Крупнейшее ИБ сообщество ру-сегмента Чат: @codeby_one Форум: codeby.net Обучение: codeby.school Пентест: codeby.one CTF: codeby.games VK: vk.com/codeby YT: clck.ru/XG99c Сотрудничество: @KinWiz Номер заявления для регистрации канала в РКН: 5035340278
Перезагрузим — и всё починится!
А через час: все логи стёрты, злоумышленник остался в сети, а босс требует отчёт. Знакомо?
Топ-5 фатальных ошибок при кибератаке, которые совершают даже опытные специалисты:
🟧 Паническая перезагрузка — теряем ключи шифрования и следы атаки в оперативке
🟧 Удаление "вирусов" без анализа — как сжечь вещдоки на месте преступления
🟧 Слепое восстановление из бэкапа — рискуем вернуть в систему того же злоумышленника
🟧 "Лечим" только один сервер — пока атака уже ползёт по всей сети
🟧 Ноль документации — потом никто не может понять, что вообще произошло
Как правильно?
✅ Изолировать, но не выключать
✅ Снимать дамп памяти и образы дисков
✅ Искать корень проблемы, а не симптомы
✅ Проверять ВСЕ системы, а не одну
✅ Фиксировать каждый шаг
Полный разбор ошибок и алгоритм действий в новой статье!
🟧 Читать полностью
Хотите отрабатывать такие сценарии на практике?
🟧 Успейте записаться по старой цене.
🚀 @Codeby_Academy
Legion
Legion - это фреймворк для сетевого сканирования и тестирования на проникновение с модульной и расширяемой архитектурой. Он позволяет быстро собирать информацию о целевых хостах, выявлять открытые порты, сервисы и уязвимости.
Он прост в использовании и позволяет интегрировать различные инструменты для более эффективного анализа безопасности.
💡Основные возможности и функции:
⏺️Модульная архитектура
⏺️Сканирование сетей
⏺️Обнаружение уязвимостей
⏺️Интеграция с другими инструментами
⏺️Поддержка плагинов
⏺️Автоматизация задач
⏺️Поддержка различных протоколов
📎Установка:
Инструмент уже предустановлен в Kali Linux, способ установки для других систем:
git clone https://gitlab.com/kalilinux/packages/legion.git
sudo apt-get install legion
sudo legion
⚡️Отличные новости для читателей Codeby и S.E.: разыгрываем подписку на Hackerlab, годовую подписку на журнал "Хакер" и книги по этичному хакингу.
Условия очень просты:
• Подписаться на наш канал: Codeby.
• Подписаться на канал наших друзей: Infosec.
• Нажать на кнопку «Участвовать»;
• Ждать результат...
• 1-25 место: Месяц бесплатной подписки на HackerLab.
• 26-30 место: годовая подписка на журнал "Хакер".
• 31-35 место: пак книг по этичному хакингу в бумажной версии:
- Сети глазами хакера;
- Библия социальной инженерии;
- Веб-сервер глазами хакера. 4-е изд;
- Linux глазами хакера.
• 35 (!) призовых мест, итоги подведем 17 июня, в 18:30 по московскому времени, с помощью бота, который рандомно выберет победителей. Доставка для победителей бесплатная в зоне действия СДЭК.
Бот может немного подвиснуть — не переживайте! В таком случае просто нажмите еще раз на кнопку «Участвовать».
Nullinux: Утилита для Раскрытия Общих Ресурсов Windows
Nullinux — это мощный инструмент для аудита безопасности, предназначенный для раскрытия общих ресурсов Windows через нулевые сеансы. Он разработан, чтобы помочь специалистам по информационной безопасности и администраторам систем выявить потенциальные слабости в конфигурации общих ресурсов и ограничениях доступа.
git clone https://github.com/m8sec/nullinux.git
cd nullinux
sudo bash setup.sh
nullinux 192.168.1.10
nullinux -u anonymous -v -p 139-445 127.0.0.1
-u anonymous
- Указывает имя пользователя для подключения. Здесь используется анонимный доступ без пароля.-v
- Включает подробный вывод (verbose), чтобы отображать больше информации о процессе анализа.-p 139-445
- Определяет диапазон портов для сканирования.
