Codeby

​ASM — Как уйти из под отладки Тема противодействия отладке давно заезжена, и в сети можно встретить огромное кол-во классических (миссионерских) вариантов, от обычной проверки флагов функцией IsDebuggerPresent(), до более изощрённых финтов, типа срыв-стека приложения, или расширения его секций. Но разрабы таких инструментов как: Ghidra, x64Dbg, OllyDbg, IDA, Immunity и других, тоже почитывают те-же материалы, что и мы с вами. Движимые инстинктом выживания и удержанием своих позиций на рынке, они стараются учитывать эти нюансы в своих продуктах, в результате чего добрый десяток известных алгоритмов анти-дебага палится ещё на взлёте, различными их плагинами. 📌 Читать далее #asm #debug

​Фильтрация трафика (IPT, NAT, DMZ) Доброго времени суток, уважаемые форумчане! Сегодня мы узнаем что-же такое NAT, DMZ, как происходит фильтрация пакетов и кое-что ещё. Также в качестве бонуса в конце статьи я оставлю вам универсальный файлик с правилами iptables на все случаи жизни. 📌 Читать далее #network #iptables #nat

​Аудит веб-приложения. Уязвимость с CSRF Вавилен был доволен своим рабочем местом в конторе. В один момент начальство, очередной раз заработав на труде Вавилена, решает с ним не делиться. Они теряют ценного сотрудника и получают обманутого человека, который жаждет возмездия. После ухода из конторы, все наши права на доступ к инфраструктуре были отозваны. Основные ресурсы бизнеса располагаются в веб-приложении, которое обрабатывает массивы данных. Компрометация веб-приложения позволит заполучить всю нужную информацию. В истории нашего браузера остался IP адрес сервера... 📌 Читать далее #history #pentest #csrf

​🏆 Telegram объявил конкурс по взлому смарт-контрактов Официальный канал Telegram Contests объявил конкурс по взлому смарт-контрактов с призовым фондом до $100.000. Целью конкурса является выявление потенциальных уязвимостей и проблем в смарт-контракте, который станет основой аукционной платформы Telegram. Сумма вознаграждения зависит от серьезности обнаруженных проблем и может варьироваться от 200 долларов за незначительные корректировки кода до 50 000 долларов за серьезные недостатки. Например, действия, которое могут обойти логику и условия смарт-контракта, чтобы переназначить права собственности на активы. Участники конкурса могут прислать архив с исходным кодом, руководством и скриптом для сборки (при необходимости) в @ContestBot (пункт конкурса по взлому смарт-контрактов). Или отправить запрос на устранение проблемы на GitHub. Во втором случае участники должны описать проблему в комментарии к запросу и отправить ссылку на запрос через @ContestBot. Подробности конкурса указаны в соответствующем документе. Крайним сроком конкурса, принять участие в котором могут все желающие, обозначено 25 октября 18:00 (GST). Результаты объявят 26 октября. 🗞 Блог Кодебай #news #telegram #bounty

​📬 Сервисы временной почты Сервисы временной почты позволяют получать электронные письма на одноразовый почтовый ящик. Преимущество в том, что эти почтовые ящики достаточно анонимны и удаляются через некоторое время. Рассмотрим несколько популярных сервисов: 📧 Temp Mail - выдаёт временный адрес электронной почты на разных доменах, что позволяет избежать блокировки при регистрации на сервисе, и с полным контролем (удаление и смена адреса электронной почты). 📮 Maildrop - позволяет пользователю выбрать произвольный адрес на домене сервиса. Недостатком является то, что другой пользователь сможет занять ваш адрес и просматривать ваши входящие сообщения. 🗒 DestroyNote - сервис для создания зашифрованных, самоуничтожающихся заметок, временной почты и безопасного обмена файлами. 🐈 Inbox Kitten - имеет открытый исходный код, с помощью которого можно запустить собственный сервис одноразовой электронной почты. ✉️ Mohmal - можно выбрать случайное или задать произвольное имя временного почтового ящика. Ящик даётся всего на 45 минут, но с возможностью увеличить время или досрочно его удалить. #useful #email

