Форум информационной безопасности - Codeby.net

24 марта CTF-площадка "Игры Кодебай" получит глобальное обновление! Мы уверены, что это сделает нашу платформу еще более удобной и функциональной для вас:

Обновлённый дизайн и понятная инфографика
Дополнительные возможности кастомизировать свой профиль
Авторизация через электронную почту
Изменение вознаграждений за задания
Добавление уровня сложности заданий и таймера, который будет показывать время до перезагрузки в некоторых заданиях

В связи с обновлением, сегодня возможны перебои в работе некоторых заданий. Завтра платформа будет временно недоступна. Мы сделаем все возможное, чтобы обновление прошло максимально быстро!

Чат CTF - Игры Кодебай

Интро​

В этой статье расскажу об уязвимости, обнаруженной при оценке безопасности популярных программ для чтения PDF. На этот раз была обнаружена уязвимость use-after-free и несколько других багов в Foxit PDF Reader во время фаззинга. Мы смогли успешно использовать эту уязвимость для удаленного выполнения кода в контексте Foxit PDF Reader.

Об уязвимости​

Эта уязвимость позволяет удаленно выполнить произвольный код на уязвимых Foxit PDF Reader. Для использования этой уязвимости требуется взаимодействие с пользователем, т.е. цель должна посетить вредоносную страницу или открыть вредоносный файл.

Foxit PDF Reader уязвима перед атакой use after free.
Уязвимость Use-After-Free (UAF) - это уязвимость...

Введение
Многие люди очень часто любят путать пентест с обычной эксплуатацией уязвимостей. Давай я немного объясню. Само понятие теста на проникновения подразумевает использования всех аспектов и важных частей информационной безопасности. То есть перед тобой ставят компьютер с операционной системой и просят взломать ее. Ты работаешь с черным ящиком и не имеешь каких-либо подсказок, в какую сторону стоит копать. В случае с обычной эксплуатацией дыр идет работа с частным случаем, когда все доступно и понятно. Ты знаешь, куда тебе нужно ползти и по каким путям можно взломать операционную систему. Теперь подумай, где можно тренировать все это дело? Первое на ум приходит CTF-площадка, но там все понятно и сказано, как нужно работать. Поэтому давай попробуем смастерить собственную лабораторию, которая буквально запускается "из коробки" и позволяет тебе безгранично...

Введение​

Приветствую всех читателей этой статьи! Сегодня хочу предоставить очередную подборку полезного софта, направленного на защиту информации. Что же, без лишних предисловий - начнём!

Vigilante​

Приложение на Android, которое фокусируется на конфиденциальности пользователя и предупреждает, когда стороннее приложение использует камеру или микрофон устройства, а так же включает в себя ряд полезных функций:

• История запрашивания каким-либо приложением разрешения
• История присоединения и отсоединения зарядного устройства
• История подключения и отключения наушников
• История уведомлений
• История блокировки экрана

Так же в данном приложении нет бесполезных разрешений и оно не запрашивает доступ к интернету. Все ваши данные зашифрованы (база данных и...

Команда Сбера ищет опытного реверс-инженера, который возглавит команду разработки и миграции SAP решений на собственную платформу банка.

Сегодня мы - небольшой коллектив, который быстро растет, как того требуют амбициозные цели. Процесс импортозамещения принципиально важен для организации и содержит в себе интересные задачи и подходы к построению IT решений ERP класса

Тебе предстоит / Об обязанностях:

· непосредственно личное участие в работах проекта;

· написание программных кодов на языках С/C++, assembler;

· работа с дизассемблерами, исследование ПО путём revers engineering;

· координация команды разработчиков (реверс инженеры и системные программисты);

работа в команде и участие в выработке/принятии решений

Ожидания от кандидата / Требования:

· знание языков программирования и наличие опыта разработки C/C++ от 3-х лет;

· опыт реверс-инжениринга программного обеспечения c использованием OllyDbg/IDA Pro;

· знание assembler x86/64;

· опыт исследования...