Читать полностью…
Recon-ng
Recon-ng — это полнофункциональный фреймворк веб-разведки, написанный на Python. В комплекте с независимыми модулями, взаимодействием с базой данных, встроенными удобными функциями, интерактивной справкой и завершением команд, Recon-ng предоставляет мощную среду, в которой можно быстро и тщательно проводить веб-разведку с открытым исходным кодом. Recon-ng имеет внешний вид и поведение, схожие с Metasploit Framework.
💡Характеристики:
⏺️Модульная структура - Утилита имеет множество модулей, которые можно загружать и использовать для различных задач.
⏺️Интерфейс - Удобен для пользователей с опытом в Metasploit.
⏺️Автоматизация - Позволяет автоматизировать сбор информации из открытых источников.
⏺️Интерактивная консоль - Предоставляет функции автозаполнения команд и контекстной помощи.
📎Установка:
Инструмент уже предустановлен в Kali Linux, способ установки для других систем:
git clone https://salsa.debian.org/pkg-security-team/recon-ng.git
sudo apt-get install recon-ng
marketplace install all
workspaces create [NAME]
db insert domains
show domains
modules load recon/domains-hosts/brute_hosts
runЧитать полностью…
🟧🟧🟧🟧 Последний шанс записаться по старой цене! Со следующего потока стоимость курса повысится.
🟧 Хотите научиться взламывать корпоративные сети, как это делают профи на The Standoff? Освойте пентест Active Directory на полигоне из 30+ боевых машин. Только практические атаки, никакой воды.
🟧 Начать обучение
Из курса вы узнаете:
🟧Как незаметно закрепиться в AD и двигаться по сети
🟧Как найти критичные точки в инфраструктуре и выжать из них максимум
🟧Как используют Kerberoasting, NTLM relay, атаки на CA и многое другое
🟧🟧🟧🟧 Доступ к 20+ заданиям по AD на hackerlab.pro при записи на курс!
🟧 Запись до 9 июня — потом цена вырастет. Успейте попасть на поток с выгодой!
🟧 Регистрация
🚀 @Codeby_Academy
Kerbrute: Инструмент для работы с Kerberos-аутентификацией
Kerbrute — это высокопроизводительный инструмент для проверки аутентификации и выявления действительных учетных записей Active Directory через предварительную проверку подлинности Kerberos. Эта утилита, написанная на Go, предназначена для проведения анализа и атак на Kerberos, включая поиск пользователей, перебор паролей и аудит конфигурации доменных сетей.
go get github.com/ropnop/kerbrute
make all
./dist/kerbrute_linux_amd64
./kerbrute_linux_amd64 userenum -d example.com usernames.txt```
./kerbrute_linux_amd64 passwordspray -d example.com domain_users.txt Passwor
./kerbrute bruteforce -d example.com userlist.txt passwords.txtЧитать полностью…
Chkrootkit
Сканер безопасности chkrootkit ищет признаки того, что система заражена руткитом.
Руткиты — это форма вредоносного ПО, которая пытается использовать уязвимости безопасности для предоставления несанкционированного доступа к компьютеру или его службам, как правило, в вредоносных целях.
sudo apt-get install chkrootkit
sudo chkrootkit
Как стать пентестером с нуля: пошаговое руководство для новичков
Хотите освоить этичный хакинг и начать карьеру в кибербезопасности? 😎
Мы собрали полный гайд, как войти в профессию пентестера: от базовых знаний до сертификаций и первых заказов.
📌 Внутри статьи:
▪️ что такое пентест и с чего начать;
▪️ какие навыки нужны (сети, Linux, Python, веб-безопасность);
▪️ обзор ключевых инструментов: Nmap, Burp Suite, Metasploit и др.;
▪️ участие в CTF и Bug Bounty;
▪️ сертификации: CWAP, OSCP, eJPT;
▪️ как собрать портфолио и найти первую работу.
