Форум информационной безопасности - Codeby.net

Ветка Lotus удалена с Discord

Нужна ли уважаемому сообществу ветка в дискорде?

• Настроили авто публикацию в Discord тем форума Lotus/Notes из разделов: Lotus - Администрирование, Lotus - Разработка, Общие вопросы по лотус-технологиям (без подфорумов). При необходимости можем настроить импорт тем из подфорумов. Так же есть возможность настроить импорт ответов на темы форума
• Создали текстовый чат Join the The Codeby Discord Server!
• Создали голосовой чат (ниже текстового)
• Есть возможность вести стримы
• Общение в группе ограничено участниками...

Статья будет достаточно тяжелой, поэтому юморим сначала.
А перед прочтением сего материала советую ознакомиться с первой частью.
Салам. Я опять понятия не имею, как можно начать материал этой тематики, поэтому просто поздороваюсь и перейдем к сути. Происшествие с угоном моей родненькой CS 1.6 действительно дало мне кучу идей для написания текста. В этой заметке вы опять не увидите от меня сюжета, простите, кто ждет продолжения какой-либо из цепочек, но мне понравилось быть в роли жертвы с последующим оборотом в следователя. Это увлекательно.

Дошло к тому, что у себя на странице в ВК я запостил это:

Всех приветствую!

Больше месяца назад собирался написать отзыв о курсе, но меня подкосил новомодный вирус, и я выбыл из строя на какое-то время. За это время я постарался вспомнить весь мой путь прохождения курса и сделать максимально полезную выжимку для людей, решающих, поступать на курс, или нет. Заканчиваю с лирическим отступлением и приступаю к самому отзыву.

Мой опыт в пентесте на момент поступления на курс

К моменту поступления на курс я сдал OSCP со второй попытки, иногда решал машины на HTB и добрался до уровня Pro Hacker. Моя основная работа не связана напрямую с проведением пентестов, однако для её выполнения мне необходимы определенные навыки из этой сферы. То есть, какой-то опыт у меня был, но я чувствовал наличие пробелов, и довольно сильных, именно в области WEB пентеста. Поэтому я решил, что этот курс - отличный вариант...

Эксклюзивно для codeby.net продолжаю публиковать перевод ресерчей по книге 2021 года от Brandon Wieser The Hackers Codex: Modern Web Application Attacks Demystified.
В этой главе восточно-европейский хакер Юрий и его юный подаван Газманов перейдут от теории к практике и проэксплуатируют CSRF уязвимость через clickjacking.

1. Html Injection
2. Host Header Injection
3. Username Enumeration – SSN...

Во вторник, в 18:00 по московскому времени, у нас запланирован стрим - интервью с особым гостем. Вечер обещает быть жарким!

На этот раз своим присутствием нас порадует: Ярослав Бабин (@yarbabin):

Руководитель отдела анализа защищенности приложений в Positive Technologies @ptswarm
Специалист по веб и финансовым приложениям, социальной инженерии, пентесте ATM
Организатор The Standoff и Positive Hack Days
Спикер PowerOfCommunity, PacSec, ZeroNights, KazHackStan, ArmSec и др.
В прошлом - багхантер (Яндекс, Mail.Ru, Mozilla и др.), участник CTF-команды Antichat

Twitch.tv
YouTube...

Мы решили запустить свой Discord сервер, для общения и совместного прохождения CTF и HTB!

Присоединяйтесь! Discord Codeby

Здравия всем, дамы и господа. Время, называемое неделей и равное семи дням закончилось и прямо здесь вы читаете то, что называется «Новостной дайджест», являющийся статьёй.


Но нет, Столлмана ни в чём не обвинили и ни откуда не выгнали. Эта новость напрямую с ним вообще не связана. Не успел Copilot выйти, как люди сразу озаботились вопросом этики и законности при его использовании. В фонде свободного программного обеспечения заметили эти беспокойства и решили провести исследование.
Даже по первичному осмотру фонд заметил несколько особенностей, которые противоречат принципам сообщества открытого ПО, а именно

• Необходимость в Microsoft Visual Studio Code или хотя бы части её кода, а сия программа не является открытой, как известно;​
• Непонятно, какой лицензией защищена нейросеть и кому будут принадлежать авторские права на...​

Эксклюзивно для codeby.net продолжаю публиковать перевод ресерчей по книге 2021 года от Brandon Wieser The Hackers Codex: Modern Web Application Attacks Demystified.
В этот раз разберем CSRF уязвимости и как их находить.

1. Html Injection
2. Host Header Injection
3. Username Enumeration – SSN
4. Same Origin Policy и Exploiting CORS Misconfigurations...