Осенний сезон подошёл к концу, а это значит, что пришло время объявить победителей!
🥇Term1nal - Flipper Zero, любой курс Академии Кодебай, 1 год подписки на Codeby Games
🥈A1ERTA - любой курс Академии Кодебай, 3 месяца подписки на Codeby Games
🥉fgh - любой курс Академии Кодебай, 3 месяца подписки на Codeby Games
4-10 место - 15% скидка на любой курс Академии Кодебай, 1 месяц подписки на Codeby Games
Благодарим всех за участие и желаем удачи в зимнем сезоне, который стартует 7 декабря!
Please open Telegram to view this post
VIEW IN TELEGRAM
🎉53❤16🏆10👾1
#новости
⚡️ В канун Нового года на Северный Полюс совершена серия загадочных атак, которые ставят под угрозу доставку новогодних подарков.
Сегодня, администрацией Деда Мороза было обнаружено, что центральная система распределения подарков взломана. Кто-то оставил сообщение с угрозой:
Для поиска уязвимостей и восстановления доступа к системе было принято решение привлечь для помощи участников “Зимних Хакеров”❄️ Примите участие в спасении праздника!
⭐️ Правила игры:
🔸 Задания появляются не по расписанию — внимательно следите за анонсами!
🔸 Как только появляется новое задание, старое исчезает — всего 10 заданий
🔸 За каждое задание вы получите уникальный ключ 🗝
🔸 Чем больше ключей, тем выше шанс выиграть, но даже с одним ключом есть шанс!
🔸 Розыгрыш состоится 30 декабря через рандомайзер 🎁
🔔 Первое задание станет доступно уже завтра, не пропустите!
🚨 После анонса каждое задание актуально до появления нового! Внимательно следите за анонсами в нашем канале и переходите в наш бот: @codeby_se_bot
Сегодня, администрацией Деда Мороза было обнаружено, что центральная система распределения подарков взломана. Кто-то оставил сообщение с угрозой:
“Если до 29 декабря злоумышленников не найдут, никто не получит подарков”🎁
Для поиска уязвимостей и восстановления доступа к системе было принято решение привлечь для помощи участников “Зимних Хакеров”
Please open Telegram to view this post
VIEW IN TELEGRAM
🎅41☃28🎄14❤6👍3👎1👾1
Zmap 🕸
ZMap — это быстрый однопакетный сетевой сканер без сохранения состояния, предназначенный для обследований сетей в масштабе Интернета. На обычном настольном компьютере с гигабитным соединением Ethernet, ZMap способен сканировать все общедоступное адресное пространство IPv4 на одном порту менее чем за 45 минут.
В настоящее время ZMap имеет полностью реализованные модули зондов для сканирования TCP SYN, ICMP, DNS-запросов, UPnP, BACNET и может отправлять большое количество зондов UDP. Если вы хотите выполнить более сложное сканирование, обратите внимание на ZGrab 2, родственный проект ZMap, который выполняет рукопожатия на уровне приложения с отслеживанием состояния.
Использование:
ZMap — это быстрый однопакетный сетевой сканер без сохранения состояния, предназначенный для обследований сетей в масштабе Интернета. На обычном настольном компьютере с гигабитным соединением Ethernet, ZMap способен сканировать все общедоступное адресное пространство IPv4 на одном порту менее чем за 45 минут.
Будьте аккуратнее, при использовании Zmap, так как при очень высокой нагрузке, утилита способна вывести из строя сетевое оборудование.
В настоящее время ZMap имеет полностью реализованные модули зондов для сканирования TCP SYN, ICMP, DNS-запросов, UPnP, BACNET и может отправлять большое количество зондов UDP. Если вы хотите выполнить более сложное сканирование, обратите внимание на ZGrab 2, родственный проект ZMap, который выполняет рукопожатия на уровне приложения с отслеживанием состояния.
