Codeby
36.8K subscribers
2.36K photos
100 videos
12 files
8.13K links
Блог сообщества Кодебай

Чат: @codeby_one
Форум: codeby.net
Обучение: codeby.academy

CTF: hackerlab.pro

VK: vk.com/codeby
YT: clck.ru/XG99c

Сотрудничество: @KinWiz

Реклама: @Savchenkova_Valentina
Download Telegram
🪧 Пятничный опрос

JWT часто используется для аутентификации в современных веб-приложениях. Однако безопасность токена зависит не только от алгоритма подписи, но и от того, как сервер его проверяет.
Please open Telegram to view this post
VIEW IN TELEGRAM
5👍3🔥2
Forwarded from Hacker Lab
🚩 Новые задания на платформе HackerLab!

🧰 Категория PWNЗачем мне этот SO?
——————————————

🗂 В архив добавлены задания + райтапы:

🔵Веб - Визитка

Приятного хакинга!
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥75👍4
Один телефонный звонок — и миллиард записей утекает из Salesforce

Ни одного zero-day. Ни одного эксплойта. Группировка ShinyHunters скомпрометировала 39 компаний — Cisco, Disney, FedEx, Marriott — через обычные телефонные звонки и штатные механизмы OAuth. Позвонили, представились IT-поддержкой, попросили нажать одну кнопку. Всё.

И это не единичный случай. По данным CrowdStrike, число облачных вторжений выросло на 26% за год, а 75% инцидентов эксплуатировали действительные учётные данные — не уязвимости, не малварь, а легитимный доступ.

🔑Как работала атака?

Оператор звонил сотруднику, используя Mullvad VPN для маскировки. Легенда — срочный тикет, требующий немедленного действия. Генеративный ИИ помогал готовить скрипты звонков под конкретную организацию и роль жертвы за минуты. IBM X-Force отмечает: генерация фишинговых сценариев с GenAI быстрее в 11,4 раза.

Цель звонка — убедить сотрудника авторизовать OAuth-приложение. Жертву направляли на страницу Connected Apps в Salesforce и просили ввести «код подключения». Один клик на consent — и атакующие получали refresh token с правами чтения и записи всей CRM. Дальше кастомные Python-скрипты для массовой выгрузки: контакты, сделки, тикеты поддержки, паспортные данные.

Почему это так опасно?

Три причины.

⏺️Масштаб поражения. Компрометация одного OAuth-токена через стороннюю интеграцию Salesloft Drift затронула более 700 организаций за десять дней. Один токен — семьсот жертв.

⏺️Ценность данных. Salesforce хранит клиентские базы, историю сделок, данные лояльности. SharePoint — внутренние документы и файловые хранилища. Утечка у дистрибьютора вроде Baker Distributing бьёт по всей цепочке поставок.

⏺️Слепая зона SOC. Легитимный API-вызов от авторизованного приложения не генерирует алертов в стандартной конфигурации EDR и SIEM. Вы узнаёте об утечке из даркнет-поста, а не из собственного мониторинга.

➡️Что реально помогает?

Из 39 жертв ни одна не использовала out-of-band верификацию входящих звонков. Элементарная мера: перезвонить на известный номер IT-отдела или подтвердить запрос через корпоративный мессенджер. Звучит просто — но именно это ломает всю цепочку атаки на первом шаге.

Второй уровень — контроль OAuth-приложений. Регулярный аудит Connected Apps, автоматический отзыв неиспользуемых токенов, алерты на регистрацию новых приложений с широкими правами. Если refresh token не отозван — атакующий внутри без повторной аутентификации.

Salesforce публично отказалась платить выкуп. Но данные уже на даркнет-площадке.

Полный разбор kill chain, маппинг на MITRE ATT&CK и конкретные защитные меры — в статье на форуме.

https://codeby.net/threads/zashchita-korporativnykh-saas-ot-vzloma-razbor-atak-shinyhunters-na-salesforce-i-sharepoint.94688/
Please open Telegram to view this post
VIEW IN TELEGRAM
7🔥5👍4
Почему почти каждый пентест начинается с веб-приложения?
Новые сервисы появляются быстрее, чем успевают проходить полноценную проверку безопасности, а одна незамеченная уязвимость может открыть путь ко всей внутренней сети.

Поэтому специалисты, которые умеют искать и эксплуатировать уязвимости веб-приложений, остаются одними из самых востребованных в offensive security.

