Языки программирования для кибербезопасности + видео обзор

Содержание
  1. Языки программирования для кибербезопасности
  2. 5 лучших языков программирования для хакинга
  3. Какие языки программирования используют хакеры?
  4. 1. Python
  5. 2. Java
  6. 3. Ruby
  7. 4. JavaScript
  8. 🕵 Python для этичного хакинга: изучаем основы
  9. Почему язык программирования Python хорош для работы в кибербезопасности?
  10. Исследование сетей с Python
  11. Веб-приложения
  12. SQL-инъекции
  13. Троянские задачи на Windows
  14. Форензика с Python
  15. Повышение привилегий в Windows
  16. Криптография
  17. Brute-force атака
  18. Сбор данных о мишени
  19. Анонимность
  20. Что почитать
  21. Information Security Squad
  22. 🥒 Важные языки программирования, используемые этичными хакерами
  23. Языки программирования хакеров:
  24. Языки программирования для Веб взлома и Пентеста
  25. 1. HTML
  26. 2. JavaScript
  27. 3. SQL
  28. 4. PHP
  29. 5. Perl
  30. Языки программирования для написания эксплойтов
  31. 8. Python
  32. 9. Ruby
  33. 10. Java
  34. 11. LISP
  35. Языки программирования для реверс инжиниринга
  36. 12. Язык ассемблер
  37. Лучшие языки для хакеров
  38. Дубликаты не найдены
  39. Информационная безопасность
  40. Правила сообщества
  41. Уязвимость государственных веб-сайтов. Как зайти в администраторскую панель с помощью admin admin?
  42. Боты FreakOut атакуют Linux-устройства через уязвимости
  43. Найден новый способ взлома кредитных карт VISA с обходом PIN-кода
  44. Про SIMJacker, вирусы через SMS и это все
  45. В SIM-картах найдена самая опасная уязвимость за историю мобильных сетей.
  46. Как удалить из Google информацию о себе
  47. PS4 Взломана версия 5.05
  48. Подросток заработал 36 тысяч долларов благодаря уязвимости в Google
  49. Про взлом сайта
  50. Google развивает открытую замену прошивкам UEFI
  51. Видео

Языки программирования для кибербезопасности

Для специалиста по информационной безопасности важно уметь программировать. Хороший профессионал работает с разными инструментами безопасности против атак и несанкционированного доступа. Но кроме готовых инструментов специалист должен уметь писать скрипты или создавать свои инструменты с нуля.

Ниже приведены 5 языков программирования, которые помогут вашей карьере в области информационной безопасности.

1. C и С++

С и C++ являются критически важными языками программирования низкого уровня, которые должен знать специалист по информационной безопасности.

Эти языки позволяют работать с памятью и системными процессами на низком уровне, которые могут атаковать хакеры.

На языке С написано большинство операционных систем. Это экономичный, гибкий и эффективный язык, который можно использовать для выполнения широкого спектра задач, таких как криптография, обработка изображений и работа с сокетами.

Вот замечательная цитата из Бьярна Страуструпа, создателя C++:

«C позволяет легко выстрелить себе в ногу, на С++ это сделать сложнее, но если вы попадете, то он отстрелит всю ногу».

Как эксперт в области безопасности, если у вас есть опыт работы с С/С++, то вы будете знать как реагировать атаки на низком уровне в вашем окружении.

2. Python

Python является языком программирования высокого уровня, который становится все более популярным среди специалистов по безопасности.

Он набирает обороты благодаря легкости написания кода, ясного и простого синтаксиса, а так же наличия большого количества готовых библиотек.

Любую задачу можно реализовать на Python.

Например, с помощью этого языка можно отправлять TCP-пакеты на компьютеры, выполнять анализ вредоносных программ и создавать системы обнаружения вторжений с минимальным использованием сторонних инструментов.

Однако, в отличие от C/C++ Python не является низкоуровневым, поэтому не дает доступа к аппаратным ресурсам компьютера.

Изучение Python для безопасности даст преимущество в вашей карьере. Вы получите навыки программирования, которые помогут вам найти уязвимости и понять как их исправить.

3. JavaScript

JavaScript является языком программирования высокого уровня, который часто называют языком интернета.

JavaScript в первую очередь является технологией для создания веб-страниц и в первую очередь это язык, который добавляет интерактивность.

Хотя JavaScript изначально был реализован только на стороне клиента в веб-браузерах, теперь язык можно использовать на серверной части для работы с базами данных и в отдельных приложениях.

Широкое применение JavaScript позволит вам стать на шаг впереди хакеров.

Вы узнаете как работают веб-сайты и другие приложения, и поймете какие проекты лучше всего использовать для защиты от злоумышленников.

Если у вас есть опыт использования языка JavaScript, то вы можете предотвратить такие типы атак.

4. PHP

Например, DDoS атаки обычно делают веб-приложение недоступных для реальных пользователей.

Благодаря знаниям программирования на PHP в сочетании с навыками в других технологиях, таких как JavaScript, вы можете реализовать надежные решения для защиты веб-приложений.

5. SQL

SQL используется для управления данными, которые хранятся в базах данных.

В бизнесе широко используются базы данных на SQL, поэтому умение работать с этими данными станет большим преимуществом.

Хакеры все чаще используют SQL для изменения сохраненных данных или для кражи. С помощью SQL инъекции возможно получить доступ к базе.

Хорошее понимание языка SQL имеет решающее значение в вашей карьере в безопасности.

Заключение

Список выше не является исчерпывающим списком лучших языков программирования в безопасности.

В зависимости от конкретного варианта использования вы можете обнаружить, что один язык лучше подходит под одни задачи, а другой язык под другие.

