Общая схема по безопасности и хакингу ⚙️
«Хакеров должно судить по их делам, а не по надуманным критериям, таким как степени, звания, возраст, цвет кожи и положение в обществе. Хорошим примером этому явилось быстрое вхождение двенадцатилетнего Питера Дейча в сообщество хакеров (и это притом, что аспиранты-нехакеры не воспринимали его всерьез). И сколько бы впечатляющих рекомендаций не было у человека, он не заслуживал уважения, пока он не доказывал свои способности за консолью компьютера». ©️Стивен Леви.
«Хакеров должно судить по их делам, а не по надуманным критериям, таким как степени, звания, возраст, цвет кожи и положение в обществе. Хорошим примером этому явилось быстрое вхождение двенадцатилетнего Питера Дейча в сообщество хакеров (и это притом, что аспиранты-нехакеры не воспринимали его всерьез). И сколько бы впечатляющих рекомендаций не было у человека, он не заслуживал уважения, пока он не доказывал свои способности за консолью компьютера». ©️Стивен Леви.
📝 В Германии арестованы хакеры за кражу 4 млн евро с помощью фишинговых атак.
Трое мужчин получали деньги от своих жертв, отправляя им фишинговые электронные письма, которые были клонами сообщений из настоящих немецких банков.
Электронные письма информировали получателей о предстоящих изменениях в системе безопасности банка, что неизбежно отразится на их учетных записях. Чтобы гарантировать, что они смогут продолжать пользоваться услугами банка, жертвам было предложено перейти на фишинговый веб-сайт, тем самым передав свои учетные данные мошенникам.
Таким образом было украдено - 4 000 000 евро
🐠 Фишинг (англ. phishing от fishing ) — вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям. Это достигается путём проведения массовых рассылок электронных писем от имени популярных брендов, а также личных сообщений внутри различных сервисов, например, от имени банков или внутри социальных сетей. В письме часто содержится прямая ссылка на сайт, внешне неотличимый от настоящего, либо на сайт с редиректом.
Трое мужчин получали деньги от своих жертв, отправляя им фишинговые электронные письма, которые были клонами сообщений из настоящих немецких банков.
Электронные письма информировали получателей о предстоящих изменениях в системе безопасности банка, что неизбежно отразится на их учетных записях. Чтобы гарантировать, что они смогут продолжать пользоваться услугами банка, жертвам было предложено перейти на фишинговый веб-сайт, тем самым передав свои учетные данные мошенникам.
Таким образом было украдено - 4 000 000 евро
🐠 Фишинг (англ. phishing от fishing ) — вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям. Это достигается путём проведения массовых рассылок электронных писем от имени популярных брендов, а также личных сообщений внутри различных сервисов, например, от имени банков или внутри социальных сетей. В письме часто содержится прямая ссылка на сайт, внешне неотличимый от настоящего, либо на сайт с редиректом.
Media is too big
VIEW IN TELEGRAM
HackTheBox - Perspective - Exploiting and Securing DotNet Web Applications ViewState
01:00 - Start of nmap
02:25 - Looking at the website, looks like there's different behavior for extensions
05:10 - Registering and logging into an account
06:30 - An unintended way to login, IDOR within the Forgot Password logic, can change usernames
09:15 - Uploading a new product, test XSS, File Upload
12:00 - Using FFUF with a raw http request to test for potential extensions
18:10 - Using SHTML to test for Server Side Inclusion SSI and leaking web.config
21:15 - Going over the web.config, pulling out sensitive things
26:30 - Decrypting the .aspx Forms Ticket and forging a new one that states we are admin
36:50 - The Admin page allows us to generate PDF's, testing for XSS
38:20 - Attempting to redirect the save to pdf function with a meta tag
42:50 - Redirecting to localhost:8000 and discovering the swagger api for encrypt/decrypt
46:00 - Creating a webform to autosubmit data and allow us to decrypt a string.
51:00 - Creating a YSOSERIAL Gadget with our ViewState and ViewStateUserKey protecting it
1:02:00 - Reverse shell returned
1:04:00 - Discovering port 8009 is open, setting up a tunnel via SSH and discovering its a different version of the website
1:07:54 - The ViewState is protected by AutoGenerate for the key, we cannot do deserialization here
1:09:20 - Checking out the Password Reset feature and we can edit the token to reveal a Padding Oracle error message
1:12:15 - Showing the command injection if we can forge tokens
1:14:05 - Using padbuster to create a token that will allow us to perform command injection
1:24:00 - ALTERNATE PRIVESC: Using JuicyPotatoNG, attempting to run it says privileged process failed to communicate with COM Server. Need to run with -s to find a suitable port
01:00 - Start of nmap
02:25 - Looking at the website, looks like there's different behavior for extensions
05:10 - Registering and logging into an account
06:30 - An unintended way to login, IDOR within the Forgot Password logic, can change usernames
09:15 - Uploading a new product, test XSS, File Upload
12:00 - Using FFUF with a raw http request to test for potential extensions
18:10 - Using SHTML to test for Server Side Inclusion SSI and leaking web.config
21:15 - Going over the web.config, pulling out sensitive things
26:30 - Decrypting the .aspx Forms Ticket and forging a new one that states we are admin
36:50 - The Admin page allows us to generate PDF's, testing for XSS
38:20 - Attempting to redirect the save to pdf function with a meta tag
42:50 - Redirecting to localhost:8000 and discovering the swagger api for encrypt/decrypt
46:00 - Creating a webform to autosubmit data and allow us to decrypt a string.
