-
Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе
Форум информационной безопасности - Codeby.net
Статья SuperCracker | 0.8 trillion hashes per second
Введение
Приветствую всех на CodeBy.Net!
Сегодня, после долгого отсутствия хочу поделиться с вами очень интересным случаем. По специфике деятельности я часто работаю с серверами, бывает попадаются интересные экземпляры. Но, несколько дней назад, грубо говоря ко мне в руки "попал" действительно мощный девайс. Забегая вперед скажу, восьмизначный пароль состоящий из нижнего регистра и цифр, перебирается прежде чем видеокарты успевают полностью инициализироваться. Я назвал его SuperCracker.
ДИСКЛЕЙМЕР
Автор не несет ответственности за любое неправомерное использование информационных технологий. Вся информация предоставлена исключительно в познавательных и спортивных интересах!
Создание кибер оружия
Аппаратная составляющая
Приветствую всех на CodeBy.Net!
Сегодня, после долгого отсутствия хочу поделиться с вами очень интересным случаем. По специфике деятельности я часто работаю с серверами, бывает попадаются интересные экземпляры. Но, несколько дней назад, грубо говоря ко мне в руки "попал" действительно мощный девайс. Забегая вперед скажу, восьмизначный пароль состоящий из нижнего регистра и цифр, перебирается прежде чем видеокарты успевают полностью инициализироваться. Я назвал его SuperCracker.
ДИСКЛЕЙМЕР
Автор не несет ответственности за любое неправомерное использование информационных технологий. Вся информация предоставлена исключительно в познавательных и спортивных интересах!
Создание кибер оружия
Аппаратная составляющая
- Chassis: Tyan Thunder HX FT77DB7109
- CPU: Intel Xeon Gold 6140 (16 Cores, 36...
Статья Первые шаги Вадимчика по GitHub: в активном поиске интересного
Заглавие
Приветствую, друзяшки дорогие, знаю, что нет, но упустим дань соображениям родства и приступим без посредств особых к делу. Сегодня отходим мы от основной сюжетной линии, если назвать её можно так, и дадим продолжение небольшое статье , опубликованной на начале весны этого года. Суть кратким образом - скитания по просторам GitHub, находясь в активном поиске интересного для Вас, небольшая обзорная и критическая части . Традиционно план деяний на день сегодняшний:
Информация представлена лишь в целях ознакомления и дальнейшем использовании в целях тестирования на проникновения (Пентеста то бишь), используете всё на свой страх и риск, а ведь подумай… Я не преследую цели, дабы вы посредством этих скриптов и...
Приветствую, друзяшки дорогие, знаю, что нет, но упустим дань соображениям родства и приступим без посредств особых к делу. Сегодня отходим мы от основной сюжетной линии, если назвать её можно так, и дадим продолжение небольшое статье , опубликованной на начале весны этого года. Суть кратким образом - скитания по просторам GitHub, находясь в активном поиске интересного для Вас, небольшая обзорная и критическая части . Традиционно план деяний на день сегодняшний:
- Портативность во всех её истинных сущностях: беседа о Termux
- What if: а что, если не ноутбук
- Первые шаги Вадимки: ходунки-то сломались
Информация представлена лишь в целях ознакомления и дальнейшем использовании в целях тестирования на проникновения (Пентеста то бишь), используете всё на свой страх и риск, а ведь подумай… Я не преследую цели, дабы вы посредством этих скриптов и...
Статья Защищаем предприятия от возможных киберугроз
Всех приветствую!
И так сегодня разберем базовую сетевую архитектуру АСУ ТП/ICS и какие сервисы должны располагаться на всех уровнях архитектуры, во избежание компрометации нашего предприятия злоумышленниками.
Многие думают, что сегмент АСУ ТП привлекателен только для APT группировок но это не совсем так, присутствие не квалифицированного персонала так же дает о себе знать. Тут можно посмотреть, как через всеми любимый были обнаружены ПЛК в сети интернет и другие девайсы которые работают в промышленном сегменте, ознакомиться можно .
Автоматизированные системы управления технологическим процессом АСУ ТП/ICS являются неотъемлемой частью критически важных инфраструктур, помогая облегчить множество операции в таких важных отраслях, как электроэнергия, нефть и...
И так сегодня разберем базовую сетевую архитектуру АСУ ТП/ICS и какие сервисы должны располагаться на всех уровнях архитектуры, во избежание компрометации нашего предприятия злоумышленниками.
Многие думают, что сегмент АСУ ТП привлекателен только для APT группировок но это не совсем так, присутствие не квалифицированного персонала так же дает о себе знать. Тут можно посмотреть, как через всеми любимый были обнаружены ПЛК в сети интернет и другие девайсы которые работают в промышленном сегменте, ознакомиться можно .
Автоматизированные системы управления технологическим процессом АСУ ТП/ICS являются неотъемлемой частью критически важных инфраструктур, помогая облегчить множество операции в таких важных отраслях, как электроэнергия, нефть и...
Статья Эксплуатация CVE-2020-5902
Приветствую Уважаемых Форумчан,Друзей и Читателей Форума.
Сегодня поговорим про уязвимость CVE-2020-5902.
Найдём уязвимую машину и проэксплуатируем данную уязвимость на конкретном примере.
Михаил Ключников обнаружил свежую уязвимость, которая сразу же была отмечена как критическая.
Был присвоен идентификатор CVE-2020-5902 и по шкале CVSS, уязвимость соответствует наивысшему уровню опасности.
Затрагивает она интерфейс контроллера приложений BIG-IP.
