Форум информационной безопасности - Codeby.net

Эксклюзивно для codeby.net продолжаю публиковать перевод ресерчей по книге 2021 года от Brandon Wieser .
На этот раз эксплуатируются ошибки в форме восстановления забытого пароля.

1. Html Injection
2. Host Header Injection
3. Username Enumeration – SSN
4. Same Origin Policy и Exploiting CORS...

Публикую перевод ресерчей по книге 2021 года от Brandon Wieser , потому что сам ничего подобного сотворить пока не могу :*(

1. Html Injection
2. Host Header Injection
3. Username Enumeration – SSN
4. Same Origin Policy и Exploiting CORS Misconfigurations...

Доброго времени суток читателям! Нескольким пользователям форума стал интересен процесс прохождения собеседований, потому я расскажу в отдельной теме свою историю поиска работы и свой опыт прохождения собеседований. Пожалуй, начнем.

Немного предыстории. На момент написания статьи являюсь студентом 3-го курса по направлению, никак не связанном с информационной безопасностью.

Год назад я решил пойти путем изучения разных аспектов сферы ИБ через курсы вендора (не стану рекламировать, мне за это не платили ). Для ориентира, приведу пример. Вендором вашего сертификата могут быть компании Google, Microsoft, Huawei, Microtik, IBM, Cisco или организации, которые напрямую занимаются подготовкой специалистов, такие как EC-Council, GIAC etc. Выбор вендора упирается в ваше направление последующей сертификации (или просто прохождения курсов ради знаний, в чем я особо не вижу смысла без подтверждения скиллов) и финансовым положением.

Далее пришло время...

Хакерские инструменты: список инструментов по безопасности для тестирования и демонстрации слабостей в защите приложений и сетей, эти инструменты предназначены для профессионалов по информационной безопасности.

Всем привет! Вот и подоспел видео-новостной дайджест от 12 апреля!
Приятного просмотра!
По оригинальной статья от @denez
Ссылка на статью : https://codeby.net/threads/novostnoj-dadzhest-po-ib-it-za-12-04-19-04.77273/

P.S
Кстати, пишите пожалуйста ваши предложения и замечания по роликам, я все комменты читаю, отвечаю и учитываю. Спасибо

..предыдущая часть – теория (рекомендуется к прочтению).

Немного растолковав спецификацию USB на свой лад, перейдём к практике.
Для непросвещённых, программирование универсального интерфейса USB сулит много проблем и большинство энтузиастов бросают это дело ещё на взлёте. Инженеры Microsoft посчитали, что здесь не место проповедовать гуманность, и возложили всю рутину на плечи самих программистов. Так-что приготовьтесь к длительной осаде бастиона. Именно поэтому я уделил всю предыдущую часть на теоретическую муть, приняв которую можно будет чувствовать себя в этом направлении, немного уверенней.

В этой части:

Здравия всем, дамы и господа. Половина весны уже позади, а новостной дайджест всё ещё впереди.




В прошлых дайджестах во время обсуждения Federated Learning of Cohorts (FLoC) были приведены мнения людей и компаний, считающих, что эта технология не только не лучше стандартных cookie, но даже хуже. А не так давно DuckDuckGo выпустила расширение для Chrome, которое блокирует новую функцию. Кроме того, что они уже сделали, предлагается соблюдать дополнительные меры безопасности:
не входить в свою учетную запись Google;

• не синхронизировать данные истории с Chrome;
• отключить историю приложений и веб-поиска или историю Chrome и действия с сайтов, приложений и устройств, использующих сервисы Google;
• в настройках рекламы Google отключить «Персонализацию рекламы» или «Также использовать свои действия и информацию из служб Google, чтобы персонализировать рекламу на...

В этом году интерфейсу USB исполнилось ровно 25-лет, а потому предлагаю рассмотреть его реализацию как на уровне архитектуры, так и программную составляющую. Сырая версия 1.0 была опубликована в начале 1996 года, а уже осенью 98-го, мир увидел первую стабильную редакцию v1.1. Однако на практике оказалось, что из шины USB можно выжать намного больший потенциал. Так, в 2000 году была опубликована очередная спецификация USB 2.0, в которой предусмотрено повышение пропускной способности сразу в десятки раз. Это позволило существенно расширить круг подключаемых к шине высоко-скоростных устройств:



Содержание:

1. Топология шины: хост-контролёр, Root-Hub, режимы работы Control-Bulk-Interrupt;
2. Логическая организация: конечные точки Endpoint, протокол шины USB;
3. Типы дескрипторов устройств.
------------------------------------------------------------

1...

Нам нужен видео контент для нашего канала по тематике нашего портала. Это может быть описание программы или железа, личный опыт пентеста или защиты ресурса и т.д. Платим за готовый, озвученный ролик 1500 руб. Если с голосом "не очень", то озвучим сами - от вас текст с таймингом. В случае нашей озвучки платим 1200 руб. за ролик. В ролике должно быть упоминание кодебай не менее 2х раз, должна присутствовать символика портала и т.п. Оплата происходит по факту передачи файла, полностью готового к размещению.

Технические данные:

• Длительность ролика — 3 - 15 минут (оптимально 7-12)
• Формат — mp4
• Размер — до 100 мб

По контенту для канала:

• ...

Публикую перевод ресерчей по книге 2021 года от Brandon Wieser , потому что сам ничего подобного сотворить пока не могу :*(

1. Html Injection
2. Host Header Injection
3. Username Enumeration – SSN
4. Same Origin Policy и Exploiting CORS Misconfigurations...