Codeby

Код Блокчейна - первый обучающий канал в СНГ, посвященный блокчейн-разработке. Как написать свой первый обменник, крипто-биржу или смарт-контракт - обо всем этом ты узнаешь от действующих full-stack блокчейн-разработчиков. На канале они также делятся инструментами разработки, интересными сервисами, книгами и обучающими ресурсами. Короче, собирают всю полезную информацию в одном месте😎 Подпишись на @code_blockchain - это твоя возможность стать блокчейн-разработчиком с нуля!

​Как стать хакером и как взломать сайт или беглое знакомство с OWASP Testing Guide Здравствуйте. Как вы уже поняли, в этой статье я попробую ответить на два самых часто задаваемых вопроса на тематических форумах. Статья состоит из двух частей. В первой части мои пространные рассуждения о новичках в ИБ и сложном тернистом пути, который предстоит пройти начинающим хакерам. Можете смело пропустить эту часть, если вы любите больше конкретики. Во второй части я кратко опишу большинство разделов OWASP Testing Guide – методологии тестирования веб-приложений. Данная методология – это и есть ответ на вопрос в заголовке статьи. 📌 Читать статью #pentest #owasp

​Моделирование векторов атак и создание IOC-защищённых ID Это первая часть статьи, состоящая из двух частей, в которой пойдет речь о применении шпионажа для разработки вредоносных ПО, при этом, устойчивым к форенсике и применении атрибуции. В этой первой части я собираюсь дать несколько советов и примеров того, как применять методологию моделирования угроз к процессу разработки, а также поделиться простой методикой, с которой я экспериментировал, исследуя методы создания и хранения данных, устойчивых к анализу финегрпринтов. 📌 Читать статью #soft #forensic #windows

OFFZONE 2022 уже завтра! ⚡️ Меньше суток осталось до старта нашей долгожданной конференции. Если вы еще не купили билет — самое время это сделать.

​🦊 Уязвимость в GitLab позволяла удалённо выполнять код на устройстве GitLab выпустил исправление для RCE-уязвимости CVE-2022-2884, получившей 9.9 баллов из 10 по шкале CVSS. Уязвимость позволяла авторизованному хакеру удалённо выполнить код на устройстве через GitLab Import API. Уязвимость в GitLab Community/Enterprise Edition затрагивает все версии, начиная с 11.3.4 до 15.1.5, все версии с 15.2 до 15.2.3, а также версии с 15.3 до 15.3.1. Информации об использовании CVE-2022-2884 в реальных атаках пока нет. GitLab рекомендует пользователям оперативно установить обновление. Для тех, кто не может обновиться, предоставили альтернативу — отключить функцию импорта GitLab на вкладке «Видимость и управление доступом» в меню «Настройки» после аутентификации в качестве администратора. 🗞 Блог Кодебай #news #gitlab #vulnerability

«Лаборатория Касперского» ищет крутых Security-специалистов. Это отличная возможность поработать над решениями для разных областей: крупных компаний, финансовых организаций, поставщиков услуг по управлению безопасностью и других. Работа в «Лаборатории Касперского» — это не только масштабные задачи, но и приятные бонусы: бесплатное обучение, расширенный ДМС со стоматологией, спортзалы прямо в офисе, а еще — программа релокации для кандидатов из регионов и не только. Выбирай то, что тебе по душе, и переходи по ссылке , чтобы узнать больше о командах и вакансиях. #Спонсорский

​🌐 Российский аналог "Википедии" стартанул со дна Российский аналог Википедии, сайт Руниверсалис — руни.рф, стал недоступен в день запуска. Авторы объяснили, что это произошло из-за DDoS-атак. На момент написания статьи сайт все ещё не доступен. «Встречайте «Руниверсалис» – проект, который развивают бывшие редакторы «Русской Википедии». Энциклопедия расположена на российских серверах и декларирует уважительное отношение к требованиям законодательства РФ и нашим традиционным ценностям», — объявил о запуске депутат Горелкин. Руниверсалис — это практически полный клон привычной Википедии, оригинальных материалов нет. Стоит отметить, что сайт проработал всего несколько часов. После чего посетители увидели ошибку: «403 Forbidden. В доступе на страницу отказано». 🗞 Блог Кодебай #news #russia

