Codeby

06 July 2023 09:17

​bWaPP #2 Уязвимость HTML Injection — Reflected (POST) уровень (Low). Боль, слезы и этичный хакинг

Доброго дня! Продолжим разбирать HTML Injection — Reflected (POST). Как известно, опыта много не бывает. Давайте вместе рассмотрим и подумаем над решением новой задачи. Так что, закатывайте рукава!

📌 Читать далее

#learning #pentest #bwapp

Codeby

04 July 2023 17:17

​Создаём пароли методом крестражей

Приветствую всех читателей данной статьи! Перед тем как начать, хотел бы задать вам несколько вопросов. Как часто вы думаете о том, как вас могут взломать или угнать аккаунт из какой-либо социальной сети? Лично я думаю об этом всегда. Можно сказать, что я параноик и вы будете абсолютно правы. Но давайте теперь ответим на следующий вопрос: есть ли нам что скрывать? И здесь безусловно ответ положительный, всем нам есть что скрывать. Если я слышу от человека: "Мне нечего скрывать", я знаю что этот человек ошибается. Все мы что-то скрываем: будь это фотографии, видео, документы, мнение о других, планы, свои мысли. Поэтому не стоит заниматься самообманом, а нужно защищать свои секреты надёжным паролем, ведь именно в социальных сетях практически вся наша жизнь.

📌 Читать статью

#security #password #information

Codeby

03 July 2023 14:17

Мы запускаем летнее предложение - "Python для пентестера" + "Основы Python" со скидкой 20%.
Старая цена - 56 000 рублей, новая - 45 000 рублей.

Приобретайте наш Python-пакет с 3 июля по 13 июля.

✖️ Двойная выгода в одной покупке - оба курса нацелены на освоение навыков языка программирования в целом и его применении в сфере кибербезопасности одновременно. Вам не придётся самостоятельно искать материалы для обучения - всё это уже объединили для вас в нашей программе. Инструкторы укажут на недочёты выполнения домашних работ и помогут оптимизировать код.

💰 Вы точно не найдете более выгодного предложения, потому что наши курсы в среднем на 40% дешевле курсов других школ. Запишитесь до 13 июля →

Codeby

03 July 2023 09:17

​Как злоумышленники компрометируют внутреннюю инфраструктуру

Ежедневно мы видим сообщения о взломе и сливе данных той или иной компании. Терабайты данных, сливы паспортов и процветающая торговля информацией. В этой статье будут рассмотрены способы, которыми могут воспользоваться злоумышленники для взлома внутренней инфраструктуры, а также распространенные угрозы информационной безопасности. Эта статья написана в первую очередь для системных администраторов, работников SOC и начинающих пентетеров.

📌 Читать далее

#pentest #infrastructure

Codeby

01 July 2023 12:00

Предлагаем ознакомиться с самыми интересными Telegram-каналами в сфере информационной безопасности, OSINT и сетевых технологий:

• Social Engineering — самый крупный ресурс в Telegram, посвященный Информационной Безопасности, OSINT и Cоциальной Инженерии.

• Network Academy - большое количество уроков и статей по устройству компьютерных сетей. Кладезь информации для безопасника.

• Mycroft Intelligence - реальные кейсы и самые крутые инструменты OSINT от действующего корпоративного разведчика.

• Network Admin — обучающий канал по администрированию компьютерных сетей.

• Hack Proof — твой справочник в мире информационной безопасности. Доксинг, инструменты с github, книги, видеоуроки, пентест.

Codeby

30 June 2023 19:17

​Статья про инъекцию команд | Command Injection

Всем привет, сегодня я расскажу о достаточно простой, но интересной на мой взгляд уязвимости. Итак, давайте по порядку. Суть заключается во внедрении команд ОС в поле ввода. Важно отметить разницу между инъекцией кода и инъекцией команды. При инъекции кода хакер вставляет свой код, который в дальнейшем воспроизводится приложением или программой, тогда как командная инъекция может использовать преимущества среды приложения, в которой выполняются системные команды.

📌 Читать статью

#pentest #injection

Codeby

30 June 2023 09:17

​Эксплуатация уязвимости vsftpd на удаленной машине Metasploitable2 с помощью Kali Linux и metasploit

Я решил попробовать поучиться использовать Metasploit для эксплуатации уязвимостей. Для этого организовал небольшой тестовый стенд, скачал нужное и… А вот что было дальше, это уже ниже. Это мой первый опыт, а потому, хотелось бы сказать в свое, так сказать оправдание, если я что-то сделал совсем уж по нубски, словами Равшана и Джамшуда: «Прошу понять и простить...»

