k3vg3n ch
Каким-то образом цитаты из моего тг-стикерпака попали в официальный стикерпак ИБ НТО. С одной стороны это успех, с другой — более этично было бы добавить авторов цитат...
Вообще он выглядит так, как будто его за сутки на коленке собрали...
😁7👍1
This media is not supported in your browser
VIEW IN TELEGRAM
Коротко о финале ИБ НТО.
Forwarded from CTFka
Открыта регистрация на тестовое соревнование CTFka!
CTFka — платформа, где два участника соревнуются в захвате флагов на скорость. Да, как в шахматах.
Время: 05 апреля (сб) с 12 до 14 часов МСК.
Место: CTFka.ru
Регистрируйтесь через бота: @ctfkaregb1_bot
Важно: если есть какие-то предложения, критика или баги — обязательно пишите @k3vg3n или в гугл-форму.
До встречи,
@CTFka_platform
CTFka — платформа, где два участника соревнуются в захвате флагов на скорость. Да, как в шахматах.
Время: 05 апреля (сб) с 12 до 14 часов МСК.
Место: CTFka.ru
Регистрируйтесь через бота: @ctfkaregb1_bot
Важно: если есть какие-то предложения, критика или баги — обязательно пишите @k3vg3n или в гугл-форму.
До встречи,
@CTFka_platform
This media is not supported in your browser
VIEW IN TELEGRAM
Недавно появились новости о новых плагинах для Ghidra и IDA Pro: вот и вот.
Решил попробовать плагин для гидры, и посмотреть как это на самом деле :)
Самый первый (и сложный) шаг: регистрация аккаунта в Claude.
На момент написания регистрация по почте недоступна, ровно как и через недавно созданные гугл-аккаунты. Единственный способ: старый гугл-аккаунт в связке с номером из США/Англии (нужен для подтверждения аккаунта).
Далее следуем инструкции из репо, а также ставим одну нужную программу🌚
Теперь про опыт:
Claude довольно неплохо справляется с переименованием функций, но вот изменять названия переменных и решать таски отказывается.
Я попробовал «скормить» ИИ несколько лёгких crackme — ни один не решён 🫠
Возможно и идой или с более подробными промптами работает лучше.
Пример работы и отчаянные попытки решения крякми в видео.
Ревёрсеры, живите (пока)
Решил попробовать плагин для гидры, и посмотреть как это на самом деле :)
Самый первый (и сложный) шаг: регистрация аккаунта в Claude.
На момент написания регистрация по почте недоступна, ровно как и через недавно созданные гугл-аккаунты. Единственный способ: старый гугл-аккаунт в связке с номером из США/Англии (нужен для подтверждения аккаунта).
Далее следуем инструкции из репо, а также ставим одну нужную программу
Теперь про опыт:
Claude довольно неплохо справляется с переименованием функций, но вот изменять названия переменных и решать таски отказывается.
Я попробовал «скормить» ИИ несколько лёгких crackme — ни один не решён 🫠
Возможно и идой или с более подробными промптами работает лучше.
Пример работы и отчаянные попытки решения крякми в видео.
Ревёрсеры, живите (пока)
😁1
Forwarded from Just Security
This media is not supported in your browser
VIEW IN TELEGRAM
Открыли прием заявок на Pentest award 2025!
💡 Каждый год мы зажигаем новые яркие лампочки в гирлянде отечественного рынка кибербезопасности — компетентных специалистов, которые остаются за кадром большой работы по поиску уязвимостей.
Участие все еще бесплатное, а прием заявок продлиться до 30 июня. В этом году появились новые номинации от спонсоров проекта: Совкомбанк Технологии и BI.ZONE Bug Bounty.
🥇 Главный приз за победу — стеклянная именная статуэтка и макбук!
🥈🥉За вторые и третьи места призеры получат айфоны и смарт-часы.
🎬 OFFZONE подарит финалистам билеты на свою конференцию 2025.
