🛡 96% российских организаций не защищены от проникновения
Positive Technologies опубликовала результаты пентестов за 2021-2022 годы. Во всех компаниях был взят полный контроль над инфраструктурой. В 9 из 10 случаев злоумышленник получал доступ к коммерческим тайнам.
В тесте на кибербезопасность приняли участие 50 проектов из 30 российских организаций. В результате, 96% организаций оказались беззащитны перед вторжением в их локальную сеть. Вердикт пентестеров: уровень защиты от внешних и внутренних злоумышленников в основном низкий.
"В организациях было обнаружено множество подтвержденных векторов атак, направленных на доступ к критически важным ресурсам, при этом потенциальному нарушителю для использования этих векторов не нужно обладать высокой квалификацией", - сообщается в отчёте.
В 57% компаний вектор проникновения состоял не более чем из двух шагов. Интересно, что самая быстрая атака заняла один час.
🗞 Блог Кодебай
#news #pentest #russia
Positive Technologies опубликовала результаты пентестов за 2021-2022 годы. Во всех компаниях был взят полный контроль над инфраструктурой. В 9 из 10 случаев злоумышленник получал доступ к коммерческим тайнам.
В тесте на кибербезопасность приняли участие 50 проектов из 30 российских организаций. В результате, 96% организаций оказались беззащитны перед вторжением в их локальную сеть. Вердикт пентестеров: уровень защиты от внешних и внутренних злоумышленников в основном низкий.
"В организациях было обнаружено множество подтвержденных векторов атак, направленных на доступ к критически важным ресурсам, при этом потенциальному нарушителю для использования этих векторов не нужно обладать высокой квалификацией", - сообщается в отчёте.
В 57% компаний вектор проникновения состоял не более чем из двух шагов. Интересно, что самая быстрая атака заняла один час.
🗞 Блог Кодебай
#news #pentest #russia
👍20😁6👏3😱3🤔2🔥1🤯1
[Selenium] Установка, запуск и реальное применение. Part Ⅰ
Привет, Codeby! В статье я расскажу, как можно управлять браузером, используя фреймворк Selenium. Этот фреймворк позволяет имитировать реальный браузер, управление которым будет происходить с помощью кода.
📌 Читать далее
#programming #python #parsing
Привет, Codeby! В статье я расскажу, как можно управлять браузером, используя фреймворк Selenium. Этот фреймворк позволяет имитировать реальный браузер, управление которым будет происходить с помощью кода.
📌 Читать далее
#programming #python #parsing
👍10🔥3❤🔥1
На правах планктонов. Как расширить возможности офисного ПК
Каждая компания, которая заботится о личной безопасности любит ставить на офисные устройства ряд ограничений, которые не позволяют работником открыть сторонние приложения или перейти по запрещенной ссылки. Такие методы предостережения полезные, но бывают ситуации когда приходится их обходить. Поэтому если ты хочешь открывать что-то кроме типичного Word или Excel на офисном компе рекомендую прочесть эту статью. Ведь сегодня мы будем ломать ограничения и выходить за рамки дозволенного.
📌 Читать далее
#windows #information
Каждая компания, которая заботится о личной безопасности любит ставить на офисные устройства ряд ограничений, которые не позволяют работником открыть сторонние приложения или перейти по запрещенной ссылки. Такие методы предостережения полезные, но бывают ситуации когда приходится их обходить. Поэтому если ты хочешь открывать что-то кроме типичного Word или Excel на офисном компе рекомендую прочесть эту статью. Ведь сегодня мы будем ломать ограничения и выходить за рамки дозволенного.
📌 Читать далее
#windows #information
👍8🔥3🤔1🤯1
Forwarded from Standoff 365
This media is not supported in your browser
VIEW IN TELEGRAM
📌 В основной программе митапа ждём следующие доклады:
🔹 Юрий Ряднина — 37 слайдов про багбаунти
Истории из багбаунти, интересные и нестандартные векторы, идеи и советы от багхантера circuit.
