🦊 Уязвимость в GitLab позволяла удалённо выполнять код на устройстве
GitLab выпустил исправление для RCE-уязвимости CVE-2022-2884, получившей 9.9 баллов из 10 по шкале CVSS. Уязвимость позволяла авторизованному хакеру удалённо выполнить код на устройстве через GitLab Import API.
Уязвимость в GitLab Community/Enterprise Edition затрагивает все версии, начиная с 11.3.4 до 15.1.5, все версии с 15.2 до 15.2.3, а также версии с 15.3 до 15.3.1. Информации об использовании CVE-2022-2884 в реальных атаках пока нет.
GitLab рекомендует пользователям оперативно установить обновление. Для тех, кто не может обновиться, предоставили альтернативу — отключить функцию импорта GitLab на вкладке «Видимость и управление доступом» в меню «Настройки» после аутентификации в качестве администратора.
🗞 Блог Кодебай
#news #gitlab #vulnerability
GitLab выпустил исправление для RCE-уязвимости CVE-2022-2884, получившей 9.9 баллов из 10 по шкале CVSS. Уязвимость позволяла авторизованному хакеру удалённо выполнить код на устройстве через GitLab Import API.
Уязвимость в GitLab Community/Enterprise Edition затрагивает все версии, начиная с 11.3.4 до 15.1.5, все версии с 15.2 до 15.2.3, а также версии с 15.3 до 15.3.1. Информации об использовании CVE-2022-2884 в реальных атаках пока нет.
GitLab рекомендует пользователям оперативно установить обновление. Для тех, кто не может обновиться, предоставили альтернативу — отключить функцию импорта GitLab на вкладке «Видимость и управление доступом» в меню «Настройки» после аутентификации в качестве администратора.
🗞 Блог Кодебай
#news #gitlab #vulnerability
👍9
Forwarded from OFFZONE
OFFZONE 2022 уже завтра! ⚡️
Меньше суток осталось до старта нашей долгожданной конференции.
Если вы еще не купили билет — самое время это сделать.
Меньше суток осталось до старта нашей долгожданной конференции.
Если вы еще не купили билет — самое время это сделать.
🔥11👍3👎1
Моделирование векторов атак и создание IOC-защищённых ID
Это первая часть статьи, состоящая из двух частей, в которой пойдет речь о применении шпионажа для разработки вредоносных ПО, при этом, устойчивым к форенсике и применении атрибуции. В этой первой части я собираюсь дать несколько советов и примеров того, как применять методологию моделирования угроз к процессу разработки, а также поделиться простой методикой, с которой я экспериментировал, исследуя методы создания и хранения данных, устойчивых к анализу финегрпринтов.
📌 Читать статью
#soft #forensic #windows
Это первая часть статьи, состоящая из двух частей, в которой пойдет речь о применении шпионажа для разработки вредоносных ПО, при этом, устойчивым к форенсике и применении атрибуции. В этой первой части я собираюсь дать несколько советов и примеров того, как применять методологию моделирования угроз к процессу разработки, а также поделиться простой методикой, с которой я экспериментировал, исследуя методы создания и хранения данных, устойчивых к анализу финегрпринтов.
📌 Читать статью
#soft #forensic #windows
👍10
Сканирование общедоступных ресурсов в локальной сети с помощью smbclient и Python
В локальной сети, обычно, достаточно много машин с операционной системой Windows. И почти у каждой из них включено сетевое обнаружение, что делает ее ресурсы выставленными напоказ всей сети. Есть небольшой трюк, когда вы не хотите, чтобы ваш сетевой ресурс был виден в проводнике, в конце, после его имени нужно поставить знак $. Именно так светит диски в сеть ОС Windows. То есть, к примеру, есть общий ресурс ADMIN$. Если вы зайдете с помощью проводника, то вы ничего не увидите. Но, стоит попробовать обратиться к ресурсу напрямую и у вас попросят пароль. Давайте напишем небольшой скрипт, который использует в своей работе smbclient для сканирования компьютеров в сети на наличие общедоступных ресурсов.
📌 Читать статью
#programming #python
В локальной сети, обычно, достаточно много машин с операционной системой Windows. И почти у каждой из них включено сетевое обнаружение, что делает ее ресурсы выставленными напоказ всей сети. Есть небольшой трюк, когда вы не хотите, чтобы ваш сетевой ресурс был виден в проводнике, в конце, после его имени нужно поставить знак $. Именно так светит диски в сеть ОС Windows. То есть, к примеру, есть общий ресурс ADMIN$. Если вы зайдете с помощью проводника, то вы ничего не увидите. Но, стоит попробовать обратиться к ресурсу напрямую и у вас попросят пароль. Давайте напишем небольшой скрипт, который использует в своей работе smbclient для сканирования компьютеров в сети на наличие общедоступных ресурсов.