📌 Читать статью

#pentest #metasploit #ftp

Codeby

29 June 2023 14:07

​📱 Курс «Анализ защищенности приложений Андроид»

Старт: 10 июля
Продолжительность: 3 месяца

Курс позволяет изучить основы анализа мобильных приложений под ОС Android. Рассматривается устройство приложений Android, этапы создания мобильного приложения, приемы реверса и изменения кода.

Подробно рассмотрен поиск и эксплуатация уязвимостей в мобильных приложениях ОС Android.

🎓 Кому будет полезен курс:

— Новичкам с базовыми понятиями об алгоритмах и операционных системах;
— Специалистам по тестированию на проникновение, желающим лучше изучить анализ мобильных приложений;
— Разработчикам мобильных приложений, для повышения уровня защищённости разрабатываемых приложений.

🏆 Выдаём сертификат при успешной сдаче экзамена

📌 Узнать подробнее о курсе

Codeby

28 June 2023 19:17

​ASM. FAT32 – описание файловой системы

FAT датируется аж 1977-годом и пришла к нам из проприетарного DOS. Благодаря простой реализации, сейчас это способ хранения данных на таких носителях как USB-брелки, карты-памяти телефонов и ЦФК, в EFI для хранения кода загрузчика, в системах реального времени RTOS, и многое другое. В данной статье рассматриваются гендерные признаки зоопарка FAT, и в какую сущность превратила эволюция конкретно взятую FAT32. Детальный её разбор позволит понять алгоритм восстановления удалённых файлов, а так-же подтолкнёт на создание своих утилит форматирования, с широким спектром логической геометрии.

📌 Читать далее

#asm #fat32

Codeby

28 June 2023 09:17

​Змея в пакете. Создаем TLS соединение на Python

С появлением интернет технологий жизнь людей значительно упростилась. Все покупки, работу и другие дела можно выполнить не вставая из-за компьютера. Но вместе с этим пришли и те, кто хочет заполучить чужую конфиденциальную информацию. Чаще всего таких людей принято называть злоумышленниками. Самый простой пример их работы - это перехват трафика в публичном месте, к примеру кафе. Огромное количество людей, а значит много информации, которую можно вытащить, используя пару утилит. Но сегодня речь пойдет немного о другом. Я расскажу тебе, как защитить свою информацию при передаче, и как происходит сам процесс соединения между двумя устройствами. Обо всем по порядку.

📌 Читать далее

#programming #python #network

Codeby

27 June 2023 09:17

​Скрываясь на виду у всех. №1

В этой статье представлен высокоуровневый обзор трассировки стека. Того, как EDR/AV используют трассировку для обнаружения, использования телеметрии ETWTI. Рассмотрим то, что можно сделать для её обхода. Итак, прежде чем мы обсудим уклонение, давайте сначала поймем, почему трассировка стека важна для EDR.

📌 Читать далее

#malware #edr #vulnerability

Codeby

26 June 2023 11:17

🏆 Победители первой недели акции "Telegram Premium за Первую Кровь"

YoptaBit (@yoptabit) - Telegram Premium на 3 мес

CaXaRoK (@laktii) - Telegram Premium на 3 мес

kinoshi (@SilkShelby) - Telegram Premium на 12 мес

Марафон продлится до конца лета. У каждого из вас есть шанс стать следующим победителем и получить Telegram Premium!

Codeby

24 June 2023 11:02

🚩 Новые задания на CTF-платформе «Игры Кодебай»!

👨‍💻 Категория Администрирование — задание Лабиринт

⚙️ Категория Реверс-инжиниринг — задание Пончик

🔑 Категория Криптография — задание Загадка пятидесятилетия

Напоминаем об акции, приняв участие в которой вы можете получить Telegram Premium! /channel/codeby_sec/7487

Приятного хакинга!

💬 Чат CTF

Codeby

23 June 2023 11:17

Корпоративный HoneyPot. Необходимо ли опасаться хакерам и пентестерам?

Покрытие инфраструктуры ловушками достигло высокого уровня - обойти практически невозможно

Codeby

22 June 2023 19:17

​Назад в будущее. Как эволюционировал ратник Venom

Со времен первых компьютеров прошло достаточно большое количество времени. Тогда люди радовались каким-то мегабайтам на дискете, в то время как сейчас каждому пользователю требуется минимум один терабайт пространства на все нужды. Но даже в тех моментах из прошлого есть свои минусы. С первыми компьютерами появились и первые вредоносы. Вспомни сколько ущерба принес один червь Морис. Сейчас же технологии не стоят на месте, и проблема огромного количества малвари достаточно сильно терзает людей. В этой статье я не буду уходить слишком далеко и рассказывать о происхождении прародителей PetyA или WannaCry. Вместо этого тебе предстоит узнать, как далеко зашел достаточно популярный коммерческий ратник Venom. Обо всем по порядку, поэтому приступим к изучению.

