Бінарний XOR

[ Top 10 web hacking techniques of 2024 ]

By PortSwigger Research team

https://portswigger.net/research/top-10-web-hacking-techniques-of-2024

коли вам здається що на вашому проекті безпека через сраку, чи наше мінцифри якесь унікальне, з'являється звіт типу такого, і все встає на свої місця

https://hackerone.com/reports/2926447

не "криворукий даун адмін", а "military grade security"

Не зрозуміла як він розповсюджується все-таки
Можливо у когось є більше інформаціі?

https://www.ukr.net/news/details/technologies/109229042.html

Хей-хей-хей! Всі доїли салатіки? Чудово. В мене для вас сьогодні добавка сталкерського цтф)

Попавши в зону, ти зустрів Сидоровича, і в благородство грати він не збирається. Знайдеш пару прапорів для нього - і вважай розрахувались. Заодно подивимось, як швидко в тебе башка після новорічних свят проясниться.

https://github.com/Morronel/stalker_novice/tree/main/

Цього разу це версія для новачків. Якщо у вас є друг який любить сталкер, і ви хочете залучити його до веб пентестів, то ця коробка - для вас)

Якщо ви намагались пройти попередній цтф, і у вас не вийшло бо занадто складно - ця коробка знову ж таки для вас.

Якщо ви вже весь із себе такий пентестер, і все знаєте, все вмієте, то завдання будуть для вас непристойно легкі, але судячи з фідбеку, навіть в такому разі інтерфейс все одно прикольно тицяти)

Підтримується як українська, так і англійська мова, достатньо тицьнути кнопку зверху справа

Повертайтесь з хабарчиком 😁

ШУКАЄМО СТАЖЕРІВ НА КІБЕРБЕЗ

В нас (в ЕПАМ) зараз є можливість взяти 3-4 стажера на кібербезпеку. Напрямки можна обрати: хмарна безпека (AWS, GCP, Azure - щось одне), безпека програмного забезпечення (AppSec), DevSecOps.
 
Тривалість: до трьох місяців (оплачувана)
Що ви будете робити:
1 Дуже багато та інтенсивно навчатися під наглядом ментора (людина з продакшену)
2 При гарних показниках можливо залучення на проєкт під наглядом на реальні задачі
3 Намагатися не зафейлити стажування
По завершенню: якщо ви достойно пройшли 3 місяці стажування, то отримуєте + одну личку до свого рівня та трішки більше до ЗП, заходите на проєкт та працюєте вже без ментора.
Без чого неможна зовсім ніяк: без англійської плюс-мінус нормальної і здатності її розкачати за три місяці самостійно.
На мою думку простіше за все програма зайде людям, хто вже має якийсь суміжний досвід: системне адміністрування, розробка, тестування, щось навколо безпеки, тощо.
Формат: можна віддалено, можна в офісі (Київ, Харків, Одеса, Львів, Івано-Франківськ, Ужгород).

Набір триває до 01.02.2025 включно.
Як податися: резюме ось сюди [email protected]

Отакот буває, в Твіттері пишуть, що то все неправда (лінки надіслав підписник):

https://x.com/therealshodan/status/1878719226187272308

https://x.com/AzakaSekai_/status/1878717360045248794?t=cZRfQWQqJiipZIKdXnVGng&s=19

Схоже, почалось все з цього твіта: https://x.com/evapro30/status/1878416900016705783, і наче навіть синя галочка є у людини (хоча у LinkedIn немає: https://www.linkedin.com/posts/eprokofiev_the-chinese-are-at-it-againaliexpress-activity-7284182797588553728-posj/). Якщо вірити її досвіду, то безпідставних постів не повинно б бути, бо це на бізнесі відобразиться. А може PR вкид такий :)

Немає часу більш детальне дослідження робити. Якщо поділитесь своїми думками з цього приводу - буду вдячний.

Підсумовуючи, можу сказати, що оттак тепер в соц мережах і буде "народна демократія" працювати. Буде багато фейків, дезінформації, неправдивої інфи від недосвідченних людей, або кого ввели в оману. А виправляти все буде ком'юніті своїми відгуками. Чи можна цим маніпулювати - можна.