🔹 Магама Базаров — Taken Under
О техниках постэксплуатации в контексте сетевого оборудования, к которому был получен доступ.
🔹 Александра Антипина — Коллаборационные платформы для анализа защищённости
О методах и утилитах для систематизации информации, получаемой в ходе соревнований и ассесментов.
🔹 Екатерина Никулина — Глазами SOC: типичные ошибки red team
О распространённых ошибках атакующих, которые приводят к быстрому и эффективному детекту командой синих.
🔹 Ильсаф Набиуллин — OAuth 2.0 и как его разламывать
Об ошибках при реализации OAuth 2.0
🔹 Алексей Морозов — История Codeby на Standoff
Про путь от небольшой CTF-команды до трёхкратных победителей кибербитвы.
Если хотите прийти на площадку, оценить изящество макета Standoff, пообщаться со спикерами и участниками, регистрируйтесь 👉 forms.gle/snYDAKZSVMeLieiv7
📺 Тех, кто не сможет быть, ждём на трансляции в ютубе.
🔹 Юрий Ряднина — 37 слайдов про багбаунти
Истории из багбаунти, интересные и нестандартные векторы, идеи и советы от багхантера circuit.
🔹 Магама Базаров — Taken Under
О техниках постэксплуатации в контексте сетевого оборудования, к которому был получен доступ.
🔹 Александра Антипина — Коллаборационные платформы для анализа защищённости
О методах и утилитах для систематизации информации, получаемой в ходе соревнований и ассесментов.
🔹 Екатерина Никулина — Глазами SOC: типичные ошибки red team
О распространённых ошибках атакующих, которые приводят к быстрому и эффективному детекту командой синих.
🔹 Ильсаф Набиуллин — OAuth 2.0 и как его разламывать
Об ошибках при реализации OAuth 2.0
🔹 Алексей Морозов — История Codeby на Standoff
Про путь от небольшой CTF-команды до трёхкратных победителей кибербитвы.
Если хотите прийти на площадку, оценить изящество макета Standoff, пообщаться со спикерами и участниками, регистрируйтесь 👉 forms.gle/snYDAKZSVMeLieiv7
📺 Тех, кто не сможет быть, ждём на трансляции в ютубе.
👍12🔥3
Автоматизация OWASP ZAP, Часть 1, Вводная часть
Приветствую тебя, на моей первой статье по циклу автоматизации OWASP ZAP и по совместительству на первой статье на форуме. Данная статья больше вступительная, рабочая информация начнется со второй части. Стоит понимать, что автоматизированное тестирование ни в коем случае не заменяет ручные тесты. Но и ручные тесты при этом очень помогают при автоматизации.
📌 Читать далее
#pentest #owasp #automation
Приветствую тебя, на моей первой статье по циклу автоматизации OWASP ZAP и по совместительству на первой статье на форуме. Данная статья больше вступительная, рабочая информация начнется со второй части. Стоит понимать, что автоматизированное тестирование ни в коем случае не заменяет ручные тесты. Но и ручные тесты при этом очень помогают при автоматизации.
📌 Читать далее
#pentest #owasp #automation
👍7🔥6👎2
Reverse crackme для начинающих [0x03]
Приветствую всех читателей Codeby. Это продолжение статьи "Reverse crackme для начинающих 0x02". В этой статье мы разберёмся, как работает метод активации Crackme V3.0, а ещё, как нам активировать его. Это последняя версия из этой серии программ.
📌 Читать далее
#reverse #ida #crackme
Приветствую всех читателей Codeby. Это продолжение статьи "Reverse crackme для начинающих 0x02". В этой статье мы разберёмся, как работает метод активации Crackme V3.0, а ещё, как нам активировать его. Это последняя версия из этой серии программ.
📌 Читать далее
#reverse #ida #crackme
👍8🔥3❤1
🔥 Курс «Введение в информационную безопасность»
Cтарт курса: 1 декабря 2022 года.