51:00 - Creating a YSOSERIAL Gadget with our ViewState and ViewStateUserKey protecting it
1:02:00 - Reverse shell returned
1:04:00 - Discovering port 8009 is open, setting up a tunnel via SSH and discovering its a different version of the website
1:07:54 - The ViewState is protected by AutoGenerate for the key, we cannot do deserialization here
1:09:20 - Checking out the Password Reset feature and we can edit the token to reveal a Padding Oracle error message
1:12:15 - Showing the command injection if we can forge tokens
1:14:05 - Using padbuster to create a token that will allow us to perform command injection
1:24:00 - ALTERNATE PRIVESC: Using JuicyPotatoNG, attempting to run it says privileged process failed to communicate with COM Server. Need to run with -s to find a suitable port
Media is too big
VIEW IN TELEGRAM
☠️ Игра от российских разработчиков. ILL — лучший хоррор ? 😱
Время от времени российские инди-разработчики умудряются удивлять. Например, студия CLOUT Games недавно анонсировала хоррор, который явно создавался под впечатлением от Resident Evil и Outlast. Хотя они ещё не запустили в производство и находятся на этапе поиска инвесторов. Осложняется работа над проектом также тем, что до этого в студии не работали над подобными проектами. Они занимались разработкой мобильных игр и это их первая попытка выйти на «большой» рынок. Как вам?
Время от времени российские инди-разработчики умудряются удивлять. Например, студия CLOUT Games недавно анонсировала хоррор, который явно создавался под впечатлением от Resident Evil и Outlast. Хотя они ещё не запустили в производство и находятся на этапе поиска инвесторов. Осложняется работа над проектом также тем, что до этого в студии не работали над подобными проектами. Они занимались разработкой мобильных игр и это их первая попытка выйти на «большой» рынок. Как вам?
📚 Лучшие книги для хакеров
Изначально хакерами называли программистов, которые исправляли ошибки в программном обеспечении каким-либо быстрым или элегантным способом; слово hack пришло из лексикона хиппи, в русском языке есть идентичное жаргонное слово «врубаться» или «рубить в …». Начиная с конца XX века в массовой культуре появилось новое значение — «компьютерный взломщик», программист, намеренно обходящий системы компьютерной безопасности.
💾 Скачать книги
«Тридцать лет назад "хакер" был умный молодой парень, пытающийся получить доступ к дорогим и сложным "ЭВМ". Тогда компьютеры работали довольно медленно, но это было не страшно – хакеры были рады просто получить возможность программировать. Жизнь была полной, но сейчас все изменилось». ©️ Брюс Стерлинг.
#хакинг #hack #подборка_книг #безопасность #уязвимости #киберпреступность
Изначально хакерами называли программистов, которые исправляли ошибки в программном обеспечении каким-либо быстрым или элегантным способом; слово hack пришло из лексикона хиппи, в русском языке есть идентичное жаргонное слово «врубаться» или «рубить в …». Начиная с конца XX века в массовой культуре появилось новое значение — «компьютерный взломщик», программист, намеренно обходящий системы компьютерной безопасности.
💾 Скачать книги
«Тридцать лет назад "хакер" был умный молодой парень, пытающийся получить доступ к дорогим и сложным "ЭВМ". Тогда компьютеры работали довольно медленно, но это было не страшно – хакеры были рады просто получить возможность программировать. Жизнь была полной, но сейчас все изменилось». ©️ Брюс Стерлинг.
#хакинг #hack #подборка_книг #безопасность #уязвимости #киберпреступность
Лучшие книги для хакеров.zip
96.5 MB
📚 Лучшие книги для хакеров
Каждый программист по сути своей — хакер. Ведь первоначально хакингом называли поиск искусного и неочевидного решения. Понимание принципов программирования помогает находить уязвимости, а навыки обнаружения уязвимостей помогают создавать программы, поэтому многие хакеры занимаются тем и другим одновременно.