Например, если вы хотите сосредоточиться на защите фронтенда веб-приложения, изучение JavaScript может быть идеальным выбором.

Тем не менее чтобы быть всесторонним, вам нужно использовать такой подход: чем больше языков вы изучаете, тем лучше.

Источник

5 лучших языков программирования для хакинга

Перевод статьи Аншита Шармы «5 Best Programming Languages for Hacking».

Языки программирования для кибербезопасности

Какие языки программирования используют хакеры?

Как и программирование, хакинг стал опасно популярным в последнее время. Благодарить за это стоит фильмы-блокбастеры, которые пробудили у молодых людей интерес к хакингу.

Каждый второй подросток мечтает стать хакером, поскольку видит, что его любимые кинозвезды занимаются хакингом на экране. Такие фильмы как «Алгоритм», «Матрица» и «Хакер» очень повлияли на молодежь. Лично я смотрел «Алгоритм» 10 раз и мне по-прежнему нравится та реалистичная манера, в которой все было изображено.

Но в реальном мире стать хакером – непростая задача. Это потребует времени, причем не дней и даже не недель. На достижение уровня, когда можно будет назвать себя хакером, могут уйти месяцы и даже годы.

Хакинг требует много терпения и тяжелого умственного труда. На рынке есть много доступных инструментов, с помощью которых можно выполнять задачи, имеющие отношение к хакингу. Например, тест на проникновение, DDOS и т. п. Однако, если вы действительно хотите стать хакером, вы должны мастерски владеть языками программирования. Некоторые из лучших хакеров мира начинали как программисты. Если вы умеете программировать, вы сможете разобрать код и проанализировать его.

В этой статье мы составили короткий список из нескольких лучших языков программирования, которые вы можете начинать изучать, чтобы начать карьеру в хакинге. Все они играют различные роли и имеют разные преимущества, но вы должны знать их структуру и процесс работы.

1. Python

Языки программирования для кибербезопасности

Этот язык программирования хорошо известен благодаря своей простоте. Кроме того, это один из самых популярных языков, которые изучаются первыми в лучших университетах США.

Python предоставляет великолепную платформу разработки для построения наших собственных инструментов, которые в этичном хакинге называются инструментами атаки.

Python дает вам возможность быстрой разработки и тестирования, что необходимо для этичных хакеров, пентестеров и специалистов по безопасности. Пентестеры (или этичные хакеры) это люди, которые используют уязвимости в безопасности веб-приложений, сетей и систем. Им платят за легальный хакинг.

Подобно JavaScript, Python также является очень гибким. Он широко используется в различных сферах, от создания веб-приложений до биоинформатики. Python это язык хакеров – я прочитал об этом в книге О’Коннора «Violent Python: A Cookbook for Hackers, Forensic Analysts, Penetration Testers and Security Engineers» и верю в это. Для многих хакеров именно этот язык является первым, поскольку с него легко начинать.

2. Java

Языки программирования для кибербезопасности

Да, Java. Этот язык изначально был выпущен со слоганом «напиши один раз и запускай где угодно». Это должно было подчеркнуть его кросс-платформенные свойства. С помощью Java мы можем делать много всего. Все IT-профессионалы, хоть разработчики, хоть хакеры, ценят этот язык за его гибкость.

Это один из самых широко используемых языков программирования в мире. Благодаря его внушительной пользовательской базе, в последние десятилетия он является языком номер один для разработчиков, а теперь и для хакеров.

Если вы возьметесь искать руководства по Java-хакингу, то найдете их в большом количестве. Причина этому – Android. Большая часть пользователей припадает на системы Android, и это облегчает хакерам доступ к целевой аудитории. С другой стороны, Java дает им возможность испытать свои навыки.

3. Ruby

Языки программирования для кибербезопасности

В сфере исследований безопасности (этичного хакинга) Ruby очень быстро завоевал популярность. На этот язык повлияли Perl, Smalltalk, Eiffel, Ada и Lisp. Подобно Python, он легок для написания и чтения, а также приятен в работе.

Многие компании, такие как Shopify, Twitter, GitHub, ищут специалистов со знанием Ruby. Конечно, вам нужно знать PHP, C++, HTML и т. д., но Ruby – хороший вариант для старта. Это также один из моих любимых языков программирования. Как и в случае с JavaScript, его легко изучить, но навыки сложно довести до совершенства.

4. JavaScript

Языки программирования для кибербезопасности

JavaScript широко используется в веб-разработке. Это один из самых гибких языков, какие мне когда-либо доводилось использовать. Apple сделал JavaScript объектом первого класса в Yosemite, позволив использовать его вместо AppleScript для разнообразных сценариев и кастомизаций на уровне системы.

В связи с этим перед вами открываются тысячи возможностей для использования JavaScript в самых разных областях, в том числе и для хакинга. Этот язык может быть использован как для фронтенда, так и для бэкенда.

Начинающим может быть трудно заниматься отладкой и сложно изучить некоторые концепции вроде асинхронности, прототипов, объектов и т. п. Но со временем каждый может справиться.

Языки программирования для кибербезопасности

Это великолепный пример языка программирования. Именно его первым изучают в школах и колледжах, и для этого есть множество причин. Он очень портативный и может использоваться на разных платформах. Коротко говоря, это мощный, эффективный и быстрый язык, который используется при создании программ для Linux, Windows и т. д.

Также C/C++ используется для написания и разработки эксплойтов.

Хотя C++ является более мощным языком, чем C, и используется во множестве программ, оба эти языка предлагают отличный функционал. Основная особенность C++ – набор предопределенных классов, представляющих собой типы данных, которые могут быть созданы несколько раз. Этот язык также облегчает объявление пользовательских классов и многое другое.

