CTF *

Квест окончен! Это было сложно... Но интересно! Постараюсь рассказать вам обо всех загадках последнего этапа квеста от ютубера.

Начинается 3-я неделя наших приключений в квесте от NoobGameDev. Как и ожидалось - квест сложный, но затягивающий. Размах впечатляет... Появляется всё больше и больше новых загадок, но при этом общая картина рисуется всё яснее. В этот раз мы продвинулись очень далеко и нашли ещё больше интересного...

Делюсь с вами своим опытом участия в квесте от ютубера...

В далеком 2020 году независимый исследователь Imre Rad опубликовал статью с уязвимостью в компоненте операционной системы Windows - msdt.exe (тот самый =) ). Microsoft посчитала найденную уязвимость недостаточно критичной, чтобы на нее реагировать. Однако после истории с Follina вендор решил выпустить патч, закрывающий уязвимость DogWalk.

16 сентября мы проведем наш воркшоп по практической информационной безопасности Practical Security Village в формате оффлайн.

Воркшоп пройдет в Сочи, на территории горнолыжного курорта Роза Хутор. Вас ожидает: обучение, живое общение, прогулки по черноморскому побережью, горные пейзажи и особая атмосфера бархатного сезона.

Традиционно для участников мы подготовили инфраструктуру с заложенными в ней уязвимостями. У вас будет возможность познакомиться с актуальными уязвимостями и способами их эксплуатации.

Capture The Flag - название ряда соревнований в информатике, чаще всего - в информационной безопасности. Как веб-разработчик, я интересуюсь только CTF в области web'а - поиск уязвимостей, атаки, сетевое взаимодействие. На старте решения первого CTF было трудно понять, как же именно рассуждают проф. игроки, участвующие в турнирах, и я решил написать несколько статей о том, как можно искать зацепки в исходных данных и как раскручивать их до победы.

Это первая статья из цикла “BlueTeam Trainings”. CyberDefenders является учебно-тренировочной платформой, которая предоставляет возможность на практике проверять уже имеющиеся навыки и приобретать новые в области информационной безопасности.

Всем привет! 7 июля мы проведем наш воркшоп по практической информационной безопасности Practical Security Village.

Воркшоп пройдет в формате Online, принять участие в нем может любой желающий. Участие бесплатное.

Для участников мы подготовили инфраструктуру с заложенными в ней уязвимостями. Основная идея воркшопа заключается в том, чтобы вы могли познакомиться с новыми технологиями, получить новые знания об интересных уязвимостях, способах их эксплуатации и методах, позволяющих не допустить возникновения таких уязвимостей.

Успешно эксплуатируя уязвимости, вы будете захватывать флаги и получать очки. Мы создавали задания такими, чтобы они были интересны как новичкам, так и опытным специалистам по информационной безопасности.

Перед началом воркшопа мы опубликуем справочные материалы, которые помогут в выполнении заданий. Также мы организуем чат, в котором участники смогут задавать вопросы по заданиям.

Лучшие участники получат памятные призы.

Регистрация на воркшоп доступна на сайте: www.practicalsecurityvillage.ru

Уже традиционно в рамках PHDays мы организовали AI CTF — соревнование в формате capture the flag, затрагивающее риски безопасности систем ИИ. Что было интересного в этом году, расскажем ниже в посте.

Но сейчас немного истории:

AI CTF 2019: habr.com/ru/company/pt/blog/454206/

AI CTF 2021: habr.com/ru/company/pt/blog/560474/

с 18 по 19 мая 2022 года проходил всем известный международный форум по практической безопасности Positive Hack Days.На мероприятии как всегда были представлены различные вендоры из сферы IT, каждый из которых раздавал свои именные товары. Самыми интересными на мой взгляд были Positive Technologies. Как было организовано испытание для получения мерча под катом.

В этой статье вы получите минимально необходимую теорию для вашего первого шаг на пути обучения этичному хакеру. Для тренировки мы будем использовать сервис HTB. Темы которые мы бегло рассмотрим: Kali Linux, SSH, FTP, Telnet. Статья будет разделена на две части: Необходимая теория, Где применять.

Коллекционеры уже давно не хранят произведения искусства в сейфах — галереи и музеи по уровню безопасности не уступают самым надежным хранилищам. Но можно ли украсть картину, не выходя из дома? 

На PHDays 2022 в мае пройдет обновленный The Standoff Digital Art. Аазартные исследователи снова попытаются завладеть крипто-артом настоящих художников прямо в метавселенной, а гости форума побывают в Лондоне, не покидая Москвы.

