Codeby

🔥 Подборка самых интересных каналов про IT, хакинг и безопасность. @Hacckingbook - огромная подборка книг и бесплатных курсов по всем языкам программирования (только все самое актуальное и лучшее), как для новичков так и для профи! @vschannel - канал Дмитрия Момота (aka VektorT13). Он рассказывает про уникализацию, антидетекты, методики отслеживания, анти-фрод системы, отпечатки браузера, железа и операционной системы. Библиотека хакера - канал, где собраны лучшие книги и курсы по информационной безопасности, программированию и этичному хакерству. @TG_security - как обезопасить личные данные в интернете, обходить ограничения и слежку государств. Самые новые обучающие курсы, анонсы мероприятий, а также актуальные новости из мира ИТБ.

​​Stored XSS. Часть 2 Stored XSS возникает, когда веб-приложение без проверки включает данные в свои последующие HTTP-ответы и сохраняет, к примеру, в базе данных. Представим блог какого-нибудь программиста, под каждой статьей можно оставить комментарий, но т.к. наш программист не очень умный, он забыл сделать фильтрацию комментов. Мы, как пентестеры, у которых программист заказал пентест, пробуем найти XSS-ку, видим, что у нас есть такая красивая форма для комментов и ПИХАЕМ ТУДА КЕЙЛОГЕР. Читать: https://codeby.net/threads/stored-xss-chast-2.77213/ #xss #owasp

​​Ретрансляция NTLM, Часть 2 Подпись является методом проверки подлинности и гарантирует, что информация не была подделана между отправкой и получением. Например, если пользователь jdoe посылает текст, I love hackndo, и подписывает этот документ в цифровом виде, то любой, кто получит этот документ и его подпись. Также, можно проверить, что редактировал его jdoe, и jdoe написал это предложение, а никто другой. Подпись гарантирует, что документ не был изменен. Принцип подписи может быть применен к любому обмену, если протокол его поддерживает. Это, например, касается SMB, LDAP и даже HTTP. Но на практике подпись HTTP сообщений реализуется редко. Читать: https://codeby.net/threads/retransljacija-ntlm-chast-2.73923/ #ntlm #server #mitm

​💯 Best WiFi Hacking Adapters in 2021.

🖖🏻 Приветствую тебя user_name.

• Для того чтобы использовать ускоренные способы взлома Wi-Fi, атаковать скрытые сети и обходить фильтрацию по MAC-адресам, нам необходимо выбрать мощный адаптер. • Но что делать, если под рукой есть только старый адаптер, который поддерживает только режимы b и g? Кажется, что для атаки на беспроводные сети Wi-Fi эти адаптеры уже совсем бесполезны, но на самом деле это далеко не так! 📌 Сегодня ты узнаешь: • Для каких атак подходят старые Wi-Fi адаптеры; • Насколько до сих пор популярны Точки Доступа на Wi-Fi стандартах b и g; • Как в Airodump-ng узнать, на каком стандарте Wi-Fi (b, g, n, ac) работает Точка Доступа; • Драйверы для старых Wi-Fi адаптеров; • Атака Pixie Dust; • Захват рукопожатий; • Проверка по базе данных 3WiFi; • Сбор информации о Точках Доступа; и многое другое.... 👨🏻‍💻 Читать статью. • Смотрите онлайн книгу, в которой собран весь материал по аудиту безопасности Wi-Fi сетей: Взлом Wi-Fi сетей с Kali Linux и BlackArch. Если же вам нужен современный Wi-Fi адаптер с большими антеннами, с поддержкой 5 GHz, стандарта AC и режимом монитора, то список вы найдёте здесь. ‼️ Другую дополнительную информацию ты можешь найти по хештегам #wifi #hack и #Взлом. Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E.

​​Ретрансляция NTLM. Часть 1 NTLM-relay - это техника позволяет находиться между клиентом и сервером для выполнения определенных действий на сервере при этом, выдавая себя за клиента. Техника может быть очень мощной и может использоваться для получения контроля над доменом Active Directory из контекста black box (без учетных данных). Целью этой статьи является разъяснение NTLM relay, а также представление ее пределов Читать: https://codeby.net/threads/retransljacija-ntlm-chast-1.73776/ #ntlm #server

Друзья, мы получили от вас обратную связь и хотим продолжить ввести стримы на регулярной основе. Следующий стрим запланирован на субботу в 18:30 до 21:00. Просим проголосовать за машину, которую будем ломать:

Конференция для ИБ-директоров финансовых организаций – уже 1 июня 1 июня в Гранд Мариотт отеле состоится конференция «Безопасность в финансовой сфере: тренды, кейсы, инструменты». Никого лишнего – только руководители служб безопасности и ИБ-директора! Деловая программа Доклады ИБ-директоров финансовых организаций (банка Тинькофф, «Московского кредитного банка», «Банка Зенит», ГК «Элекснет», Транскапиталбанка, Ингосстраха, Росагролизинга и др.) Дискуссия с регуляторами Запланирована пленарка и круглый стол с регуляторами (ЦБ и ФСТЭК) и отраслевыми экспертами из Ассоциации банков России. Неформальная часть Кофе-брейки и большой ужин по завершению мероприятия. Приглашаются ИБ-руководители из банков, страховых, лизинговых компаний. Участие бесплатное, но по приглашению, запросить которое можно на сайте конференции

