Codeby

​Основы шифрования данных 2/2 Доброго времени суток, уважаемые форумчане! Как я уже писал в первой части: “Шифрование данных на сегодня является основным методом обеспечения конфиденциальности информации.”, Поэтому продолжим знакомиться с основными методами шифрования данных. 📌 Читать далее #encryption #stego

​Храним пароли безопасно В целях безопасности рекомендуется использовать разные пароли для каждого сервиса, чтобы снизить риск возможного взлома. Запомнить все пароли сложно, поэтому лучше использовать менеджер паролей. Ознакомимся с наиболее популярными из них. 🔴 LastPass - один из популярных и лучших бесплатных вариантов с возможностью хранения 2FA-токенов. Все пароли защищены мастер-паролем и синхронизируются между устройствами. 🧿 1Password - надежный и недорогой менеджер паролей. Он обладает усиленными мерами безопасности и расширенными возможностями настройки. Для защиты можно использовать мастер-пароль/биометрию или 2FA. 🔒 Enpass - минималистичный и простой в использовании инструмент. В первую очередь предназначен для автономного использования, но также можно настроить параметры синхронизации между различными устройствами. 🛡 Bitwarden - это бесплатный менеджер паролей с открытым исходным кодом. Как и другие, он может синхронизировать пароли между устройствами. Все логины и пароли хранятся в зашифрованном хранилище. #useful #security #password

​bWaPP #2 Уязвимость HTML Injection — Reflected (POST) уровень (Low). Боль, слезы и этичный хакинг Доброго дня! Я ранее уже писал статью по open source проекту bWaPP, его установке и настройке, а также разбирал одну из уязвимостей. Продолжим разбирать HTML Injection — Reflected (POST). Как известно, опыта много не бывает. Давайте вместе рассмотрим и подумаем над решением новой задачи. 📌 Читать далее #learning #pentest #bwapp

​Stryker - или как я пытаюсь перевернуть мобильный пентест! Привет всем, я снова бросил себе вызов по мобильной разработке и кажется справился на отлично!) Но это судить не мне, а вам, приятного чтения! Давайте будем честны, большинство людей считают мобильный пентест "невозможным", "неудобным" или "только терминал". И скорее именно из-за этого я и решил написать свою собственную программу, которая способна разбить эти стереотипы!) 📌 Читать далее #pentest #smartphone #network

Парни вопрос жизни , у кого есть знакомые нейрохирургии?

Писать Алексею @Puni1337

​🎣 В России разработали систему для быстрой блокировки фишинговых сайтов Генпрокуратура России разработала быструю систему, в которой также участвуют Банк России и Роскомнадзор, для блокировки фишинговых сайтов и прочих ресурсов, которые могут незаконно использовать финансовую информацию пользователей. «На весь процесс блокировки уходит от 3 до 24 часов, а механизм взаимодействия осуществляется в электронном виде с использованием специального программного обеспечения. Такой подход позволил нам кратно повысить эффективность данной работы», — отметил генпрокурор РФ Игорь Краснов. Технические подробности работы этой системы пока неизвестны. Помимо этого, создано специальное ПО, которое используется при расследовании финансовых преступлений и мониторинга финансовой сферы. Оно работает с использованием элементов ИИ. 🗞 Блог Кодебай #news #russia #phishing

​🐍 15-летняя уязвимость в Python затрагивает более 350 тыс. проектов Исследовательский центр Trellix опубликовал результаты исследования 15-летней уязвимости в Python — CVE-2007-4559. Судя по оценкам, ошибка присутствует в более чем 350 тыс. проектов с открытым исходным кодом и встречается в проектах с закрытым исходным кодом. Уязвимость находится в модуле tarfile, который является модулем по умолчанию в любом проекте, использующем Python, и возникает из-за отсутствия очистки файлов перед вызовом функций extract() и extractall(). Ошибка позволяет злоумышленнику перезаписывать произвольные файлы, а значит, не составит труда загрузить вредоносный файл для выполнения произвольного кода. Эксперты считают, что более 70 тысяч проектов получат исправления в ближайшее время. Из-за огромного количества затронутых репозиториев исправление всех ошибок будет чрезвычайно сложной задачей, которая может занять годы. 🗞 Блог Кодебай #news #python #vulnerability

​Переполнение буфера и перезапись указателя на функцию - Изучение методов эксплуатации на примерах, часть 4 Привет Codeby =) В предыдущей статье мы научились использовать среду переменных окружения для переполнения буфера, что само по себе уже не плохо. В этой статье мы познакомимся с новым принципом при переполнение буфера и немного поиграем с адресами памяти. Поехали!!! 📌 Читать далее #asm #gdb

​Writeup KB-VULN: 1 Vulnhub (Уровень: Easy) Приветствую! У меня скопилось некое количество записей о прохождении различных коробок с Vulnhub, вот я и решил выложить часть из них сюда. Меньше слов больше дела, начнем с малого, в данном врайтапе представлено прохождение Easy машины KB-VULN: 1 📌 Читать далее #beginner #ctf #writeup

​🔘 Хакеры воруют аккаунты GitHub с помощью поддельных уведомлений CircleCI Платформа GitHub предупредила о продолжающейся фишинговой кампании, которая началась 16 сентября. Злоумышленники нацелены на пользователей сервиса и отправляют им электронные письма, где выдают себя за CircleCI для сбора учетных данных пользователей и двухфакторных кодов. Фишинговые сообщения уведомляют пользователей о том, что их сессия CircleCI истекла и им необходимо повторно войти в аккаунт, используя свои учетные данные GitHub. При переходе по ссылке пользователь попадает на фишинговый сайт, который выглядит как реальная страница входа в GitHub, но при этом всё введённые учётные данные отправляются злоумышленникам. В случае, если у пользователя включена двухфакторная аутентификация (2FA), фишинговый сайт также передает все коды 2FA хакеру, что делает незащищенными учетные записи даже с такой защитой. А вот аккаунты, защищенные аппаратными ключами безопасности, не подвержены этой атаке. 🗞 Блог Кодебай #news #phishing #github