Использование:
sudo zmap -p <PORT> -r <IP>/23
👍58❤20👏7🔥2😁2
RainbowCrack🗝
RainbowCrack - взламывает хеши с "радужными таблицами". RainbowCrack использует алгоритм компромисса времени и памяти для взлома хешей. Он отличается от хэш-взломщиков, которые используют алгоритм грубой силы.
Список таких таблиц для скачивания:
🧾http://project-rainbowcrack.com/table.htm
Чтобы создать свою таблицу, воспользуемся командой:
Таблица будет находиться в каталоге
Для взлома хеша MD5 пароля состоящего из четырех символов, будем использовать созданную нами ранее радужную таблицу, но перед этим необходимо отсортировать радужную таблицу с помощью следующей команды:
Теперь используем RainbowCrack для взлома хеша пароля:
RainbowCrack - взламывает хеши с "радужными таблицами". RainbowCrack использует алгоритм компромисса времени и памяти для взлома хешей. Он отличается от хэш-взломщиков, которые используют алгоритм грубой силы.
Радужная таблица — это предварительно вычисленная таблица для кэширования выходных данных криптографической хеш-функции, обычно используемой для взлома хэшей паролей. Пароли обычно хранятся не в текстовой форме, а в виде хеш-значений. Если такая база данных хешированных паролей попадет в руки злоумышленников, они могут использовать предварительно вычисленную радужную таблицу для восстановления паролей в виде открытого текста. Распространенной защитой от этой атаки является вычисление хешей с использованием функции получения ключей, которая добавляет «соль» к каждому паролю перед его хешированием, при этом разные пароли получают разные соли, которые хранятся в виде обычного текста вместе с хешем.
Список таких таблиц для скачивания:
🧾http://project-rainbowcrack.com/table.htm
Чтобы создать свою таблицу, воспользуемся командой:
rtgen md5 loweralpha 1 4 0 1000 1000 0
где - md5, создаёт радужную таблицу для хеша md5. loweralpha использует только строчные буквы. 1 - минимальная длина пароля, 4 - максимальная длина пароля. Пустые пробелы - индекса таблицы, длина цепочки и номер цепочки установлены на 1000.
Таблица будет находиться в каталоге
/usr/share/rainbowcrack
Для взлома хеша MD5 пароля состоящего из четырех символов, будем использовать созданную нами ранее радужную таблицу, но перед этим необходимо отсортировать радужную таблицу с помощью следующей команды:
rtsort .
Теперь используем RainbowCrack для взлома хеша пароля:
rcrack . -h [ХЕШ md5]
👍31❤29🔥9❤🔥2
Рассмотрим интересную на мой взгляд CVE-2017-11774 в Microsoft Outlook, позволяющую выполнить произвольный код в системе. Для данной уязвимости было выпущено исправление от Microsoft в октябре 2017 года, однако оно все равно позволяло злоумышленникам эксплуатировать уязвимость через подмену ключей реестра, которые указывают на внешний сайт, контролируемый хакерами.
⚙️ Эти ключи можно найти в разделе реестра:
⏺️ HKCU\Software\Microsoft\Office\*\Outlook\WebView\
⏺️ HKCU\SOFTWARE\Microsoft\Office\*\Outlook\Today
Сама уязвимость заключается в следующем:
1️⃣ Злоумышленник убеждает пользователя открыть фишинговое письмо с ВПО, меняющее ключи реестра и создющее новый параметр с именем URL, значением которого является вредоносная ссылка.
2️⃣ Далее после изменения ключей, Outlook загружает и отображает HTML-страницу при выборе соответствующей вкладки, вместо стандартного содержимого.
3️⃣ С этой страницы злоумышленники могут запускать VBScript или JScript с привилегиями, аналогичными запуску скриптов через cscript или wscript.
🚨 Злоумышленники могут использовать данный метод для сохранения доступа и распространения на другие системы, используя Outlook как C2-платформу. Так как процесс outlook.exe является доверенным, это упрощает обход существующих средств защиты.
❗️ Для осуществления проверки узлов на предмет эксплуатации CVE-2017-1774 необходимо проверить пути реестра во вложении на наличие каких-либо ссылок, ведущих на внешние ресурсы (http/https).
