​​Современные web-уязвимости (3.Username Enumeration – SSN)

В 2020 году уязвимости получения имен пользователей (username enumeration) по-прежнему широко распространены. Многие компании отказываются исправлять эти недостатки из-за страха перед негативным влиянием на прибыль и удобство пользователей. Вместо того, чтобы рассматривать примеры username enumeration, которые хорошо описаны во многих книгах и онлайн, давайте рассмотрим более эффективный и продвинутый сценарий. С повсеместным использованием фреймворков JavaScript большая часть логики приложений была перенесена со стороны сервера (бекенд) на сторону клиента (фронтенд). Искусственный интеллект закрепляется в инструментах служб безопасности (синей команды). Все больше и больше компаний полагаются на обфускацию и готовые решения по безопасности для предотвращения эксплуатации уязвимостей, которые могли бы быть легко устранены несколькими строчками в серверной логике.

Читать: https://codeby.net/threads/sovremennye-web-ujazvimosti-3-username-enumeration-ssn.77394/

#pentest #research #web

​​Современные web-уязвимости (2.Host Header Injection)

В то время пока работает новая схема пассивного дохода Юрия (описанная в предыдущей главе), он решает поискать другую уязвимость на GitHub. На домашней странице GitHub он выполняет поиск «$SERVERSERVER ['HTTPHOST']». Для тех, кто с PHP не знаком, $SERVERSERVER - это зарезервированная переменная, содержащая массив заголовков HTTP, путей (paths) и местоположений скриптов. Переменная $SERVER$SERVER 'HTTP_HOST' получает заголовок хоста из веб-запроса (request), отправленного в приложение.
Снимок экрана, показывающий результаты поиска GitHub:

Читать: https://codeby.net/threads/sovremennye-web-ujazvimosti-2-host-header-injection.77349/

#pentest #research #web

Каким будет юбилейный PHD, чего от него ждут участники и почему он так важен для IT-сообщества и бизнеса? Ответы на эти и другие вопросы – в роликах наших партнёров.

😎 Впервые на Positive Hack Days в качестве технологического партнера выступает знаменитый фуд-ритейлер, российская сеть продуктовых супермаркетов «Азбука вкуса» 🖤 – компания, которая первая в ритейл-сегменте запустила программу bug bounty. На The Standoff «Азбука вкуса» организует магазин с кассовым узлом, системой лояльности и ERP-системами и предложит участникам Bug Hunting Village пошопиться поискать в них уязвимости и дыры безопасности за вознаграждение. Приходите на PHDays 10, будет необычно!

Руководитель отдела информационной безопасности Азбуки вкуса Дмитрий Кузеванов участникам Positive Hack Days 👇🏼

https://youtu.be/7L_OdKZc9EI

​​Делаем MiniPwner из Orange Pi Zero или на что годен апельсин

Недавно я приобрел себе плату Orange Pi Zero. Размер платы всего 46 x 48мм. Я давно хотел сделать MiniPwner. Так давайте попробуем сделать эту игрушку. MiniPwner это небольшое устройство, при незаметном подключение этого устройства к сети которую вы хотите атаковать мы получите доступ 100% доступ к сети.

Читать: https://codeby.net/threads/delaem-minipwner-iz-orange-pi-zero-ili-na-chto-goden-apelsin.62231/

#pi #armbian #lan

​​Адаптеры для пентестера в свободной продаже

Привет всем! Начну тему с описанием и тестированием на себе адаптеров из своболной продажи в наших магазинах без всяких Китайских рынков, с которых ждать долго и получаешь порой не совсем нужное. Тестирую на ос Kali и Parrot установленные как на VirtualBox так и в живую. airgeddon как основная утилита для хендшейка и wps

Читать: https://codeby.net/threads/adaptery-dlja-pentestera-v-svobodnoj-prodazhe.62224/

#pentest #wifi #adapter

​​SocialFish фишинговая атака с помощью Ngrok

Приветствую Друзей,Уважаемых Форумчан и Гоcтей форума. Сегодня мы рассмотрим и поговорим о ещё одном способе метода фишинговой атаки. Основана она на злоупотреблении сервисом Ngrok. Как известно,сервис позволяет осуществить проброс локального вашего веб-сервиса. Задуман он для того,чтобы разработчики смогли поделиться между собой какими-то работами,посмотреть их,продемонстрировать c любой точки планеты. А мы,в свою очередь,будем говорить о том ,как можно атаковать,используя ту лёгкость ,с которой позволяет Ngrok в глобальной сети увидеть вашу фишинговую страницу.

Читать: https://codeby.net/threads/socialfish-fishingovaja-ataka-s-pomoschju-ngrok.62104/

#phishing #ngrok #se

​​[Python для хакера] - Часть 1. Начало.

