Хитрости Unicode и эксплуатация XSS при лимите ввода длиной в 20 символов
Межсайтовый скриптинг (XSS) - одна из самых распространенных уязвимостей, которую можно обнаружить чуть ли не на любом сайте в сети интернет (на некоторых, вроде Google и Amazon, придется хорошо поискать - в этих компаниях работают много разработчиков с большим опытом за плечами). Однако, иногда возникают проблемы ...
Читать продолжение на кодебай https://codeby.net/threads/xitrosti-unicode-i-ehkspluatacija-xss-pri-limite-vvoda-dlinoj-v-20-simvolov.69978/
#unicode #xss #пентест
Межсайтовый скриптинг (XSS) - одна из самых распространенных уязвимостей, которую можно обнаружить чуть ли не на любом сайте в сети интернет (на некоторых, вроде Google и Amazon, придется хорошо поискать - в этих компаниях работают много разработчиков с большим опытом за плечами). Однако, иногда возникают проблемы ...
Читать продолжение на кодебай https://codeby.net/threads/xitrosti-unicode-i-ehkspluatacija-xss-pri-limite-vvoda-dlinoj-v-20-simvolov.69978/
#unicode #xss #пентест
Основы языка программирования Golang, Часть 1
Собрав небольшой фидбек от завсегдателей , а также от команды форума, было принято решение писать курс на ИБ тематику. И вместо обычного веб сервера, который я планировал изначально реализовать, будем с вами писать горизонтальный сканер портов.
Читать на кодебай: https://codeby.net/threads/osnovy-jazyka-programmirovanija-golang-chast-1.69990/
#golang
Собрав небольшой фидбек от завсегдателей , а также от команды форума, было принято решение писать курс на ИБ тематику. И вместо обычного веб сервера, который я планировал изначально реализовать, будем с вами писать горизонтальный сканер портов.
Читать на кодебай: https://codeby.net/threads/osnovy-jazyka-programmirovanija-golang-chast-1.69990/
#golang
BruteForce, как недооцененный вид атаки (Account TakeOver)
Решил поднять тему BruteForce атак, хотя многие, с пеной во рту, очень часто кричат, что это никогда не прокатывает, зачем об этом писать, ужасный вид атаки и т.д. Но не буду сейчас кому-то пытаться доказывать, что bruteforce имеет место быть, что это очень эффективный вид атаки. Главное научиться, где и как её правильно применять. Не буду философствовать, сразу перейдем к делу.
Читать на кодебай: https://codeby.net/threads/bruteforce-kak-nedoocenennyj-vid-ataki-account-takeover.69994/
#кейс #bruteForce #pentest
Решил поднять тему BruteForce атак, хотя многие, с пеной во рту, очень часто кричат, что это никогда не прокатывает, зачем об этом писать, ужасный вид атаки и т.д. Но не буду сейчас кому-то пытаться доказывать, что bruteforce имеет место быть, что это очень эффективный вид атаки. Главное научиться, где и как её правильно применять. Не буду философствовать, сразу перейдем к делу.
Читать на кодебай: https://codeby.net/threads/bruteforce-kak-nedoocenennyj-vid-ataki-account-takeover.69994/
#кейс #bruteForce #pentest
Романтическая анонимность
Прежде чем об этом говорить, давайте определимся, что за этими словами скрывается?
Предполагаю, субъективно, что за этим скрывается только индивидуальный фантастический мир в человеческой голове, связанный с каким-то опытом, личным или услышанным, прочитанным, увиденным. Отсюда следует, что полной картины мы не видим в любом случае, какие-то кусочки знаний и опыта учитываем, но очень часто упускаем критически важные нюансы. Всегда есть какие-то неизвестные переменные в общем уравнении интернет анонимности, из-за которых эта хрупкая цепочка может легко порваться. Постараюсь это учитывать в моей романтической истории, обязательно соблюдая при этом законодательство.