​🟥 Более 39 тыс. экземпляров Redis стали целью атаки криптовалютной кампании Неизвестный злоумышленник атаковал десятки тысяч неаутентифицированных серверов Redis, доступ к которым открыт из Интернета, в попытке установить криптовалютный майнер. Неизвестно, сколько из этих серверов были успешно взломаны. Данный инцидент произошёл благодаря «малоизвестной технике» для записи произвольных данных на сервера. Впервые подобный случай несанкционированного доступа был задокументирован в сентябре 2018 года. «Общая идея этой техники эксплуатации заключается в том, чтобы настроить Redis на запись своих файлов на сервер, содержащих какой-либо метод для авторизации пользователя или запуска процесса», — говорится в сообщение Censys. После анализа попыток компрометации экземпляров Redis было вывлено, что злоумышленник сохранял вредоносные записи в Crontab-файл, что приводило к выполнению Shell-кода на удалённом сервере. Также, SSH-ключи для доступа к системе были загружены на почти 16 тыс. серверов. Советуем следить за тем, какие ваши службы доступны из Интернета. 🗞 Блог Кодебай #news #redis #cryptocurrency

Многие из вас знают или, может быть, слышали про Bug Bounty. Платформы организующие Bug Bounty (HackerOne, Bugcrowd) это не только возможность заработать на поиске багов, но и поучиться, найти вдохновение и идеи у исследователей (багхантеров) по всему миру. Для вашего удобства мы организовали канал доставки раскрытых репортов прямо в Telegram. Теперь ни один репорт не пролетит мимо вас, подписывайтесь: https://t.me/h1dtl 👍 #спонсорский

​Шифрование на Python. Часть 1 Доброго времени суток, друзья! Программа для защиты информации на языке питон на основе Tkinter GUI и библиотеки pyAesCrypt. Я не знаю для чего изобретать велосипед, но можно надежно шифровать свои данные (не ТераБайтные :D например) своими силами. Скорость шифрования устраивает - на директории до 5 - 10 ГБ уйдет от 3 до 7 минут в зависимости от системы. Но тут вопрос видимо в алгоритме шифрования и мультипроцессинге имхо. В общем, всегда есть над чем работать) 📌 Читать далее #programming #python #encryption

​Современные web-уязвимости (7.CSRF Bypass – Clickjacking Drag and Drop) Напомню, кликджекинг (clickjacking) - это атака, которая является формой изменения пользовательского интерфейса. Clickjacking-атака — это попытка через изменение пользовательского интерфейса жертвы, обычно с использованием HTML тега iframe, заставить пользователя выполнить запрос на изменение данных. На вредоносном сайте злоумышленник, используя iframe, внедряет в уязвимое веб-приложение другой HTML-документ, содержащий форму для изменения данных. 📌 Читать далее #beginner #pentest #csrf

​💸 Бесплатный LibreOffice продают в Mac App Store Организация The Document Foundation (TDF) сообщила о выходе LibreOffice в Mac App Store. Причем в нем бесплатная версия офисного пакета стала платной. Разработчики установили цену в $8.99. Несмотря на то, что это не очень большая сумма для офисного пакета, такое нововведение может стать для некоторых неожиданностью, поскольку на других платформах это же ПО является бесплатным. В TDF объяснили, что полученные за продажу деньги будут направлены для поддержки будущего развития организации. Также там заявили, что хотят улучшить поддержку обычных и корпоративных пользователей. Стоит отметить, что в Mac App Store LibreOffice основан на том же исходном коде, что и пакет для Mac с официального сайта, но не оснащен Java (поскольку магазин не разрешает использовать внешние зависимости) — это ограничит функциональность офисного пакета. Пользователям ничего не мешает скачать и установить версию LibreOffice с сайта разработчика, там тоже есть версия для Mac и в ней присутствует Java. 🗞 Блог Кодебай #news #apple #libreoffice

Готов присоединиться к галактической команде и отправиться за приключениями? Тогда подавай заявку на оплачиваемую стажировку по направлению Тестирование от «Лаборатории Касперского» Стажировка SafeBoard — это возможность начать карьеру в «Лаборатории Касперского» еще до окончания вуза. Университет, специальность и курс не имеют значения — мы оцениваем кандидатов по итогам нескольких этапов тестовых заданий. Так что, если ты студент из Москвы или Московской области и готов уделять работе хотя бы 20 часов в неделю — переходи по ссылке и отправляй заявку до 4 октября. Приятный плюс — крутые бенефиты 🚀 Добро пожаловать на борт! #спонсорский

​Блог начинающего Bug Хантера. Ищем баги за еду. Часть 2 Сегодняшняя тема думаю многим будет интересна и многие смогут поучаствовать при желании. А речь пойдет о программе Bug Bounty от Азбуки Вкуса. И что мне понравилось в данной программе, то что оплату можно получать продуктами, точнее бонусами, которые придут на карту. Также можно и деньгами, но если бонусами, то это сумма умножается на 1.5. 📌 Читать далее #bug #bounty

​Reverse crackme для начинающих Привет всем! Недавно решился окунуться в это глубокое море реверса, Linux стоит, как основная OS. Первым делом попробовал установить IDA Pro через wine. Успешно, но local debugger не был найден. Спустя некоторое время было понятно одно - нужна винда. На windows переходить не хотелось. Привык уже к linux. Необходимо ставить Windows на Virtual Box. 📌 Читать далее #reverse #ida