Длительность доступа к курсу: 3 месяца
ℹ️ Курс позволяет ознакомиться с основами информационной безопасности. Он содержит в себе основы веб-разработки, виртуализации, уязвимостей веб-приложений, CTF, а также защиты веб-ресурсов от злоумышленников.
После прохождения курса вы будете иметь полное представление об информационной безопасности. Кроме этого, вы овладеете важнейшими навыками разработки, тестирования и защиты приложений.
✅ Кому будет полезен курс:
✔️ Новичкам, которые никогда не имели дело с информационной безопасностью, но хотят освоить данную профессию;
✔️ Начинающим CTF-игрокам;
✔️ Студентам, которые только поступили на факультет по направлению «информационная безопасность»;
✔️ Уже работающим IT-специалистам, которые хотят сменить направление;
✔️ Web-разработчикам, которые хотят делать веб-приложения более безопасными.
📌 Подробнее о курсе: https://codeby.school/catalog/kurs-vvedenie-v-ib
#CodebySchool
Cтарт курса: 1 декабря 2022 года.
Длительность доступа к курсу: 3 месяца
ℹ️ Курс позволяет ознакомиться с основами информационной безопасности. Он содержит в себе основы веб-разработки, виртуализации, уязвимостей веб-приложений, CTF, а также защиты веб-ресурсов от злоумышленников.
После прохождения курса вы будете иметь полное представление об информационной безопасности. Кроме этого, вы овладеете важнейшими навыками разработки, тестирования и защиты приложений.
✅ Кому будет полезен курс:
✔️ Новичкам, которые никогда не имели дело с информационной безопасностью, но хотят освоить данную профессию;
✔️ Начинающим CTF-игрокам;
✔️ Студентам, которые только поступили на факультет по направлению «информационная безопасность»;
✔️ Уже работающим IT-специалистам, которые хотят сменить направление;
✔️ Web-разработчикам, которые хотят делать веб-приложения более безопасными.
📌 Подробнее о курсе: https://codeby.school/catalog/kurs-vvedenie-v-ib
#CodebySchool
🔥11👍6
CTF - Дорога в космос! Первый опыт в CTF соревнованиях
Любое испытание, которое проходит человек, обычно сопровождается паникой и адреналином в крови. И этого нельзя избежать. Если спортсмены соревнуются в физической силе, то специалистам по ИБ приходится задействовать большую часть мозга. Испытания в стиле "захват флага" хорошо тренируют знания по разным аспектам. Начиная от обычной стенографии и заканчивая реверсом PE-файлов. Сегодня же речь пойдет о первом опыте в таких соревнованиях.
📌 Читать далее
#beginner #ctf
Любое испытание, которое проходит человек, обычно сопровождается паникой и адреналином в крови. И этого нельзя избежать. Если спортсмены соревнуются в физической силе, то специалистам по ИБ приходится задействовать большую часть мозга. Испытания в стиле "захват флага" хорошо тренируют знания по разным аспектам. Начиная от обычной стенографии и заканчивая реверсом PE-файлов. Сегодня же речь пойдет о первом опыте в таких соревнованиях.
📌 Читать далее
#beginner #ctf
👍13🔥5🤩1💯1🏆1😐1
Получение базовых параметров сетевых интерфейсов по-умолчанию для использования в проектах Python
Очень часто, в начале изучения Python, многие сталкиваются с необходимостью поиска способа получения тех или иных параметров сетевого интерфейса, используемого операционной системой по-умолчанию. Конечно же, поиск - это дело хорошее, но учитывая свой небольшой опыт, я попытался собрать код, с помощью которого можно это сделать, в этой статье.
📌 Читать далее
#programming #python #network
Очень часто, в начале изучения Python, многие сталкиваются с необходимостью поиска способа получения тех или иных параметров сетевого интерфейса, используемого операционной системой по-умолчанию. Конечно же, поиск - это дело хорошее, но учитывая свой небольшой опыт, я попытался собрать код, с помощью которого можно это сделать, в этой статье.