💱 Для автоматизации проверки реестра на узлах можно использовать готовый инструмент NotRuler.
Сама уязвимость заключается в следующем:
Для предотвращения эксплуатации уязвимости требуется отключить параметр WebView для папок в Outlook, изменив следующие ключи реестра:
HKEY_CURRENT_USER\Software\Microsoft\Office\\Outlook\WebView"Disable"= dword:00000001
HKEY_CURRENT_USER\Software\Microsoft\Office\\Outlook\Security"EnableRoamingFolderHomepages"= dword:00000000
HKEY_CURRENT_USER\Software\Microsoft\Office\\Outlook\Security"NonDefaultStoreScript"= dword:00000000
HKEY_CURRENT_USER\Software\Microsoft\Office\\Outlook\Security\"EnableUnsafeClientMailRules"= dword:00000000
Please open Telegram to view this post
VIEW IN TELEGRAM
👍36🤔15❤11👎1👾1
WFuzz 🔑
WFuzz — это еще один инструмент для взлома паролей методом перебора, такой же, как Medusa и THC Hydra. Еще одна особенность программы — поиск скрытых ресурсов, таких как сервлеты, каталоги и скрипты. Инструмент также поддерживает несколько типов инъекций с несколькими словарями. WFuzz также может находить инъекционные уязвимости в приложении, такие как XSS-инъекции, SQL-инъекции и LDAP-инъекции. WFuzz — это не просто средство для взлома паролей; программа также позволяет пользователям обнаруживать уязвимости и обеспечивать безопасность веб-приложений в целом.
Использование:
WFuzz — это еще один инструмент для взлома паролей методом перебора, такой же, как Medusa и THC Hydra. Еще одна особенность программы — поиск скрытых ресурсов, таких как сервлеты, каталоги и скрипты. Инструмент также поддерживает несколько типов инъекций с несколькими словарями. WFuzz также может находить инъекционные уязвимости в приложении, такие как XSS-инъекции, SQL-инъекции и LDAP-инъекции. WFuzz — это не просто средство для взлома паролей; программа также позволяет пользователям обнаруживать уязвимости и обеспечивать безопасность веб-приложений в целом.
Использование:
wfuzz -c -z file,<PATHTOWORDLIST> --hc 404 http://<IP>/FUZZ
👍38❤18🎉14
Госдума приняла поправки, значительно усиливающие ответственность за утечки и неправомерный оборот персональных данных.
❗️Главной целью поправок является стимулирование компаний к увеличению инвестиций в кибербезопасность.
Что же изменилось?
🔹 Введены многократные увеличения штрафов для граждан, должностных и юридических лиц в зависимости от количества скомпрометированных данных:
• 1-10 тыс. субъектов/10-100 тыс. идентификаторов: Граждане 100-200 тыс. руб., должностные лица 200-400 тыс. руб., юрлица 3-5 млн руб.
• 10-100 тыс. субъектов/100 тыс. - 1 млн идентификаторов: Граждане 200-300 тыс. руб., должностные лица 300-500 тыс. руб., юрлица 5-10 млн руб.
• >100 тыс. субъектов/ >1 млн идентификаторов: Граждане до 400 тыс. руб., должностные лица до 600 тыс. руб., юрлица до 15 млн руб.
🔹При рецидиве нарушений юридические лица будут платить штрафы в размере от 1 до 3% от годовой выручки, но не менее 20 млн и не более 500 млн рублей.
🔹 Усилена ответственность за утечку и незаконное использование биометрических данных (штрафы снижены для должностных лиц, но введена уголовная ответственность, а нарушителям грозит до 4 лет лишения свободы, а при корыстных мотивах или утечке данных несовершеннолетних — до 10 лет).
🔹 Предусмотрены штрафы за несвоевременное уведомление о планах обработки данных и за отказ в заключении договоров с потребителями, отказавшимися от биометрической идентификации.