📌 Читать статью
#programming #python
👍10
Код Блокчейна - первый обучающий канал в СНГ, посвященный блокчейн-разработке.
Как написать свой первый обменник, крипто-биржу или смарт-контракт - обо всем этом ты узнаешь от действующих full-stack блокчейн-разработчиков.
На канале они также делятся инструментами разработки, интересными сервисами, книгами и обучающими ресурсами. Короче, собирают всю полезную информацию в одном месте😎
Подпишись на @code_blockchain - это твоя возможность стать блокчейн-разработчиком с нуля!
Как написать свой первый обменник, крипто-биржу или смарт-контракт - обо всем этом ты узнаешь от действующих full-stack блокчейн-разработчиков.
На канале они также делятся инструментами разработки, интересными сервисами, книгами и обучающими ресурсами. Короче, собирают всю полезную информацию в одном месте😎
Подпишись на @code_blockchain - это твоя возможность стать блокчейн-разработчиком с нуля!
👍3
Введение в пентест веб-приложений: поиск утечек информации с помощью поисковых систем
Привет, Codeby! Я уже рассматривал общий подход к тестированию веб-приложений, основанный на OWASP Testing Guide.
Сегодня получим еще небольшую дозу теории и уже приступим к практической части. В ходе тестирования важно документировать все действия и результаты этих действий. Вы можете создать таблицу в Excel, или использовать записную книжку. Мне нравится приложение CherryTree - записная книжка с иерархической структурой.
📌 Читать статью
#pentest #owasp
Привет, Codeby! Я уже рассматривал общий подход к тестированию веб-приложений, основанный на OWASP Testing Guide.
Сегодня получим еще небольшую дозу теории и уже приступим к практической части. В ходе тестирования важно документировать все действия и результаты этих действий. Вы можете создать таблицу в Excel, или использовать записную книжку. Мне нравится приложение CherryTree - записная книжка с иерархической структурой.
📌 Читать статью
#pentest #owasp
👍7🔥4
This media is not supported in your browser
VIEW IN TELEGRAM
OFFZONE + CODEBY (Loft 3, второй этаж)
26 августа
1. Сфотографируйся с девушками на стенде и выложи в любую соц. сеть с хэштегами #Codeby #OFFZone и получи подарок. Количество подарков ограничено.
2. Участвуй в КВИЗЕ в 13:00 и в 15:00 и выиграй мерчпакет от Codeby
Квиз займет 5-10 минут вашего времени. Призы дарим сразу: кружки, футболки, повербанки, рюкзаки.
3. Реши минимум 8 тасков @CodebyCTFbot и покажи на стенде флаги. Сделай фотку с девушками на стенде и выложи в любую соц. сеть. с хэштегами #Codeby #OFFZone. Получи приз и шанс выиграть электросамокат.
Розыгрыш двух электросамокатов в 16:00
26 августа
1. Сфотографируйся с девушками на стенде и выложи в любую соц. сеть с хэштегами #Codeby #OFFZone и получи подарок. Количество подарков ограничено.
2. Участвуй в КВИЗЕ в 13:00 и в 15:00 и выиграй мерчпакет от Codeby
Квиз займет 5-10 минут вашего времени. Призы дарим сразу: кружки, футболки, повербанки, рюкзаки.
3. Реши минимум 8 тасков @CodebyCTFbot и покажи на стенде флаги. Сделай фотку с девушками на стенде и выложи в любую соц. сеть. с хэштегами #Codeby #OFFZone. Получи приз и шанс выиграть электросамокат.
Розыгрыш двух электросамокатов в 16:00
👍9👎1🔥1
Историческая вирусология: хронология вирусов мобильных устройств - CommonWarrior: история, хронология, анализ
Приветики. Сегодня у нас будет что-то новое, точнее это новое в старом облике, но все таки о таком еще я не писал. Стартует очередной подцикл внутри цикла Исторической вирусологии, в котором будем разбирать различные исторические вредоносы и уязвимости для мобильных телефонов. От стареньких на Java, до современных на Андроид 12 и IOS 16. Ведь так пошло дело, как бы не старались разработчики: латая дыры, изобретая что-то новое, неизбежно оно будет уязвимо, а когда мы об этом узнаем - вопрос времени.