Читать на кодебай: https://codeby.net/threads/romanticheskaja-anonimnost.70019/
#конкурс #анонимность
Прежде чем об этом говорить, давайте определимся, что за этими словами скрывается?
Предполагаю, субъективно, что за этим скрывается только индивидуальный фантастический мир в человеческой голове, связанный с каким-то опытом, личным или услышанным, прочитанным, увиденным. Отсюда следует, что полной картины мы не видим в любом случае, какие-то кусочки знаний и опыта учитываем, но очень часто упускаем критически важные нюансы. Всегда есть какие-то неизвестные переменные в общем уравнении интернет анонимности, из-за которых эта хрупкая цепочка может легко порваться. Постараюсь это учитывать в моей романтической истории, обязательно соблюдая при этом законодательство.
Читать на кодебай: https://codeby.net/threads/romanticheskaja-anonimnost.70019/
#конкурс #анонимность
Атака с FotoSploit
Сегодня разберём неплохой инструмент для увода аккаунта Facebook или Google.
На днях специалист из Испании Cesar-Hack-Gray обнародовал свой труд. Встречаем Fotosploit , который работает по принципу фишинговой атаки и социальной инженерии.
Те ,кто пользуются termux,им легче,для них и создан данный инструмент.
Читать на кодебай: https://codeby.net/threads/ataka-s-fotosploit.70031/
Сегодня разберём неплохой инструмент для увода аккаунта Facebook или Google.
На днях специалист из Испании Cesar-Hack-Gray обнародовал свой труд. Встречаем Fotosploit , который работает по принципу фишинговой атаки и социальной инженерии.
Те ,кто пользуются termux,им легче,для них и создан данный инструмент.
Читать на кодебай: https://codeby.net/threads/ataka-s-fotosploit.70031/
Уязвимости форматных строк и метод перенаправления выполнения в процессе - разработка эксплойтов, часть 14
В предыдущей статье мы имели дело с глобальной переменной и контролируя данные приводили ее к конкретному значению. В этой статье мы познакомимся с одним методом перенаправления выполнения в процессе, который похож на метод перезаписи адреса возврата. Поехали…
Читать продолжение: https://codeby.net/threads/ujazvimosti-formatnyx-strok-i-metod-perenapravlenija-vypolnenija-v-processe-razrabotka-ehksplojtov-chast-14.70034/
#gdb #got #objdump #эксплоит
В предыдущей статье мы имели дело с глобальной переменной и контролируя данные приводили ее к конкретному значению. В этой статье мы познакомимся с одним методом перенаправления выполнения в процессе, который похож на метод перезаписи адреса возврата. Поехали…
Читать продолжение: https://codeby.net/threads/ujazvimosti-formatnyx-strok-i-metod-perenapravlenija-vypolnenija-v-processe-razrabotka-ehksplojtov-chast-14.70034/
#gdb #got #objdump #эксплоит
Happy New Year - временная группа форума
Статус Happy New Year позволяет читать и комментировать темы премиального раздела и Премиум контент. На данный момент статус выдан 568 участникам форума.
Подробнее на форуме: https://codeby.net/threads/happy-new-year-vremennaja-gruppa-foruma.70058/
#premium
Статус Happy New Year позволяет читать и комментировать темы премиального раздела и Премиум контент. На данный момент статус выдан 568 участникам форума.
Подробнее на форуме: https://codeby.net/threads/happy-new-year-vremennaja-gruppa-foruma.70058/
#premium
[конкурс] Встречаем 2020 статьями по инфобезу
Старт конкурса с момента публикации. Окончание конкурса 23:59 по мск времени 5 января 2020. Итоги подводим до 12 января. Условия голосования будут опубликованы 6 января.
Подробно о конкурсе тут: https://codeby.net/threads/vstrechaem-2020-statjami-po-infobezu.70075/
#конкурс
Старт конкурса с момента публикации. Окончание конкурса 23:59 по мск времени 5 января 2020. Итоги подводим до 12 января. Условия голосования будут опубликованы 6 января.
