ANTICHAT Channel. Страница 8
7910
@antichat
Официальный канал https://forum.antichat.ru одного из лучших форумов для специалистов в области IT
-
ANTICHAT Channel
Watch "HackTheBox - ServMon" on YouTube
https://youtu.be/4tCD0GemXYg -
ANTICHAT Channel
Hexrays Toolbox - Find code patterns within the Hexrays AST https://github.com/patois/HexraysToolbox #reverse #IDA #dukeBarman -
ANTICHAT Channel
HackTheBox. Прохождение Servmon. Эксплуатируем уязвимости в NVMS и NSClient++
https://habr.com/ru/post/507466/?utm_campaign=507466&utm_source=habrahabr&utm_medium=rss -
Реклама
-
ANTICHAT Channel
-
ANTICHAT Channel
Как дочка Ростех-а, продавшая десятки тысяч камер в школы, делает «российские» камеры, c дырявой китайской прошивкой
https://habr.com/ru/post/507498/?utm_campaign=507498&utm_source=habrahabr&utm_medium=rss -
ANTICHAT Channel
РАЗБИРАЕМ АТАКИ НА KERBEROS С ПОМОЩЬЮ RUBEUS. ЧАСТЬ 1
https://habr.com/ru/post/507140/?utm_campaign=507140&utm_source=habrahabr&utm_medium=rss -
ANTICHAT Channel
Практика разбитых окон. Как устроена система безопасности Windows и как ее обходят — «Хакер» -
ANTICHAT Channel
Произвольное выполнение кода в Drupal (отличная система управления контентом на самом деле одна из первых сск систем, много у кого сайты / интернет магазины / каталоги / порталы на друпал)
https://www.drupal.org/sa-core-2020-005 -
ANTICHAT Channel
Виртуальный полигон. Делаем лабораторию сетевого хакера — «Хакер» -
ANTICHAT Channel
Websocket - это протокол.
Да, он сделан специально для браузера и работает поверх него, но является всего лишь транспортом для обмена данных, а в браузере для него нет каких-то механизмов безопасности, типа CORS.
Атакующий может создать специально сформированную страницу, которая подключается к уязвимому ресурсу при ее открытии. Отправив такую ссылку жертве - возможен перехват данных и любые действия от лица пользователя (смотря, что в ws реализовано).
Если веб-сервер ответил и создал подключение, то подключение произойдет, несмотря на различные заголовки, которые разработчик может попытаться вернуть в ответе, типаX-Frame-Options,Access-Control-Allow-Originи вот это всё.
Поэтому, подключать пользователя или нет, решает бэкэнд. Именно он должен определить, является ли пользователь и источник подключения легитимным. Обычно проверяют заголовокOriginили используют различные секреты (типа CSRF токена). Иногда это уже реализовано в библиотеках, но далеко не во всех. Еще забавно, что куки могут быть удалены, сессионный идентификатор может уже давно умереть, а подключение к вебсокету все еще работать. -
ANTICHAT Channel
Watch "How To Learn Something New? - Game Devlog #1" on YouTube
https://youtu.be/LTlBElDPDDM -
ANTICHAT Channel
CVE-2020-1181: SHAREPOINT REMOTE CODE EXECUTION THROUGH WEB PARTS
https://www.thezdi.com/blog/2020/6/16/cve-2020-1181-sharepoint-remote-code-execution-through-web-parts -
ANTICHAT Channel
Operator Handbook
—————————-—
Скинул подписчик, очень круто:
- Red Team, OSINT, Blue Team Reference наиболее распространенные инструменты и методы.
- 123 Шпаргалки и ссылки по всем трем дисциплинам.
- Ссылки в алфавитном порядке на A-Z для простоты использования.
#redteam #blueteam #osint #pentest #tools -
ANTICHAT Channel
Пингвин-супершпион. Используем виртуалку с Linux для постэксплуатации Windows — «Хакер» -
ANTICHAT Channel
[Перевод] Руководство по инструментарию управления Windows (WMI): основные сведения о WMI-атаках
https://habr.com/ru/post/507068/?utm_campaign=507068&utm_source=habrahabr&utm_medium=rss -
Реклама
-
ANTICHAT Channel
HackTheBox endgame. Прохождение лаборатории Xen. Пентест Active Directory
https://habr.com/ru/post/506980/?utm_campaign=506980&utm_source=habrahabr&utm_medium=rss -
ANTICHAT Channel
Погружение в ассемблер. Делаем первые шаги в освоении асма — «Хакер» -
ANTICHAT Channel
Я есть root. Повышение привилегий в ОС Linux через SUID/SGID
https://habr.com/ru/post/506750/?utm_campaign=506750&utm_source=habrahabr&utm_medium=rss