Форум информационной безопасности - yg140.servegame.com

Привет Кодебай!
Так уж вышло, что WEB сервисы стали настолько большими и продвинутыми, что без автоматизации провести их пентест - не тривиальная задача. Соответственно, нужно выбрать правильную лопату, чтобы эффективно копать искать уязвимости и ключевым классом инструментов в этом деле является DAST.

Поговорим о проблеме выбора DAST, который бы смог удовлетворить потребности регулярного поиска уязвимостей в web-инфраструктуре компании. Опытные пентестеры, специализирующиеся на web-приложениях, наверняка возразят: какой тут может быть выбор? Burp Suite PRO наше все! И будут правы, но на прошлом PHD мне в руки попала Позитивная карта импортозамещения (https://www.ptsecurity.com/upload/corporate/ru-ru/analytics/positive-research-2023-poster.pdf), где Positive Technologies предложили заместить иностранные DAST: Burp Suite Pro, Acunetix, Inviciti — своим решением PT BlackBox. Но чтобы коммерческим продуктам не быть едиными, заодно добавим в сравнение продукты open source.

Разберемся, импортозамещаться или приобретать через серые схемы иностранный Burp Suite Pro. Или вообще оставаться на...

- Покажем как взаимодействовать с платформой
- Расскажем о стартовом наборе игрока CTF
- Порешаем задания из разных категорий
- Ответим на вопросы

21 января в 19:00 по мск (воскресенье). Ставьте напоминалку, ждём каждого!

Смотри стрим в нашем Youtube канале

Приветствую, товарищи!
В первой части разберем базовые моменты при решение задач Active Directory:

• Разведка
• Основные службы
• Утилиты
• Подключение

Волшебные Символы: Как Шифры ЦТФ Раскрывают Секреты Писем Волшебников.

Приветствие:

Приветствую форумчан и всех любителей CTF. В данной статье мы разберем таск из категории Развлечения под названием "Скрытые письмена волшебника" codeby.games.

Друзья, всех приветствую!
Меня зовут Дмитрий и я являюсь инструктором и соавтором курсов Основы Python и Python для Пентестера академии Codeby.

---

Это вторая часть серии статей, где я рассказываю о распространённых ошибках учеников курса и показываю способы исправлениях таких ситуаций. Часть 1.

---

1. Длинный if

Как многие из вас знают, оператор if в python используется для проверки условий. У этого оператора существуют блоки ветвления elif и else (хотя может использоваться и без них). Зачастую, когда в программах требуются сразу все элементы этой конструкции, код условия может выглядеть довольно объёмно.

Предположим, нам нужно написать небольшую программу, которая будет запрашивать у пользователя название столицы и возвращать...

Здравствуйте, решение данного task уже есть на форуме но я хотел бы показать свое. Вперёд, добывать флаг!

Начнем с того, что перейдем к целевому ресурсу прописав в адресной строке браузера IP PORT указанные в информации к заданию.

Попадаем на данную страницу, все кнопки кликабельны и после нажатия, на первый взгляд ничего не происходит. Проверим это при помощи BurpSuite.



После запуска Burp и включения перехвата трафика нажмем REFRESH:



В Burp увидим перехваченный POST запрос, обратим внимание на тело запроса. Отправим его в Repeater:



Далее запустим GoBuster... Лично моё внимание привлекли директории /. и /.php...

Открыта запись на январские образовательные курсы Академии Кодебай. Максимум практики, чат с живым общением и квалифицированная кураторская поддержка на каждом из наших курсов!

Курс «Основы программирования на Python» — курс охватывает все основные концепции Python, начиная от базовых операций и структур данных, таких как списки и словари, заканчивая более сложными темами - функции, модули и обработка исключений. Начальные знания не нужны! Запись до 19 января

Курс «Анализ защищенности приложений Андроид» — вы изучите основы анализа мобильных приложений под ОС Android. Подробно рассмотрен поиск и эксплуатация уязвимостей в мобильных приложениях ОС Android. Запись до 19 января

Курс «SQL-Injection Master» — вы научитесь находить уязвимости связанные с базами данных, и внедрять произвольный SQL-код в уязвимые приложения. Запись до 25 января

Выдаём сертификат при успешной сдаче экзамена. Возможна оплата в рассрочку

Лицензия на образовательную деятельность

Нажмите, чтобы раскрыть...

Друзья, всех приветствую!
Меня зовут Дмитрий и я являюсь инструктором и соавтором курсов Основы Python и Python для Пентестера академии Codeby.

---

Проверяя домашние задания слушателей, раз от раза я замечаю одни и те же недочёты и ошибки оформления. В этой серии статей мне хочется привести примеры таких ошибок и объяснить, почему тот или иной случай является ошибочным и, конечно, же показать правильные варианты.

---

Приветствую. Три года прошло, как я начал вникать в оффенсив, и, наверное, только сейчас вся картина (ну, или почти вся) прояснилась. Огонь в глазах погас, но также исчезла лишняя суета. Теперь всё стало предельно ясно: куда двигаться и как это делать. Прошедший год был для меня самым тяжёлым как в профессиональном росте, так и в семейном плане. Но несмотря на всё произошедшее, мне всё-таки удалось достичь ясности в своём увлечении и получить немало положительных результатов. И я очень рад, что всё случилось именно так, хотя и было больно!

Три года это много или мало? По комментариям предыдущих постов, я сделал вывод, что читатель не всегда понимает все имеющиеся у меня вводные и оценивает года со своей колокольни. Вот есть год, в котором 365 дней или 8760 часов. И типо вот я уже три года не ем и не сплю, а сижу и готовлюсь к чему-то) Но ведь это же не так… Я решил подсчитать, сколько реально было затрачено времени за эти три года, дабы стало понятно, что в моем случае это очень мало. 3 часа\5 дней

Примерно такого графика я стараюсь придерживаться и это очень грубый...