📙 Лаборатория хакера [2016] Сергей Бабин
📘 Подпольный интернет. Темная сторона мировой паутины [2017] Джейми Бартлетт
📗 Призрак в сети. Мемуары величайшего хакера [2012] Митник
📓 Исповедь кардера [2010] Алексей Малов
📕 Хакинг. Искусство эксплойта. 2-е издание [2018] Джон Эриксон
📒 Компьютер глазами хакера [2012] Михаил Фленов
📔 Кибер преступник №1 [2017] Ник Билтон
#интернет #web #hack #программирование #подборка_книг #безопасность #уязвимости
Каждый программист по сути своей — хакер. Ведь первоначально хакингом называли поиск искусного и неочевидного решения. Понимание принципов программирования помогает находить уязвимости, а навыки обнаружения уязвимостей помогают создавать программы, поэтому многие хакеры занимаются тем и другим одновременно.
📙 Лаборатория хакера [2016] Сергей Бабин
📘 Подпольный интернет. Темная сторона мировой паутины [2017] Джейми Бартлетт
📗 Призрак в сети. Мемуары величайшего хакера [2012] Митник
📓 Исповедь кардера [2010] Алексей Малов
📕 Хакинг. Искусство эксплойта. 2-е издание [2018] Джон Эриксон
📒 Компьютер глазами хакера [2012] Михаил Фленов
📔 Кибер преступник №1 [2017] Ник Билтон
#интернет #web #hack #программирование #подборка_книг #безопасность #уязвимости
▪️ WiFiman - Один из лучших анализаторов беспроводных сетей. Позволяет обнаруживать источники WiFi и BLE сигналов, а так же сетевые настройки.
▪️ PingTools Network Utilities - Мониторинг состояния сетевых устройств.
▪️ IoPT: Network Security Scanner - Простой но очень эффективный сканер уязвимостей.
▪️ JuiceSSH - Великолепный SSH клиент.
▪️ Total Commander - Файловый менеджер с множеством функций, в том числе и по обмену файлами между мобильными устройствами.
▪️ nRF Connect for Mobile - Сканер BLE устройств.
▪️ NFC Tools - Инструмент для работы с NFC на телефоне (Чтение, запись, анализ).
▪️ RFID Tools - Инструмент для работы с NFC и RFID метками при помощи различных устройств для анализа RFID таких как ProxMark 3, Chameleon mini и многих других.
▪️ SDR Touch - Работа с большинством популярных SDR приемников.
▪️ Metal Sniffer - Хороший детектор метала и магнитного излучения для Android. Хорошо себя зарекомендовал при поисковых работах.
▪️ Tasker - Полная автоматизация управления устройством и операционной системой Android без программирования и с огромным количеством плагинов.
▪️ TinyCam Monitor PRO - Лучшее приложение под Android для удаленного видеонаблюдения, управления и записи изображений с IP камер, видеосерверов и цифровых видеорегистраторов с CCTV камерами.
#полезные_ссылки #android #связь #web
Please open Telegram to view this post
VIEW IN TELEGRAM
📙 Техника отладки программ без исходных текстов [2005] Крис Касперски
💾 Скачать книгу
Крис Касперски (настоящее имя Николай Владимирович Лихачёв; 2 ноября 1976, село Успенское, Краснодарский край — 18 февраля 2017, Дейтона-Бич, Флорида, США) — российский IT-журналист, программист, хакер.
В своё время во избежание путаницы с создателем антивируса Евгением Касперским, удалил последнюю букву из своего авторского псевдонима.
💾 Скачать книгу
Крис Касперски (настоящее имя Николай Владимирович Лихачёв; 2 ноября 1976, село Успенское, Краснодарский край — 18 февраля 2017, Дейтона-Бич, Флорида, США) — российский IT-журналист, программист, хакер.
В своё время во избежание путаницы с создателем антивируса Евгением Касперским, удалил последнюю букву из своего авторского псевдонима.
Техника_отладки_программ_без_исходных_текстов_2005_Крис_Касперски.pdf
112 MB
📙 Техника отладки программ без исходных текстов [2005] Крис Касперски
Даны практические рекомендации по использованию популярных отладчиков, таких как NuMega Softlce, Microsoft Visual Studio Debugger и Microsoft Kernel Debugger. Показано, как работают отладчики и как противостоять дизасемблированию программы. Описаны основные защитные механизмы коммерческих программ, а также способы восстановления и изменения алгоритма программы без исходных текстов. Большое внимание уделено внедрению и удалению кода из РЕ- файлов. Материал сопровождается практическими примерами.
Даны практические рекомендации по использованию популярных отладчиков, таких как NuMega Softlce, Microsoft Visual Studio Debugger и Microsoft Kernel Debugger. Показано, как работают отладчики и как противостоять дизасемблированию программы. Описаны основные защитные механизмы коммерческих программ, а также способы восстановления и изменения алгоритма программы без исходных текстов. Большое внимание уделено внедрению и удалению кода из РЕ- файлов. Материал сопровождается практическими примерами.