Если вы хотите заняться хакингом, лично я рекомендую вам эти языки. Они научат вас применять базовые концепции программирования. Вы узнаете «изнутри», как работают циклы и условия, а это очень важно для вас как для будущего хакера.

Изучить эти языки можно по руководствам на YouTube или сайтах, предлагающих глубокие обзоры.

В конце хотелось бы добавить, что изучать все эти языки, конечно, необязательно, но если вы хотите называться крутым хакером, то это необходимо. Чтобы выделяться в сложном мире хакинга, вам нужно постоянно учиться и оттачивать свои навыки программирования.

Источник

🕵 Python для этичного хакинга: изучаем основы

Языки программирования для кибербезопасности

Почему язык программирования Python хорош для работы в кибербезопасности?

В материале собраны различные тулзы и обучающие материалы, которые помогут начать оптимизировать свою работу с помощью языка программирования Python.

Исследование сетей с Python

1. Можно написать собственный несложный сканер, который будет проверять открытые порты. Цель такой программы: подключиться к сайту, серверу или интернету вещей через выбранные порты.

Здесь подробнее описывается практическое решения в коде.

3. Расширяем возможности Nmap.

Nmap (или Network Mapper) – это сканер компьютерных сетей, также он анализирует уязвимости. После его работы вы получаете карту с данными о хостах и сервисах конкретной сети.

Веб-приложения

1. Поиск незащищенных файлов на распространенных CMS-платформах.

2. Для более сложных систем вроде кастомного веб-приложения или большого онлайн магазина лучше подойдет брутфорс-атака на каталоги и возможные расположения файлов. С помощью Python вы будете перебирать все известные названия файлов и местонахождения файлов.

3. Также можно брутфорсить формы аутентификации.

4. Расширение возможностей Burp Suite (ознакомиться с этим инструментов и скачать его можно на PortSwigger ). Используя язык программирования Python, в интерфейс Burp можно добавлять новые панели и автоматизировать некоторые задачи.

Например: перехваченный от Burp Proxy HTTP-запрос можно будет использовать как базу для создания фаззера в режиме мутации, которые можно запустить в Burp Intruder. Или: с помощью Microsoft Bing API (поможет найти все сайты, привязанные к конкретному IP) показать все виртуальные хосты, расположенные по тому же IP-адресу, что и сайт-мишень + все субдомены.

SQL-инъекции

С помощью языка программирования Python нетрудно получить доступ к базам данных, что-то вставить туда, изменить и удалить записи.

В этом примере подробно описывается, как можно потренироваться взламывать созданную вами же базу данных, и как избежать незаконного проникновения.

Языки программирования для кибербезопасности

Троянские задачи на Windows

1. Кейлогер с библиотекой PyHook позволяет фиксировать все действия с клавиатурой. Более того, есть возможность идентифицировать, какие процессы работают, когда пользователь нажимает клавиши. Например, можно понять, когда вводится никнейм, пароли или другая полезная информация.

3. Определяем песочницу антивирусника, чтобы случайно в нее не попасться. Простая программа на Питоне позволит понять, запущен ли ваш троян в песочнице. Она отследит, когда пользователь последний раз взаимодействовал с антивирусом, и соотнесет с тем, как долго тот был запущен.

Форензика с Python

Часто для расследования инцидентов специалисту по кибербезопасности нужно получить снимок оперативной памяти поврежденной машины, чтобы, например, считать криптографические ключи.

Повышение привилегий в Windows

С языком программирования Python можно, например, создать простую программу для мониторинга процессов с WMI API; автоматически получить необходимые привилегии на процессы, которые вы отслеживаете; автоматически вставлять код в файлы-мишени.

Криптография

Шифровать и расшифровывать текст можно и вручную. Python используется как один из инструментов для ускорения этого процесса.

Расшифровка происходит тоже с этим модулем. Поскольку в Цезаре ограниченное количество ключей (26), программа просто перебирает возможные варианты. Уже среди выдачи вы легко сможете определить ключ – напротив него будет понятный текст на английском, а не набор букв.

Конечно, язык программирования Python позволяет зашифровывать и расшифровывать и гораздо более сложные шифры.

Brute-force атака

Языки программирования для кибербезопасности

Сбор данных о мишени

3. Часто пентестерам нужно собрать и исследовать на уязвимости все субдомены конкретного сайта. С помощью библиотеки requests можно значительно ускорить эту задачу, автоматически перебрав все стандартные субдомены. Для этого потребуется загрузить файл с разными вариантами. Желательно, чтобы их было около 10 000 – это увеличит шансы найти существующие субдомены сайта, который вы исследуете.

4. Зная Python, можно расширить возможности поиска по уязвимостям интернета вещей через Shodan API.

Анонимность

1. Постоянно изменяемый mac-адрес.

Mac-адрес назначается устройству производителем, и его нельзя поменять навсегда. С помощью Python есть возможность поменять mac-адрес на всю сессию работы. Чтобы не обновлять его вручную, Питон позволяет запустить цикл.

2. На Питоне нетрудно создать программку, которая будет отслеживать, собирает ли сайт куки или идентификаторы сеанса. Сниппет можно найти среди шпаргалок для пентестеров.

Что почитать

Небольшой статьи мало, чтобы научиться по полной использовать язык программирования Python для пентеста и белого хакинга. Мы собрали для вас несколько стоящих источников для изучения.

Python Pentest Cheat Sheet – шпаргалка по Python для пентеста. Есть, например, сниппет для сбора всех ссылок с сайта (с помощью BeautifulSoup), сканирования портов с Nmap, а также программа, которая отслеживает, собирает ли сайт куки или идентификаторы сеанса.