Атака злоумышленником на уязвимый контроллер может быть выполнена удалённо и от имени неавторизованного юзера.
Выполнение произвольного кода приводит к вероятной раскрутке LFI и RCE
Последнее легко реализуется,если компоненты системы настроены некорректно и выходят за пределы каталога.
А c помощью произвольного кода java можно создавать и удалять файлы на хосте.
Информация предоставлена исключительно в рамках ознакомления и изучения проблем безопасности.
Запрещено применять рассматриваемые методики атак в...
Сегодня поговорим про уязвимость CVE-2020-5902.
Найдём уязвимую машину и проэксплуатируем данную уязвимость на конкретном примере.
Михаил Ключников обнаружил свежую уязвимость, которая сразу же была отмечена как критическая.
Был присвоен идентификатор CVE-2020-5902 и по шкале CVSS, уязвимость соответствует наивысшему уровню опасности.
Затрагивает она интерфейс контроллера приложений BIG-IP.
Атака злоумышленником на уязвимый контроллер может быть выполнена удалённо и от имени неавторизованного юзера.
Выполнение произвольного кода приводит к вероятной раскрутке LFI и RCE
Последнее легко реализуется,если компоненты системы настроены некорректно и выходят за пределы каталога.
А c помощью произвольного кода java можно создавать и удалять файлы на хосте.
Информация предоставлена исключительно в рамках ознакомления и изучения проблем безопасности.
Запрещено применять рассматриваемые методики атак в...
Статья Реверсная история о локальных похождениях Алексея: девятая симфония об одержимом
Да старт дадим мы новому творению с такой грустной ноты, а дело кроется всё в том, что я воистину разочарован. Загуглив одно с названий своей статьи , мне удалось обнаружить уйму ресурсов, куда псевдотворение моё просочилось. Естественно в большинстве случаев с указанным копирайтингом и ссылочкой на оригинал, что не может не радовать, ибо статья продвигается за счёт других ресурсов, считайте её популяризируют в разных слоях общества. Но монетка, имеющая две стороны , не может падать всегда орлом, как и её ребро не станет главной мастью, есть умники, которые находят намного легче для себя банально скопировать и вставить, написав в конце , что именно они являются авторами и, скорее всего, сгребая с полки какой-то профит... Неприятно однако, да пусть.
Данная статья есть логическим...
Статья Системные таймеры. Часть[6] - Основы профилирования кода
Профайлер это инструмент, при помощи которого можно определить время исполнения некоторого участка кода. Зачем это нужно? В первую очередь для оптимизации программ, и лишь потом любопытство и всё остальное. Поскольку в каждый момент времени многозадачная система далеко не стабильна, мы сталкиваемся здесь со-множеством проблем этического характера. Windows если и хочет сделать вид, что справляется со всеми задачами сразу, только у неё это плохо получается.. тем более, когда речь заходит о тесте производительности в пользовательском режиме. Профилирование требует к себе особого внимания, что для системы большая роскошь. Обсуждению этих проблем и посвящена данная статья.
---------------------------------------------
Аппаратные проблемы – конвейер CPU
Хотим мы того или нет, но профилируемый код рано-или-поздно попадёт в конвейер процессора. Это устройство уровня микроархитектуры...
---------------------------------------------
Аппаратные проблемы – конвейер CPU
Хотим мы того или нет, но профилируемый код рано-или-поздно попадёт в конвейер процессора. Это устройство уровня микроархитектуры...
Статья Поиск авторизации аккаунтов в приложении Instagram
Всем привет)
Попалась мне в руки папка с данными приложения Instagram (com.instagram.android) с ОС Android и логин пользователя который использовал это приложения но информация о нем есть в двух файлах :
Первым делом сразу отправился смотреть информацию в файлах БД:
Попалась мне в руки папка с данными приложения Instagram (com.instagram.android) с ОС Android и логин пользователя который использовал это приложения но информация о нем есть в двух файлах :
- com.instagram.android/app_webview/Default/IndexedDB/https_i.instagram.com_0.indexeddb.leveldb/000003.log;
- com.instagram.android/app_browser_proc_webview/Default/IndexedDB/https_www.instagram.com_0.indexeddb.leveldb/000003.log.
- com.instagram.android\databases\direct.db;
- com.instagram.android\databases\fileregistry.db;
- com.instagram.android\databases\transactions.db...
Статья Фаззинг веб-приложений на практике
Одна из стадий аудита веб-приложений – это, как известно, фаззинг. В данной статье я хочу рассказать о практической стороне фаззинга, показать, как это работает, и как искать баги, используя данную технику тестирования веб-приложений. Также рассмотрю некоторые средства автоматизации и программу “Fuzzer”, которая призвана частично автоматизировать процесс фаззинга веб-приложения. Статья будет полезна для специалистов уровня Junior.
Чтобы иметь общее представление о фаззинге, необходимо затронуть теоретическую часть и ответить на ряд вопросов.
Что такое фаззинг?
Фаззинг – это техника тестирования приложений путем передачи на вход приложения различных специально сгенерированных данных.
Какие цели преследует фаззинг?
Чтобы иметь общее представление о фаззинге, необходимо затронуть теоретическую часть и ответить на ряд вопросов.
Что такое фаззинг?
Фаззинг – это техника тестирования приложений путем передачи на вход приложения различных специально сгенерированных данных.
Какие цели преследует фаззинг?
- поиск аномального поведения веб-приложения;
- исследование уязвимостей методом ошибок (увидели ошибку, изучили ошибку, поняли, что привело к данной...
Codeby Games CTF
Категории блога
Наши курсы
Наши книги