📌 Читать статью
#history #malware #wpa
Приветики. Сегодня у нас будет что-то новое, точнее это новое в старом облике, но все таки о таком еще я не писал. Стартует очередной подцикл внутри цикла Исторической вирусологии, в котором будем разбирать различные исторические вредоносы и уязвимости для мобильных телефонов. От стареньких на Java, до современных на Андроид 12 и IOS 16. Ведь так пошло дело, как бы не старались разработчики: латая дыры, изобретая что-то новое, неизбежно оно будет уязвимо, а когда мы об этом узнаем - вопрос времени.
📌 Читать статью
#history #malware #wpa
👍4🔥2
🔑 LastPass заявила о взломе и краже исходного кода
Компания LastPass заявила о взломе, произошедшем две недели назад, и краже исходного кода менеджера паролей.
Атаку удалось осуществить через скомпрометированную учётную запись одного из разработчиков.
Компания заявляет, что нет никаких доказательств компрометации данных клиентов или зашифрованных хранилищ паролей.
🗞 Блог Кодебай
#news #lastpass #security
Компания LastPass заявила о взломе, произошедшем две недели назад, и краже исходного кода менеджера паролей.
Атаку удалось осуществить через скомпрометированную учётную запись одного из разработчиков.
Компания заявляет, что нет никаких доказательств компрометации данных клиентов или зашифрованных хранилищ паролей.
🗞 Блог Кодебай
#news #lastpass #security
😱7😁5🔥4👍1
DuckDuckGo открывает сервис конфиденциальной электроной почты
В прошлом году компания DuckDuckGo анонсировала сервис бесплатной конфиденциальной электронной почты, которая будет защищена от отслеживания. Теперь версия Email Protection находится в стадии открытого бета-тестирования.
DuckDuckGo Email Protection — это служба пересылки писем на настоящий адрес электронной почты, которая удаляет отслеживающие трекеры из сообщений. Компания утверждает, что сервис обнаруживает трекеры в 85% случаев.
Любой желающий может зарегистрировать адрес электронной почты @duck.com. Количество создаваемых адресов неограничено. Также, в любое время вы можете деактивировать полученный адрес.
Функция доступна в браузере DuckDuckGo Privacy Browser для iOS и Android в разделе «Защита электронной почты». На компьютере потребуется установить расширение для браузера DuckDuckGo Privacy Essentials и перейти в раздел E-Mail на сайте компании.
🗞 Блог Кодебай
#news #duckduckgo #email
В прошлом году компания DuckDuckGo анонсировала сервис бесплатной конфиденциальной электронной почты, которая будет защищена от отслеживания. Теперь версия Email Protection находится в стадии открытого бета-тестирования.
DuckDuckGo Email Protection — это служба пересылки писем на настоящий адрес электронной почты, которая удаляет отслеживающие трекеры из сообщений. Компания утверждает, что сервис обнаруживает трекеры в 85% случаев.
Любой желающий может зарегистрировать адрес электронной почты @duck.com. Количество создаваемых адресов неограничено. Также, в любое время вы можете деактивировать полученный адрес.
Функция доступна в браузере DuckDuckGo Privacy Browser для iOS и Android в разделе «Защита электронной почты». На компьютере потребуется установить расширение для браузера DuckDuckGo Privacy Essentials и перейти в раздел E-Mail на сайте компании.
🗞 Блог Кодебай
#news #duckduckgo #email
👍10👎3😁2
Через 5 минут запускаем последний квиз на площадке offzone
Поторопитесь.
Напоминаем, что через час разыгрываем 2 электросамоката на своём стенде.
Поторопитесь.
Напоминаем, что через час разыгрываем 2 электросамоката на своём стенде.
Родина должна знать в лицо героев. Эти ребята заслуженно получили наши главные призы. Парни, вы крутые :)
🎉5
ZIP'аем файл вручную (часть.1. упаковщик)
Допустим имеем файл и нужно перенести его в своей программе на чужую машину. Если этот файл будет внешним (на подобии библиотеки или драйвера), то сразу бросится в глаза. А что если зашить его в своё тело и создавать при запуске основного приложения? Благо производительность современных процессоров это позволяет и жертва даже не успеет понять в чём дело. Другими словами получим матку, которая будет порождать файлы. Всё-бы хорошо, только таскать в себе готовые бинарники типа exe\dll в несжатом виде тоже не лучшая идея – одних только "байтов выравнивания" в них под 50%, а для использования готовых архиваторов нужен к нему распаковщик. Так-что иметь в запазухе обычный зиппер это всегда гуд, а данная статья (надеюсь) поможет вам разобраться в его деталях. Буду использовать ассемблер FASM, двоичный редактор HxD, ну и виндовый кальк в инженерном виде.