Если вы только осваиваете популярный язык программирования, обратите внимание на факультет Python-разработки GeekBrains. Под руководством опытных наставников вы научитесь писать подобные описанным (и более сложные) приложения, а успешно завершившим обучение студентам онлайн-академия поможет с трудоустройством.

Источник

Information Security Squad

stay tune stay secure

🥒 Важные языки программирования, используемые этичными хакерами

Какие языки программирования важны для взлома?

Хакеры, как правило используют разные диалекты кодирования для разных проектов.

Ранее мы обсуждали лучшие операционные системы для хакеров, сегодня мы здесь, чтобы дать вам некоторую информацию о важных языках программирования хакеров, используемых для этического взлома.

Кодирование необходимо для взлома, потому что хакер – это тот, кто нарушает системный протокол или безопасность приложения, которые запрограммированы на определенном языке программирования.

Чтобы понять работу и найти уязвимости компьютера и приложений, хакер должен выучить пару языков программирования, чтобы выполнить свою задачу.

Так что ознакомьтесь в этой статье с важными языками программирования для хакеров и экспертов по безопасности и где их применять.

Языки программирования хакеров:

Существует много компьютерных языков, но для взлома требуется не все, потому что в большинстве случаев это зависит от цели.

Есть три раздела – веб-хакерство и пентестинг, написание эксплойтов и обратный инжиниринг, и каждый из них требует различного языка или направления.

Языки программирования для Веб взлома и Пентеста

Если вы заинтересованы в веб-хакерстве и пентестинге, вы должны изучать нижеуказанные языки как минимум на базовом и среднем уровнях.

1. HTML

Всегда начинайте с основ, а HTML – язык разметки гипертекста – должен быть первым, который вы должны выучить как новичок.

HTML – это строительные блоки Интернета, и этичный хакер должен хорошо знать его, чтобы понимать действия, реакцию, структуру и логику в Интернете.

Кроме того, изучение HTML не так уж и сложно.

2. JavaScript

JavaScript – JavaScript наиболее часто используется в качестве клиентского программирования, а для веб-разработки также является лучшим языком программирования для взлома веб-приложений.

Фактически, это лучший язык программирования для хакеров и экспертов по безопасности для разработки хакерских программ для межсайтовых скриптов.

Вы должны изучить его в режиме высокого приоритета.

Понимание логики кода JavaScript может помочь вам найти недостатки веб-приложений, и это лучший способ манипулировать как интерфейсными, так и фоновыми веб-компонентами.

3. SQL

SQL – язык структурированных запросов – это язык программирования баз данных, используемый для запроса и извлечения информации из баз данных.

Все большие и маленькие веб-сайты и веб-приложения используют базы данных для хранения данных, таких как учетные данные для входа и другие ценные инвентаризации – это самая чувствительная часть Интернета.

Таким образом, хакер должен научиться SQL, чтобы общаться с базами данных и разрабатывать хакерские программы на основе SQL-инъекций.

4. PHP

PHP – самый популярный язык динамического программирования, используемый в основном веб-сайтами, основанными на популярных CMS, таких как WordPress.

Так что знание PHP поможет вам найти уязвимости в такой системе и уничтожить личный сайт или блог.

Хакеры используют PHP в основном для разработки программ для взлома серверов, так как это язык сценариев на стороне сервера.

Таким образом, если вы занимаетесь веб-хакерством, вам необходимы более глубокие знания PHP.

5. Perl

Perl является важным языком программирования для взлома, чтобы скомпрометировать старые машины, так как многие старые системы все еще используют Perl.

Perl стоит изучать по практическим соображениям – он очень широко используется для активных веб-страниц и системного администрирования, лучшего доступного языка для работы с текстовыми файлами в системах Unix и интеграции с популярными веб-базами данных.

Так что даже если вы никогда не будете писать на Perl, вы должны научиться читать его.

Языки программирования для написания эксплойтов

Написание эксплойтов – это передовая часть взлома.

Это требует языка программирования более высокого уровня.

Эксплойты можно сделать на любом языке программирования, например C, C ++, Ruby, Python и т. д.

Мать всего языка программирования, C – самый важный язык программирования, используемый при создании Linux и Windows.

Таким образом, изучение программирования на С поможет белому хакеру понять, как работают эти системы, например, как процессор и память взаимодействуют друг с другом.

Тем не менее, это лучший язык программирования для написания эксплойтов и разработки.

Низкий уровень C позволяет экспертам по безопасности разрабатывать хакерские программы для доступа к системному оборудованию и управления им, а также для ресурсов более низкого уровня.

C ++ – один из лучших языков программирования для взлома программного обеспечения, которое распространяется по закрытой лицензии и требует платной активации.

Как и C, C ++ также обеспечивает низкоуровневый доступ к системе и помогает анализировать машинный код и обходить такие схемы активации.

Также многие современные хакерские программы построены на C ++.

8. Python

В отличие от любого другого языка программирования, перечисленного здесь, Python является самым простым в изучении.

Это наиболее используемый язык для написания эксплойтов, так как Python является самым простым языком программирования для написания скриптов автоматизации из-за предварительно созданных библиотек с некоторыми мощными функциями.

Настоятельно рекомендуется изучать программирование на Python Socket, потому что оно очень помогает в создании эксплойтов.

9. Ruby

Ruby – это простой, но самодостаточный объектно-ориентированный язык программирования, используемый в веб-разработке.

Ruby очень полезен в написании эксплойтов.

Он используется для скриптов meterpreter, и знаете ли вы, что сам Metasploit Framework запрограммирована на Ruby.