🔴 Статья для тех, кто хочет начать путь в кибербез. Читать полностью.
Aquatone — это популярный инструмент для анализа доменов и визуализации инфраструктуры веб-приложений.
❓ Что такое Aquatone?
Aquatone — это инструмент командной строки, который автоматически собирает информацию о доменах и их субдоменах. Он делает это путём захвата скриншотов, анализа HTTP-заголовков и структурирования данных в удобной визуальной форме.
⚡️ Основные функции Aquatone
1️⃣ Сканирование доменов и субдоменов
Aquatone анализирует список субдоменов и делает скриншоты для каждого из них, помогая быстро выявить активные цели.
2️⃣ Сбор HTTP-заголовков
Утилита получает заголовки HTTP-ответов, что помогает лучше понять, как настроены серверы и приложения.
3️⃣ Визуализация структуры
Все данные организуются в отчёт с визуальным представлением, включая миниатюры веб-сайтов.
4️⃣ Поддержка многопоточности
Aquatone может работать с большими объёмами данных благодаря поддержке параллельной обработки запросов.
5️⃣ Гибкость конфигурации
Утилита поддерживает множество настроек, включая выбор браузера и агентов, количество потоков и время ожидания ответа.
⬇️ Установка
Для установки Aquatone выполните следующие команды:
➡️ Убедитесь, что у вас установлен Go:
sudo apt install golang
go install github.com/michenriksen/aquatone@latest
aquatone --version
cat domains.txt | aquatone
cat domains.txt | aquatone -threads 10 -timeout 5000
amass enum -d example.com | aquatone
subfinder -d example.com | aquatone
Читать полностью…
tcpdump
Эта программа позволяет вам выгружать трафик в сети. tcpdump может проверять IPv4, ICMPv4, IPv6, ICMPv6, UDP, TCP, SNMP, AFS BGP, RIP, PIM, DVMRP, IGMP, SMB, OSPF, NFS и многие другие типы пакетов.
Его можно использовать для распечатки заголовков пакетов на сетевом интерфейсе, фильтрации пакетов, соответствующих определенному выражению. Вы можете использовать этот инструмент для отслеживания сетевых проблем, обнаружения атак или мониторинга сетевой активности.
💡Возможности:
⏺️Захватывать пакеты
⏺️Фильтровать трафик
⏺️Анализировать заголовки
⏺️Мониторитль сетевую активность
⏺️Диагностировать сетевые проблемы
📎Установка:
Инструмент уже есть в Kali Linux, но также доступен открытый код:
git clone https://github.com/the-tcpdump-group/tcpdump.git
cd tcpdump
tcpdump
tcpdump -D
tcpdump -i [INTERFACE] host [IP]
tcpdump -i [INTERFACE] port [PORT]
tcpdump -i [INTERFACE] [PROTOKOL]
tcpdump -i [INTERFACE] -vv
tcpdump -i [INTERFACE] src [FIRST_IP] and dst [SECOND_IP]
tcpdump -i [INTERFACE] udp
▶️ Друзья, ждём вас уже сегодня в 19:00 МСК, если вы:
🟧 Хотите понять, как работают C2-фреймворки (Sliver, Covenant)
🟧 Мечтаете научиться тестировать сети как настоящие APT-группы
🟧 Боитесь сложностей с настройкой агентов и обходом защиты
🟧 Хотите освоить lateral movement в Active Directory
🟧 Регистрация
Все участники получат:
🟧 Чек-лист «Топ-5 инструментов для пентеста C2»
🟧 Доступ к записи + разбор вопросов с экспертом
🟧 Подарок — только для участников!
Ведущий: Андрей Хомлюк (RHTxF13xSHD) — победитель Standoff 12-13, 15 лет в IT, эксперт по AD и CTF.
Успейте зарегистрироваться и получить ссылку на эфир в обратном письме! 😎 Регистрация здесь.