​Пентест веб-приложений: Передача учетных данных. Учетные данные по-умолчанию. Механизм блокировки аккаунтов Привет, Codeby! Когда-то давно я начал перевод Owasp Testing Guide тут на форуме, но до сих пор не завершил начатое. "Штош", продолжим ). В ходе тестирования необходимо убедиться, что веб-приложение шифрует учетные данные при их передаче между клиентом и сервером. В случае перехвата сетевого трафика злоумышленником шифрование поможет избежать компрометации учетных данных. Для шифрования трафика используется протокол HTTPS. 📌 Читать статью #pentest #web

​Поиск первой работы в ИБ. Личный опыт Доброго времени суток читателям! Нескольким пользователям форума стал интересен процесс прохождения собеседований, потому я расскажу в отдельной теме свою историю поиска работы и свой опыт прохождения собеседований. Пожалуй, начнем. Немного предыстории. На момент написания статьи являюсь студентом 3-го курса по направлению, никак не связанном с информационной безопасностью. 📌 Читать статью #history #pentest

​Минцифры хочет создать реестр недопустимых событий кибербезопасности Минцифры РФ собирается до конца текущего года создать реестр недопустимых событий в области кибербезопасности, который будет открыт для всех организаций. Реестр призван «повысить осведомленность» руководителей организаций, на которых лежит персональная ответственность за устранение таких инцидентов. Список будет включать опасные для IT-компаний сценарии, которые «нельзя допускать ни при каких условиях». К выявлению потенциальных угроз ведомство намерено привлечь аудиторов и руководителей оцениваемых организаций. После того, как появится перечень, компании должны будут определить для себя наиболее подходящие сценарии и сообщить о них правительству. Затем организации проведут мониторинг, который должен подтвердить, что нарушений кибербезопасности нет. 🗞 Блог Кодебай #news #russia #security

​🐧 DirtyCred - новая брешь в ядре Linux Специалисты раскрыли детали восьмилетней уязвимости в ядре Linux. Ошибка не менее опасна, чем известная всем Dirty Pipe, получившая 7,8 балла по шкале CVSS и затрагивающая Unix-конвейер (pipeline). Уязвимость, отслеживаемая как CVE-2022-2588, получила название DirtyCred. С помощью DirtyCred злоумышленник может повысить свой доступ в уже скомпрометированной системе до максимального уровня. «DirtyCred — это концепция эксплуатации ядра, которая позволяет повысить уровень доступа с помощью замены непривилегированных учетных данных на привилегированные. DirtyCred использует механизм повторного использования памяти», — рассказали исследователи. Стоит отметить, что соответствующий эксплойт может отработать на любой версии ядра. 🗞 Блог Кодебай #news #linux #exploit

⚡️ The Standoff Talks начался Программа митапа 11:00 Интро от организаторов 11:20 Виктор Зварыкин — Не делайте так, как мы 12:10 Артём Кадушко — Страх и ненависть в Bulba Hackers: как мы готовимся и участвуем в The Standoff 13:20 Роман Максимов — Абузим Zabbix заказчика, или Как бедолаге стать хозяином подконтрольных узлов 14:15 Константин Полишин — RedTeam страдания SOC'а 16:10 Денис Рыбин — О том как Privacy Sandbox веб сломал, но обещал починить 16:55 Вадим Шелест и Михаил Дрягунов — Breaking Red 18:20 Илья Шапошников — MSSQL: dump linked passwords 19:10 Магама́ Базаров — Cisco Nightmare. Дьявольский пентест сетей Cisco Смотреть прямую трансляцию

​Нововведения Kali Linux 2022.3. Как обновиться? 9 августа Offensive Security объявила о выпуске Kali Linux 2022.3. В своем объявлении Offensive Security подтвердила несколько новых вещей, недавно добавленных исключительно в эту третью версию 2022 года. Этот пост написан, чтобы читатели могли узнать больше о том, что нового в Kali Linux 2022.3, почему вы должны обновить Kali Linux до 2022.3 и, наконец, как обновить Kali Linux до 2022.3 с более старой версии. Давайте посмотрим ответы один за другим.​ 📌 Читать статью #linux #kali

​Пишем приложение с GUI для конвертации HTML в PDF с помощью Python. Часть 01 Существует множество приложений, которые выполняют задачи по работе с PDF-файлами намного лучше того, что сделал я. Но, ни одно из них не выполняет именно те задачи, которые нужны мне в комплексе (но это не точно). Хотелось бы рассказать вам свой опыт создания GUI-приложения для работы с PDF на Python с использованием в качестве дизайнера интерфейса PyQt. 📌 Читать статью #programming #python