📌 Читать статью
#asm #zip #data
Допустим имеем файл и нужно перенести его в своей программе на чужую машину. Если этот файл будет внешним (на подобии библиотеки или драйвера), то сразу бросится в глаза. А что если зашить его в своё тело и создавать при запуске основного приложения? Благо производительность современных процессоров это позволяет и жертва даже не успеет понять в чём дело. Другими словами получим матку, которая будет порождать файлы. Всё-бы хорошо, только таскать в себе готовые бинарники типа exe\dll в несжатом виде тоже не лучшая идея – одних только "байтов выравнивания" в них под 50%, а для использования готовых архиваторов нужен к нему распаковщик. Так-что иметь в запазухе обычный зиппер это всегда гуд, а данная статья (надеюсь) поможет вам разобраться в его деталях. Буду использовать ассемблер FASM, двоичный редактор HxD, ну и виндовый кальк в инженерном виде.
📌 Читать статью
#asm #zip #data
👍8🔥2
🎣 PyPI предупреждает о первой в истории фишинговой кампании
Крупнейший каталог Python-пакетов PyPI разместил предупреждение о фишинговой атаке, направленной на разработчиков, использующих этот сервис. Это первая известная фишинговая атака на пользователей PyPI. К сожалению, учётные записи некоторых пользователей уже были скомпрометированы.
«В фишинговом сообщении утверждается, что осуществляется обязательный процесс «валидации» и пользователям предлагается перейти по ссылке для подтверждения пакета, иначе пакет может быть удален из PyPI», — говорится в сообщении PyPI.
Фишинговое предложение выглядит очень правдоподобным, потому что многие популярные реестры пакетов (npm, RubyGems и PyPI) действительно добавили подобные требования безопасности. Фишинговая страница, которую оперативно удалили, была размещена на Google Sites и отправляла украденные учетные данные на другой домен.
Для некоторых официальных пакетов были выпущены новые версии, которые содержали вредоносное ПО — exotel 0.1.6, spam 2.0.2а и spam 4.0.2. Эти версии были удалены из PyPI, а учетные записи разработчиков временно заблокированы.
В результате, PyPI объявила, что раздает бесплатные аппаратные ключи безопасности тем, кто занимается сопровождением критически важных проектов — 1% проектов, загруженных за последние шесть месяцев. Есть около 3500 соответствующих требованиям проектов.
🗞 Блог Кодебай
#news #python #phishing
Крупнейший каталог Python-пакетов PyPI разместил предупреждение о фишинговой атаке, направленной на разработчиков, использующих этот сервис. Это первая известная фишинговая атака на пользователей PyPI. К сожалению, учётные записи некоторых пользователей уже были скомпрометированы.
«В фишинговом сообщении утверждается, что осуществляется обязательный процесс «валидации» и пользователям предлагается перейти по ссылке для подтверждения пакета, иначе пакет может быть удален из PyPI», — говорится в сообщении PyPI.
Фишинговое предложение выглядит очень правдоподобным, потому что многие популярные реестры пакетов (npm, RubyGems и PyPI) действительно добавили подобные требования безопасности. Фишинговая страница, которую оперативно удалили, была размещена на Google Sites и отправляла украденные учетные данные на другой домен.
Для некоторых официальных пакетов были выпущены новые версии, которые содержали вредоносное ПО — exotel 0.1.6, spam 2.0.2а и spam 4.0.2. Эти версии были удалены из PyPI, а учетные записи разработчиков временно заблокированы.
В результате, PyPI объявила, что раздает бесплатные аппаратные ключи безопасности тем, кто занимается сопровождением критически важных проектов — 1% проектов, загруженных за последние шесть месяцев. Есть около 3500 соответствующих требованиям проектов.