📌 Читать далее

#reverse #analysis #malware

Codeby

05 July 2023 11:17

​Эксплуатация бинарных уязвимостей (PWN) для почти начинающих: простое переполнение буфера [0x01]

В начале была функция, и функция эта называлась gets, и функция использовалась в Си. А потом программы, которые использовали её, стали ломать. И ломали легко. Да и не только программы, а и аккаунты на машинах, запускающих их. В этом цикле статей мы постараемся понять, почему эти и многие другие программы стали ломать и как нам повторить это, эксплуатируя разные типы бинарных уязвимостей. Понимание и применение знаний по их эксплуатации позволит нам лучше понять, как не нужно писать код и как эксплуатировать тот код, что уже написан и скомпилирован.

📌 Читать далее

#beginner #reverse #pwn

Codeby

04 July 2023 09:17

​Прохождение HackTheBox - Soccer (Linux, Easy)

Приветствую, Кодебай! Сегодня пройдём Soccer - лёгкую линуксовую машину с площадки HackTheBox. Приятного чтения, друзья :)

📌 Читать статью

#writeup #htb

Codeby

03 July 2023 13:17

​🚩 Статус «Codeby Games» на форуме!

Для ТОП 10 игроков нашей CTF платформы создали эксклюзивный ВИП-статус на нашем форуме с доступом в Green и Grey разделы на 30 дней.

Подведение итогов в 20:00 в последний день каждого месяца, а уже на следующий день вы получите заслуженный статус.

Продемонстрируйте свои навыки и получите доступ к эксклюзивным материалам форума!

‼️ Для получения статуса необходимо в настройках профиля на платформе добавить username своего Telegram аккаунта.

Codeby

02 July 2023 11:17

🏆 Победители второй недели акции "Telegram Premium за Первую Кровь"

PixelDiZi (@Pixel_DiZi) - Telegram Premium на 3 мес

Forst (@Forst) - Telegram Premium на 6 мес

malwrecon (@malwrecon) - Telegram Premium на 6 мес

Марафон продлится до конца лета. У каждого из вас есть шанс стать следующим победителем и получить Telegram Premium

Codeby

01 July 2023 11:01

🚩 Новые задания на CTF-платформе «Игры Кодебай»!

🏆 Категория Квесты — задание Черновик

🎰 Категория Развлечения — задание Исходный код

🧰 Категория PWN — задание Они

Напоминаем об акции, приняв участие в которой вы можете получить Telegram Premium! /channel/codeby_sec/7487

Приятного хакинга!

💬 Чат CTF

Codeby

30 June 2023 15:07

🔥 VK удваивает баунти по программе «Почта, Облако и Календарь Mail․ru»

Максимальное вознаграждение за найденную уязвимость составит 7,2 млн рублей (сможете купить себе несколько «Москвичей» в разных цветах и менять их по настроению).

Успейте сорвать куш с 30 июня до 30 июля!

✖️ Размер вознаграждения удваивается за все найденные уязвимости на стороне сервера.

💰 Багхантеры уже заработали по этой программе более 3 млн рублей. Сделать сервисы Mail․ru безопаснее, а себя богаче → bb.standoff365.com/programs/mail_vk

Codeby

29 June 2023 19:17

​Suffer injection или как я проходил курс SQLi master

Доброго времени суток, уважаемые форумчане. Прошло 10 дней с момента сдачи экзамена в рамках Suffer SQL injection master - можно выдохнуть и спокойно, без горячки, написать отзыв о курсе да и вообще вспомнить как это было. Курс длился в общей сложности 3 месяца. С какими мыслями я пришел на курс? Начитавшись отзывов о том, что идти на WAPT без прохождения SQLim - формальное самоубийство, я решил не испытывать судьбу и не лезть вперед батьки в пекло.

📌 Читать статью

#review #school #feedback

Codeby

29 June 2023 09:17

​Охота на старые уязвимости. Каковы шансы быть взломанным инструментами прошлого

Привет, Codeby. В последнее время в новостях то и дело можно заметить разные заметки о взломах и других действиях хакеров, но о критических уязвимостей нулевого дня, способных поставить под удар безопасность мира - ни слова. А ты никогда, дорогой читатель, не думал, что современные методы никак не требуют современных решений? Вдруг злоумышленники все это время использовали давно забытые методы и пути... Так ли это на самом деле? В этой заметке как раз и разберемся.

