Codeby

​Отзыв бедолаги на курс «SQL-injection Master» Привет уважаемые форумчане. Настала пора поделиться с вами отзывом по прекрасному курсу «SQL-injection Master». Для тех, кто не любит читать скажу сразу, курс мне очень понравился и я ни разу не пожалел, что приобрёл его! Но курс был непростым и отнял очень много часов личного времени на раскрутку разных типов SQL-инъекций. 📌 Читать далее #school #feedback #sqlim

​🔮 Ошибка в iOS и macOS позволяла подслушать общение с Siri Исследователь Гильерме Рэмбо обнаружил новую уязвимость в операционных системах iOS и macOS. Эксплойт позволял приложениям с поддержкой Bluetooth отслеживать взаимодействие пользователя с голосовым помощником Siri. По данным Apple, потенциально вредоносное приложение могло записывать звук через подключенные наушники AirPods. Проблема заключалась в Core Bluetooth. Ошибка была выявлена в августе 2022 года и получила название SiriSpy (CVE-2022-32946). «Обратите внимание, что вредоносному приложению необязательно получать дополнительные разрешения на использование микрофона. Такая программа даже не оставит следов, которые бы говорили об использовании записывающего устройства», — пишет Рэмбо. Ошибка уже исправлена разработчиками в новой версии iOS 16.1 и macOS 13. Рекомендуем всем пользователям обновиться до последних версий. 🗞 Блог Кодебай #news #apple #data

📢 Через 10 дней завершается Call For Papers на митап Standoff Talks. Но еще можно стать спикером → cfp.standoff365.com Ждём технические доклады на темы offensive/defensive security, bug bounty и Standoff. ✅ Если вы пропустили первый митап — его можно посмотреть на ютубе. P.S. А еще Talks — это отличная возможность увидеть Standoff 10 😉

​Обнаружение атаки ARP-spoofing с помощью Scapy в Python Как можно защититься от атаки MITM ARP-spoofing? С одной стороны, если ваши маршрутизаторы не имеют защиты от данного вида атак, то практически никак. Потому, что даже обнаружение данного вида атаки довольно сложно с той точки зрения, что атакованная машина, а равно как и ее пользователь не будут даже подозревать о том, что что-то происходит. Но, обнаружить данную атаку вполне возможно. И в этом нам снова поможет Python и библиотека scapy. 📌 Читать далее #python #arp #spoofing

​Историческая вирусология: поздняя хронология программ вымогателей - локер Илона Маска или как создавалась Тесла. Часть 2 Неизменным нашим героем остается Анос Волдигорд - молодой, но уже нет, человек, а также неудачник до мозга костей. Этот персонаж умудрился на протяжении 30 лет ловить на свои устройства почти каждый вредонос-вымогатель, как только тот появлялся в сети, от чего и сам страдал. Свою диссертацию он пытается выпустить уже 32 года, посочувствуем, но не суждено достигнуть ему цели, ведь судьба ведет к его погибели: появляется так называемый TeslaCrypt. 📌 Читать далее #history #malware #analyse

​🪶 В SQLite обнаружили уязвимость 22-летней давности Специалисты из компании Trail of Bits обнаружили опасную уязвимость в библиотеке СУБД SQLite, которая может позволить злоумышленникам контролировать программы или вызывать сбои в их работе. Ошибка была добавлена в код еще в октябре 2000 года. Проблеме присвоили идентификатор CVE-2022-35737 и она получили оценку в 7.5 баллов из 10 по шкале CVSS. Исследователи утверждают, что ошибка может быть эксплуатирована в 64-битных системах, а сам метод эксплуатации будет зависеть от того, как скомпилирована программа. Суть проблемы заключается в целочисленном переполнении, которое возникает, когда очень большая строка передается в качестве параметра SQLite-реализации функции printf, которая, в свою очередь, использует другую функцию для обработки форматирования строки (sqlite3_str_vappendf). Атака возможна, только если строка форматирования содержит подстановки %Q, %q или %w. Проблема затрагивала версии SQLite от 1.0.12 до 3.39.1 и была устранена с релизом версии 3.39.2, выпущенной 21 июля 2022 года. 🗞 Блог Кодебай #news #sqlite #vulnerability

