Codeby

​Пентест веб-приложений: Тестирование HTTP-методов, HSTS, кроссдоменных политик, прав доступа к файлам Привет, Codeby. В этой статье определим, какие HTTP-методы поддерживаются веб-сервером; узнаем, как метод TRACE связан с атакой XST; определим, включен ли на сервере механизм HSTS; поговорим о кроссдоменной политике и о правах доступа к файлам на сервере. 📌 Читать далее #pentest #web

​⛏ Защита от скрытого майнинга в браузере Мошенники давно используют скрытый майнинг на вредоносных сайтах для того, чтобы заработать на обычных посетителях. Сейчас это один из популярных видов интернет-мошенничества. Ситуация осложняется тем, что из множества вкладок в браузере трудно вычислить вредоносный сайт. В большинстве браузеров можно обнаружить подозрительную активность с помощью встроенного диспетчера задач. Обычно, он находится в меню в правом верхнем углу, в разделе "Дополнительные инструменты" или "Другие инструменты". С помощью диспетчера можно посмотреть, сколько потребляет каждый процесс в браузере и, при необходимости, отключить его. Помимо встроенных в браузер методов для защиты от майнинга есть ещё и расширения. К примеру, можно использовать MinerBlock или NoCoin, оба дополнения имеют открытый исходный код. Но лучше всего просто не заходить на сомнительные сайты. #useful #browser #security

🎰 Доступна полная программа OFFZONE 2022 2 трека, 3 тематические зоны — 58 докладов и 3 воркшопа с отборным техническим контентом ждут вас уже на следующей неделе! Смотрите программу на сайте

​Offensive OSINT часть 5.1 – OSINT и Корпоративный шпионаж, Щупальца Mindgeek В этой статье мы рассмотрим корпоративную структуру компании Mindgeek - лидера в области доставки контента, SEO, рекламы, хостинга и общих технологических инноваций. Они работают по всему миру, а принадлежащие им сайты создают сотни миллионов посещений в день и имеют большую пропускную способность, чем Twitter, Amazon или Facebook. Может быть, вы не знаете эту компанию, но я уверен, что они знают вас. 📌 Читать далее #learning #osint

​Переполнение буфера и перезапись переменных к конкретному значению - Изучение методов эксплуатации на примерах, часть 2 Доброго времени суток, посетители портала Codeby =) В предыдущей статье мы научились перезаписывать значение переменной используя уязвимость переполнения буфера. Ну чтож скажу я, продолжим изучать эту уязвимость. Описание ExploitMe: на этом уровне рассматривается концепция изменения переменных к конкретным значениям в программе и то, как переменные располагаются в памяти. 📌 Читать далее #learning #reverse #exploit

​🗞 Роскомнадзор принял меры в отношении TikTok, Telegram, Discord и других Роскомнадзор принял решение о применении мер понуждения в отношении TikTok, Telegram, Zoom, Discord и Pinterest за неудаление противоправной информации. Теперь поисковые системы будут информировать пользователя о нарушении сервисами законодательства РФ. «Роскомнадзором принято решение о применении мер понуждения в отношении TikTok Pte. Ltd., Telegram Messenger, Inc., Zoom Video Communications, Inc., Discord, Inc. и Pinterest, Inc. в виде информирования поисковыми системами интернет-пользователей о нарушении компаниями требований российского законодательства», — говорится в сообщении В Роскомнадзоре пояснили, что указанные компании не соблюдают порядок удаления запрещенной информации и не исполняют основные обязанности, прописанные в федеральном законе «О деятельности иностранных лиц в сети «Интернет» на территории РФ». Принятые меры будут действовать до полного устранения нарушений российского законодательства иностранными компаниями. 🗞 Блог Кодебай #news #russia #law

​​https://offzone.moscow/ru/community-zone/ Дарим самокаты на OFFZONE 2022 😍 На OFFZONE всегда есть место для активностей комьюнити‑партнеров. Тут и мобильная безопасность, и викторины, и фановые игры. Выбирай, что тебе больше нравится! Занимательная викторина от Кодебай Обилие вебчика, CTF и небольшой конкурс в соцсетях. CTF в телеграм‑боте. Решай таски на вебчик со средним уровнем сложности. Пройдет 25 и 26 августа. Все, кто решил 7 и более тасков + поучаствовал в активности на фотозоне, сможет принять участие в розыгрыше электросамоката. 25 и 26 числа в конце дня ребята проведут розыгрыш — победителя выберут рандомно. Победитель обязательно должен быть на площадке в момент подведения итогов. Викторины по кибербезопасности. Тебя ждут вопросы по кибербезопасности с уклоном в веб. Будет проходить дважды в день 25 и 26 августа. В конце каждого дня среди участников викторины рандомно выберут пятерых, кто получит подарки. Призы: 5‑е место — промокоды на скидку 50% на любой курс от Codeby, 4‑е — кружка, 3‑е — футболка, 2‑е — павербанк, 1‑е — рюкзак с мерчом. Сюрприз в фотозоне. Сделай фото с моделями на стенде Codeby и выложи его в соцсети с хештегом #codeby, чтобы получить приятный бонус. Пройдет 25 и 26 августа. Те, кто разместил фото, получат футболки и скидки на курсы Codeby.