На курсе WAPT от Codeby вы научитесь работать, как это делают практикующие пентестеры.

Что будет на курсе:
⏺️поиск и эксплуатация уязвимостей из OWASP Top-10;
⏺️анализ защищённости веб-приложений;
⏺️работа с Burp Suite, nmap, ffuf, wfuzz, nuclei, sqlmap, WPScan, nikto и другими инструментами;
⏺️методологии проведения веб-пентеста;
⏺️автоматизация рутинных задач.

Практика — основа курса:
➡️лаборатория из 66 заданий разной сложности;
➡️4 месяца обучения (144 академических часа);
➡️отдельный блок подготовки к итоговому экзамену.

Полученные навыки применимы как в коммерческом пентесте, так и в программах Bug Bounty.

Поток стартует уже 16 июля. 5 433 ₽ / мес при поэтапной оплате курса.

Подробности
🪧Бесплатная консультация: @CodebyAcademyBot
Please open Telegram to view this post
VIEW IN TELEGRAM
10👍6🔥5
Codeby pinned a photo
Microsoft подтвердила наличие в материалах дела ФБР идентификатора устройства GDID в Windows, который невозможно отключить.

Компания Microsoft публично признала существование глобального идентификатора устройства (GDID), идентификатора, присваиваемого каждой установке Windows, в федеральном иске, поданном прокуратурой США против предполагаемого члена хакерской группы Scattered Spider.

Идентификатор генерируется при настройке Windows с использованием учетной записи Microsoft, сохраняется после обновлений Windows и не может быть отключен без влияния на активацию Windows и приложения Microsoft Store.

В иске цитируется представитель Microsoft, описывающий GDID как "постоянный идентификатор на уровне устройства, предназначенный для уникальной идентификации установки операционной системы Windows на устройстве, будь то физическое устройство, такое как мобильный телефон или ноутбук, или виртуальная машина, в определенных службах и сценариях Microsoft".

Глобальный идентификатор устройства (GDID) — это постоянный идентификатор, присваиваемый при создании учетной записи Microsoft в Windows. Он генерируется цепочкой служб Windows.

Этот идентификатор хранится в реестре Windows по адресу HKCU\SOFTWARE\Microsoft\IdentityCRL\ExtendedProperties и имеет формат с префиксом "g" в нижнем регистре, за которым следует десятичное число. Он передается на серверы Microsoft и сохраняется после обновлений Windows, но не сохраняется после чистой переустановки. Microsoft признала, что у одного пользователя может быть несколько GDID, связанных через его учетную запись, OneDrive и историю активации.

Источник: https://www.ghacks.net/2026/07/12/microsoft-confirms-windows-gdid-device-identifier-that-cannot-be-disabled-documented-in-fbi-case-filing/

#news #windows #gdid

🔗Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8❤‍🔥6🔥5👀42😁2
🎇Locksmith

Инструмент для поиска и устранения распространенных ошибок в службах сертификации Active Directory.


Предварительные требования
⏺️Locksmith необходимо запускать в системе, имеющий доступ к домену.
⏺️Перед импортом модуля Locksmith необходимо установить модули PowerShell ActiveDirectory и ServerManager.
⏺️Для некоторых проверок и устранения неполадок могут потребоваться права администратора.

⬇️Установка
➡️Стандартная установка модуля
Откройте командную строку PowerShell и установите Locksmith из PowerShell Gallery:
- Install-ModuleName Locksmith -Scope CurrentUser


➡️Скачать и использовать без установки
Скачать последнюю версию со страницы релизов.
Далее необходимо открыть PowerShell в папке с распакованным файлом и выполнить:
Unblock-File .\Locksmith.zip
Expand-Archive .\Locksmith.zip
Import-Module .\Locksmith\Locksmith.psd1
Invoke-Locksmith


Примеры использования (4 режима)
1️⃣ Выявление проблем, вывод в консоль (режим по умолчанию)
Запуск Invoke-Locksmith.ps1 без параметров или с -Mode 0 позволит просканировать текущий лес Active Directory и вывести все обнаруженные проблемы AD CS в консоль.