​🏷 Telegram анонсировал магазин юзернеймов Павел Дуров впечатлился успехом аукциона, проведённого TON для wallet-имён. По этому поводу он анонсировал создание магазина юзернеймов. «Это создаст новую платформу, на которой владельцы имен пользователей смогут передавать их заинтересованным сторонам в защищенных сделках, при этом право собственности будет защищено в блокчейне с помощью смарт-контрактов, подобных NFT», — рассказал Дуров. При выборе базового блокчейна команда мессенджера склоняется к TON, так как именно для него она может создавать безопасные смарт-контракты. Помимо множества зарезервированных адресов, вроде @storm или @royal, на продажу могут выставить все четырёхбуквенные имена пользователей (@bank, @club, @game, @gift и др.). «Давайте посмотрим, сможем ли мы добавить немного Web 3.0 в Telegram в ближайшие недели», — завершил сообщение Павел. 🗞 Блог Кодебай #news #telegram #cryptocurrency

​🔔 Разработчик создал программу, которая уведомляет о передаче данных Google Разработчик Берт Хуберт создал программу, которая позволяет пользователям отслеживать данные, которые собирает Google. В момент передачи данных инструмент издаёт звуковое оповещение. Работу программы автор показал в коротком видео, где он открывает страницу с вакансиями на сайте правительства Нидерландов. Примечательно, что при вводе запроса в адресную строку программа начала без перерыва издавать звук. Это объясняется тем, что каждый введённый символ отправляется на сервера Google. Также, звук издавался при клике по ссылкам и элементам на странице. Сам скрипт разработчик выложил в открытый доступ, на GitHub. 🗞 Блог Кодебай #news #google #data

​🔓 Microsoft Sysmon будет блокировать создание вредоносных файлов в Windows Microsoft выпустила новую версию одного из своих инструментов для мониторинга состояния системы — Sysmon 14. Главной особенностью новой версии стала функция «FileBlockExecutable», которая способна блокировать создание вредоносных исполняемых файлов в форматах EXE, DLL и SYS. Нововведение станет полезным инструментом для системных администраторов, обеспечивая надёжную защиту от вредоносных программ. Блокировка потенциально опасных файлов осуществляется по ряду критериев: путь файла, соответствие хешу, факт попадания в систему другими исполняемыми файлами. Например, Sysmon можно настроить на блокировку создания файлов с соответствующими хеш-суммами. Если же вы хотите запретить определённой программе устанавливать вредоносное ПО, вы можете блокировать ей создание исполняемых файлов. Тем не менее, новую функцию «FileBlockExecutable» уже успел обойти специалист Адам Честер. 🗞 Блог Кодебай #news #microsoft #windows

​🌍 Новостной дайджест по ИБ/IT за 08.08-15.08 📆 В этом выпуске: ✔️ Обновление Windows KB5012170 вызывает сбои​ ✔️ Релиз Android 13​ ✔️ Песне присвоили CVE идентификатор?​ ✔️ Urent запустит кикшеринг с авто-пилотом​ ✔️ Астра представила доработанную ОС Astra Linux Special Edition для мобильных устройств​ ✔️ Apple исправила две уязвимости​ ✔️ Ring исправила уязвимость в системе безопасности​ ✔️ В WOT игрокам предложили перенести аккаунты​ ✔️ Очередные блокировки и ограничения​ ✔️ Интересное на Codeby​ ✔️ Блиц 📌 Читать статью #news #digest

​Расшифровываем криптоконтейнер TrueCrypt с помощью Volatility и MKDecrypt Приветствую всех обитателей Codeby, недавно передо мной встала одна задачка. Задача состояла в следующем: мне нужно было извлечь из слепка оперативной памяти мастер ключ от криптоконтейнера (TrueCrypt 7.1a). Затем с помощью этого ключа мне нужно было расшифровать собственно сам криптоконтейнер, пустяковое казалось бы дело. Передо мной сразу встал вопрос связанный с выбором инструментов для реализации задуманного. 📌 Читать далее #forensic #encryption

​Защита сервера от взлома: 5 шагов к безопасности аппаратного обеспечения У сервера ключевая роль в сетевой инфраструктуре, а значит, он по праву заслуживает особого внимания. Аппаратное обеспечение не терпит экономии на «железе», ПО, обслуживании и, конечно же, на безопасности. Чтобы защитить сервер от основных угроз, придётся взять на вооружение как минимум 5 инструментов. 📌 Читать далее #network #security