​​Вы получили zero-click письмо После рутинного расследования iOS Digital Forensics и Incident Response (DFIR), ZecOps обнаружили ряд подозрительных событий, которые влияют на почтовое приложение по умолчанию на iOS, начиная с января 2018 года. ZecOps проанализировали эти события и обнаружили уязвимость, влияющую на iPhone Apple и IPADS. ZecOps также обнаружили множественные триггеры для этой уязвимости на корпоративных пользователей, VIP и MSSP, в течение длительного периода времени. Цель атаки заключается в отправке специально созданного электронного письма на почтовый ящик жертвы, позволяющая, тем самым, инициировать уязвимость в контексте iOS MobileMail на iOS 12 или maild на iOS 13. Основываясь на данных ZecOps Research и Threat Intelligence, мы с большой долей уверенности предполагаем, что эти уязвимости - в частности, удаленное переполнение кучи - широко используются в ходе целенаправленных атак со стороны продвинутого оператора(ов) угроз. Читать: https://codeby.net/threads/vy-poluchili-zero-click-pismo.73838/ #mail #ios #mobile

От всей души рекомендуем канал человека, который принимал непосредственное участие в команде Кодебай на The Standoff Смело присоединяйся к семидесяти тысячному каналу, не пожалеешь https://t.me/b4tr_channel

​​XSS Уязвимость. Часть 1 Приветствую, в этой статье хочу детально описать XSS-Уязвимость. Данная серия мини-статей будет направлена именно на практику. XSS - это внедрение вредоносного кода на страницу сайта. Когда вредоносный код выполняется в браузере жертвы, злоумышленник может полностью скомпрометировать пользователя. Бывают активные и пассивные XSS. В первой части поговорим о Reflected XSS Читать: https://codeby.net/threads/xss-ujazvimost-chast-1.77134/ #owasp #xss #web

Срочно залетай :) https://www.twitch.tv/thecodeby

Исследователи предсказывают эру дипфейков, искусственного интеллекта и киберпреступлений с помощью роботов, AirTag позволяет узнать, когда в доме никого нет, в автомобилях Mercedes-Benz нашли критические уязвимости, а компания AXA отказалась от программы киберстрахования и сама стала жертвой вымогателей. Новая техника позволяет деанонимизировать пользователей Tor, россиянка добровольно отдала телефонным мошенникам 400 млн рублей, а кириллическая раскладка может обезопасить вас от русских хакеров, но это не точно. Пострадавшие от кибервымогателей DarkSide компании получат инструменты для дешифрования системы, а Япония ограничила применение иностранных технологий в целях усиления национальной кибербезопасности. Александр Антипов еженедельно рассказывает о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. https://www.youtube.com/watch?v=rb6VASYf8pc

🔥 Разбираем инактив тачки hackthebox 🔥 Сегодня в 19:00 по мск будем ломать SENSE 🔗 Залетай: https://www.twitch.tv/thecodeby #hackthebox

​​Новая жизнь: один вечер с бытия паранойика Приветствую, достаточно непонятный режим выпуска работ имеем: то тишина месяцами, то за несколько дней выходят несколько интересностей. Но что поделать, добро пожаловать в очередной сюжетный материал, устаивайтесь поудобнее, заварите чего-нибудь попить, а мы начнем наше увлекательное путешествие в мир примитивной и образной информационной безопасности. И будьте аккуратней, там человек писал, что зачитался и чуть не угодил под автомобиль. Читать: https://codeby.net/threads/novaja-zhizn-odin-vecher-s-bytija-paranojika.77760/ #history #rat #android

​​Снятие парольной защиты с помощью Cellebrite UFED Touch 2 на примере «SM-J510H». К нам попал Samsung J5 «SM-J510H» на котором стоит парольная защита в виде пин кода, с заданием снять эту парольную защиту. Для этого мы будем использовать Cellebrite UFED Touch 2. Так же нам потребуются комплектные кабели и переходники Читать: https://codeby.net/threads/snjatie-parolnoj-zaschity-s-pomoschju-cellebrite-ufed-touch-2-na-primere-sm-j510h.77778/ #password #lockscreen #touch

​​Ни на что не намекаем, но пора бы уже посмотреть записи докладов PHDays и The Standoff 😎 Тем более, они такие интересные, полезные и крутые. Вот, например: 👌🏻 Security gym: тренируйся бороться с уязвимостями Доклад о том, как разрабатывать безопасные приложения. Спикеры поделились опытом и показали систему, которая позволяет тренироваться в поиске и корректировке уязвимостей. https://standoff365.com/phdays10/schedule/development/security-gym-train-to-crush-vulnerabilities/ 👌🏻 Ломаем Bluetooth c помощью ESP32 Спикер рассказал, что такое Bluetooth (BLE), как происходит установление соединения и последующий обмен данными между различными устройствами. Он поговорил о атаках на Bluetooth и о том, как обеспечить безопасность технологии. https://standoff365.com/phdays10/schedule/tech/how-to-pwn-bluetooth-with-esp32/ 👌🏻 Простой и аккуратный метод обмануть предсказание top-k Спикер продемонстрировал способ обмана предсказания top-k на датасетах Imagenet и CIFAR-10. https://standoff365.com/phdays10/schedule/technical-village/a-simple-and-neat-way-to-deceive-top-k-prediction/ Докладов было намного больше — остальные смотри на сайте: https://standoff365.com/phdays10 #PHDays #TheStandoff