🔹 Для компаний смягчающими обстоятельствами являются: инвестиции в ИБ, отсутствие нарушений и высокий уровень цифровой зрелости.
«Закон, в случае его подписания Президентом, вступит в силу по истечении 180 дней после дня его официального опубликования»
❗️Главной целью поправок является стимулирование компаний к увеличению инвестиций в кибербезопасность.
Что же изменилось?
🔹 Введены многократные увеличения штрафов для граждан, должностных и юридических лиц в зависимости от количества скомпрометированных данных:
• 1-10 тыс. субъектов/10-100 тыс. идентификаторов: Граждане 100-200 тыс. руб., должностные лица 200-400 тыс. руб., юрлица 3-5 млн руб.
• 10-100 тыс. субъектов/100 тыс. - 1 млн идентификаторов: Граждане 200-300 тыс. руб., должностные лица 300-500 тыс. руб., юрлица 5-10 млн руб.
• >100 тыс. субъектов/ >1 млн идентификаторов: Граждане до 400 тыс. руб., должностные лица до 600 тыс. руб., юрлица до 15 млн руб.
🔹При рецидиве нарушений юридические лица будут платить штрафы в размере от 1 до 3% от годовой выручки, но не менее 20 млн и не более 500 млн рублей.
🔹 Усилена ответственность за утечку и незаконное использование биометрических данных (штрафы снижены для должностных лиц, но введена уголовная ответственность, а нарушителям грозит до 4 лет лишения свободы, а при корыстных мотивах или утечке данных несовершеннолетних — до 10 лет).
🔹 Предусмотрены штрафы за несвоевременное уведомление о планах обработки данных и за отказ в заключении договоров с потребителями, отказавшимися от биометрической идентификации.
🔹 Для компаний смягчающими обстоятельствами являются: инвестиции в ИБ, отсутствие нарушений и высокий уровень цифровой зрелости.
«Закон, в случае его подписания Президентом, вступит в силу по истечении 180 дней после дня его официального опубликования»
❤42🔥11🤔9👍4😁2👾1
Команда Codeby ищет талантливого руководителя команды пентестеров! 😎
Что нужно делать:
🔸 Ставить задачи пентестерам и контролировать их выполнение.
🔸 При необходимости искать (при помощи HR) и обучать новых сотрудников.
🔸 В случае необходимости самостоятельно искать уязвимости на проектах.
🔸 Готовить отчет о проделанной работе для заказчиков и руководства.
🔸 Оценивать новые входящие проекты по стоимости и срокам.
🔸 Взаимодействовать с другими отделами.
🔸 Работать в Битрикс24.
Что нужно:
🔸 Обладать необходимыми навыками и знаниями в обозначенной области и иметь релевантный опыт работы.
Что предлагаем:
🔸 Белая з/п от 350 т.р.
🔸 Полный рабочий день,
🔸 График работы: удаленный/гибрид
🔸 IT-аккредитация (компания зарегистрирована в регионе, возможна IT-ипотека).
🚀 Для отклика пишите: @bonya_suri
Порекомендуйте вакансию знакомым — мы отблагодарим!
Что нужно делать:
Что нужно:
Что предлагаем:
Порекомендуйте вакансию знакомым — мы отблагодарим!
Please open Telegram to view this post
VIEW IN TELEGRAM
👍42🔥16❤10😁3👾1
Darkdump - скрипт, написанный на Python, который позволяет вытащить веб-сайты с домена .onion, относящиеся к запросу, введенному пользователем. Работает через поисковую систему Ahmia.
⬇️ Установка:
🧅 Конфигурация Tor:
Для эффективной работы утилиты необходимо настроить Tor так, чтобы скрипт мог им управлять через порт управления Tor.
