Форум информационной безопасности - Codeby.net

Добро. В этой теме отписываемся с пожеланиями, какие статьи и на какую тематику вы хотели бы почитать, увидеть. Собственно эта тема создана, как заказ на статью.

Ниже список тем, однозначно рекомендуемых к написанию:

1. История поиска интересной уязвимости в публичном сервисе/продукте/операционной системе;
2. Ваша разработка для проведения пентеста;
3. Полноценный CheatSheet по одной узкой теме из этичного хакинга;
4. Hardware: Истории о том, как вы собирали дешевые аналоги дорогих устройств на базе ардуино или распберри пи. Или ломали таковые;
5. Как ломали IoT;
6. Защита, от теории - к практике, инструменты;
7. Анализ аномалий в сети, способы решения;
8. Шлюзы для почты/файрволы;
9. Виртуализация, оркестровка, общий обзор инструментов и платформ, Далее возможны тематические детализации, В мире много создано тулов, но документация слишком обширная или наоборот - малоструктурированная;
10. Железо бытового и корпоративного...

Закончилось лето, наступил новый учебный год и вдруг, сразу же появилось желание попробовать что-то новое. А потому, я решил попробовать поучиться использовать Metasploit для эксплуатации уязвимостей. Для этого организовал небольшой тестовый стенд, скачал нужное и… А вот что было дальше, это уже ниже. Это мой первый опыт, а потому, хотелось бы сказать в свое, так сказать оправдание, если я что-то сделал совсем уж по нубски, словами Равшана и Джамшуда: «Прошу понять и простить...»

Дисклеймер: Все данные, предоставленные в данной статье, взяты из открытых источников, не призывают к действию и являются только лишь данными для ознакомления, и изучения механизмов используемых технологий.

Нажмите, чтобы раскрыть...

Тестовый стенд

Чтобы организовать тестовый стенд, который получился у меня, нужно скачать два образа...

Доброго дня, коллеги!
На сайте встречается огромное количество прекрасных статей от опытных специалистов из разных сфер информационной безопасности.
Но что делать совсем зеленым и неопытным, которые только хотят попробовать себя в инфобезе? Вокруг очень много разных данных, и все по-разному предлагают подходить к процессу обучения.

Я хочу предложить вам свою версию получения навыков и опыта при помощи такого древнего зла как Bwapp. Скорее всего, после услышанного названия в меня полетят различные продукты жизнедеятельности, и крики: «Ну ты бы еще чего похуже предложил!». Пардоньте, ничего хуже я пока не нашел. Я считаю, что учиться нужно на том, что неплохо задокументировано и на тему чего написано много статей по прохождению задачек различной сложности.

Цитирую перевод автора данного творения:
«bWAPP, или глючное веб-приложение, - это бесплатное веб-приложение с открытым исходным кодом...

Доброго времени суток, уважаемые форумчане! Чтож, вот и началась осень, а значит подходящее время, чтобы почитать новости




USB Promoter Group анонсировала USB4 2.0 с рекордной пропускной способностью до 80 Гбит/с, что в два раза выше, чем у Thunderbolt 4. Такой показатель объясняется обновлённой архитектурой физического уровня (PHY).
Обновление PHY позволяет туннелировать данные по USB 3.2 со скоростью более 20 Гбит/с.



Microsoft обнаружила в приложении TikTok для Android серьёзную уязвимость, которая позволяла...

Не так давно утилита Берта Хуберта воспроизводящая звуковой сигнал каждый раз, когда браузер отправляет данные в Google, наделала много шуму в онлайн-прессе. Сама идея перехвата трафика не нова, и я подумал, а почему бы не сделать утилиту на Python с похожим функционалом. Конечно, с утилитой, написанной на «C» она не сравнится по скорости работы, но ведь ее можно использовать не только для того, чтобы детектить Google. Можно детектить еще и Яндекс ))). Но на самом деле, с ее помощью получится регистрировать открытие разных сайтов, детектить адреса за Cloudflare и при необходимости составлять список сайтов, которые используют этот CDN.


Конечно же, у меня получилось не совсем то же самое. Я не перехватывал адреса, которые проходят напрямую по ip-адресу. То есть, слой перехваченного пакета IP остался не затронут. Однако, у меня и не было такой цели. Нужно было сделать перехват запросов к сайтам, с...

За последние несколько десятков лет сети мобильной связи претерпели значительные изменения, где каждое новое поколение наследовало инфраструктурные решения своих предшественников. На период 2022 года в совокупности с анализом больших данных, развитии искусственного интеллекта (всё это лежит в основе Индустрии 4.0) речь идёт о сети связи «пятого поколения», также имеющую в себе зависимость от компонентов 4G/LTE. Стоит отметить, что хотя в новых сетях 4G используется другая сигнальная система, именуемая Diameter, вопросы безопасности SS7 имеют всё тот же острый характер, так как операторы мобильной связи должны обеспечить поддержку 2G и 3G сетей, а также взаимодействие между сетями разных поколений.



Одной из самых крупных проблем систем 2G/3G является использование протокола сигнализации SS7, который берет свое начало в 1970-х...

Этим летом прошла международная конференция OFFZONE 2022. Команда Codeby выступила со своим крутым стендом, а так же приготовила для вас обзор этого мероприятия.

Приятного просмотра!

Загрузка видео на локальный диск, это дело хорошее. Потому, что у любого контента в интернете есть не очень хорошее свойство — рано или поздно он попросту теряется, либо его удаляют. Я немного покопался в коде страничек ВК и сделал небольшой скрипт, который загружает видео. А использовал я для этого Python.


Что потребуется?

Для корректной работы скрипта нужно установить библиотеку requests, чтобы можно было выполнять запросы к странице и загружать видео. Также, для того, чтобы парсить содержимое полученных страниц нужно установить библиотеки BeautifulSoup и lxml. А для того, чтобы немного раскрасить вывод в терминале, установим библиотеку colorama. Для установки данных библиотек пишем в терминале команду:

pip install requests bs4 lxml colorama

После того, как необходимые библиотеки установятся, нужно импортировать их в...

Алоха, ребята. И сейчас я приведу очень банальный пример развития человеческого общества, здесь не пойдет речь о каких-то древних цивилизациях, возьмем 2020 годик. Вот казалось бы, что изменилось за эти два года? Многое. Та же самая пандемия заставила весь мир выучить такие слова как: антитела, локдаун… Стоп. Кто даун? Локдаун. А-а-а.. И всеми нами любимое выражение: “ Одень масочку на нос, ублюдок, ты ведь дышишь все равно не ртом”. Но дело здесь не только в понятиях, сама сфера ИТ очень спрогрессировала и распространилась в массы, просто за неимением другого выбора. Тот же самый QR-код, раньше какой-то среднестатистический Рикардо Милос из глубинки и понятия не имел...

Привет всем! В это воскресенье, 4 сентября, пройдёт стрим-интервью. Специальный гость - Магама Базаров!

Немного фактов о Магаме:
Специалист по анализу защищенности сетевой инфраструктуры и охотник за багами сетевого оборудования;
Автор нескольких статей в журнале Xakep в рубрике "Взлом", цикла статей "Nightmare" про сетевую безопасность и нескольких статей на Habr (GLBP Nightmare, Cisco Post-Exploitation, FHRP Nightmare);
В его арсенале есть собственный инструментарий для эксплуатации сетевых уязвимостей.

Его первое выступление состоялось на The Standoff Talks 2022 с докладом "Cisco Nightmare", но помимо этого он также присутствовал на OFFZONE 2022 с темой "FHRP Nightmare".

Стрим-интервью...