2️⃣ Выявление проблем и способов их устранения, вывод в консоль, вывод в CSV
Сканирует текущий лес и выводит все обнаруженные проблемы с Active Directory и возможные способы их устранения в консоль или в файл ADCSIssues.CSV в текущем рабочем каталоге
.\Invoke-Locksmith.ps1 -Mode 1 # вывод в консоль
.\Invoke-Locksmith.ps1 -Mode 3 # вывод в CSV


3️⃣ Исправление всех проблем
При запуске Locksmith в данном режиме будут выявлены все неправильные настройки, и будет предложено исправление каждой проблемы. Если это может повлиять на работу системы, Locksmith предупредит вас.
.\Invoke-Locksmith.ps1 -Mode 4


4️⃣ Сканирование
Используйте параметр -Scans, чтобы выбрать, какие уязвимости проверять. Допустимые значения включают AllAuditingESC1ESC2ESC3ESC4ESC5ESC6ESC7ESC8ESC9ESC11ESC13ESC15EKEUwuESC16 или PromptMePromptMeОпция представляет собой интерактивный список, позволяющий выбрать одно или несколько сканирований.
# Сканирование для ESC1, ESC2, и ESC8
Invoke-Locksmith.ps1 -Scans ESC1,ESC2,ESC8


#ADCS #tools #misconfigurations

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9🔥65
Github - В С Ё!

Пользователи из России 14 июля сообщили о массовых проблемах с доступом к GitHub: сайт, по их словам, не открывается у многих провайдеров. Жалобы поступают на невозможность зайти как на сам портал, так и на отдельные страницы репозиториев и профилей.

На фоне этого в сети обсуждают возможную блокировку или ограничение доступа к платформе, однако официально Роскомнадзор ранее заявлял, что доступ к GitHub ведомством не ограничивается. При этом в последние дни уже фиксировалось ухудшение доступности сервиса в России, а пользователи связывали это с проблемами на уровне IP-адресов и технических доменов.

GitHub пока остается одним из ключевых сервисов для разработчиков, поэтому любые перебои с его доступностью сразу вызывают заметный резонанс в IT-сообществе.

Разблокируют или конец эпохи Github в России?

#github #block #disconnect

🔗Все наши каналы 🔁Все наши чаты 🪧 Для связи с менеджером
Please open Telegram to view this post
VIEW IN TELEGRAM
😱13🤬13👀7😢3🔥2😁2😨1😎1👾1
🔎Как одна ошибка в конфиге Apache раскрыла всю фишинговую империю

Рутинный мониторинг Censys по самоподписанным SSL-сертификатам на нестандартных портах. Ничего необычного — до момента, когда на одном VPS обнаруживается открытый directory listing. А в нём — PHP-файлы фишингового кита, HTML-шаблон поддельной страницы Microsoft 365 и текстовый лог с парами email:password, записанными с точностью до секунды. Полная C2-панель злоумышленника — как на ладони. Без единого эксплойта. Меньше часа от обнаружения до полной документации.

Как такое вообще происходит?

➡️Анатомия OPSEC-провала

Apache httpd по умолчанию включает mod_autoindex. Если в каталоге нет index.html, сервер честно показывает всё содержимое директории любому желающему. Атакующий загрузил фишинговый кит, проверил, что страница авторизации рендерится корректно — и забыл проверить корневой каталог. Shodan и Censys проиндексировали всё за него.

Это не единичный случай. Исследование Hacktive Security описывает модель «смерть от тысячи порезов»: переиспользованный username, дефолтная конфигурация, phpMyAdmin без пароля на стандартном /phpmyadmin/, SSL-сертификаты с характерным Subject/Issuer. Каждая мелочь по отдельности некритична, но в совокупности — прямой путь к атрибуции.

Масштаб проблемы в цифрах

Фишинг — не одиночное письмо со ссылкой. Это инфраструктурная операция с регистрацией доменов, арендой серверов, сбором email-адресов и управлением кампанией через C2-панель. По данным APWG за 2022 год, суммарное число фишинговых атак достигло 4,7 миллиона. Group-IB зафиксировала свыше 59 000 фишинговых сайтов, из них около 7 000 нацелены на российских пользователей — рост вдвое за год. За каждым сайтом — инфраструктура. В каждой инфраструктуре — потенциальные дыры.