- 1 место - 15000 руб + 100% скидка на WAPT или Paranoid+Paranoid2
- 2 место - 10000 руб + 75% скидка на WAPT или Paranoid+Paranoid2
- 3 место - 7000 руб + 50% скидка на WAPT или Paranoid+Paranoid2
- 4 место - 3000 руб + 35% скидка на WAPT или Paranoid+Paranoid2
- 5 место - 1000 руб + 25% скидка на WAPT или Paranoid+Paranoid2Подробно о конкурсе тут: https://codeby.net/threads/vstrechaem-2020-statjami-po-infobezu.70075/
#конкурс
Тайна переписки
В век всеобщей цифровизации, за тобой следят буквально повсюду – камеры наружного наблюдения, операционные системы на компьютерах, браузеры, сотовые операторы, банки, приложения android, почтовые сервисы, провайдеры, и ещё куча всяко-разных устройств и сервисов.
Вы хотите быть реально анонимным?
Читать статью на кодебай: https://codeby.net/threads/tajna-perepiski.70065/
#cipher #шифр #шифрование
В век всеобщей цифровизации, за тобой следят буквально повсюду – камеры наружного наблюдения, операционные системы на компьютерах, браузеры, сотовые операторы, банки, приложения android, почтовые сервисы, провайдеры, и ещё куча всяко-разных устройств и сервисов.
Вы хотите быть реально анонимным?
Читать статью на кодебай: https://codeby.net/threads/tajna-perepiski.70065/
#cipher #шифр #шифрование
Research Yandex, ClickHouse, Инъекции в столбцовом СУБД
Снова хочу поделиться с вами случаем, с которым столкнулся во время пентеста и его дальнейшего исследования. В целях обработки большого количества данных в Яндекс.Метрике, Яндексом была создана колоночная СУБД ClickHouse. В рамках проектов по анализу защищённости мы встречали ClickHouse в системах статистики, сбора событий, в биржевых системах.
Читать на кодебай: https://codeby.net/threads/research-yandex-clickhouse-inekcii-v-stolbcovom-subd.70116/
#уязвимости #пентест
Снова хочу поделиться с вами случаем, с которым столкнулся во время пентеста и его дальнейшего исследования. В целях обработки большого количества данных в Яндекс.Метрике, Яндексом была создана колоночная СУБД ClickHouse. В рамках проектов по анализу защищённости мы встречали ClickHouse в системах статистики, сбора событий, в биржевых системах.
Читать на кодебай: https://codeby.net/threads/research-yandex-clickhouse-inekcii-v-stolbcovom-subd.70116/
#уязвимости #пентест
Устройство локальной сети, часть 3
Итак, рассмотрев в двух предыдущих частях историю развития и основы работы компьютерных сетей, мы подошли к более значимой части – к устройству локальных вычислительных сетей, обычно обозначается латинской аббревиатурой LAN (Local Area Network).
Почему эта часть считается наиболее важной?
Читать на кодебай: https://codeby.net/threads/ustrojstvo-lokalnoj-seti.70127/
#сети
Итак, рассмотрев в двух предыдущих частях историю развития и основы работы компьютерных сетей, мы подошли к более значимой части – к устройству локальных вычислительных сетей, обычно обозначается латинской аббревиатурой LAN (Local Area Network).
Почему эта часть считается наиболее важной?
Читать на кодебай: https://codeby.net/threads/ustrojstvo-lokalnoj-seti.70127/
#сети
Важно знать. Какую информацию хранят о вас фэйсбук и whatsapp?
Социальные сети уже давно вошли в жизнь современного человека. По информации проведенных соцопросов, большинство пользователей, проводят половину своей жизни на различных интернет площадках для общения и развлечения. Некоторые пользователи сети, научились даже зарабатывать реальные денежные средства посредством социальных сетей.