​🎵 Поломка старых жёстких дисков из-за песни Организация MITRE присвоила идентификатор CVE-2022-38392 уязвимости с поломкой жёстких дисков в старых ноутбуках из-за песни Джанет Джексон «Rhythm Nation». Запуск на ноутбуке со старым жёстким диском, работающим на скорости 5400 об/мин, видеоклипа с песней Джанет Джексон «Rhythm Nation» может привести к аварийному завершению сеанса или отключению системы из-за сбоев в работе жёсткого диска. Эксперты и ранее обнаруживали подобные проблемы с жёсткими дисками при воспроизведении звуков на определённых частотах, когда устройства хранения информации начинали резонировать и ломаться. Расследование этой ситуации показало, что проблема возникла из-за некоторых звуков из песни. Исследователи не пояснили детали этой необычной ситуации. 🗞 Блог Кодебай #news #vulnerability #hdd

​📸 Шифрование медиафайлов во время съёмки на смартфоне Хранить фото и видео на своём смартфоне без какого-либо шифрования не самая лучшая идея. А в случае потери телефона любой желающий сможет без труда получить доступ ко всем медиафайлам. Наиболее целесообразным вариантом является ручное шифрование с последующей загрузкой каждого фото и видео в облако и удаление с устройства. Этот метод является надёжным и безопасным, но не самым удобным с точки зрения обычного пользователя. Для шифрования контента прямо на устройстве есть бесплатное приложение с открытым исходным кодом Cryptocam и платное PhotoPGP. Огромным плюсом является то, что медиафайлы шифруются сразу во время съёмки и только потом сохраняются на устройстве. #useful #security #smartphone

Как превратить простую задачу в качественное обучение и сделать так, чтобы разработчики ждали дежурства так же, как отпуска? Автор лучшего доклада конференции Highload++ Ян Ашенкампф рассказывает, как Газпромбанк выстраивал работу в командах разработки. О том, что помогло повысить эффективность команды, и почему такой метод подходит не всем, читайте в статье на GPB Spacе > https://vk.cc/cfOxpa #Спонсорский

​Способы получения обратного соединения (Reverse shell) Доброго времени суток, уважаемые форумчане! Очередная статья будет посвящена еще одному проблемному вопросу, с которым часто приходится сталкиваться студентам курса WAPT при решении задач – это получение обратного шелла. 📌 Читать далее #beginner #pentest

​✖️ Google заблокировал крупнейшую в истории DDoS-атаку Компания Google сообщила о том, что заблокировала крупнейшую в истории DDoS-атаку, которая была нацелена на одного из её клиентов Cloud Armor. Сообщается, что атака достигла 46 миллионов запросов в секунду. Атака была нацелена на HTTP/S Load Balancer и началась с более чем 10 тысяч запросов. Через восемь минут количество запросов увеличилось до 100 тысяч, а ещё через две достигло 46 миллионов. Географическое распространение и типы сервисов, задействованных в атаке, позволяют предположить, что она была запущена ботнетом Meris. «Это самая крупная DDoS атака седьмого уровня, о которой известно на сегодняшний день — по крайней мере, она на 76% превышает ранее зарегистрированный рекорд. Чтобы дать представление о масштабах атаки, это все равно, что получить все запросы к Википедии за день всего за 10 секунд», — рассказали в Google. Напомним, предыдущий рекорд принадлежал Cloudflare, когда компания отразила атаку с 26 миллионами запросов в секунду. 🗞 Блог Кодебай #news #google #ddos

🔥 Подборка самых интересных каналов про IT, хакинг и безопасность. Vektor Security Channel - канал Дмитрия Момота (aka VektorT13). Он рассказывает про антидетекты, методики отслеживания, антифрод системы, отпечатки браузера и др. Один из немногих русскоязычных каналов, который читает Брайн Кребс. Code Camp — книжный лагерь с самым редким и актуальным материалом для программистов любого уровня и направления. Библиотека кибердетектива - телеграм-каталог ресурсов для деанонимизации, пробива, защиты от слежки/кибершпионажа, настройки безопасности и др. Все лучшие инструменты в одном месте. Сохрани в закладки, пригодится.