10. Java

Java является наиболее широко используемым языком программирования в сообществе программистов. Изначально Java была выпущена под лозунгом «пиши один раз, запускай где угодно», что должно было подчеркнуть ее кроссплатформенные возможности.

Благодаря этому Java является идеальным языком программирования для взлома ПК, мобильных устройств и веб-серверов.

Как только вы напишите свои хакерские программы на Java, вы сможете запускать их на любой платформе, поддерживающей Java.

11. LISP

Lisp является вторым старейшим языком программирования высокого уровня, широко используемым сегодня.

LISP абсолютно открыт, гибок и полностью независим от машины, что делает его любимым для хакера.

Вы можете определить свой собственный синтаксис и создать любую понравившуюся парадигму программирования и включить ее в свои программы.

Языки программирования для реверс инжиниринга

Реверс инжиниринг, также называемый обратным инжинирингом, представляет собой процессы извлечения знаний или информации о конструкции из всего, что сделано человеком, и воспроизведения чего-либо на основе извлеченной информации.

Реверс-инжиниринг также полезен в предупреждении взлома, когда подозрительное вредоносное ПО подвергается обратному инжинирингу, чтобы понять, что оно делает, как обнаружить и удалить его, а также позволить компьютерам и устройствам работать вместе.

Обратный инжиниринг также можно использовать для «взлома» программного обеспечения и носителей с целью удаления их защиты от копирования.

12. Язык ассемблер

Ассемблер – это язык программирования низкого уровня, но очень сложный.

Можно проинструктировать аппаратное или программное обеспечение машины на языке ассемблера.

Источник

Лучшие языки для хакеров

Неудивительно, что Python возглавляет наш список. Известный как язык программирования для взлома, Python действительно сыграл значительную роль в написании сценариев взлома, эксплойтов и вредоносных программ.

C и C ++ известны тем, что создают чрезвычайно быстрые эксплойты, которые выполняются на более низком уровне системы. Программирование на C также известно получением доступа к таким ресурсам, как память и системные процессы, после выполнения атаки и компрометации системы.

Некоторое время Javascript (JS) был языком сценариев на стороне клиента. С выпуском Node.js Javascript теперь поддерживает внутреннюю разработку, что создает жесткую конкуренцию PHP. Для хакеров это означает более широкое поле для использования.

Понимание Javascript дает вам более высокие привилегии в веб-эксплуатации, поскольку едва ли всемогущие веб-приложения используют Javascript или одну из его библиотек.

В течение долгого времени PHP доминирует в серверной части большинства веб-сайтов и веб-приложений. Даже популярные системы управления контентом (CMS), такие как WordPress и Drupal, работают на основе PHP.

Если вы занимаетесь веб-хакингом, то получение PHP было бы большим преимуществом. После последних обновлений до PHP 7.4.5 у нас все еще есть веб-сайты с более старыми версиями. Обладая отличными навыками, вы сможете использовать эти устаревшие библиотеки в большинстве веб-приложений.

Языки программирования для кибербезопасности

Дубликаты не найдены

Языки программирования для кибербезопасности

Информационная безопасность

1.2K постов 21.8K подписчиков

Правила сообщества

Добавление ссылки разрешено если она не содержит описание коммерческих (платных) продуктов и/или идентификаторов для отслеживания перехода и для доступа не нужен пароль или оплата в т.ч. интернет-ресурсы, каналы (от 3-х тематических видео), блоги, группы, сообщества, СМИ и т.д.

По решению модератора или администратора сообщества пользователь будет забанен за:

1. Флуд и оскорбление пользователя, в т.ч. провокация спора, флуда, холивара (высказывание без аргументации о конкретной применимости конкретного решения в конкретной ситуации), требование уже данного ответа, распространение сведений порочащих честь и репутацию, принижающих квалификацию оппонента, переходы на личности.

2. Публикацию поста/комментария не соответствующего тематике сообщества, в том числе обсуждение администраторов и модераторов сообщества, для этого есть специальное сообщество.

3. За обвинение в киберпреступной деятельности.

4. За нарушение прочих Правил Пикабу.

пишет такое он а стыдно мне.

КГ/АМ. Афтару, убейся об стену.

аффтар выпей йаду (сводит олдскулы)

будто в цистерну с говном дрожжей на новый год кто-то накидал!

Языки программирования для кибербезопасности

Скрытая реклама курсов видимо.

Языки программирования для кибербезопасности

Уязвимость государственных веб-сайтов. Как зайти в администраторскую панель с помощью admin admin?

В декабре 2020 году мною были обнаружены уязвимости на государственных веб-сайтах такие как «Законодательство Российской Федерации» и «Мониторинг государственных веб-сайтов».

На веб-сайте «Законодательство Российской Федерации» было обнаружено, что логин и пароль для авторизации в администраторскую панель присвоен стандартный: admin (логин), admin (пароль). Также на этом веб-сайте была обнаружена отражённая XSS уязвимость.

На веб-сайте «Мониторинг государственных веб-сайтов» была обнаружена хранимая XSS уязвимость, которая позволит злоумышленнику перехватить cookie пользователей (в том числе администраторов, которые имеют функционал администрирования веб-сайтом) и пользоваться аккаунтами в своих личных целях!

Также данные уязвимости существуют и на других государственных веб-сайтах!

Языки программирования для кибербезопасности

Боты FreakOut атакуют Linux-устройства через уязвимости

Языки программирования для кибербезопасности

Новый Linux-зловред FreakOut приобщает зараженное устройство к ботнету, способному проводить DDoS-атаки и добывать Monero за счет мощностей своих жертв. Вредоносная программа проникает в систему посредством эксплуатации критических уязвимостей, для которых уже выпущены патчи.