​🥷 Paranoid R+ - совершенная приватность Старт: 1 ноября Длительность 2 месяца Курс "Paranoid R+" написан таким образом и языком, что имея компьютер средней мощности и базовые навыки перемещения курсора мыши по экрану монитора, абсолютно любой человек сможет настроить защищённую систему с нуля и до продвинутого уровня. Будет полезен всем, кто по роду деятельности связан с хранением или передачей конфиденциальной информации. Все критически важные настройки, включая программное шифрование выполняется исключительно на open-source ПО, что почти полностью исключает закладку в программный код. ℹ️ Краткое содержание курса: ✔️ Знакомство с (open-source) средством для шифрования крипто-контейнеров и дисков в среде Linux систем "cryptsetup"; ✔️ Установка любой операционной системы семейства Arch; ✔️ Общая настройка компьютера; ✔️ Работа с сетью; ✔️ Обзор, установка и настройка программ для безопасной комуникации и передачи файлов в сети интернет; ✔️ Работа в гипервизорах; ✔️ Базовое ознакомление и работа с криптовалютой; ✔️ Работа с оборудованием: 4g модем, безопасный смартфон; ✔️ Радиоэлектроника и базовое создание устройств; 📌 Подробнее о курсе: https://codeby.school/catalog/kurs-paranoid-osen-2022

​🥷 Paranoid R+ - совершенная приватность Старт: 1 ноября Длительность 2 месяца Цена: 19990 рублей Обеспечение собственной безопасности при работе в сети. ℹ️ Содержание курса: ✔️ Установка операционной системы; ✔️ Настройка хоста; ✔️ Настройка сети; ✔️ Программы для безопасного общения; ✔️ Работа с VPS сервером; ✔️ Настройка виртуальных машин VBOX, QeMU; ✔️ Покупка и настройка оборудования; ✔️ Настройка рабочего окружения, работа с виртуальными машинами; ✔️ Тонкая работа с разными криптовалютами; ✔️ Выбор, аренда, администрирование и защита VPS; ✔️ Подъём и настройка сервисов на VPS и работа с ними; ✔️ Тонкая работа с Tor-сервисами; ✔️ Выжимаем максимум из Raspberry Pi; ✔️ Анонимные роутеры; ✔️ Подъём, настройка и администрирование Tor-ноды; ✔️ Работа с железом ПК. Удаление аппаратных закладок; ✔️ Минимизация рисков и... авторские разработки. По всем вопросам: @Codeby_Academy

​iOS 13.5.1 jailbreak получение данных Elcomsoft iOS Forensic Toolkit (checkra1n) Поставленная задача довольно востребована - получение данных (документы, переписки - дело обычное - нужно ВСЁ) с iPhone OS version: 13.5.1. Скачав "checkra1n" я его установил на Apple MacBook A1534 12" (то что было в руках, и уже потирал руки от предвкушения, но... 📌 Читать далее #ios #forensic

​Воскрешение уязвимости PHPUnit RCE Как только патч для ПО выпущен, мы думаем, что проблема решена, и баг теперь не работает. В большинстве случаев это не так. Для решения этой проблемы от всех разработчиков требуется использование последней версии патча. Поскольку обновление не является особенно тривиальным действием, разработчикам необходимо планировать заранее и вставлять изменения через процесс разработки, планируя подходящее время для применения. В примерах, приведённых ниже, вы увидите, что иногда, даже этого недостаточно. 📌 Читать далее #php #rce #cve

​👨‍💻 На Госуслугах появился раздел "Кибербезопасность" На портале Госуслуг появился раздел «Кибербезопасность – это просто!», посвященный безопасному поведению в интернете. Новый раздел на «Госуслугах» является частью общероссийской программы кибергигиены, реализуемой Минцифры России совместно с СПбГУТ, «РТК-Солар» и АНО «Диалог Регионов» в рамках федерального проекта «Информационная безопасность» национальной программы «Цифровая экономика». В новом разделе пользователи Госуслуг могут: 🔹 пройти тест и узнать, насколько хорошо они умеют распознавать типичные уловки интернет-мошенников и защищать свои данные; 🔹 узнать, как защитить себя от различных видов угроз, начиная от взлома аккаунта и заканчивая телефонным мошенничеством; 🔹 скачать специализированные памятки по кибербезопасности. В них перечислены фразы, которые выдают телефонных мошенников, а также информация, которую никогда не следует разглашать и подобное. «Соблюдение всего нескольких простых правил безопасного поведения в интернете позволит предотвратить большую часть атак на пользователей и существенно снизит объем финансового ущерба как для каждого отдельного гражданина, так и государства в целом», — рассказал директор Департамента обеспечения кибербезопасности Минцифры России Владимир Бенгин. 🗞 Блог Кодебай #news #beginner #cybersec

​🧩 Расширения с миллионом установок перенаправляют на рекламные сайты Исследователи из компании Guardio Labs обнаружили новую вредоносную кампанию, распространяющую расширения для Google Chrome, которые перехватывают результаты поиска и подставляют партнерские ссылки на веб-страницы. Все вредоносные модули предоставляют возможности настройки цвета и попадают на компьютер жертвы без вредоносного кода, поэтому аналитики назвали кампанию «Dormant Colors». Согласно отчету Guardio, к середине октября 2022 года в магазинах дополнений Chrome и Edge было доступно 30 вариантов надстроек для браузеров, которые были установлены более 1 миллиона раз. При первой установке безобидное на первый взгляд расширение осуществляет перенаправление на различные страницы, загружая вредоносные скрипты, которые дают расширению команды перехватывать поисковые запросы и вставлять партнерские ссылки на определенные сайты. Также, вредоносные дополнения могут перенаправить жертв на фишинговые страницы для кражи учётных данных. Все вредоносные расширения и сайты были удалены, но исследователи предупреждают, что кампания постоянно дополняется новыми расширениями и доменами. 🗞 Блог Кодебай #news #browser #extension