⏺️ Для этого необходимо сперва скачать Tor:
⏺️ Затем настроить файл /etc/tor/torrc, добавив в него порт управления и хэшированный пароль. Пароль, в свою очередь можно получить так:
⏺️ Остается запустить сервис Tor
Запуск утилиты:
🚩 Возможные флаги:
-q - запрос пользователя
-a - количество результатов, которые вы хотите получить
-p - использовать tor proxy для парсинга
-i - парсить изображения и визуальный контент с сайта
-s - парсить сам сайт на наличие контента и искать ключевые слова
git clone https://github.com/josh0xA/darkdump
cd darkdump
python3 -m pip install -r requirements.txt
🧅 Конфигурация Tor:
Для эффективной работы утилиты необходимо настроить Tor так, чтобы скрипт мог им управлять через порт управления Tor.
sudo apt install tor
tor --hash-password "your_password"
sudo systemctl start tor.service
Запуск утилиты:
python3 darkdump.py -q "free movies" -a 10
-q - запрос пользователя
-a - количество результатов, которые вы хотите получить
-p - использовать tor proxy для парсинга
-i - парсить изображения и визуальный контент с сайта
-s - парсить сам сайт на наличие контента и искать ключевые слова
Please open Telegram to view this post
VIEW IN TELEGRAM
👍22🔥12❤7👾1
Российские СМИ сообщили о задержании в Калининграде одного из самых известных киберпреступников — Михаила Павловича Матвеева, известного в сети под псевдонимами WazaWaka, Uhodiransomwar, m1x и Boriselcin 👀
Имя Матвеева впервые стало известно благодаря расследованию журналиста Брайана Кребса в 2022 году.✏️
В 2023 году Министерство юстиции США обвинило его в организации атак программ-вымогателей на ряд организаций, включая департамент полиции Вашингтона и медицинские учреждения Нью-Джерси.
🔖 Кроме того, Матвеев был связан с такими группировками, как Babuk, Conti, Darkside, Hive и LockBit. За информацию, которая помогла бы задержать Матвеева, США объявили награду в $10 млн.
#новости
🗣️ Согласно данным агентства РИА Новости, суд уже зарегистрировал уголовное дело против Матвеева, который обвиняется в создании вредоносного ПО. В материалах дела утверждается, что в январе 2024 года он разработал новую версию программ-вымогателей.
Имя Матвеева впервые стало известно благодаря расследованию журналиста Брайана Кребса в 2022 году.
В 2023 году Министерство юстиции США обвинило его в организации атак программ-вымогателей на ряд организаций, включая департамент полиции Вашингтона и медицинские учреждения Нью-Джерси.
#новости
Please open Telegram to view this post
VIEW IN TELEGRAM
😢33👍15🔥11😁4🤔2
Запись до 12 декабря:
Старт 9 декабря:
Старт 16 декабря:
Please open Telegram to view this post
VIEW IN TELEGRAM
👍17🔥6❤4😁1👾1
ffuf
ffuf — это быстрый веб-фаззер, написанный на Go, который позволяет выполнять типичное обнаружение каталогов, обнаружение виртуальных хостов (без записей DNS), а также фаззинг параметров GET и POST.
Использование:
ffuf — это быстрый веб-фаззер, написанный на Go, который позволяет выполнять типичное обнаружение каталогов, обнаружение виртуальных хостов (без записей DNS), а также фаззинг параметров GET и POST.
Использование:
ffuf -w [/path/to/wordlist] -u [URL/FUZZ]
👍17🤩8❤4👾1
Основной целью киберпреступников является шпионаж и закрепление в системе для развития последующих атак
Данная группировка получила название TaxOff. В своих атаках злоумышленники использовали многопоточный бэкдор Trinper, написанный на С++.
✉️ Начальный вектор заражения — фишинговые письма.
⏺️ В некоторых случаях письмо содержит ссылку на «Яндекс Диск», в котором хранится файл «Материалы.img». Одним из вложений, находящихся внутри этого файла, была html страница с фальшивой формой авторизации. Другие же являлись бэкдором Trinper.
⏺️ А в остальных, злоумышленники распространяют ПО «Справки БК», содержащее два исполняемых файла bk.exe и DotNet35.exe.