Первые атаки FreakOut были обнаружены 8 января. За неполную неделю эксперты Check Point Software Technologies насчитали свыше 380 попыток эксплойта у своих клиентов — в основном в США (27%) и странах Западной Европы (24%). Чаще прочих зловред атаковал финансовые организации, госструктуры и медицинские учреждения.

Установлено, что для доставки новых ботов используются три уязвимости, позволяющие удаленно выполнить вредоносный код (все — 9,8 балла по CVSS):

CVE-2020-28188 — возможность внедрения команд в TOS, операционной системе от вендора сетевых накопителей TerraMaster;

CVE-2021-3007 — десериализация недоверенных данных в Zend Framework, популярном наборе библиотек для создания веб-приложений;

CVE-2020-7961 — десериализация недоверенных данных в Liferay Portal, CMS-системе с открытым исходным кодом, используемой для создания сайтов и порталов.

При успешной отработке эксплойта в систему со стороннего сервера загружается Python-скрипт — IRC-бот, обладающий широкими возможностями. Он способен по команде выполнять сканирование портов, собирать информацию, генерировать и отправлять пакеты данных, проводить анализ сети, создавать и нацеливать DDoS-поток типа flood, добывать криптовалюту с помощью майнера XMRig. Зловред также умеет распространяться на другие устройства по сети и атаковать мишени за ее пределами, используя все те же эксплойты.

Языки программирования для кибербезопасности

Адрес командного сервера FreakOut жестко прописан в его коде. На этом сервере эксперты обнаружили записи, свидетельствующие о взломе 185 Linux-устройств.

Компания TerraMaster собиралась пропатчить TOS, выпустив версию 4.2.07 — она вышла в начале прошлого месяца. Обновление для Liferay Portal (7.2.1) тоже уже доступно. Проект Zend Framework больше не поддерживается, пользователям предлагается установить патч, созданный участниками Laminas Project.

Эксперты Check Point также рекомендуют принять дополнительные меры защиты:

Проверить Linux-устройства на наличие других уязвимостей и предельно обновить весь софт.

Использовать систему класса IPS для предотвращения эксплойтов.

Конечные устройства снабдить антивирусами или подписаться на услуги расширенной защиты, работающей на таком уровне.

Языки программирования для кибербезопасности

Найден новый способ взлома кредитных карт VISA с обходом PIN-кода

Коллектив исследователей-хакеров, работающий в сфере безопасности, обнаружил уязвимость в платёжной системе кредитных карт VISA. Найденная уязвимость позволяет злоумышленнику, вооружённому двумя смартфонами с чипами NFC и некоторым специальным программным обеспечением, обходить защитный механизм запроса PIN-кода подтверждения проведения платежа.

Языки программирования для кибербезопасности

Что это значит простыми словами? У каждой кредитной или дебетовой карты VISA есть настройка (параметр), хранящий пороговый размер денежной суммы, позволяющий проводить платёж без ввода пароля (PIN кода). Например, если задать порог как 100 рублей и купить мандаринку за 10 рублей, то платёжный терминал магазина не будет запрашивать у вас PIN код при оплате. Но если купить торт за 500 рублей, то терминал на кассе запросит у вас пароль (PIN код). Хакеры смогли найти лазейку, позволяющую обойти защитный механизм и проводить все платежи без запроса PIN кода. Да-да! Они могут бесконтактным способом, то есть по воздуху, снять любую сумму с карты VISA без запроса пароля PIN. Представляете масштаб бедствия?

Советуем без лишней надобности не доставать кредитные карты VISA из вашей шапочки из фольги. Всем удачи и добра!

Языки программирования для кибербезопасности

Про SIMJacker, вирусы через SMS и это все

Навеяно постом, а еще больше комментариями к нему, где «гуру» высказали свое авторитетное мнение: этой дыре сто лет, она не работает, она вообще не дыра, на симках нет исполняемого кода, КГ/АМ и далее со всеми остановками.

У меня для вас плохие новости: дыра есть и она работает, за что мы все должны отвесить низкий поклон алчным операторам, пихающим на SIM-карты свои «приложения», рукожопым разработчикам SIM Application Toolkit (STK) и Корпорации добра, которая выпустила дырявый «интерпретатор» для поддержки этой дряни.

Если у вас телефон на Android, то на нем есть приложение STK.apk (STK.apk и STK2.apk на двухсимочном). На iPhone тоже есть какое-то приложение, но не знаю как оно называется и как выглядит его иконка. Если его запустить, появится приложение с заголовком «Меню оператора» или что-то в таком ключе, управляющее «дополнительными сервисами» – «Хамелеон», «Живой баланс» и т.п. мусор.

Языки программирования для кибербезопасности

Код для управления этими сервисами записан на SIM (да, Карл, на SIM есть исполняемый код!) и часть этого кода можно исполнить путем отправки на соответствующий смартфон (планшет, систему видеонаблюдения, запирающее устройство, трекер – всюду, куда воткнута SIM-карта) специального SMS-сообщения от оператора. Это был лишь вопрос времени, когда хакеры «подберут ключи» и смогут сами отправлять такие SMS, чтобы с их помощью управлять чужим устройством.

Как обезопасить себя, пока операторы не выпустят новые, исправленные SIM-карты (спойлер: никогда)? Если у вас на устройстве Android и есть рут – удалить, отключить, заморозить приложения STK.apk Это не повлияет на базовый функционал SIM-карты, т.е. вы по-прежнему сможете звонить, принимать звонки, посылать и получать SMS/MMS, а также шастать в Интернете. Не будут работать только «дополнительные сервисы» оператора.