📌 Читать далее

#pentest #vulnerability

Codeby

28 June 2023 11:17

​💉 SQL Injection Master - самый полный курс по SQL инъекциям

Старт: 10 июля
Продолжительность: 3 месяца

На курсе подробно разберём эксплуатацию SQL-инъекций, одного из наиболее распространенных и опасных видов атак на веб-приложения. Вы узнаете не только о том, как обнаруживать и эксплуатировать уязвимости SQL-инъекции, но и как защитить свои системы от подобных атак.

Курс будет полезен как новичкам в сфере информационной безопасности, так и продвинутым специалистам.

🎓 В ходе обучения вы научитесь:

- Базовым навыки работы с SQL
- Поиску уязвимостей в базах данных
- Внедрение произвольного SQL-кода в уязвимые приложения

Наш курс разработан при поддержке четырехкратных победителей Standoff. А еще у нашего курса нет аналогов в СНГ и англоязычном пространстве.

🏆 Выдаём сертификат при успешной сдаче экзамена

📌 Узнать подробнее о курсе

Codeby

27 June 2023 19:17

​Разбор задания "Финский инсайдер" с площадки Игры Кодебай

Всем привет! Рассмотрим задачу «Финский инсайдер» с площадки codeby.games из раздела OSINT. Для начала выделим факты из текста задания и попытаемся выяснить, сколько вообще финских компаний работает в России. Далее имена, хеши, адреса сайтов и электронных почт изменены

📌 Читать далее

#pentest #ctf #writeup

Codeby

26 June 2023 19:17

​Освежает иногда, в зной холодная вода. PoC CVE-2022-48422. OnlyOffice 7.3

Ку, киберрекруты. Данная статья посвящена CVE-2022-48422. Данная уязвимость была обнаружена в ONLYOFFICE-DocumentServer-7.3.0 и дает возможность получить привелегии через троянского коня libgcc_s.so.1 в текущем рабочем каталоге, которым может быть любой каталог, в котором находится документ ONLYOFFICE. Однако, в данном чтиве просто попробую получить краш. Думаю, это явялется хорошей практикой для пывна рил кейсов.

📌 Читать далее

#reverse #cve #pwn

Codeby

26 June 2023 09:17

​Обзор Linux Kodachi

Приветствую вас, дорогие читатели! Сегодня хочу обозреть для вас такой необычный дистрибутив Linux под названием Kodachi. Данная система заточена под анонимизацию вашего сетевого трафика, тем самым сохраняя вашу конфиденциальность в сети. Так же ничего не мешает использовать её в обход каких-либо блокировок.

📌 Читать далее

#linux #software

Codeby

23 June 2023 19:17

​Используем двухэтапную (двухфакторную) аутентификацию в Python

Двухфакторную аутентификацию в том или ином виде используют уже довольно давно. Изначально, данный способ предусматривал аутентификацию с помощью SMS-кода. Однако, такой способ не является достаточно надежным, поэтому с некоторых пор стали использовать аутентификацию на базе одноразового пароля. Не обязательно он должен отправляться на смартфон клиента. Возможны и другие решения. Давайте рассмотрим способ реализации аутентификации такого рода с помощью Python.

📌 Читать далее

#programming #python #otp

Codeby

23 June 2023 09:19

​Гуляем по сети. Анализ пользователя по его никнейму

Думаю все прекрасно понимают, что сеть - это та же самая жизнь человека. Интернет-магазины заменяют магазины, а социальные сети буквально поглотили наше сознание и забрали время, что не удивительно. В интернете люди не всегда хотят делиться своим реальным именем и придумывают себе различные прозвища, а это довольно интересное занятие. Бывают случаи, когда никнеймы повторяются или используются огромное количество раз. Кажется, что у людей заканчивается фантазия или им просто лень придумывать что-то новое. Поэтому такое небрежное отношение к своей конфиденциальности может привести к весьма неприятный последствиям. Об этом мы и поговорим в нашей статье.

📌 Читать далее

#osint #information

Codeby

22 June 2023 09:17

​Флаги и таски. Введение в CTF для самых маленьких

В самом начале, когда только зарождалось понятие "хакер" люди связывали это слово с преступлениями и чем-то противозаконным. Сейчас же за любую дыру в системе компании готовы платить огромные деньги. Поиск уязвимостей стал сложнее, а компаний все больше. В пример можно привести площадку HackerOne. Но прежде чем на ней работать, потребуются определенные знания и тренировки. Где их искать? Все очень просто. Требуется всего лишь прохождение CTF. Что это такое и как с этим работать я расскажу в этой статье.

📌 Читать далее

#beginner #ctf