🚀 Трудности с регистрацией? Пишите @Codeby_Academy
🍪 OtterCookie: что это за угроза и почему она стала опаснее?
OtterCookie – это вредоносная программа (malware), которая изначально создавалась для кражи файлов cookies (куки) из браузеров. Эти файлы содержат данные для авторизации в соцсетях, почте, банковских сервисах и других аккаунтах.🔽 История OtterCookie
Ещё в 2023 году исследователи заметили, что OtterCookie начал анализировать активные сессии в браузерах. Это позволяло киберпреступникам продлевать доступ к аккаунтам, даже если жертва меняла пароль. Тогда же появились первые признаки того, что вредонос пытается обходить 2FA (двухфакторную аутентификацию).
🕵️♀️ MetaDetective — инструмент для извлечения и анализа метаданных из файлов и веб-сайтов. Вдохновляясь такими базовыми инструментами, как Metagoofil, MetaDetective представляет собой обновлённую и улучшенную версию. Помимо простого извлечения данных, инструмент может тщательно классифицировать и отображать метаданные.
MetaDetective выполняет прямой веб-скрапинг целевых сайтов, извлекая метаданные из HTML-страниц. Имеет бесшовную интеграцию с Metagoofil.
🐍 Установка
git clone https://github.com/franckferman/MetaDetective.git
cd MetaDetective
python3 -m venv MetaDetectiveEnv
source MetaDetectiveEnv/bin/activate
pip install MetaDetective
python3 src/MetaDetective/MetaDetective.py -d examples/ --export
python3 src/MetaDetective/MetaDetective.py --scraping --scan --url https://example.com/ --extensions pdf
python3 src/MetaDetective/MetaDetective.py --scraping --depth 2 --download-dir ~ --url https://example.com/
mdk3
MDK — это инструмент проверки концепции для эксплуатации распространенных уязвимостей Wi-Fi.
💡Возможности:
⏺️Брутфорс MAC фильтров.
⏺️Перебор скрытых SSID (включая несколько небольших списков слов SSID).
⏺️Проверка сетей на наличие слуха.
⏺️Интеллектуальная аутентификация-DoS для заморозки точек доступа (с проверкой успешности).
⏺️Отказ в обслуживании WPA TKIP.
⏺️WDS Confusion — отключение крупномасштабных установок с несколькими точками доступа.
📎Установка:
sudo apt-get install mdk3
git clone https://github.com/charlesxsh/mdk3-master.git
cd mdk3-master
mdk3 [INTERFACE] d -c 6 -b [MAC]
mdk3 [INTERFACE] a -c 6
mdk3 [INTERFACE] s
mdk3 [INTERFACE] f -c 6 -e "FreeWIFI"Читать полностью…
🗣️ Кибератак стало в 2,5 раза больше. А цена на курс — скоро вырастет.
По данным за 2024 год:
🟧 число атак на российские компании выросло в 2,5 раза
🟧 доля заказных атак — с 10% до 44%.
Вывод? Blue Team-специалисты — на вес золота.
А вы можете стать таким специалистом — с ближайшим потоком по старой цене.
🟧 9 июня 🟧 77 990 ₽ 57 990 ₽ 🟧 Сертификат
🟧 Записаться сейчас
На курсе вы научитесь:
🟧 Собирать дампы памяти (Windows и Linux)
🟧 Анализировать логи и артефакты вредоносных программ
🟧 Работать с SIEM, реагировать на инциденты
🟧 Делать malware-анализ
🟧 Проводить Threat Hunting и использовать TI
🟧🟧🟧🟧 Подписка на hackerlab.pro — 40+ заданий по форензике и реагированию
🚀 @Codeby_Academy
PyRIT: инструмент для автоматизации тестирования ИИ на безопасность
PyRIT (Python Risk Identification Toolkit) — это фреймворк с открытым исходным кодом от Microsoft Azure, предназначенный для автоматизации тестирования ИИ-систем на уязвимости и риски безопасности.
