Форум информационной безопасности - Codeby.net

Всем привет!
В ПЕРВОЙ ЧАСТИ были рассмотрены некоторые приёмы и операторы. Углубимся в тему.
Стартуем сервис mysql, заходим под пользователем buratino и попробуем ввести такую команду SELECT User, Host, Password, password_expired FROM mysql.user;

Мы получили ошибку, в которой говорится что он не имеет доступа к таблице user. Почему так произошло, ведь мы ему наделили полные права. Дело в том, что права у него только на базу golden_key, а здесь запрос к базе mysql. Когда мы выводили список баз, то их было две - golden_key и information_schema. Откуда тогда взялась база mysql? Дело в том что MariaDB имеет несколько баз, и сейчас мы зайдём под root и сможем вывести полный список.

Ага, появились ещё 2 базы, которых мы ранее не видели mysql и performance_schema. База performance_schema нужна для мониторинга, диагностики...

Всем привет! Сегодня я вам покажу, как вы можете написать свой скрипт для DOS атак.
Конечно же слово атака здесь применяется в хорошем смысле. Тестируйте только на себе

Для начала разберемся что такое DOS и в чем различие от DDOS.

DoS (аббр. англ. Denial of Service «отказ в обслуживании») — хакерская атака на вычислительную систему с целью довести её до отказа

Если атака выполняется одновременно с большого числа компьютеров, говорят о DDoS-атаке (от Distributed Denial of Service, распределённая атака типа «отказ в обслуживании»). Такая атака проводится в том случае, если требуется вызвать отказ в обслуживании хорошо защищённой крупной компании или правительственной организации.

Думаю вы поняли. Если проще объяснить различие, то получится так: ddos - много атакующих и одна цель. dos - один атакующий и одна цель.

Цель этой...

В этой статье вы узнаете о способах RED TEAM для эксфильтрации данных через ICMP-C2 и туннелировании ICMP, поскольку оба способа подходят для обхода правил брандмауэра, тк.к они генерируют обычный трафик в сети.

Оглавление:
1. Краткое описание работы протокола ICMP
2. Командование и управление через протокол ICMP
3. ICMP туннелирование

Краткое описание работы протокола ICMP

Протокол межсетевых управляющих сообщений (ICMP) является...

Всем привет!

В сети очень много материала по внедрению SQL-инъекций, однако я скажу что стоит изучать эту тему не с внедрения, а с создания баз данных и освоения операторов SQL. Только так придёт понимание, когда знаешь всё изнутри. Самый распространённый вариант БД это MySQL, поэтому рассматривать будем именно её.

Приступим:

Рассказывать буду на примере Kali Linux, в этой ОС уже предустановлена система управления базами данных (СУБД). Если у вас другой дистрибутив, то можно проверить наличие MySQL командой mysql --version, в Кали на выходе получаете примерно следующее:
mysql Ver 15.1 Distrib 10.3.15-MariaDB, for debian-linux-gnu (x86_64) using readline 5.2
Как видно база данных стоит MariaDB, это не должно смущать. MariaDB это форк MySQL, только работающая быстрее, поэтому имеет совместимость по sql-операторам.
Если MySQL не установлена на вашей оси, то это несложно сделать. Например установка на Debian 9...

очевидной целью является "плавный" переход от классики или вызов java для ф-ций, которые по той или иной причине засунуть в агент будет проблематичным/рискованным/неудобным
Для версий нотусни, в которых нет класов обработки http запросов (ниже 10.0) или нет желания постигать дзен новых классов из LS, подход будет заключаться в вызове java агента, с единственной целью - вызвать и обработать результат от xpage
Основны "хитрости":
- авторизация (создание передача сессии)
- обработка ситуации с прокси сервером
- обработка результата и формирование ответа

первое и второе (в коде ниже) я здесь уже описывал, последнее предполагается задействовать через документ. Вполне возможно передавать и бинарные объекты, но обработка их в ЛС не очень удобна, да и часто конечным "потребителем" будет документ.

Коротко схема такова:
Код на ЛС -> вызов java агента с документом контекста (поля которого заполняются соответственно...

Привет, codeby.

В этой статье определим, какие HTTP-методы поддерживаются веб-сервером; узнаем, как метод TRACE связан с атакой XST; определим, включен ли на сервере механизм HSTS; поговорим о кроссдоменной политике и о правах доступа к файлам на сервере.

Win – это работающая по определённым правилам замкнутая система и если не придерживаться этих правил, её можно пустить по ложному следу. Тут главное не идти на поводу Microsoft, которая вправляет нам мозги своей/увесистой документацией. Сабж рассматривает несколько способов скрытия программ от системного "Диспетчера задач" как на пользовательском уровне, так и на уровне ядра.

4.5.0. Ядерный уровень

Всякий процесс в системе описывается своей структурой EPROCESS – сколько запущенных процессов, столько и структур. Чтобы держать все процессы под контролем, система связывает их в цепочку через механизм связных-списков LIST_ENTRY. Сам список состоит всего из двух элементов – это указатель FLink на следующую структуру EPROCESS в цепочке (Forward), и указатель BLink на предыдущую структуру в цепочке...

Тема о тотальной слежке не раз поднималась на форуме, вызывая справедливое возмущение пользователей – вот еще пять копеек в ту же копилку, хотя в данной статье больше вопросов, чем ответов.
На днях жители столицы Казахстана были немало удивлены, получив на свои мобильные телефоны СМС следующего содержания:



Я даже ущипнул себя – не сон ли это? Какой сертификат безопасности??? Что происходит??? Современный человек, как это не прискорбно звучит – уже наполовину андроид. Он скорее согласится целый день ничего не есть и не пить, - НО ИНТЕРНЕТ ЧТОБ БЫЛ. После недолгих блужданий в казнете вот что удалось выяснить:

Абоненты отечественных сотовых операторов получили сообщения, где их просят установить так называемый "сертификат безопасности". В рассылке сказано, что в случае его отсутствия на устройствах могут возникнуть проблемы с интернетом. В Правительстве говорят, что такая мера позволит оградить...