🔑Украденные пароли — только начало

Собранные credential-ы — не конечная цель. Это стартовая точка для проникновения в корпоративные системы. Типичная цепочка выглядит так:

• Фишинг → кража учётных данных
• Доступ к корпоративному SharePoint
• Эксплуатация уязвимостей (auth bypass + RCE)
• Выполнение кода → ransomware

Свежие CVE-2025-49706 и CVE-2025-49704 для SharePoint уже добавлены CISA в KEV с ассоциацией ransomware. Причём для обеих существуют patch bypass — одна из них с CVSS 9.8 CRITICAL и эксплуатацией in the wild. Фишинговая панель — первое звено этой цепочки.

Важный нюанс: обнаружение через directory listing работает против commodity-фишинга. Продвинутые группы прячут панели за reverse proxy и VPN. Против APT нужна другая методология — мониторинг регистрации доменов в реальном времени и корреляция через passive DNS.

В полной статье — пошаговая методология: от первого запроса в Censys до построения полной карты C2-инфраструктуры атакующего. С конкретными запросами, инструментами и примерами infrastructure pivoting.

https://codeby.net/threads/analiz-fishingovoi-infrastruktury-iznutri-ot-opsec-provala-atakuyushchego-do-polnoi-karty-c2.94725/
Please open Telegram to view this post
VIEW IN TELEGRAM
6👍5🔥4
🔎 RedTiger-Tools — многофункциональный инструмент для Pentest и OSINT
RedTiger-Tools — open-source платформа, объединяющая инструменты для пентеста, OSINT и автоматизации. Проект поддерживает систему плагинов, что позволяет расширять его функциональность и использовать как единую рабочую среду для различных задач.


🌐 Основные возможности
📉 Сканирование веб-приложений и поиск уязвимостей
📉 Сканирование портов и обнаружение хостов
📉 Сбор OSINT по username, email, IP, телефону и криптокошелькам
📉 Обход веб-сайтов и поиск URL (Crawler)
📉 Анализ и удаление метаданных файлов
📉 Клонирование веб-страниц
📉 Поддержка пользовательских плагинов
🖱 Работа через CLI и интерактивный интерфейс

↗️ Примеры использования
➡️ Поиск открытых портов и активных хостов в сети
➡️ Поиск уязвимостей веб-приложений
➡️ OSINT-разведка по имени пользователя или email
➡️ Анализ метаданных документов
➡️ Клонирование веб-страниц для тестирования безопасности

⬇️ Установка
Установите Python и Git, затем выполните:

git clone https://github.com/loxy0devlp/RedTiger-Tools.git
cd RedTiger-Tools
python3 setup.py


Запуск инструмента:
python3 redtiger.py

⛓️‍💥 Примеры команд
Сканирование портов:
python3 redtiger.py --port-scanner --target 192.168.1.10

Поиск информации по username:
python3 redtiger.py --username-tracker --target username


Поиск уязвимостей веб-приложения:
python3 redtiger.py --vulnerability-scanner --target https://example.com


#pentest #osint #cybersecurity #infosec #bugbounty #security #opensource #linux #python

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером
Please open Telegram to view this post
VIEW IN TELEGRAM
👍75🔥5
👉 Продолжаем разбирать основные HTTP-заголовки и их роль в безопасности веб-приложений.

Во второй части серии рассмотрим еще 4 заголовка и интересные особенности, которые могут пригодиться при анализе безопасности веб-приложений.

А какой HTTP-заголовок, по вашему мнению, чаще всего становится причиной ошибок в настройке безопасности?
Делитесь своим мнением в комментариях.

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
6🔥4👍2🥰1
Yeti

🧿 Yeti — это open-source платформа класса Threat Intelligence / Forensics Intelligence, которая объединяет CTI и DFIR-подходы.

☁️ Yeti расшифровывают как Your Everyday Threat Intelligence. Проект задуман как хранилище и рабочая среда для observables, IoC, TTP, кампаний, malware-связей и другой технической разведывательной информации. По сути, Yeti помогает не «гуглить артефакты вручную», а быстро связывать наблюдения из инцидента с известными угрозами и прошлой аналитикой.

🔑 Платформа предоставляет web API, поэтому ее можно использовать не только через интерфейс, но и интегрировать в автоматизацию, incident management и enrichment-пайплайны. Также Yeti умеет экспортировать данные в пользовательских форматах, чтобы их могли потреблять SIEM, DFIR-инструменты и другие внутренние системы.