👨🏻💻 8 лекций по рефакторингу и оптимизации
Рефакторинг (англ. refactoring), или перепроектирование кода, переработка кода, равносильное преобразование алгоритмов — процесс изменения внутренней структуры программы, не затрагивающий её внешнего поведения и имеющий целью облегчить понимание её работы. В основе рефакторинга лежит последовательность небольших эквивалентных (то есть сохраняющих поведение) преобразований. Поскольку каждое преобразование маленькое, программисту легче проследить за его правильностью, и в то же время вся последовательность может привести к существенной перестройке программы и улучшению её согласованности и чёткости.
Цель рефакторинга — сделать код программы более легким для понимания; без этого рефакторинг нельзя считать успешным.
Рефакторинг следует отличать от оптимизации производительности. Как и рефакторинг, оптимизация обычно тоже не изменяет поведение программы, а только ускоряет её работу. Но оптимизация часто затрудняет понимание кода, что противоположно рефакторингу.
С другой стороны, нужно отличать рефакторинг и от реинжиниринга, который осуществляется для расширения функциональности программного обеспечения. Как правило, крупные рефакторинги предваряют реинжиниринг.
Рефакторинг (англ. refactoring), или перепроектирование кода, переработка кода, равносильное преобразование алгоритмов — процесс изменения внутренней структуры программы, не затрагивающий её внешнего поведения и имеющий целью облегчить понимание её работы. В основе рефакторинга лежит последовательность небольших эквивалентных (то есть сохраняющих поведение) преобразований. Поскольку каждое преобразование маленькое, программисту легче проследить за его правильностью, и в то же время вся последовательность может привести к существенной перестройке программы и улучшению её согласованности и чёткости.
Цель рефакторинга — сделать код программы более легким для понимания; без этого рефакторинг нельзя считать успешным.
Рефакторинг следует отличать от оптимизации производительности. Как и рефакторинг, оптимизация обычно тоже не изменяет поведение программы, а только ускоряет её работу. Но оптимизация часто затрудняет понимание кода, что противоположно рефакторингу.
С другой стороны, нужно отличать рефакторинг и от реинжиниринга, который осуществляется для расширения функциональности программного обеспечения. Как правило, крупные рефакторинги предваряют реинжиниринг.
У компании «Спортмастер» произошла утечка данных клиентов
В последние дни 2022 года в сети были опубликованы данные клиентов сети магазинов «Спортмастер». ИБ-эксперты сообщили, что дамп содержит около 100 000 000 строк. В компании подтвердили, что в распоряжении злоумышленников действительно оказались имена, даты рождения, номера телефонов и email-адреса клиентов.
Как думаете, кому и зачем нужны эти данные? Напишите в комментариях своё мнение
В последние дни 2022 года в сети были опубликованы данные клиентов сети магазинов «Спортмастер». ИБ-эксперты сообщили, что дамп содержит около 100 000 000 строк. В компании подтвердили, что в распоряжении злоумышленников действительно оказались имена, даты рождения, номера телефонов и email-адреса клиентов.
Как думаете, кому и зачем нужны эти данные? Напишите в комментариях своё мнение
👨🏻💻 На разработчиков ИИ-инструментов для создания изображений подали в суд
Иск подан тремя художницами: Сарой Андерсен, Келли МакКирнан и Карлы Ортиз, которые представляют всех "пострадавших" коллег.
Суть иска, кража миллиардов защищённых авторским правом изображений, которые использовались для обучения этих систем — авторы изображений не получили компенсаций, а их согласия конечно же никто не спрашивал.
Что думаете, художницы не хотят, чтобы нейросеть составила им конкуренцию? 😏
Иск подан тремя художницами: Сарой Андерсен, Келли МакКирнан и Карлы Ортиз, которые представляют всех "пострадавших" коллег.
Суть иска, кража миллиардов защищённых авторским правом изображений, которые использовались для обучения этих систем — авторы изображений не получили компенсаций, а их согласия конечно же никто не спрашивал.
Что думаете, художницы не хотят, чтобы нейросеть составила им конкуренцию? 😏
Media is too big
VIEW IN TELEGRAM
💻 GRiD Compass 1101. Первый ноутбук
GRiD Compass — один из первых портативных компьютеров, который можно считать предком современных ноутбуков.
А есть ли у вас старые работающие ноутбуки? Фотографии в комментариях приветствуются
GRiD Compass — один из первых портативных компьютеров, который можно считать предком современных ноутбуков.
А есть ли у вас старые работающие ноутбуки? Фотографии в комментариях приветствуются