@secdigestua

Китайці знову кілчейнять.
by Eva

Знову наш любимий непотріб-базар (AliExpress), це адаптер rj45, але з чіпом флеш-пам’яті SPI, який діє як сховище з .exe, розпізнаним як зловмисне програмне забезпечення для Windows, і, звичайно, проданий понад 10 тисяч разів... 🤦‍♀️

Ваш довгоочікуваний exe, його введення коду в процеси, уникнення віртуальних машин, зміна налаштувань проксі-сервера, вилучення натискань клавіш і використання російськомовних елементів для приховування його походження чи наміру. Насолоджуйтеся аналітикою цього зловмисного ПЗ:

https://www.hybrid-analysis.com/sample/e3f57d5ebc882a0a0ca96f9ba244fe97fb1a02a3297335451b9c5091332fe359/6783acb889e814045f0a2da6

Шановна спільното DC8044!
З наступаючим 2025 роком!

Через пару місяців нам, як комуніті, виповниться сім. За цей короткий період наша сім'я пережила значні потрясіння, проте залишилася згуртованою і суттєво зросла. Ми стали зрілими. Ми приймаємо рішення і діємо, і наші дії, як і наші результати, позначаються не лише на обстановці в профільній галузі, але без жодного перебільшення - впливають на деякі політичні контексти, і роблять внесок у військову, та передусім розвідувальну складові суб'єктів національної безпеки нашої країни. Це серйозні вершини, яких нам вдалося досягти завдяки кожному з наших амбасадорів, хто доклав значних зусиль та свою щоденну кваліфіковану працю. Дякуємо їм за це, дякуємо кожному з нас.

Ми пройшли цей рік впевнено і нам є чим пишатися. Іноді було дуже складно, у багатьох з нас були серйозні моральні виклики, життєві удари, у когось були втрати. Це відбиток складного часу, що ми живемо. А складні часи породжують сильніших людей. Ми сильні. Ми стали такими, бо ми не маємо іншого вибору. Найтемніший час настає перед світанком. Світанок буде, як було завжди в історії та за всіх часів, і ми вже розуміємо, що це станеться незабаром. Шлях, який залишився, значно коротший за той, що ми вже пройшли.

Бажаємо від щирого серця кожному і кожній у новому році успішно продовжити йти свій шлях без втрат. Бажаємо, щоб новий рік став одним із ваших найкращих, наповнених приємними враженнями та позитивними емоціями, домашнім теплом та затишком. Бажаємо вам та вашим близьким здоров'я. Даруйте тепло та кохання. Впевнено продовжуйте йти свій шлях, йдіть не лише впевнено, а і творчо. Ми всі з вами, вам є на кого розраховувати і спертися у скрутну хвилину, є до кого звернутися за допомогою. Усміхайтеся, не дозволяйте обставинам зупиняти ваш розвиток, ваше кохання, ваші проекти, ваше життя. Бажаємо перемог, особистих. І головної перемоги.

З наступаючим новим роком, давайте будемо щасливі!

Збір майже зупинився.
Його треба добити, вже зібрано більше половини необхідної суми і це дуже круто! Але кожен потрібен. Є донати по 20 та 25 тисяч, є й набагато скромніші, але кожен - важливий.
Згадайте, скільки гарних справ ми зробили. Скільки баз подарували в цьому році. Віддячте комуніті, бо це на спільну справу!

🔥 СЛИВ ГОДНОТЫ ИЗ ДАРКНЕТ ЛОГОВА 🔥
Народ, откопал настоящий портал в матрицу хакинга - ippsec.rocks
Это не просто сайт, а настоящая энциклопедия пентеста, где каждый эксплоит разжёван до атомов.
Хотите увидеть, как рвут SQL-инъекции? Command injection? XSS? Просто вбивайте ключевые слова - и погружайтесь в детальные видео-гайды по взлому.
Каждый бокс - это отдельная история проникновения, где показаны все этапы: от разведки до полного захвата системы. Никакой воды - только чистая техника и работающие методы.
То, что раньше приходилось выискивать по темным углам форумов месяцами, теперь собрано в одном месте. Особенно полезно для веб-пентестеров - тут есть техники, о которых многие даже не слышали.

💀 WARNING: После погружения в этот контент, вы уже не сможете смотреть на веб-безопасность по-старому.

Спасибо анониму из Бездны за наводку.
Качайте знания, пока горячие. 🎯
P.S. Не забывайте про белую сторону силы - все знания только для легального пентеста! 😈

Це DC8044 і ми оголошуємо офіційний збір, останній у 2024 році.

Ми не часто зверталися за вашою допомогою, переважно закриваючи потреби наших бійців на фронті власними коштами. Сьогодні трохи інша ситуація. Ми розраховуємо зробити серйозну закупівлю дороговартісного обладнання та допомогти нашим підшефним підрозділам. Насамперед, мова про дрони. Ми вже маємо деяку суму, на яку можемо розраховувати, але все ж таки ми не впораємося без донату всього ком'юніті. Щоб реально добре допомогти нашим бійцям засобами, які безпосередньо дозволяють зберегти їхнє життя та бути ефективними на полі бою, потрібен кожен ваш донат. Ми назвали цю кампанію illusive raven. Наші примарні круки зроблять свою вагому справу.