git clone https://github.com/Azure/PyRIT.git
cd PyRIT
pip install -r requirements.txt
😴 snoop🔍
Инструмент на Python, предназначенный для поиска по нику. Имеет собственную базу данных и специально разработанные алгоритмы. По части специализированного поиска Snoop способен конкурировать с традиционными поисковыми системами. Функционал инструмента простой и не требует от пользователя регистрации аккаунта, знаний, владением какими-либо техническими навыками. В кодовую базу Snoop Project входят плагины, которые позволяют работать с различными публичными данными: IPv4/IPv6; domain; url; GEO-
координаты; Яндекс сервисы.
В своей базе данных инструмент содержит более 5.2 тысячи интернет-ресурсов.
Доступен на платформах: Linux, Windows, Android.
💻 Установка:
Snoop поставляется готовыми сборками и не требует зависимостей или установки Python, то есть работает на чистой машине с OS Windows или GNU/Linux.
Скачиваем со страницы релизов нужную версию, распаковываем архив и даем права на выполнение файла:
unrar x Snoop_for_GNU_Linux.rar
chmod +x ~/snoop_cli.bin
git clone https://github.com/snooppr/snoop
cd ~/snoop
apt-get update && apt-get install python3 python3-pip
pip install --upgrade pip
python3 -m pip install -r requirements.txt
apt-get install fonts-noto-color-emoji
python3 snoop.py nickname1
Хотите попробовать себя в CTF, но не знаете, с чего начать?
Зачастую новички в инфобезе хотят участвовать в CTF, но сталкиваются с проблемами подготовки: какие навыки нужны, как собрать команду, с чего начать?
В этой статье мы доходчиво и наглядно разберём:
🟡Как собрать команду и распределить роли
🟡Где тренироваться (проверенные платформы)
🟡Основные форматы CTF (и какой выбрать новичку)
🟡На какие слабые места инфраструктуры в первую очередь обратить внимание
➡️ Читать подробнее
🚩Изучив материал, появится чёткое понимание того, как проходят подобные мероприятия, как добываются флаги и какие от требуются знания и навыки.
Вперёд за первым флагом!
Subfinder: инструмент для поиска поддоменов
Subfinder — это инструмент для обнаружения поддоменов, разработанный ProjectDiscovery. Инструмент стал популярным благодаря своей эффективности и простоте использования.
go install -v github.com/projectdiscovery/subfinder/v2/cmd/subfinder@latest
subfinder -d example.com
subfinder -d example.com -o subdomains.txt
subfinder -d example.com -all -o subdomains.txt
subfinder -d example.com -recursive -o subdomains.txt
Macchanger
GNU MAC Changer — это утилита, которая упрощает манипуляции с MAC-адресами сетевых интерфейсов.
MAC-адреса — это уникальные идентификаторы в сетях, они должны быть только уникальными, их можно изменить на большинстве сетевых устройств.
git clone https://salsa.debian.org/debian/macchanger.git
sudo apt-get install macchanger
ip link show
sudo ip link set dev <INTERFACE> down
sudo macchanger -r <INTERFACE>
sudo macchanger -m XX:XX:XX:XX:XX:XX <INTERFACE>
sudo ip link set dev <INTERFACE> up
ip link show <INTERFACE>
sudo macchanger -p <INTERFACE>
Имейте ввиду что изменение MAC-адреса может нарушить соединениеЧитать полностью…
CORScanner: инструмент для сканирования уязвимостей CORS
CORScanner — это инструмент с открытым исходным кодом, разработанный для автоматического обнаружения уязвимостей, связанных с механизмом CORS (Cross-Origin Resource Sharing). CORS — это важный механизм безопасности в веб-приложениях, но его неправильная настройка может привести к серьезным уязвимостям, таким как утечка данных и CSRF-атаки.
git clone https://github.com/chenjj/CORScanner.git
cd CORScanner
sudo pip install -r requirements.txt
python cors_scan.py -u https://example.com -o results.json
python cors_scan.py -u https://example.com
python cors_scan.py -i urls.txt -o results.json
python cors_scan.py -u example.com -p http://127.0.0.1:8080
python cors_scan.py -u https://api.example.com -t 10 -v -o cors_scan_results.json
[!] Vulnerable CORS found:
URL: https://example.com/api
Access-Control-Allow-Origin: *
Access-Control-Allow-Credentials: true
Читать полностью…
🚩 Итоги весеннего сезона на платформе HackerLab
Весенний сезон подошёл к концу, а это значит, что пришло время объявить победителей!