​🧹 Microsoft разрабатывает аналог CCleaner Компания Microsoft выпустила первую бета-версию приложения PC Manager — аналога CCleaner для повышения производительности ПК, управления дисковым пространством, защиты от вирусов и прочего. Утилита позволяет производить удаление системных и временных файлов, кэша браузера и других мусорных файлов. Программа также позволяет завершать работу процессов и управлять списком приложений, запускаемых при включении компьютера. Пока что бета-версия PC Manager доступна только на китайском языке. Возможно, это очень ранняя сборка, которую не планировалось запускать для массового тестирования. Информации о выходе финальной версии нет. 🗞 Блог Кодебай #news #microsoft #windows

​Историческая вирусология: безумное китайское творение, натворившее дел - червь Nimda: история, хронология, анализ Здарова. Обеденный перерыв, Танджиро решает посмотреть новости, поедая сочный бургер. Все заголовки пестрят красноречивыми названиями, типа “АААА, новый ВИРУССС МЫ ВСЕ УМРЕМ” и тому подобное. Кликнув на один из отчетов, он узнает следующую информацию: “В интернете, обнаружился новый опаснейший вииирус". Имя будет ему - Nimda 📌 Читать далее #history #malware #analyse

​Делаем скрипт для создания обучающего видео по Python, с помощью Python Иногда, смотря видео на YouTube в которых учат как писать скрипты на Python я задавался вопросом, что едят данные люди? Ведь это надо как-то умудриться набирать код с приличной скоростью, да еще при этом не сделать ни одной ошибки. Но, впоследствии я понял, что все намного проще и прозаичнее, а питание у них, скорее всего, не отличается от нашего с вами. А дело в том, что для создания обучающих видео по Python, можно использовать скрипт на нем же, для того, чтобы набирать текст в, к примеру, PyCharm. Я не собираюсь делать обучающих видео, но скрипт, который делает что-то подобное написал. 📌 Читать далее #programming #python

​🌐 В открытом доступе найдены 2 млн. Git-хранилищ с метаданными проектов Исследователи из компании Cybernews обнаружили около 2 миллионов активных серверов в интернете с общедоступным каталогом .git. Такая ошибка грозит утечкой исходного кода и облегчает для злоумышленников получение доступа к системе. В директории .git хранится информация о ходе разработки проекта — адреса удаленных репозиториев, история версий и другие важные метаданные. Оставлять эту информацию в открытом доступе рискованно, когда речь идет о безопасности пользователей и репутации компании. «Инструменты, необходимые для получения фрагментов или полного кода из папки .git, бесплатны и хорошо известны, что может спровоцировать еще больше внутренних утечек или облегчить получение доступа к системе в случае атаки», — объяснил эксперт Cybernews Мартинас Варейкис. Разработчикам рекомендуется использовать файл .gitignore, чтобы скрыть конфиденциальные данные при внесении изменений в проект на GitHub. Также следует ограничить доступ к публичным веб-серверам по IP-адресу. 🗞 Блог Кодебай #news #git #data

👾 Новая хакерская схема – взлом Windows с помощью «Калькулятора» Злоумышленники рассылают электронные письма с документами, внутри которых содержится вирус. Когда он попадает на компьютер с ОС Windows, то создается клон приложения «Калькулятор». Windows не видит угрозы, ведь «Калькулятор» является «родной» утилитой. В результате с помощью такого вируса хакеры могут собирать любую информацию. Подпишись на канал «GIS о кибербезе», чтобы первым узнавать о новых хакерских схемах – t.me/+9jPQaDzwdakwMTNi #спонсорский

​Аудит исходного кода ПО Информационная безопасность – как чеховское ружьё. Если в приложение закрались уязвимости, они обязательно «выстрелят», нанеся при этом финансовый и репутационный ущерб вашему бизнесу. Не дожидайтесь этого – устраните «лазейки» заранее. Идёт ли речь о случайных, но потенциально опасных ошибках, или о намеренных «закладках», первый шаг к спокойствию – это всегда комплексный аудит исходного кода. 📌 Читать далее #software #analyse

🛠 Друзья, форум находится на технических работах ориентировочно до завтрашнего утра. Пока ведутся работы, рекомендуем Вам пообщаться в нашем чате и посмотреть видео на YouTube-канале 🙂