​🖥 Правительство РФ запретило госкомпаниям покупать иностранный софт даже при отсутствии аналогов Российские госорганы, банки, операторы связи и другие организации, выполняющие функции критической информационной инфраструктуры (КИИ), больше не смогут покупать иностранное ПО, даже если у него нет отечественных аналогов. Для решения поставленных задач им придется приобретать комбинации российских программных продуктов, сведения о которых включены в единый реестр российского программного обеспечения или единый реестр евразийского программного обеспечения. К концу этого года доля ПО российского и евразийского происхождения должна вырасти на значимых объектах КИИ на 10% по сравнению с концом августа. К концу следующего года эта доля должна превысить базовый уровень на 40%, а в период 2024-2027 годов все программное обеспечение должно стать отечественным, говорится в рекомендациях. 🗞 Блог Кодебай #news #russia #software

Слив секретных архивов с платными книгами для программирования: @itbookssarchive — Более 1500 книг по топовым изданиям! Бесплатно! Без рекламы! @true_coding — все про бэкенд-разработку на Python, Java, C++, C#, PHP в коротких поленых статьях #партнерский

​Парсим ресурсы Codeby на языке Python Сегодня я вам расскажу, как правильно парсить данные с помощью языка Python. Мы будем парсить именно страницу ресурсов на Codeby. Ну и конечно же результат экспортируем в CSV-файл. 📌 Читать далее #programming #python #parsing

​MD5 Algorithm Привет, сейчас речь пойдет про разбор и реализацию алгоритма хеширования md5 на языке C++. Сам алгоритм раньше широко применялся для проверки целостности информации и для хранения паролей, пока его не признали небезопасным. 📌 Читать далее #programming #encryption

​💾 Ассоциация крупных компаний раскритиковала идею создать фонд компенсаций за утечки данных Ассоциация больших данных (АБД), в которую входят компании Яндекс, VK, Сбербанк, Ростелеком и другие, раскритиковала предложение Минцифры о создании фонда материальной компенсации для граждан, пострадавших от утечек данных. Ассоциация заявила, что разумнее было бы инвестировать в аудит своих информационных систем для снижения вероятности утечки персональных данных, чем перечислять средства в фонд компенсаций. Также в АБД считают, что единая методика расчета компенсации не будет учитывать реальную степень защищенности данных и виновность компании, что «демотивирует инвестиции в кибербезопасность». Минцифры обсуждает идею создания фонда материальной компенсации для жертв утечек ещё с лета. По плану, фонд должен пополняться из оборотных штрафов, который должен составлять1% от годового оборота компаний. При этом в IT-компаниях отмечают, что обеспечить деятельность фонда только за счет оборотных штрафов не удастся, поскольку размер компенсации будет «непредсказуемым». 🗞 Блог Кодебай #news #data

Безопасность — это не игрушка… Игрушка ― это телеграм-бот «БезNADежный SOC». Напиши ему, пройди квест и отрази все атаки злоумышленника🦹🏻‍♂️ Зачем❓ Чтобы помешать злодею получить golden ticket для инфраструктуры вымышленного замка :) А еще зачем❓ Чтобы проверить, насколько хорошо ты разбираешься в обнаружении аномалий и угроз. А если серьезно❓ Конечно, чтобы выиграть призы. Самый главный ― лутбокс с золотом и другими подарками. ⚡️Про верный подход к обнаружению атак мы и так расскажем на онлайн-запуске новой версии системы анализа трафика ― PT NAD 11⚡️ ⚔️ Начать игру ⚔️

Безопасность — это не игрушка… Игрушка ― это телеграм-бот «БезNADежный SOC». Напиши ему, пройди квест и отрази все атаки злоумышленника🦹🏻‍♂️ Зачем❓ Чтобы помешать злодею получить golden ticket для инфраструктуры вымышленного замка :) А еще зачем❓ Чтобы проверить, насколько хорошо ты разбираешься в обнаружении аномалий и угроз. А если серьезно❓ Конечно, чтобы выиграть призы. Самый главный ― лутбокс с золотом и другими подарками. ⚡️Про верный подход к обнаружению атак мы и так расскажем на онлайн-запуске новой версии системы анализа трафика ― PT NAD 11⚡️ ⚔️ Начать игру ⚔️ #спонсорский