видео

#beginner #pentest #soceng
👍11🔥9👎1
Аудит безопасности сайта: как защитить самый ценный онлайн-актив компании

Назовите успешную компанию без собственного сайта. Правильно, это невозможно. Не занимая определённую нишу в интернете, современный бизнес в принципе не существует для окружающих. Для одних веб-ресурс – лишь визитка, для других – главный инструмент заработка. Но и те и другие не имеют права относиться к сайту беспечно.

📌 Читать далее

#pentest
👍7😢1
Offensive OSINT часть 4 - сбор разведывательных данных по важнейшим объектам инфраструктуры в Юго-Восточной Азии

Это вторая часть расследования критической инфраструктуры по всему миру. Со времени последних исследований, я узнал много нового об устройствах промышленных систем управления, их типах или поставщиках, а также об общем подходе к такого рода исследованиям.

📌 Читать далее

#beginner #osint
👍9
🔎 Идентификация пользователей Telegram по IP-адресу

Компания «Интернет-поиск» совместно с T.Hunter разработала сервис, который позволяет найти Telegram аккаунт конкретного пользователя по IP-адресу.

«За секунду на одном IP-адресе может быть до сотни пользователей. Произвести идентификацию человека можно благодаря возможности собирать большие данные…», — рассказал глава «Интернет-поиск» Игорь Бедеров.

На данный момент к сервису поиска аккаунтов подключено 64 различных источника данных. По словам Бедерова, большинство сайтов хранят логи и видят данные об устройстве пользователя. соединении, IP-адресе и т.д.

Для поиска сервис получает информацию с нескольких десятков «собственных сайтов» и собирает «цифровые следы» из Telegram с привязкой к пользователю. «Остаётся лишь сопоставить одно с другим», — резюмировал OSINT-исследователь Владимир Макаров.

🗞 Блог Кодебай

#news #telegram #data
😁10👍6👎1