Призы:
🥇 Term1nal — Oculus Quest 3 512 GB
🥈 A1ERTA — Nintendo Switch OLED
🥉 marcus — Клавиатура Keychron Q5
4-10 место — 15% скидка на любой курс Академии Кодебай, 1 месяц подписки на HackerLab
Убедительная просьба к победителям сезона: в настройках профиля пользователя указать свой Telegram для связи!
Благодарим всех за участие и желаем удачи в летнем сезоне, который стартует 7 июня! ☀️
🚩 Новые задания на платформе HackerLab!
🖼 Категория Стеганография — Гибрид
🌍 Категория Веб — Revenge Upload
——————————————
🗂 В архив добавлены задания с прошлых соревнований + райтапы:
🟠Разное - Указатели
🟠Криптография - Загадочный шифр
Приятного хакинга!
🚩 Предотвращение XSS: как защитить сайт от межсайтового скриптинга
Межсайтовый скриптинг (XSS) — одна из самых опасных и распространённых уязвимостей в веб-приложениях. Через XSS злоумышленники могут воровать сессии, красть данные, внедрять вредоносный код и даже захватывать аккаунты ваших пользователей.
В большом гиде:
▪️ Какие бывают виды XSS (Reflected, Persistent, DOM-based, Self-XSS)
▪️ Как работает каждая атака на примерах
▪️ Что может сделать злоумышленник после успешной атаки
▪️ Комплексная защита: экранирование, CSP, HttpOnly, санитизация HTML, безопасная разработка
▪️ Какие инструменты использовать для тестирования и защиты
Если вы разрабатываете сайты — прочитать обязательно. Безопасность начинается с понимания.
➡️ Читать полное руководство
▶️ Друзья, уже через час стартует бесплатный вебинар «C2-серверы: как хакеры управляют взломанными системами» !
Все участники получат:
🟧 Чек-лист «Топ-5 инструментов для пентеста C2»
🟧 Доступ к записи + разбор вопросов с экспертом
🟧 Подарок — только для участников!
Ведущий: Андрей Хомлюк (RHTxF13xSHD) — победитель Standoff 12-13, 15 лет в IT, эксперт по AD и CTF.
Вы еще успеваете присоединиться! 😎
🔴 Регистрируйтесь здесь и получите ссылку на эфир в ответном письме.
🚀 Трудности с регистрацией? Пишите @Codeby_Academy
🔭 onionscan — инструмент, написанный на Go, с открытым исходным кодом для исследования даркнета.
Создан для помощи исследователям и специалистам по мониторингу и отслеживанию сайтов даркнета. Также помогает в нахождении и устранении проблем безопасности, выявлении утечек конфиденциальной информации и др.
💱 Установка
Для установки клонируем репозиторий, добавляем недостающие зависимости и компилируем проект:
git clone https://github.com/s-rah/onionscan.git
cd onionscan
go get github.com/HouzuoGuo/tiedot/db
go get github.com/rwcarlsen/goexif/exif
go get github.com/rwcarlsen/goexif/tiff
go get golang.org/x/net/html
go get golang.org/x/net/proxy
go get golang.org/x/crypto/openpgp
go get golang.org/x/crypto/ssh
go get golang.org/x/crypto/ssh/terminal
go mod tidy
go build -o onionscan .