💱 После выполнения bk.exe будет автоматически выполнен DotNet35.exe, содержащий бэкдор Trinper. В начале бэкдор десериализирует конфигурацию и получает оттуда имя, которое должно быть у него. Если оно отличается, то выполнение прекращается. В случае, если имена совпадают, бэкдор продолжает инициализацию и вызывает функцию для получения информации о компьютере жертвы
🔎 Далее Trinper запускает в разных потоках три класса, которые служат для:
⏺️ коммуникации с С2 (происходит через генерацию сессионного ключа для AES-128-CBC, далее импортируется публичный RSA-ключ и становится возможен цикл общения с C2, использующийся для получения команд, получения и отправки результатов работы команд)
⏺️ мониторинга файловой системы (перебирает все подключенные диски и рекурсивно ищет хранящиеся на дисках файлы с расширениями .doc, .xls, .ppt, .rtf, .pdf)
⏺️ перехвата нажатия клавиш
Данная группировка получила название TaxOff. В своих атаках злоумышленники использовали многопоточный бэкдор Trinper, написанный на С++.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍14❤5🔥5🤔4😁2
CAPA - инструмент с открытым исходным кодом, с помощью которого можно определять возможности исполняемых файлов. Позволяет сопоставлять неизвестные файлы с техникам из матрицы MITRE ATT&CK и каталогом поведения вредоносных программ. Так же показывает возможности файла с указанием на правила capa, с помощью которых они были определены.
⚙️ Для запуска требуется лишь передать название исполняемого файла:
✏️ При передаче флага -vv выводится более подробное описание, в котором утилита сообщает, где были обнаружены признаки найденных возможностей. Благодаря этому повышается доверие к результатам программы и можно более подробно изучить исполняемый файл в IDA.
📝Правила capa
Для обнаружения возможностей программы утилита использует определенный набор правил, которые представляют из себя смесь правил OpenIOC, Yara и YAML. При большом желании и стремлении сделать проект лучше можно самому дописать правила, что позволит утилите в дальнейшем распознавать интересные методы в вредоносных программах
💱 Плагин для IDA Pro
При использовании IDA Pro, существует возможность работать с плагином capa Explorer. Данный плагин помогает определять интересные области программы и создавать новые правила capa, используя непосредственно извлеченные функции из вашей базы данных IDA.
./capa input_file
📝Правила capa
Для обнаружения возможностей программы утилита использует определенный набор правил, которые представляют из себя смесь правил OpenIOC, Yara и YAML. При большом желании и стремлении сделать проект лучше можно самому дописать правила, что позволит утилите в дальнейшем распознавать интересные методы в вредоносных программах
При использовании IDA Pro, существует возможность работать с плагином capa Explorer. Данный плагин помогает определять интересные области программы и создавать новые правила capa, используя непосредственно извлеченные функции из вашей базы данных IDA.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍14❤8🔥5✍1
Forwarded from Codeby One — пентест глазами исполнителя
Готовы выпустить продукт? А точно готовы? Проверим в новой статье
Вы разработали крутой продукт, добавили в него топовые фичи, протестировали сами — кажется, всё работает идеально. Но готов ли он к реальному миру? Ошибки и уязвимости могут быть незаметны на первый взгляд, но обязательно всплывут, когда продукт попадёт к пользователям. Чтобы не лишиться их доверия (и нервов), стоит провести полноценное тестирование.
Как понять, что продукт действительно готов к релизу?
С помощью методов тестирования ПО: «черный ящик» и «белый ящик». Эти подходы дают возможность проверить продукт как с точки зрения пользователя, так и под микроскопом кода.
👁 Что скрывается за методами тестирования?
🌟 «Черный ящик» — это работа с продуктом как обычный пользователь. Тестировщик видит только интерфейс: нажимает кнопки, заполняет формы, проверяет сценарии взаимодействия. Инфраструктура и код остаются для него «вне доступа». Этот метод помогает понять, насколько продукт удобен, совместим с разными устройствами и работает под нагрузкой.