​🪟 У Microsoft утекли данные 65 тысяч организаций Компания Microsoft сообщила, что конфиденциальная информация некоторых ее клиентов могла быть раскрыта из-за неправильно настроенного сервера, доступного через интернет. Согласно отчёту специалистов SOCRadar, которые обнаружили утечку еще 24 сентября, конфиденциальные данные 65.000 организаций из 111 стран стали общедоступными в неправильно настроенном хранилище BLOB-объектов Azure. В результате была раскрыта следующая информация: имена, адреса электронной почты, содержание электронной почты, названия компаний и номера телефонов, а также файлы, связанные с деловыми отношениями между пострадавшими клиентами и Microsoft или партнером компании. Всего на сервере Microsoft было 2.4 Тб данных, содержащих конфиденциальную информацию, включая более 335 000 электронных писем, 133 000 проектов и 548 000 пользователей. 🗞 Блог Кодебай #news #microsoft #data

​👨‍💻 Google представила новую ОС - KataOS для приложений машинного обучения Компания Google разрабатывает свою ОС для приложений с алгоритмами машинного обучения — KataOS. Основными целями системы являются безопасность, конфиденциальность и использование технологий с открытым исходным кодом. KataOS является основным элементом проекта Project Sparrow, который объединяет новую ОС с защищенной аппаратной платформой для обеспечения работы встроенных устройств, на которых работают приложения машинного обучения (ML). В KataOS приложения не подвергают риску аппаратную безопасность ядра, а компоненты системы надежно защищены. Система почти полностью разработана на языке Rust, что делает ее достаточно безопасной за счет исключения переполнения буфера и других классов потенциальных ошибок. 🗞 Блог Кодебай #news #google #neuronet

​🏪 Минцифры запустило маркетплейс российского ПО Министерство цифрового развития РФ объявило о запуске российского рынка ПО. На портале Руссофт собраны отечественные программные продукты, представленные на рынке и включенные в реестр российского ПО. На площадке уже представлено более 1000 решений. Для размещения своих решений на торговой площадке правообладатели подают заявки через «Госуслуги». «Новая площадка должна стать реальным инструментом продвижения программного обеспечения на российском, а в перспективе — и на зарубежном рынке. Функционал дополнится рейтингами и отзывами, успешными кейсами внедрения, данными о совместимости софта с российским оборудованием», — рассказал замглавы Минцифры России Максим Паршин. Маркетплейс начал работать в тестовом режиме еще в сентябре. Первыми пользователями стали представители специализированных ассоциаций, компаний-разработчиков и заказчиков ИТ-решений. 🗞 Блог Кодебай #news #russia #software

​🔎 Курс «Боевой OSINT» от Академии Кодебай! Старт: 7 ноября Длительность: 3 месяца ℹ️ «Боевой OSINT» — курс представляет собой полную, подробную, пошаговую методику сбора информации из открытых источников. ✔️ Подробные текстовые методички; ✔️ Подробная видео инструкция в каждом уроке; ✔️ Общий чат учащихся курса; ✔️ Поддержка куратора на протяжении всего курса; ✔️ Лабораторная работа после каждого урока; ✔️ Итоговая практическая работа. 🧐 Будет полезен специалистам служб корпоративной безопасности, собственникам и руководителям предприятий, сотрудникам государственных спецслужб, всем желающим получить профессиональные навыки сбора и обработки полученной информации. 📌 Подробнее: https://codeby.school/catalog/kurs-osint-2022

​Вездесущее сказание о Github: они уже в твоей голове Приветствую. Будем беседовать о вещах приземлённых , но неординарно и в своей специфической манере изложения. Собственно, знакомьтесь – это Майкл: типичный студент-иностранец , который проходит обучение в политехническом ВУЗе на втором курсе, специальность значения особого не играет, но важно определить себе ключи его психотипа - он любит всякие хацкерские примочки и штучки, потому постоянно носит с собой ноутбук. Добравшись домой, Майкл начинает парсить Github на предмет наличия интересного и нового, а этим и займёмся вместе с ним мы. 📌 Читать далее #history #github #software

​Web-shell без JavaScript с файл-менеджером на борту Всем привет! Давно мною был написан простой вариант шелла с небольшим набором функций. Данный шелл был заточен под невидимость для антивирусов и другого специализированного ПО. Но вот мне захотелось написать уже вариант имеющий в арсенале файл-менеджер с разными плюшками. Так как писать много раз написанное не всегда интересно, то я поставил себе более сложную задачу – написать такой шелл без единой строчки кода JavaScript. 📌 Читать далее #pentest #web #shell