В минувшем году OWASP обновил список TOP-10 самых распространенных векторов атак на современные веб-приложения. Этот список претерпел ряд изменений по сравнению с его последней редакцией, которая была в далеком 2017 году. В связи с чем мне бы хотелось рассказать о наиболее серьезной угрозе современных веб-приложений, которая перешла с пятого на первое место, а именно про A01:2021-Broken Access Control.

Не сомневаюсь, что все прекрасно знают о том, что авторизация предоставляет пользователю права на выполнение определённых действий, а также процесс проверки (подтверждения) данных прав при попытке выполнения этих действий. Авторизация не эквивалентна аутентификации. После успешной аутентификации авторизация определяет, к каким функциям и данным может получить доступ пользователь, обеспечивая при этом надлежащее разграничение прав доступа.

Именно поэтому веб-приложению необходимы средства контроля доступа, позволяющие его пользователям использовать веб-приложение с различными привилегиями. Контроль доступа — это применение ограничений на то, кто (или что) может выполнять различные функции и получать доступ к запрошенным ресурсам. Нарушенный контроль доступа часто встречающаяся и часто критическая уязвимость в системе безопасности. Существуют несколько типов контроля доступа, равно как и уязвимостей, связанных с их нарушением.

Здравствуйте, продолжаю цикл статей по разбору OSINT EASY-уровня.

Задача
We are looking for Sara Medson Cruz's last location, where she left a message. We need to find out what this message is! We only have her email: saramedsoncruz@gmail.com

В этот раз задачка найти Сару (произносить с еврейским акцентом) по почте saramedsoncruz@gmail.com и по ее последним письмам.
Скажу сразу: ищем руками, ботов использовать не будем. Иначе как вы научитесь!?

Собственно, вся информация, что у нас есть - это электронная почта и некая информация от самой Сары.
В этот раз я попробую публиковать не уже готовые статьи с описанием проделанной работы, а попытаюсь изложить ход своих мыслей. Рассказать то, как я пришел к конкретному заключению.
Итак, нам нужно найти Сару. Если у нее Google Mail, значит, она наверняка оставляла отзывы на Google Maps. Спойлер: найдем мы ее не в Одессе.

Давайте начнем искать информацию.
Спрашиваем у Google следующее: “find location on maps gmail”

https://support.google.com/maps/answer/7326816?hl=en&co=GENIE.Platform%3DAndroid

Так, не отвлекаемся! Нам требуется найти информацию, поэтому пишем в Google
Osint: “найти локацию по имейл”. Но только на английском! Так больше вариантов найти нужное решение.

osint find location using email address

Теперь мы попадаем на видео, где человек показывает как найти ID по почте в коде страницы.
Особо впечатлительных прошу не беспокоиться! Выдохните, вдохните! Продолжаем.

Добрый день Хабр! В этой статье хочу рассказать вам про свой опыт прохождения лаборатории OSINT на сайте hackthebox. В данном обзоре я решил взять разобрать одно интересное задание по OSINT.

Задание простое, оно не заставит вас страдать при поиске решения. Требуется только иметь понимание, где искать информацию.

CHALLENGE DESCRIPTION
Customers of secure-startup.com have been recieving some very convincing phishing emails, can you figure out why?

Для поиска решения нам потребуется найти информацию, спрятанную в домене secure-startup.com.

Приветствую! Буквально вчера разбирал машину с HTB. Как по мне, отличный полигон по прокачке скилов в области sql инъекций, инъекций команд в командной строке, использованию метасплойта и повышению привилегий....

В данной статье пройдемся по верхам, особо не вдаваясь в механизм работы эксплойтов. Познакомимся с "фрейворком" GitLab. Проэксплуатируем "всем" известные уязвимости.

Hack The Box

Laboratory

С 27 по 29 августа 2021 года в онлайн-формате проходило соревнование YauzaCTF. Соревнование проводилось в формате Task-Based, принять участие могла любая команда, желающая попробовать свои силы. Участникам предстояло в течение 48 часов решить задания следующих категорий: web, reverse, PWN, forensics, crypto, OSINT, joy, hardware, pentest и emulation.

Команде Raccoon Security было предложено разработать собственное задание для соревнований. В результате мозгового штурма и нескольких дней кропотливой работы была придумана задача, условие и решение которой мы приведем в данной статье.

Предупреждение! Далее следует лонгрид про нули и единицы (в прямом смысле).