./onionscan http://example.onion
./onionscan --torProxyAddress=127.0.0.1:9050 --verbose http://example.onion
onionscan --jsonReport notarealhiddenservice.onion
🟧 Кибератак стало в 2,5 раза больше. Вы готовы защититься?
За 2024 год число атак на российские компании выросло в 2,5 раза, а доля заказных атак подскочила с 10% до 44%. Blue Team — ваш шанс стать специалистом, которого ищут ИТ-отделы прямо сейчас.
Ждем вас 9 июня. Регистрация 🟧
🟧🟧🟧🟧 Подписка на hackerlab.pro — 40+ заданий из раздела Форензика и многое другое!
Вы научитесь:
🟧Собирать дампы памяти с Linux и Windows
🟧Анализировать логи безопасности и артефакты ВПО
🟧Работать с SIEM и реагировать на инциденты
🟧Проводить анализ вредоносного ПО
🟧Использовать Threat Intelligence и проводить Threat Hunting
По всем вопросам пишите 🚀 @Codeby_Academy
Последние обновления Microsoft для более простого и безопасного входа в систему. За последнее десятилетие были замечены две важные взаимосвязанные тенденции: люди всё чаще привыкают входить в свои устройства без паролей, а количество кибератак, основанных на паролях, резко возросло.
🌌 Путь к входу без пароля
Десять лет назад у Microsoft появилась смелая идея. Вместо того чтобы входить в систему с помощью неуклюжих и ненадёжных паролей, что, если бы вы могли просто улыбнуться?
Руководствуясь этим видением, Microsoft представила Windows Hello — новый способ безопасного входа в учётную запись с помощью распознавания лица, отпечатка пальца или PIN-кода. Windows Hello помогла заложить основу для совершенно новой эры аутентификации. Сегодня более 99% людей, которые входят в свои учётные записи Microsoft на устройствах Windows, делают это с помощью Windows Hello.
🍽 Однако по мере развития мира и нашей цифровой жизни стало ясно, что простого входа в устройство без пароля недостаточно. Чтобы обеспечить безопасность своей цифровой жизни, пользователям нужен способ входа в любую учётную запись без пароля. В рамках общеотраслевых усилий Microsoft тесно сотрудничала с FIDO Alliance и партнёрами по платформам для разработки passkeys — основанного на стандартах метода аутентификации, устойчивого к фишингу, который заменяет пароли.
Теперь у пользователей есть возможность войти в любое поддерживаемое приложение или на любой поддерживаемый веб-сайт с помощью ключа доступа, используя своё лицо, отпечаток пальца или PIN-код. Сотни веб-сайтов, представляющих миллиарды учётных записей, теперь поддерживают вход с помощью ключа доступа.
Новые изменения
1️⃣ Новый дизайн модернизирован и оптимизирован, в нем приоритет отдается методам входа в систему и регистрации без использования пароля.
2️⃣ Новые учетные записи Microsoft теперь будут по умолчанию без пароля. У новых пользователей будет несколько вариантов входа в свою учетную запись без пароля, и им никогда не потребуется вводить пароль. Существующие пользователи могут зайти в настройки своей учетной записи, чтобы удалить свой пароль.
3️⃣Вместо того, чтобы показывать пользователю все возможные способы входа, Microsoft автоматически определяет наиболее подходящий способ для вашей учетной записи и устанавливает его по умолчанию.
🟧 Яндекс удваивает выплаты за баги — теперь до 3 млн рублей!
Компания объявила о значительном расширении своей программы вознаграждений за обнаружение уязвимостей в программе «Охота за ошибками». Максимальная выплата за найденные уязвимости в ключевых сервисах выросла в 2 раза — с 1,5 до 3 млн рублей.
Что изменилось?
🟧 Особый фокус на уязвимости в Яндекс Почте, Яндекс ID и Yandex Cloud.
🟧 Баги в RCE и Virtual Machine escape теперь оцениваются в 3 млн. рублей.
🟧 Выросли выплаты за SQL-инъекции.
Яндекс отдаст приоритет всем присланным критическим ошибкам и оперативно их исправит.