Всех приветствую дорогие друзья! Долго думая, я решил начать цикл статей по сами знаете какой теме. В этой части я посмотрю , нужно ли вам это вообще. Вести я буду этот цикл параллельно с простыми уроками по питону. И собственно проводить в этом разделе. Т.к. относится это к хеку. Начнем)

Читать: https://codeby.net/threads/python-dlja-xakera-chast-1-nachalo.61287/

#python #backdoor #hacking

🔥 Ролик про самые нашумевшие взломы минувших лет 🔥

🔗 Сказать спасибо автору ролика https://codeby.net/threads/samye-gromkie-vzlomy-poslednix-let.77497/

#video

​​Пишем backdoor [Python для хакера] Часть 2

Всем привет, дорогие друзья! Наконец мы дожили до второй части. Заранее извиняюсь, если кого-то заставил ждать. Прошлая часть немного навела шороху, надеюсь и эта не отстанет. Backdoor(или же "запасной ход") - это программный код при помощи которого злоумышленник может получить доступ к системе(в частых случаях к shell'у). Так почему же backdoor - черный ход? - спросите вы. Потому, что его используют для повторного проникновения в уже взломанную систему! - отвечу вам, я) Кстати, Shell - это консольная оболочка системы. К ней мы сегодня и постараемся получить доступ.

Читать: https://codeby.net/threads/pishem-backdoor-python-dlja-xakera-chast-2.62153/

#python #backdoor #hacking

🔗 Сказать "Спасибо" человеку: https://codeby.net/threads/offshore-hosting-spoofing-allowed-zmap-l7.73519/

#СКАМ

В чате https://t.me/thecodeby запустили тестовый голосовой чат. Кому интересно пообщаться - присоединяйтесь.

​​Первые утвержденные доклады ZeroNights 2021

Десятая конференция ZeroNights пройдет в Петербурге в символическое и очень комфортное для туристов время. Участников ждет насыщенный день на одной из самых излюбленных туристами и горожанами площадок Петербурга.

Читать: https://codeby.net/threads/pervye-utverzhdennye-doklady-zeronights-2021.77535/

#zeronoghts #conference #it

​​BlackWidow - Python Web - scanner

Привет! Сегодня речь пойдет о новом сканере уязвимостей и содержимого ресурса BlackWidow. BlackWidow - это сканер веб-приложений на основе Python, используется для сбора субдоменов, URL-адресов, динамических параметров, адресов электронной почты и телефонных номеров с целевого веб-сайта. Этот проект, также включает, Fuzzer Inject-X для сканирования динамических URL-адресов по общим уязвимостям OWASP.

Читать: https://codeby.net/threads/blackwidow-python-web-scanner.61828/

#python #scanner #web

В чате https://t.me/thecodeby запустили голосовой чат. Кому интересно пообщаться - присоединяйтесь.

​​XAttacker Tool - Website Vulnerability Scanner & Auto Exploiter

Привет Codeby! В этой статье, я хочу познакомить Вас с довольно полезным инструментом, достойным занять свое место ящике инструментов пентестера. Xattacker – это инструмент, для обнаружения и эксплуатации уязвимостей, на веб ресурсах.

Читать: https://codeby.net/threads/xattacker-tool-website-vulnerability-scanner-auto-exploiter.61825/

#kali #exploit #web

​​Reverse crackme для начинающих

Недавно решился окунуться в это глубокое море реверса, Linux стоит, как основная OS. Первым делом попробовал установить IDA Pro через wine. Успешно, но local debugger не был найден. Спустя некоторое время было понятно одно - нужна винда. На windows переходить не хотелось. Привык уже к linux. Необходимо ставить Windows на Virtual Box. Загрузка Windows 7 lite, установка - ну, вроде живое. В ближайшем будущем, собираюсь установить FLARE-VM ради более удобной работы.

Читать: https://codeby.net//threads/reverse-crackme-dlja-nachinajuschix.74796/

#reverse #ida

​​Программирование HDD/SSD. Часть.1 – устройство

Жёсткие диски это тот раздел программирования, который покрыт мраком и тайной. Дефицит информации на эту тему накладывает свой отпечаток, и даже простое копирование больших объёмов данных может стать нетривиальной задачей. Но если копнуть глубже, оказывается не всё так плохо, и большинство базовых операций на низком уровне доступно не только админу, но и простому смертному юзеру. На практике, мифы о высоком либидо и буйном темпераменте дисков несколько преувеличены, и надеюсь данная статья поможет нам разобраться в этом. Поскольку материал получился обширным, пришлось разделить его на две части – теория и практика.

Читать: https://codeby.net/threads/programmirovanie-hdd-ssd-chast-1-ustrojstvo.74600/

#sata #sdd #hdd

Фрилансер или штатный сотрудник: выбираем с пользой для бизнеса

Конечно, фрилансер! Вон у нас их целая биржа. Предсказуемый ответ, не так ли? И во многих случаях единственно верный. Незачем раздувать штат, когда компания разово нуждается в чем бы то ни было. Например, в разработке несложного сайта. В других случаях все не так однозначно. И дело не только в том, кому меньше платить. Аспектов при выборе между фрилансером и штатным работником как минимум 5.

Читать статью: https://freelance.codeby.net/articles/16-frilanser-ili-shtatnyj-sotrudnik-vybirajem-s-polzoj-dla-biznesa.html

#фриланс

GitHub опубликовал изменения правил, определяющих политику в отношении размещения эксплоитов и результатов исследования вредоносного ПО, а также соблюдения действующего в США Закона об авторском праве в цифровую эпоху (DMCA). Изменения пока находятся в состоянии черновика, доступного для обсуждения в течение 30 дней.
https://www.securitylab.ru/news/519577.php