📌 Читать далее
#programming #python #network
👍10🔥3
Цифровая логика — Компьютерные системы, часть 3
Транзистор является ключевым устройством, которое позволяет построить логический элемент. Существует несколько видов транзисторов, мы рассмотрим МОП-транзисторы (от слов металл-диэлектрик-полупроводник), как наиболее популярные. Что бы понять их детальное устройство требуются предварительные знания физики, поэтому тут мы рассмотрим лишь функциональную модель, которой будет вполне достаточно для наших целей.
📌 Читать далее
#beginner #designing #computer
Транзистор является ключевым устройством, которое позволяет построить логический элемент. Существует несколько видов транзисторов, мы рассмотрим МОП-транзисторы (от слов металл-диэлектрик-полупроводник), как наиболее популярные. Что бы понять их детальное устройство требуются предварительные знания физики, поэтому тут мы рассмотрим лишь функциональную модель, которой будет вполне достаточно для наших целей.
📌 Читать далее
#beginner #designing #computer
👍8🔥5
⚙️ Курс «Реверсивный инжиниринг ПО под ОС Windows»
Старт: 1 декабря
Длительность: 6 месяцев
🎓 Курс позволяет подробно изучить основные направления реверсинга приложений под Windows. В курсе подробно рассматриваются команды языка Ассемблера, детальный анализ приложений различного уровня сложности, от специальных задач типа crackme до рабочих приложений. Также изучаются образцы вредоносных приложений и различные техники, используемые исследователями.
ℹ️ Кому будет полезен курс:
✔️ Пентестерам, желающим лучше изучить направление реверсинга приложений;
✔️ Вирусным аналитикам и исследователям кода занимающимся изучением вредоносного ПО;
✔️ Программистам, разрабатывающим продукты в области ИБ или занимающимся разработкой ПО с повышенными требованиям к защищенности (промышленное, банковское ПО и т.д.);
*Для прохождения курса необходимы базовые знания реверса
🔥 Имеется промо-доступ на 7 дней!
📌 Узнать подробнее о курсе: https://codeby.school/catalog/kurs-revers-na-windows
Старт: 1 декабря
Длительность: 6 месяцев
🎓 Курс позволяет подробно изучить основные направления реверсинга приложений под Windows. В курсе подробно рассматриваются команды языка Ассемблера, детальный анализ приложений различного уровня сложности, от специальных задач типа crackme до рабочих приложений. Также изучаются образцы вредоносных приложений и различные техники, используемые исследователями.
ℹ️ Кому будет полезен курс:
✔️ Пентестерам, желающим лучше изучить направление реверсинга приложений;
✔️ Вирусным аналитикам и исследователям кода занимающимся изучением вредоносного ПО;
✔️ Программистам, разрабатывающим продукты в области ИБ или занимающимся разработкой ПО с повышенными требованиям к защищенности (промышленное, банковское ПО и т.д.);
*Для прохождения курса необходимы базовые знания реверса
🔥 Имеется промо-доступ на 7 дней!
📌 Узнать подробнее о курсе: https://codeby.school/catalog/kurs-revers-na-windows
🔥15👍5🤩1
Парсинг вывода команд операционной системы и немного о получении параметров сетевых адаптеров с помощью Python
В данной статье речь пойдет о парсинге. Не о том, когда получаются данные веб-сайта. Этот парсинг, в более правильном варианте, все же называется scrapping. А о том, который подразумевает под собой парсинг данных. В данном случае текстовых. Ну и немного о получении данных о сетевых адаптерах, установленных в системе.
📌 Читать далее
#programming #python #network
В данной статье речь пойдет о парсинге. Не о том, когда получаются данные веб-сайта. Этот парсинг, в более правильном варианте, все же называется scrapping. А о том, который подразумевает под собой парсинг данных. В данном случае текстовых. Ну и немного о получении данных о сетевых адаптерах, установленных в системе.