✏️ А учебный центр CyberEd гранты на обучения.
Ну и конечно, самая ценная награда за участие — почет и уважение сообщества этичных хакеров.
Отправляйте заявки на сайте, участвуйте и побеждайте!
Участие все еще бесплатное, а прием заявок продлиться до 30 июня. В этом году появились новые номинации от спонсоров проекта: Совкомбанк Технологии и BI.ZONE Bug Bounty.
🥈🥉За вторые и третьи места призеры получат айфоны и смарт-часы.
Ну и конечно, самая ценная награда за участие — почет и уважение сообщества этичных хакеров.
Отправляйте заявки на сайте, участвуйте и побеждайте!
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥2
This media is not supported in your browser
VIEW IN TELEGRAM
Откопал камеру Cootli, решил посмотреть что да как.
На коробке сказано: «Камера с удалённым доступом, для подключения скачайте приложение, blablabla»
Однако нигде нет информации, что после подключения у камеры отрыты 80 и 8899 порты с панелью доступа к камере с дефолтными кредами
Причём админка настолько старая, что открывается только из под IE.
Получается что любой мог подключатся к камере по локальной сети, хотя её владелец на 100% уверен, что камера защищена (ведь на коробке сказано, что доступ через приложение).
Ну и конечно же, похожие китайские камеры всё ещё продаются на русских маркетплейсах.
Как-то так.
На коробке сказано: «Камера с удалённым доступом, для подключения скачайте приложение, blablabla»
Однако нигде нет информации, что после подключения у камеры отрыты 80 и 8899 порты с панелью доступа к камере с дефолтными кредами
admin:<empty>. 🌚Причём админка настолько старая, что открывается только из под IE.
Получается что любой мог подключатся к камере по локальной сети, хотя её владелец на 100% уверен, что камера защищена (ведь на коробке сказано, что доступ через приложение).
Ну и конечно же, похожие китайские камеры всё ещё продаются на русских маркетплейсах.
Как-то так.
Media is too big
VIEW IN TELEGRAM
Дамы и господа, открылась регистрация на SAS CTF с финалом в Таиланде.
В финал проходят 8 команд, но учитывая всемирную конкуренцию будет не просто.
Регистрируйтесь)
https://yangx.top/ctfnews/1464
В прошлом году играл от мадоки, были 33-е, посмотрим какие будем через месяц.
P.S. — Мне всё ещё смешно с этого прекрасного прошлогоднего анонса 😁
В финал проходят 8 команд, но учитывая всемирную конкуренцию будет не просто.
Регистрируйтесь)
https://yangx.top/ctfnews/1464
В прошлом году играл от мадоки, были 33-е, посмотрим какие будем через месяц.
🔥4❤1
Сыграл в японский CTF (CPCTF) на днях.
Заметил интересные моменты организации:
1. Таски разделены на 5 уровней сложности;
2. Своя платформа. Это был не CTFd, но на мой взгляд UI намного лучше;
3. Тоже связано с платформой: статистика сабмитов на каждом таске. Можно посмотреть кол-во правильных и неправильных ответов;
4. Призы первокурсникам Токийского университета — книги. Причём призёр мог выбрать любую техническую книгу на выбор;
5. Некая секретная номинация. Условие держалось в секрете до конца соревнования. Победителем оказался игрок, у которого средний RGB аватарки ближе всего к RGB лого Токийского университета;
6. Абсолютно нормальные таски(я серьёзно)
Минус один: это был какой-то PPC CTF (17 тасков из 60). Возможно их студентов готовят к олимп проге, но это не точно.
Короче остался доволен.