🌟 «Белый ящик» — совсем другая история. Тестировщик погружается в код, чтобы найти баги, проверить чистоту написания, а также обнаружить уязвимости и логические ошибки. Метод позволяет заметить всё, что невидимо на поверхности.
🌟 «Серый ящик» — это золотая середина. Код частично открыт, что позволяет углубиться в важные блоки, не теряя из виду интерфейс и пользовательские сценарии.
Как работает тестирование?
Продукт подвергается испытаниям на всех уровнях — от мелких деталей до глобальной инфраструктуры:
1️⃣ Модульное тестирование (Unit) — проверяются отдельные фрагменты кода.
2️⃣ Интеграционные тесты — оцениваются связи между модулями.
3️⃣ End-to-End тестирование — продукт проверяется как единое целое.
На каждом этапе выявляются уникальные проблемы: от багов в логике до провалов в нагрузочных тестах.
Почему оба метода важны?
Тестирование «черного ящика» позволяет увидеть продукт глазами пользователя, выявить проблемы с функциональностью и UX. Но без «белого ящика» легко пропустить критичные уязвимости внутри кода.
В новой статье мы разобрали:
🔸 Преимущества и ограничения каждого метода
🔸 Когда стоит использовать «черный ящик», а когда лучше сосредоточиться на «белом»
🔸 Почему оптимальная стратегия — это их сочетание
Не дайте багам шанса испортить впечатление от вашего продукта! Узнайте больше и доведите своё ПО до совершенства, а Кодебай Вам в этом поможет➡️ Читать статью в блоге
Вы разработали крутой продукт, добавили в него топовые фичи, протестировали сами — кажется, всё работает идеально. Но готов ли он к реальному миру? Ошибки и уязвимости могут быть незаметны на первый взгляд, но обязательно всплывут, когда продукт попадёт к пользователям. Чтобы не лишиться их доверия (и нервов), стоит провести полноценное тестирование.
Как понять, что продукт действительно готов к релизу?
С помощью методов тестирования ПО: «черный ящик» и «белый ящик». Эти подходы дают возможность проверить продукт как с точки зрения пользователя, так и под микроскопом кода.
👁 Что скрывается за методами тестирования?
Как работает тестирование?
Продукт подвергается испытаниям на всех уровнях — от мелких деталей до глобальной инфраструктуры:
На каждом этапе выявляются уникальные проблемы: от багов в логике до провалов в нагрузочных тестах.
Почему оба метода важны?
Тестирование «черного ящика» позволяет увидеть продукт глазами пользователя, выявить проблемы с функциональностью и UX. Но без «белого ящика» легко пропустить критичные уязвимости внутри кода.
В новой статье мы разобрали:
Не дайте багам шанса испортить впечатление от вашего продукта! Узнайте больше и доведите своё ПО до совершенства, а Кодебай Вам в этом поможет
Please open Telegram to view this post
VIEW IN TELEGRAM
👍12❤7🔥5😁1
Forwarded from Hacker Lab
Имея даже 1 решенное задание есть шанс получить главный приз. Если еще не присоединились к конкурсу, самое время это сделать Новогодний CTF от S.E. x Codeby
Для решения доступно второе задание из 10:
🎅 Северный полюс
🎄 Категория: Веб
❄️ Уровень: лёгкий
🎁 Награда: 1 ключ
🎯 Описание:
Санта запустил новый сервис для сбора пожеланий к Новому году!
Говорят, где-то на его сервере спрятан особый подарок, но доступ к нему есть только у помощников Санты...
Для решения доступно второе задание из 10:
🎅 Северный полюс
🎄 Категория: Веб
❄️ Уровень: лёгкий
🎁 Награда: 1 ключ
🎯 Описание:
Санта запустил новый сервис для сбора пожеланий к Новому году!
Говорят, где-то на его сервере спрятан особый подарок, но доступ к нему есть только у помощников Санты...