📌 Читать далее
#programming #python #network
👍15🔥5❤🔥1
Безопасность периметра корпоративной сети: вам есть что защищать
Возвести укреплённый форт, и оборонять его стены намного проще, чем разбить лагерь в чистом поле и отлавливать лазутчиков уже на своей территории. Элементарные законы военного дела работают и в кибервойне. Но по мере совершенствования компьютерных технологий ситуация усложняется. Нельзя сказать, что пришло новое время и границы стёрты, но они уже довольно размыты. А значит, выстраивать корпоративную защиту сетевого периметра нужно на новый лад.
📌 Читать далее
#security #network #information
Возвести укреплённый форт, и оборонять его стены намного проще, чем разбить лагерь в чистом поле и отлавливать лазутчиков уже на своей территории. Элементарные законы военного дела работают и в кибервойне. Но по мере совершенствования компьютерных технологий ситуация усложняется. Нельзя сказать, что пришло новое время и границы стёрты, но они уже довольно размыты. А значит, выстраивать корпоративную защиту сетевого периметра нужно на новый лад.
📌 Читать далее
#security #network #information
👍10❤3🔥2❤🔥1
🗺 Дорожная карта Академии Кодебай
Друзья, если вы всё ещё думаете, на какой курс от Академии Codeby вам стоит записаться, то рекомендуем ознакомиться с нашей дорожной картой!
На основе ваших навыков и сферы интересов вы сможете выбрать и начать обучаться на подходящем курсе.
* Зелёные блоки в дорожной карте кликабельны. Карта адаптирована только под ПК.
#CodebySchool
Друзья, если вы всё ещё думаете, на какой курс от Академии Codeby вам стоит записаться, то рекомендуем ознакомиться с нашей дорожной картой!
На основе ваших навыков и сферы интересов вы сможете выбрать и начать обучаться на подходящем курсе.
* Зелёные блоки в дорожной карте кликабельны. Карта адаптирована только под ПК.
#CodebySchool
🔥25👍14❤5
💬 История Codeby на Standoff!
Расскажем, как мы прошли путь от небольшой CTF-команды до трехкратных победителей
⏰ В 13:50 выступает Алексей Морозов, который расскажет о команде Кодебай!
Немного об Алексее: OSCP, OSWE, CEH, eWPTx. Участник CTF-команды Codeby. Основатель ИБ-комьюнити Codeby. Автор научных статей, CVE и спикер на крупных конференциях.
🍿 Смотреть:
✔️ https://broadcast.comdi.com/watch/e7wn1emz
✔️ https://youtu.be/_hHw_eMXywE
Расскажем, как мы прошли путь от небольшой CTF-команды до трехкратных победителей
⏰ В 13:50 выступает Алексей Морозов, который расскажет о команде Кодебай!
Немного об Алексее: OSCP, OSWE, CEH, eWPTx. Участник CTF-команды Codeby. Основатель ИБ-комьюнити Codeby. Автор научных статей, CVE и спикер на крупных конференциях.
🍿 Смотреть:
✔️ https://broadcast.comdi.com/watch/e7wn1emz
✔️ https://youtu.be/_hHw_eMXywE
🔥18👍11🎉2🤩1
Автоматизация OWASP ZAP, Часть 2, Запуск в Docker, доступ к API
Приветствую на второй части статьи по OWASP ZAP. В данной статье мы рассмотрим запуск ZAP в DOCKER, а так же различные тонкие моменты его запуска, различные режимы работы и типы контейнеров.
📌 Читать далее
#owasp #automation
Приветствую на второй части статьи по OWASP ZAP. В данной статье мы рассмотрим запуск ZAP в DOCKER, а так же различные тонкие моменты его запуска, различные режимы работы и типы контейнеров.
📌 Читать далее
#owasp #automation
👍8🔥3🤯1
Forwarded from BI.ZONE
9 декабря мы проведем вторую встречу «Клуба неанонимных багхантеров». Вас ждут доклады про bug bounty, тусовка крутых специалистов, пиво и много живого общения.
