уязвимости

Ты — пентестер или только собираешься им стать? Тогда у меня к тебе один вопрос: Сколько раз ты чувствовал себя беспомощным, когда любимый инструмент "не дотягивал" до задачи? Ты знал, ЧТО надо сделать. Ты понимал, ГДЕ уязвимость. Но инструмент не гнулся под твой сценарий. И вот ты либо...

Введение Всем привет, с увеличением числа кибератак и утечек данных, необходимость в квалифицированных работников в этой сфере возрастает. Одним из важнейших навыков, который может существенно повысить конкурентоспособность специалиста в области информационной безопасности, является владение...

Задачка с Киберколизея, хоть и легкая, но вызвала трудности у многих, поэтому я решил написать подробный разбор решения. На мой взгляд, "Самозванец" — задание среднего уровня: не столько из-за сложности, сколько из-за запутанной легенды, которая, по моему мнению, сбивает с толку и уводит в...

Привет, Кодебай! В этой статье поделюсь опытом и знаниями построения менеджмента уязвимостей в компании, ведь этот процесс, на мой взгляд, — базис информационной безопасности. В свою очередь более детально вопрос ты можешь изучить на курсе SOC академии Codeby на котором я являюсь куратором...

Введение Привет! Повышение привилегий в Windows - это процесс получения административных прав доступа на компьютере под управлением Windows для выполнения определённых задач, таких как изменение системных настроек, установка и удаление программ, доступ к защищённым файлам и папкам и т.д. Вообще...

Эксперты Microsoft выявили новую схему кибератак, при которой злоумышленники используют уязвимость в механизме ViewState для внедрения вредоносного кода. Как пояснили специалисты, проблема связана с разработчиками, применяющими статические ключи ASP.NET Machine Keys, опубликованные в открытых...

Задания: ссылка на задания Онлайн-полигон для начинающих ("Bootcamp") предоставляет возможность пользователям улучшить свои навыки. Оценка заданий: Все задания будут оценены по стандартной системе "tier list", которая включает категории от S (самые сложные) до F (самые лёгкие): S, A, B, C, D, E...

Введение Всем привет, рано или поздно наступ тот день, когда вы соберёте свой первый пэйлоад и попадёте на Linux-сервер, но зачастую вы попадаете туда как обычный пользователь с ограниченными правами. А для полной компрометации сервера вам необходим пароль от root. Доступ с правами root позволит...

Введение Чем больше информации мы соберём о цели, тем успешнее будет взлом. А какую информацию нужно собирать? Ответ: Всё что можете: Информацию о DNS, IP-адреса, конфигурацию системы, имена пользователей, название организации. В открытом доступе много информации, и любые сведения будут очень...

Существует стандартный информационный документ от OWASP (Open Web Application Security Project) - открытый проект по безопасности веб-приложений, созданный и поддерживаемый некоммерческой организацией OWASP Foundation. В нем приведен список критических уязвимостей веб-приложений. Этот список...

Приветствую читатель! Ну что, вот-вот подойдет к концу 4-й год развития в офенсиф секурити с полного ноля. Как и обещал в прошлый раз, эта статья будет заключительной. Для тех людей, которые мне писали про розовые очки, работу на себя и прочее: В целях экономии вашего времени скажу: - От части...

Здравствуйте! Мне нужно написать диплом на тему: "Разработка сценария компьютерной атаки и уязвимых узлов для платформы "Киберполигон Ampire". При этом нужно использовать методы машинного обучения (желательно GAN) либо как вспомогательный инструмент для проведения атаки, либо, наоборот, как...

Приветствую всех читателей форума. Сегодня я буду тестировать инстанс одного интересного приложения под названием "Vampi", любезно предоставленным @szybnev. Приложение включает в себя уязвимости из OWASP API Security Top 10. В статье будут подсвечены такие действия как: - Чрезмерная уязвимость...

В чём суть… Далеко не всегда всё идёт по плану. Многое можно просто оставить, думая о том, что встретил неэксплуатируемую уязвимость. Многое можно не заметить… Поэтому я пишу данный материал, что бы ты был готов. Здесь не будет мануала по взлому какого-то ресурса с данным багом. Я буду...

где можно про это почитать

Расскожите пожалуйста этот секрет

Какие есть хорошие бесплатные(или частично бесплатные) сканеры уязвимостей?

Добрый день, вопрос от новичка. Предположим что сеть выглядит таки образом. Есть ли уязвимость которая даёт возможность взаимодействовать (просканировать через nmap или что то в этом роде) с устройством которое находиться в соседней подсети?

Добрый день! В первой части статьи "Реальная эффективность веб сканеров" я описывал сравнение нескольких профессиональных веб сканеров (Acunetix 11, IWS, OWASP ZAP, Wapity) на приложении bWAPP. Из списка я убрал Vega - слишком много ложных срабатываний, практическое использование невозможно, да...

Доброго времени суток! DevSecOps. Начало DevSecOps. DevOps (ч.1) SSDLC DevSecOps. Эпизод 1. Скрытые угрозы PS: В прошлой статье забыл упомянуть о таком крайне важном инструменте, как OAST или SCP. OAST - Open Source Application Security Testing. При внедрении DevSecOps, это, наверное самое...