Telegram
Новогодний CTF от S.E. x Codeby
Новогодний CTF от S.E. & Codeby: задания, статистика и ключи
👍18👎15🎄10❤9🏆2👾1
JWT_TOOL
🛡 JSON Web Token Toolkit v2 - это инструментарий для проверки, подделки, сканирования и фальсификации JWT (веб-токенов JSON).
Его функционал включает в себя:
*️⃣ Проверку действительности токена
*️⃣ Тестирование на наличие известных эксплойтов:
*️⃣ Проверка на наличие неправильных настроек или известных уязвимостей
*️⃣ Изменение значений в запросе, с целью спровоцировать неожиданное поведение
*️⃣ Проверка достоверности секретного файла/ключевого файла/открытого ключа/ключа JWKS
*️⃣ ...и многое другое!
👉 Установка с использованием Python
👉 Пример использования
Чтобы подробнее узнать о том, что такое JWT, для чего они предназначены, а также полный рабочий процесс, позволяющий тщательно протестировать их на наличие уязвимостей, распространенных недостатков и непреднамеренных ошибок в коде вы можете перейти по ссылке JWT.ATTACK.PLAYBOOK.
Его функционал включает в себя:
👉 Установка с использованием Python
git clone https://github.com/ticarpi/jwt_tool
python3 -m pip install -r requirements.txt
👉 Пример использования
python3 jwt_tool.py eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJsb2dpbiI6InRpY2FycGkifQ.aqNCvShlNT9jBFTPBpHDbt2gBB1MyHiisSDdp8SQvgw
Чтобы подробнее узнать о том, что такое JWT, для чего они предназначены, а также полный рабочий процесс, позволяющий тщательно протестировать их на наличие уязвимостей, распространенных недостатков и непреднамеренных ошибок в коде вы можете перейти по ссылке JWT.ATTACK.PLAYBOOK.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤18👍10🔥6👎1
Media is too big
VIEW IN TELEGRAM
Сезонный рейтинг:
С сегодняшнего дня вы можете побороться за лидирующие позиции рейтинга в новом сезоне на нашей платформе. Не упустите шанс провести зимние дни с пользой, прокачать свои навыки и стать лучшим!
Призы:
🥇1 место — Playstation 5 Digital Edition
🥈2 место — Nintendo Switch OLED
🥉3 место — Flipper Zero
4-10 место — 15% скидка на любой курс Академии Кодебай, 1 месяц подписки на Codeby Games
————————————
Новые задания:
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥20👍8☃7❤5🎅1🎄1👾1
Что делать, когда нужно просмотреть огромное количество веб-приложений?
📷 Gowitness - это утилита для автоматического создания скриншотов веб-сайтов, написанная на Golang, которая использует Chrome Headless для создания скриншотов веб-интерфейсов с помощью командной строки, а также имеет удобное средство просмотра отчетов для обработки результатов.
Установка, запуск и отчет в 3 шага
1️⃣ Скачиваем саму утилиту
2️⃣ Запускаем тестовое сканирование
3️⃣ Создаем отчет
Основная цель gowitness - делать скриншоты веб-сайтов (и делать это хорошо!), при необходимости сохраняя любую информацию, собранную в процессе работы. Тем не менее, краткий список функций включает в себя::
🔵 Создание скриншотов веб-сайтов, конечно..., но быстро и точно!
🔵 Сканирование списка URL-адресов, CIDR, результатов Nmap, Nessus
🔵 Возможность получать и сохранять данные (например, журнал запросов, журналы консоли, заголовки, файлы cookie и т.д.)
🔵 Запись данных во множество форматов (база данных sqlite, jsonlines, csv и т.д.)
🔵 И многое, многое другое!
Установка, запуск и отчет в 3 шага
sh go install github.com/sensepost/gowitness@latest
gowitness scan single -u https://codeby.games --write-csv
sh gowitness report server --port 8080 --screenshot-path ./screenshots
Основная цель gowitness - делать скриншоты веб-сайтов (и делать это хорошо!), при необходимости сохраняя любую информацию, собранную в процессе работы. Тем не менее, краткий список функций включает в себя::
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥20👍9❤8