Це – цільова допомога конкретним професійним підрозділам, які зможуть використати її на максимум можливостей. На кону - партія дорогого обладнання та життя наших амбасадорів. Ми можемо їм допомогти тим, чого вони потребують. Прямо зараз.

https://send.monobank.ua/jar/2EmsgehScY

BTC: bc1q0zshknlfs5ja24vrxthupy60razxzplnfq2la9

USDT (Tether): 0x148a994dC8ba9eec0aa08f16D580f84946d90334

Вільні сталкери, прийом!

Сьогодні пройшов цілий МІСЯЦЬ з моменту, як вийшов STALKER2. І до цієї круглої дати я встиг підготувати вам щось прикольне. Зацініть, Stalker-CTF :)

https://github.com/Morronel/stalker-lab/tree/main

Вам принесли таємничий планшет Моноліту, і тепер вам треба його "хакнути", дістати прапор, дізнатись хто за цим всім стоїть, і просто гарно провести час.

Складність - "сталкер", в сіньйора пентестера йде +- годинка щоб отримати фінальний прапор, не пітніючи.

Заохочую шерити лабу, ділитись зі студентами, друзями і знайомими.

Фокус завдань на вебі, хоча в кінці є не тільки він.

Проходьте і діліться враженнями. Якщо зайде - буде добавка)

Всім хорошої п'ятниці 🎮

Опубліковано офіційну заяву.
Стосовно загрозам іншим ресурсам - не дуже доречні висновки. Загрози є і вони критичні. Таке "заспокоєння" абсолютно зайве.

Там тойво, Suno стало безкоштовне. Можна бігти і генерити треки на ваш смак

Хто не знає що це - це нейронка, яка генерить музичні треки з текстового опису. Можна робити справжні шедеври комерційної якості за своїм задумом, не вміючи зіграти жодної гами чи акорду.

Я вирішив попросити його написати мануал по встановленню WSL, вийшло хайпово як на мене

https://suno.com/song/d2eaf70d-f86b-4771-a83d-d88c4d7084a0

https://suno.com/

Якщо хочете більше кредитів для генерації, можете зареєструватись по моїй лінці)

https://suno.com/invite/@explosivewaltz4770

Сьогодні на LinkedIn (джерело) було трохи шуму навколо того, що людину взламали через Дію і оформили кредити від її лиця кредити на 100к грн.

Я І не знав, що кредити можливо оформити через Дію. Тим не менш, джерело проблеми тут в OTP банку, де змогли скомпрометувати доступ.

Скоріше всього злили десь пароль і людина не мала 2-х факторної аутентифікації, що дозволило отримати доступ. Можливо, вона там і була, але через SMS/дзвінок, який можна перехватити.

З того, що я зрозумів, злочинець зробив наступне:

1. Знайшов старий номер людини (так, як це директор по опису в LinkedIn - це була явно цікава особа для них), який був прив'язаний до ОТП Банку
2. Отримав доступ до ОТП Банку через додаток.
3. Створив через додаток віртуальні картки.
4. Залогінився в Дію через аккаунт ОТП Банку.
5. Оформив кредити.

Чесно, я не знаю, як працює оформлення кредитів, але якщо людина вже мала доступ до рахунку через додаток, чи могла би вона вже тоді оформляти кредити без Дії?🤔 (якщо хтось знає - розкажіть)

Все як казав пророк!
"І було сказано: прийде час, та прийде година, коли знайдеться Людина, і зломлять оселю її, яка є телефон її. І пройдуть вони крізь ворота двоєвої сторожі в аплікації, як вода пробивається крізь камінь. І відкриють скарбниці його, і візьмуть від банківських палестрин стільки боргів, скільки вина дають усі виноградники землі ханаанської. І буде те знаменням
темряви і пришестя зла, що ходить, як лев рикаючий, шукаючи, кого
пожерти."
Кор. 1:3

Найближчі курси та стажування:

3 березня — Кіберакадемія CyberIN: безкоштовне навчання з кібербезпеки для студентів, Київ. Це безкоштовна комплексна програма, що допоможе прокачати свої навички та побудувати успішну кар'єру у сфері кіберзахисту:
👉 https://dou.ua/calendar/52568/?from=tg

ох фак