Если же рута нет, это можно сделать через ADB, выполнив 2 команды:

pm disable-user com.android.stk2

Обладателям яблодевайсов, увы, ничего подсказать не могу – у вас идеальная закрытая экосистема, где производитель уже позаботился обо всех возможных потребностях клиентов. Вот своему производителю и задавайте вопросы, как жить дальше.

Языки программирования для кибербезопасности

В SIM-картах найдена самая опасная уязвимость за историю мобильных сетей.

Специалисты в области кибербезопасности обнаружили критическую уязвимость в SIM-картах, позволяющую с помощью SMS взломать практически любой смартфон и следить за его владельцем. В зоне риска находятся обладатели устройств от Apple, ZTE, Motorola, Samsung, Google, HUAWEI и других компаний. Эксперты говорят, что это самый изощрённый тип атаки, из когда-либо существовавших в мобильных сетях.

Языки программирования для кибербезопасности

Уязвимость, получившая название SimJacker, находится в программном обеспечении SIMalliance Toolbox Browser (S@T Browser), встроенном в большинство SIM-карт, которые используются мобильными операторами как минимум в 30 странах мира. Злоумышленники могут прибегнуть к ней независимо от марки устройства жертвы. По словам специалистов, этот эксплойт успешно используется хакерами последние несколько лет. Они зафиксировали реальные атаки на устройства практически всех производителей, включая Apple, Samsung, Google, HUAWEI и других. Взлому подвержены даже гаджеты интернета вещей с SIM-картами.

S@T Browser представляет собой приложение, которое устанавливается на SIM-карты, в том числе и на eSIM, как часть SIM Tool Kit (STK), и предназначено для того, чтобы мобильные операторы могли предоставлять своим клиентам разные базовые услуги. S@T Browser содержит ряд инструкций STK, таких как отправка сообщений, настройка звонков, запуск браузера, предоставление локальных данных, запуск по команде и отправка настроек, которые могут быть активированы сообщением.

Используя GSM-модем за 10 долларов, злоумышленники могут отправить на аппарат жертвы поддельное сообщение, содержащее вредоносный код. Это позволяет им:

• Получить местоположение целевого устройства и его IMEI

• Распространять любую информацию путём отправки поддельных сообщений от имени жертв

• Совершать звонки на платные номера

• Шпионить, приказав устройству позвонить по номеру телефона злоумышленника

• Загружать вредоносные программы, заставляя браузер устройства открывать вредоносные веб-страницы

• Получать информацию о языке на устройстве, заряде аккумулятора и т. д.

Языки программирования для кибербезопасности

Во время атаки пользователь совершенно ничего не подозревает. Отличием SimJacker от других способов получения информации о местонахождении жертвы заключается в возможности выполнения действий, указанных выше. Эта атака также уникальна тем, что её не может определить антивирусное ПО, поскольку она содержит ряд инструкций, которые SIM-карта должна выполнять.

Все технические подробности этой уязвимости будут опубликованы в октябре этого года. По словам исследователей, одной из главных причин её существования сегодня — использование устаревших технологий в SIM-картах, спецификации которых не обновлялись с 2009 года. Специалисты уже сообщили о своём открытии в Ассоциацию GSM.
Источник: http://4pda.ru/2019/09/14/361610

Языки программирования для кибербезопасности

Языки программирования для кибербезопасности

Как удалить из Google информацию о себе

Google следит за нами, и это уже давно ни для кого не секрет. Следит как за нашим местоположением, так и за всеми действиями в интернете. Вы наверняка могли заметить, что стоит поискать в Сети информацию о каком-либо продукте или прочитать о нём статью, как вам тут же покажут соответствующую рекламу на YouTube. Если бы Google не собирала данные о своих пользователях, реклама не была бы персонализированной и, следовательно, просто не работала.

С одной стороны, кажется, что ничего плохого во всём этом нет. Ну собирает Google данные о нас, что же теперь, не пользоваться сервисами компании? Ведь благодаря этому ваше нахождение в интернете становится интереснее и полезнее: вам советуют то, что, скорее всего, вас заинтересует. Но если вспомнить недавний инцидент с индексацией Google Docs, закрадываются сомнения: а не сможет ли кто-то кроме Google получить данные о том, где вы живёте и чем увлекаетесь? Гарантий нет, так что стоит самостоятельно позаботиться о себе.

Что Google известно о вас

Первое и самое важное – это ваша геолокация. С помощью неё Google может отслеживать и записывать ваше местоположение, а уже на основе этих данных предлагать вам персонализированную рекламу. Вы можете перейти по ссылке и убедиться, что Google помнит даже те места, о которых вы, возможно, уже и сами забыли. В левом верхнем углу можно выбрать любую дату, и на карте будет показано, где вы были, во сколько и даже на каком транспорте передвигались.

Google хранит не только ваши поисковые запросы, но и список статей, что вы прочитали, профили людей в социальных сетях, страницы которых вы посещали. Убедитесь сами, перейдя по этой ссылке.

Данные о ваших контактах, ваши планы в календаре, будильники, приложения, которыми вы пользуетесь, ваши музыкальные предпочтения и даже уровень заряда аккумулятора – ещё один перечень данных о вас, которые Google собирает для показа более релевантной рекламы. Список всех данных можно посмотреть здесь.

Если вам знакома фраза «Окей, Google», поздравляем: ваши голосовые команды для управления смартфоном, а также голосовые поисковые запросы сохранены на серверах Google. Вы можете их прослушать, пройдя по этой ссылке. А если случится утечка данных, то, возможно, не только вы.