Заметил интересные моменты организации:
1. Таски разделены на 5 уровней сложности;
2. Своя платформа. Это был не CTFd, но на мой взгляд UI намного лучше;
3. Тоже связано с платформой: статистика сабмитов на каждом таске. Можно посмотреть кол-во правильных и неправильных ответов;
4. Призы первокурсникам Токийского университета — книги. Причём призёр мог выбрать любую техническую книгу на выбор;
5. Некая секретная номинация. Условие держалось в секрете до конца соревнования. Победителем оказался игрок, у которого средний RGB аватарки ближе всего к RGB лого Токийского университета;
6. Абсолютно нормальные таски
Минус один: это был какой-то PPC CTF (17 тасков из 60). Возможно их студентов готовят к олимп проге, но это не точно.
Короче остался доволен.
🔥12👍6👏2🌭1
Forwarded from infosec
• Сегодня SSL.com находится в центре внимания, так как одним из исследователей была выявлена уязвимость, которая позволяет выпустить поддельный TLS-сертификат для любого домена.
• Уязвимость была вызвана ошибкой в реализации системы проверки владения доменом через подтверждение по электронной почте. Для получения подтверждения по email необходимо добавить в DNS-зону домена, для которого запрашивается сертификат, DNS TXT запись "
• Соль уязвимости в том, что помимо домена "
• После этого он запросил на сайте SSL.com TLS-сертификат для домена
• Ошибку уже признали в SSL.com и приступили к устранению. Более детальный отчет обещают опубликовать до 2 мая. Будет интересно почитать =)
➡️ Источник.
➡️ Первоисточник.
#Новости
• Уязвимость была вызвана ошибкой в реализации системы проверки владения доменом через подтверждение по электронной почте. Для получения подтверждения по email необходимо добавить в DNS-зону домена, для которого запрашивается сертификат, DNS TXT запись "
_validation-contactemail". Например, "_validation-contactemail.test.com DNS TXT [email protected]". После инициирования проверки домена на email [email protected] будет отправлен код подтверждения, ввод которого подтверждает владение доменом "test.com" и позволяет получить TLS-сертификат для "test.com".• Соль уязвимости в том, что помимо домена "
test.com", для которого был запрошен сертификат, признак подтверждения владения также выставлялся и для домена "example.com", используемого в email. Выявивший проблему исследователь продемонстрировал получение рабочего TLS-сертификата для домена aliyun.com, применяемого в webmail-сервисе китайской компании Alibaba. В ходе тестовой атаки исследователь зарегистрировал проверочный домен "d2b4eee07de5efcb8598f0586cbf2690.test.dcv-inspector.com" в сервисе "dcv-inspector.com" и запросил для него TLS-сертификат, добавив DNS-запись:_validation-contactemail.d2b4eee07de5efcb8598f0586cbf2690.test.dcv-inspector.com DNS TXT [email protected]
• После этого он запросил на сайте SSL.com TLS-сертификат для домена
d2b4eee07de5efcb8598f0586cbf2690.test.dcv-inspector.com и выбрал подтверждение по email. Далее происходит отправка проверочного кода на [email protected] и после ввода этого кода в список верифицированных доменов добавляется не только "d2b4eee07de5efcb8598f0586cbf2690.test.dcv-inspector.com", но и "aliyun.com". После этого исследователь успешно получил TLS-сертификат для домена "aliyun.com", владение которым было подтверждено.• Ошибку уже признали в SSL.com и приступили к устранению. Более детальный отчет обещают опубликовать до 2 мая. Будет интересно почитать =)
#Новости
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1🤩1
В воскресенье сыграли Neva CTF.
Получилось не так хорошо, как в прошлом году, но всё же неплохо — 4-е.
Уровень тасков за год поднялся довольно хорошо: появилась новая категория на hardware (последний скриншот) и форензика стала сложнее.
В некоторых тасках явно прослеживалось влияние бывшего сокомандника 😂
Получилось не так хорошо, как в прошлом году, но всё же неплохо — 4-е.
Уровень тасков за год поднялся довольно хорошо: появилась новая категория на hardware (последний скриншот) и форензика стала сложнее.
❤5