🗞 Блог Кодебай
#news #python #phishing
👍4😱4😢1
Bad Usb или как я уток разводил, Практическое пособие по Rubber Duck
Решил я как-то хозяйство дома завести, благо земли хватает вдоволь. Выбор остановил на утках. Знающие люди сказали, что от них куда больше пользы, чем от кур, да и вкуснее они. Началось с того (как это частенько бывает), что узнал я про этих уток не из новостных лент, я практически от первоисточника, а точнее всеми любимого DEFCON-а. Заинтересовало меня их послание, хотя, если честно, не скажу, что я да и другие разработчики не догадывались об этом раньше, но ребята потрудились на славу и выдали миру весьма полезную информацию, касаемо этих самых уток и дали им звучное имя Rubber Duck. Как Вы догадались, эта порода уток ни что иное, как Bad Usb.
📌 Читать статью
#arduino #usb
Решил я как-то хозяйство дома завести, благо земли хватает вдоволь. Выбор остановил на утках. Знающие люди сказали, что от них куда больше пользы, чем от кур, да и вкуснее они. Началось с того (как это частенько бывает), что узнал я про этих уток не из новостных лент, я практически от первоисточника, а точнее всеми любимого DEFCON-а. Заинтересовало меня их послание, хотя, если честно, не скажу, что я да и другие разработчики не догадывались об этом раньше, но ребята потрудились на славу и выдали миру весьма полезную информацию, касаемо этих самых уток и дали им звучное имя Rubber Duck. Как Вы догадались, эта порода уток ни что иное, как Bad Usb.
📌 Читать статью
#arduino #usb
👍11
🐘 Cloudflare открыла исходный код форка PgBouncer
Компания Cloudflare разместила исходный код прокси-сервера PgBouncer. PgBouncer позволяет приложениям подключаться к Postgres без необходимости постоянно открывать и закрывать соединения.
Для своих целей Cloudflare добавила новые функции и исправила ошибки в PgBouncer. В форке добавлена поддержка динамического изменения ограничений на число соединений от каждого пользователя, что позволяет более гибко контролировать пользователей, отправляющих множество ресурсоёмких запросов.
Вместо того, чтобы продолжать поддерживать закрытый форк, его код выложили в открытый доступ на GitHub для использования другими разработчиками.
🗞 Блог Кодебай
#news #cloudflare #postgresql
Компания Cloudflare разместила исходный код прокси-сервера PgBouncer. PgBouncer позволяет приложениям подключаться к Postgres без необходимости постоянно открывать и закрывать соединения.
Для своих целей Cloudflare добавила новые функции и исправила ошибки в PgBouncer. В форке добавлена поддержка динамического изменения ограничений на число соединений от каждого пользователя, что позволяет более гибко контролировать пользователей, отправляющих множество ресурсоёмких запросов.
Вместо того, чтобы продолжать поддерживать закрытый форк, его код выложили в открытый доступ на GitHub для использования другими разработчиками.
🗞 Блог Кодебай
#news #cloudflare #postgresql
👍13🔥4
🔐 Многофункциональные приложения для защиты данных
Для защиты данных на компьютере может использоваться очень необычная методика - удаление всех данных, если пользователь не введёт нужный пароль через определённый промежуток времени. Это эффективно в случае, если кто-то посторонний может получить доступ к вашей системе.
Обычно, такие инструменты называются Dead Man Switch и являются неким "аварийным переключателем" на случай, если с человеком, которому принадлежит система, произойдёт что-то неожиданное.
На GitHub достаточно много таких утилит. Среди популярных можно выделить usbkill и silk-guardian, которые ожидают изменения в USB-портах , а затем удаляют важные файлы и выключают компьютер. Также есть deadswitch-linux, который просит ввести пароль через указанный интервал времени. В случае, если он не будет введён - программа отправит специальное электронное письмо.
#useful #security #information
Для защиты данных на компьютере может использоваться очень необычная методика - удаление всех данных, если пользователь не введёт нужный пароль через определённый промежуток времени. Это эффективно в случае, если кто-то посторонний может получить доступ к вашей системе.
Обычно, такие инструменты называются Dead Man Switch и являются неким "аварийным переключателем" на случай, если с человеком, которому принадлежит система, произойдёт что-то неожиданное.
На GitHub достаточно много таких утилит. Среди популярных можно выделить usbkill и silk-guardian, которые ожидают изменения в USB-портах , а затем удаляют важные файлы и выключают компьютер. Также есть deadswitch-linux, который просит ввести пароль через указанный интервал времени. В случае, если он не будет введён - программа отправит специальное электронное письмо.
#useful #security #information
🔥22👍4