🪧 Yeti особенно полезен для DFIR и threat hunting, когда нужно быстро сопоставлять новые артефакты с уже известными сущностями, кампаниями и индикаторами. Его часто рассматривают как backend для forensics-related запросов и как базу знаний, которую можно переиспользовать между расследованиями. Если MISP чаще воспринимают как платформу для обмена IoC, то Yeti больше заточен под контекст, связи и анализ в духе «что это значит для расследования».

Преимущества:
open-source модель
интеграция API
графовая сущность данных
ориентация на аналитическую работу.

Развертывание в инфраструктуре:
1️⃣ Запустим Docker контейнеры
git clone https://github.com/yeti-platform/yeti-docker
cd yeti-docker/prod

Далее необходимо извлечь .env и изменить настройки по умолчанию при необходимости
/bin/bash ./init.sh

Или сразу
docker compose up


2️⃣ Создать пользователя с правами админа
docker compose run --rm api create-user USERNAME PASSWORD --admin


3️⃣ Откроем Yeti в браузере
http://localhost:80/ 


🔗 Использовали ли Yeti ранее или планируете внедрить в свою инфраструктуру?

#ti #dfir #forensics #yeti

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥75👍4
Веб-пентест — один из самых частых заказов в offensive security.
Компании ищут специалистов, которые умеют не просто «знать OWASP», а находить реальные дыры в проде — от SQLi до обхода WAF.

Поэтому специалисты, которые умеют искать и эксплуатировать уязвимости веб-приложений, остаются одними из самых востребованных в offensive security.

На курсе WAPT от Codeby вы научитесь работать, как это делают практикующие пентестеры.

Что будет на курсе:
⏺️поиск и эксплуатация уязвимостей из OWASP Top-10;
⏺️анализ защищённости веб-приложений;
⏺️работа с Burp Suite, nmap, ffuf, wfuzz, nuclei, sqlmap, WPScan, nikto и другими инструментами;
⏺️методологии проведения веб-пентеста;
⏺️автоматизация рутинных задач.

Практика — основа курса:
➡️лаборатория из 66 заданий разной сложности;
➡️4 месяца обучения (144 академических часа);
➡️отдельный блок подготовки к итоговому экзамену.

Полученные навыки применимы как в коммерческом пентесте, так и в программах Bug Bounty.

Поток стартует уже сегодня, 16 июля. 5 433 ₽ / мес при поэтапной оплате курса. Вы ещё успеваете присоединиться.

🎁Бесплатная подписка hackerlab.pro на месяц при покупке курса

Подробности
🪧Бесплатная консультация: @CodebyAcademyBot
Please open Telegram to view this post
VIEW IN TELEGRAM
👍52🔥2🤔1
Codeby pinned a photo
VK, MAX, MAILRU - В С Ё (triplekill)

Сначала Компания Apple подтвердила русской службе BBC, что удалила мессенджер "Макс" из магазина приложений App Store. Пользователи начали сообщать, что не видят мессенджер в App Store вечером 3 июня. А затем был нанесён мощный удар по российским приложениям санкционным законодательством ЕС.

Магазин приложений Google Play удалил российский госмессенджер MАХ и приложение соцсети ВКонтакте. Об этом сообщила компания VK 16 июля. При этом уже установленные сервисы и приложения работают без ограничений. VK также отметила, что оба приложения доступны для установки в RuStore, Huawei AppGallery, Samsung Galaxy Store, Xiaomi GetApps и других магазинах приложений для Android. В тот же день из Google Play исчезли приложения российской соцсети "Одноклассники" и сервиса электронной почты Mail.ru. При попытке их найти появляется уведомление "Приложение недоступно".

13 июля ЕС ввел санкции против холдинга VK и входящей в его структуру компании "Коммуникационная платформа", являющейся разработчиком MАХ. Обе компании оказывают техническую поддержку подавлению гражданского общества и демократической оппозиции в России, заявил Совет ЕС. Мессенджер
обладает широкими возможностями слежки, может собирать данные о других приложениях, контролировать список контактов, определять местоположение пользователей и устанавливать автономные обновления

указывается в обосновании санкций.

Источник: https://www.dw.com/ru/google-play-vsled-za-app-store-udalil-messendzer-max-i-vk/a-77991352

#news #eu #vk #max #mailru #banned #apple

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером
Please open Telegram to view this post
VIEW IN TELEGRAM
15👍6😁5🔥4😱2😍2👀2🆒2👏1