Читать в codeby дзене: https://clck.ru/L5sFL
#анонимность #facebook #whatsapp
Социальные сети уже давно вошли в жизнь современного человека. По информации проведенных соцопросов, большинство пользователей, проводят половину своей жизни на различных интернет площадках для общения и развлечения. Некоторые пользователи сети, научились даже зарабатывать реальные денежные средства посредством социальных сетей.
Читать в codeby дзене: https://clck.ru/L5sFL
#анонимность #facebook #whatsapp
Самотрассировка, или марш-бросок по периметру отладчика
Как и всё, что работает под управлением центрального процессора, операционная система – это тоже программа, которая на этапе тестирования требовала отладки. Поскольку системное пространство памяти в Win логически разделено на два региона, инженерам требовались технические люки из юзера в кернел. После того-как всё было (типа) настроено ...
Читать на codeby: https://codeby.net/threads/samotrassirovka-ili-marsh-brosok-po-perimetru-otladchika.70133/
#asm #debug #marylin #seh #selfdebug #самотрассировка
Как и всё, что работает под управлением центрального процессора, операционная система – это тоже программа, которая на этапе тестирования требовала отладки. Поскольку системное пространство памяти в Win логически разделено на два региона, инженерам требовались технические люки из юзера в кернел. После того-как всё было (типа) настроено ...
Читать на codeby: https://codeby.net/threads/samotrassirovka-ili-marsh-brosok-po-perimetru-otladchika.70133/
#asm #debug #marylin #seh #selfdebug #самотрассировка
Вы знали, как именно разгадывают ваши пароли? Топ способов
Пользуясь интернетом, мы часто регистрируемся в различных социальных сетях, используем электронную почту для работы и общения, создаем аккаунты в банковском секторе и многое другое. Незаменимым атрибутом современного интернет-серфинга является пароль и имя пользователя сети
Далее в нашем дзене: https://clck.ru/L7CKu
#хакеры #мошенничество #технологии #безопасность
Пользуясь интернетом, мы часто регистрируемся в различных социальных сетях, используем электронную почту для работы и общения, создаем аккаунты в банковском секторе и многое другое. Незаменимым атрибутом современного интернет-серфинга является пароль и имя пользователя сети
Далее в нашем дзене: https://clck.ru/L7CKu
#хакеры #мошенничество #технологии #безопасность
Для чего все сайты переводят на https?
С появлением нового протокола https, среди специалистов и простых пользователей сети, начался активный спор – зачем вообще нужен новый протокол, на который активно переводят большинство сайтов? Постараемся разобраться, что это такое и зачем он необходим.
Читать статью в нашем дзене: https://clck.ru/L7gEg
#безопасность #шифрование #https
С появлением нового протокола https, среди специалистов и простых пользователей сети, начался активный спор – зачем вообще нужен новый протокол, на который активно переводят большинство сайтов? Постараемся разобраться, что это такое и зачем он необходим.
Читать статью в нашем дзене: https://clck.ru/L7gEg
#безопасность #шифрование #https
Как я нашёл уязвимость в хорошо защищённом web приложении
В данной статье хотел бы рассказать о том, как я искал уязвимости в web приложении. Речь пойдёт о довольно не популярной уязвимости - Denial of Service. Эксплуатируя уязвимости данного типа можно "парализовать" сервер, не позволяя ему обрабатывать запросы клиентов.
Читать на кодебай: https://codeby.net/threads/kak-ja-nashjol-ujazvimost-v-xorosho-zaschischjonnom-web-prilozhenii.70172/
#конкурс
В данной статье хотел бы рассказать о том, как я искал уязвимости в web приложении. Речь пойдёт о довольно не популярной уязвимости - Denial of Service. Эксплуатируя уязвимости данного типа можно "парализовать" сервер, не позволяя ему обрабатывать запросы клиентов.
Читать на кодебай: https://codeby.net/threads/kak-ja-nashjol-ujazvimost-v-xorosho-zaschischjonnom-web-prilozhenii.70172/
#конкурс