​🔐 Во «Вконтакте» появилась функция проверки скомпрометированного пароля Во «Вконтакте» появилась функция, которая будет предупреждать пользователей об утечке их паролей в других сервисах. Алгоритм сравнивает пароль пользователя со скомпрометированными базами паролей через сторонние сервисы и, при совпадении, предлагает его сменить. Весь процесс проверки полностью автоматический, пароли проверяются в зашифрованном виде на серверах VK. На данный момент функция доступна в социальной сети «ВКонтакте», но её планируется распространить и на другие сервисы VK. «Ранее можно было увидеть аналогичное предупреждение при попытке создать новый пароль в своём аккаунте VK ID — мы давно не даём использовать данные, которые ранее попадали в базы утечек…», — рассказала директор по экосистемным продуктам VK Ольга Фролова. 🗞 Блог Кодебай #news #vk #data

​📲 VPN на iPhone сливают трафик Специалист по сетевой безопасности Майкл Горовиц сообщил о том, что iOS не полностью пропускает сетевой трафик через VPN, что является потенциальной проблемой безопасности. Apple знает об этом в течение многих лет, но ситуация так и не изменилась. У пользователя создаётся впечатление, что всё работает, ведь сторонний VPN предоставляет новый IP-адрес, DNS-серверы и туннель для трафика. Однако, сеансы и соединения, установленные до включения VPN, не переключаются на зашифрованный канал. По данным компании Proton, такая проблема возникла ещё в iOS 13.3.1 и осталась в более новых версиях системы. По идее, подключение через VPN должно закрывать существующие соединения, но этого не происходит. В Proton также предложили решение — вручную закрывать все соединения, до подключения к VPN, через «режим полёта». 🗞 Блог Кодебай #news #apple #vpn

​🤳 Astra Linux для мобильных устройств Группа компаний «Астра» представила доработанную ОС Astra Linux Special Edition для мобильных устройств, включая планшеты и смартфоны с процессорами на архитектурах ARM, «Эльбрус» и x86-64. Мобильная версия ОС отличается новым интерфейсом, адаптированным для сенсорных экранов, пониженным энергопотреблением, наличием интегрированных российских средств защиты информации и возможностью запускать приложения для Android в изолированном окружении. Отмечается, что Astra Linux Special Edition позволяет переключаться из мобильного режима в десктопный в случае необходимости и наличия внешнего монитора и мышки с клавиатурой, подключённых к мобильному устройству. Также поддерживается другая периферия. Разработчики пояснили, что в настоящий момент целый ряд отечественных программных продуктов корректно работает в среде Astra Linux в мобильном режиме. 🗞 Блог Кодебай #news #smartphone #astra

​🔎 Идентификация пользователей Telegram по IP-адресу Компания «Интернет-поиск» совместно с T.Hunter разработала сервис, который позволяет найти Telegram аккаунт конкретного пользователя по IP-адресу. «За секунду на одном IP-адресе может быть до сотни пользователей. Произвести идентификацию человека можно благодаря возможности собирать большие данные…», — рассказал глава «Интернет-поиск» Игорь Бедеров. На данный момент к сервису поиска аккаунтов подключено 64 различных источника данных. По словам Бедерова, большинство сайтов хранят логи и видят данные об устройстве пользователя. соединении, IP-адресе и т.д. Для поиска сервис получает информацию с нескольких десятков «собственных сайтов» и собирает «цифровые следы» из Telegram с привязкой к пользователю. «Остаётся лишь сопоставить одно с другим», — резюмировал OSINT-исследователь Владимир Макаров. 🗞 Блог Кодебай #news #telegram #data

​Offensive OSINT часть 4 - сбор разведывательных данных по важнейшим объектам инфраструктуры в Юго-Восточной Азии Это вторая часть расследования критической инфраструктуры по всему миру. Со времени последних исследований, я узнал много нового об устройствах промышленных систем управления, их типах или поставщиках, а также об общем подходе к такого рода исследованиям. 📌 Читать далее #beginner #osint

​Аудит безопасности сайта: как защитить самый ценный онлайн-актив компании Назовите успешную компанию без собственного сайта. Правильно, это невозможно. Не занимая определённую нишу в интернете, современный бизнес в принципе не существует для окружающих. Для одних веб-ресурс – лишь визитка, для других – главный инструмент заработка. Но и те и другие не имеют права относиться к сайту беспечно. 📌 Читать далее #pentest

🥷🏻 EasyHacking - Social Engineering Toolkit + NGROK. Добываем данные пользователя. Рубрика роликов про вводную часть в пентест, здесь мы на пальцах будем разбирать те или иные утилиты которые подтолкнут вас в разнообразный мир пентеста. В данном ролике мы научимся создавать "злые" сайты двойники для сборка данных. 🍿 Смотреть видео #beginner #pentest #soceng