Не могу сказать за всех, а у меня иногда возникает необходимость в объединении нескольких файлов формата «.docx» в один документ. И зачастую это приходиться делать вручную, что занимает довольно много времени, так как большая его часть уходит на открытие документа, копирование и вставку в объединенный документ. Чтобы ускорить данный процесс я попробовал написать небольшой скрипт на Python, который делает все указанные операции в автоматическом режиме.


Первым делом, при решении данной задачи приходит на ум использование библиотеки python-docx. И да, она может помочь решить задачу частично. То есть, если ваши потребности невелики, а документ не содержит картинок и таблиц, то можно воспользоваться решением на основе данной библиотеки. Конечно же, нельзя сказать, что с ее помощью нельзя перенести документ полностью. Однако, здесь потребуется написать отдельный модуль для анализа содержимого документа, который будет определять, какой тип блоков присутствует и на основе этого формировать новый документ. Этого мы делать не будем, так как есть несколько более простое решение. Но, для полноты картины давайте рассмотрим, как можно объединить текст в нескольких документах с помощью python-docx.

Введение​

Приветствую всех читателей этой статьи! Ни раз в моих статьях поднимался вопрос об анонимности в сети, а так же о защищённых и анонимных операционных системах. Прошу заметить, что абсолютно анонимных операционных систем нет и всё зависит от того, как уметь ими пользоваться. Сегодня хочу рассказать вам об ещё одной операционной системе, которую так же можно включить в список защищённых и анонимных ОС, а конкретно про Qubes OS. Данная система, прошу заметить, весьма интересно устроена. Собственно, давайте же приступать!

Что такое Qubes OS?​

Qubes OS - это бесплатный и ориентированный на безопасность Linux-дистрибутив на основе Fedora. Преимуществом данной операционной системы является виртуализация на основе Xen. Если говорить более простым языком, то для...

В этой статье мы рассмотрим, как использовалась уязвимость use-after-free в Adobe Acrobat Reader DC. Ошибка была обнаружена в ходе проекта по фаззингу, направленной на популярные программы для чтения PDF. В итоге была успешно использована уязвимость для удаленного выполнения кода в Adobe Acrobat Reader.

Об уязвимости​

Эта уязвимость позволяет удаленно выполнить произвольный код на уязвимых Adobe Acrobat Reader DC. Для использования этой уязвимости требуется взаимодействие с пользователем, т.е. цель должна посетить вредоносную страницу или открыть вредоносный файл.

Конкретный баг был найден в методе resetForm. Уязвимость возникает из-за отсутствия проверки существования объекта перед выполнением операций над ним.

Введение
Привет, Кодебай! Недавно в свет вышел новый релиз 'Kali Linux 2023.1". Сегодня мы поговорим о главных нововведениях и о 'Kali Purple - это универсальный дистрибутив для синих и фиолетовых команд'. Приятного ознакомления!

Компания Offensive Security

Ссылка скрыта от гостей

первый релиз Kali Linux в 2023 году под номером 2023.1. В честь 10-летия проекта был создан дистрибутив «Kali Purple», предназначенный для синих и фиолетовых команд (Blue и Purple Team) в области кибербезопасности, занимающихся защитой систем от потенциальных атак.

Kali Purple уже включает в себя более 100 инструментов, таких как Malcolm, Surricata, Arkime, TheHive и Zeek. Кроме того, есть Wiki-страница, которая поможет всем заинтересованным специалистам начать работу с Kali Purple.

Кроме Kali Purple можно выделить ещё другие нововведения:

• Восемь новых инструментов: Arkime, CyberChef, DefectDojo, Dscan, Kubernetes-Helm, PACK2, Redeye, Unicrypto
• Обновлённые темы Kali
• Предупреждение о проблемах с GPU Nvidia и PIP...