Регистрация для всех желающих откроется после того, как соберем программу, — об этом сообщим дополнительно.
А сейчас открываем CFP и зовем вас поделиться опытом в багхантинге! Выступить можно как очно, так и онлайн.
Ждем ваши доклады на темы:
И не бойтесь предлагать что-то свое! Если доклад полезен багхантерам, у него есть все шансы попасть в программу.
Длительность доклада: 20–40 минут.
Место: офис BI.ZONE в Москве или онлайн.
Дедлайн подачи заявок: до 23 ноября, 23:59 (мск).
Подать заявку
Please open Telegram to view this post
VIEW IN TELEGRAM
👍13🔥4
Контейнеры systemd
Сегодня поговорим о виртуализации на уровне ядра операционной системы и будут рассмотрены контейнеры systemd-nspawn которые помогут вам по максимуму использовать вычислительные ресурсы хоста и обеспечить безопасное функционирование приложений с помощью некоторых функциональных возможностей ядра Linux. В статье будет использоваться ОС Astra Linux, которая активно пробирается в отечественные компании.
📌 Читать далее
#linux #systemd
Сегодня поговорим о виртуализации на уровне ядра операционной системы и будут рассмотрены контейнеры systemd-nspawn которые помогут вам по максимуму использовать вычислительные ресурсы хоста и обеспечить безопасное функционирование приложений с помощью некоторых функциональных возможностей ядра Linux. В статье будет использоваться ОС Astra Linux, которая активно пробирается в отечественные компании.
📌 Читать далее
#linux #systemd
👍12🔥4🤣3👎2
🏆 Positive Technologies запустила необычную программу Bug Bounty с вознаграждением в 10млн рублей!
Positive Technologies объявила о запуске программы Bug Bounty нового типа, которая ориентирована не на поиск чисто технических уязвимостей во внешних сервисах компании, а на реализацию действительно критического для компании события - кражи денег со счетов.
"До сегодняшнего дня целью традиционных программ bug bounty всегда являлся поиск относительно мелких и незначительных уязвимостей в сервисах компаний. При этом не всегда они имеют критически важное значение для бизнеса и, как правило, остаются понятны только техническим специалистам", - рассказал директор экспертного центра безопасности Алексей Новиков.
Программа Bug Bounty от Positive Technologies не имеет ограничений по времени. В отличие от классических Bug Bounty, в этой программе этичным хакерам разрешается использовать практически любые методы удаленной атаки (включая социальную инженерию) для проникновения.
🤑 Главный приз в размере 10 миллионов рублей получит тот этичный хакер, который, согласно правилам программы, сможет перевести деньги со счетов компании нелегитимным способом и предоставить отчет.
🗞 Блог Кодебай
#news #russia #bounty
Positive Technologies объявила о запуске программы Bug Bounty нового типа, которая ориентирована не на поиск чисто технических уязвимостей во внешних сервисах компании, а на реализацию действительно критического для компании события - кражи денег со счетов.
"До сегодняшнего дня целью традиционных программ bug bounty всегда являлся поиск относительно мелких и незначительных уязвимостей в сервисах компаний. При этом не всегда они имеют критически важное значение для бизнеса и, как правило, остаются понятны только техническим специалистам", - рассказал директор экспертного центра безопасности Алексей Новиков.
Программа Bug Bounty от Positive Technologies не имеет ограничений по времени. В отличие от классических Bug Bounty, в этой программе этичным хакерам разрешается использовать практически любые методы удаленной атаки (включая социальную инженерию) для проникновения.
🤑 Главный приз в размере 10 миллионов рублей получит тот этичный хакер, который, согласно правилам программы, сможет перевести деньги со счетов компании нелегитимным способом и предоставить отчет.
🗞 Блог Кодебай
#news #russia #bounty
👍34🔥6👏3🤯1😍1