Для Google основная цель сбора данных о пользователях – персонализация рекламы, ведь именно на этом компания зарабатывает деньги. Вы можете узнать, что о ваших интересах и предпочтениях известно рекламодателям, и наконец избавиться от назойливой рекламы продукта, который вы когда-то по нелепой случайности решили найти в интернете.

Если вы пользуетесь смартфоном на Android, возможно, ваши фотографии и видео уже хранятся в облачном хранилище Google, а вы об этом даже не знаете, потому что автозагрузка могла быть включена по умолчанию. Не спешите удалять приложение Google Photo – это не исправит ситуацию. Все ваши фотографии продолжат улетать в облако и в случае утечки данных могут оказаться в открытом доступе. Google сама написала инструкцию о том, как отключить автозагрузку фотографий и видео на разных устройствах.

Вы замечали, как много ресурсов вашего компьютера съедает Google Chrome? Браузер собирает о вас данные и работает фоном даже после полного закрытия, а также хранит ваши файлы cookie. Как и для чего Google использует эти файлы, вы можете узнать здесь. Если вы не хотите, чтобы вкладки продолжали работу в фоновом режиме, перейдите в настройки браузера Chrome и в пункте «Система» уберите галочку напротив «Не отключать работающие в фоновом режиме сервисы при закрытии браузера». Это доступно только для Windows-версии, у пользователей macOS такого пункта в Chrome нет. Если вам нужно отключить сбор данных о вас и использование файлов cookie, внизу страницы нажмите на кнопку «Дополнительные настройки», перейдите в «Настройки контента» и отключите всё то, что не хотели бы рассказывать о себе и своих действиях.

Как удалить все данные о себе и запретить их дальнейший сбор

Для начала вам следует перейти по этой ссылке и отключить сбор тех данных, которые вы не хотите передавать Google и рекламодателям. Все пункты собраны в одном месте, что очень удобно.

Затем нужно удалить те данные о вас, которые ранее уже были собраны. Для этого перейдите по следующей ссылке, укажите период (для удаления сразу всех данных можно выбрать пункт «Всё время»), выберите сервисы по одному или сразу все сервисы Google и смело нажимайте на кнопку удаления.

Изменить ваше имя, дату рождения и другие личные данные вы можете здесь.

Также, если вы не используете Google Pay для бесконтактной оплаты покупок и не покупаете приложения в Google Play, проверьте, не хранится ли в Google ваша платёжная информация, которую тоже можно удалить.

Языки программирования для кибербезопасности

PS4 Взломана версия 5.05

Хакер под ником Spectre выпустил исходный код программы взлома PlayStation 4 с прошивкой версии 5.05. Об этом он заявил в Twitter.

Отмечается, что взлом полностью открывает доступ к файловой системе консоли. Также он позволит запускать на ней сторонние приложения, вроде эмуляторов консолей прошлого поколения. Это также позволяет обойти антипиратскую защиту и запускать пиратские игры.

Взлом основан на уязвимости ядра системы, найденной хакером Qwertyoruiopz.

На данный момент актуальная версия ОС PS4 — 5.55.

В Сети уже можно найти несколько реализаций взлома и получения образа игры с диска. Судя по комментариям, не все из них работают должным образом, но положительный результат наблюдается часто.

В январе этого года хакеры заявили об успешном взломе PS4 с прошивкой версии 4.05, а также смогли запустить удаленную из магазина Sony игру P.T. Также на взломанной приставке удалось запустить Horizon: Zero Dawn, которая требует более поздней версии системы. До этого взломать удавалось лишь PS4 с версией 1.76.

Языки программирования для кибербезопасности

Языки программирования для кибербезопасности

Подросток заработал 36 тысяч долларов благодаря уязвимости в Google

Уругваец Эсекьель Перейра получит от Google более 36 тысяч долларов в награду за найденную уязвимость, которая могла ставить под угрозу внутренние системы компании
Это уже пятая и самая «прибыльная» уязвимость, найденная подростком в рамках инициативы компании по выявлению ошибок в ее ПО.

Перейра начал программировать в 11 лет, он самостоятельно выучил несколько языков программирования и участвовал в нескольких соревнованиях по программированию. В одном из них подросток выиграл поездку в штаб-квартиру Google в Калифорнии. Первый найденный баг принес ему 500 долларов, после чего он вошел в азарт и решил продолжить поиски, которые в итоге увенчались успехом.

Последнюю уязвимость Перейра нашел в начале этого года, но рассказать о ней остальному миру компания разрешила только недавно — после того как устранила опасность. На полученные деньги он планирует окончить один из американских вузов и получить степень магистра информатики, а также помочь матери оплатить счета.

Помимо Google, аналогичные программы денежного поощрения за найденные уязвимости имеют другие технологические гиганты и компании-разработчики видеоигр. Считается, что хакерам будет выгоднее сообщать о багах, а не использовать их для вредоносных атак.

Языки программирования для кибербезопасности

Языки программирования для кибербезопасности

Языки программирования для кибербезопасности

Про взлом сайта

Вспомнил историю, хочу поделиться. Может кому то интересно, что значит «взлом сайта» и как это делают.

Однажды мне позвонил какой-то паренек.. 17 лет ему было. И представился как человек, взломавший мой сайт.

И действительно, парень вывел на свой кошелек все деньги с кошелька сайта. Он их мне вернул и рассказал про уязвимость.

К тому времени я уже забросил этот сайт.. Больше года им не занимался, и решил просто отдать его тому парню. Он согласился, но видимо ему сайт быстро надоел и уже через пару месяцев он перестал существовать.

Языки программирования для кибербезопасности

Google развивает открытую замену прошивкам UEFI

Рональд Минних (Ronald Minnich), основатель проекта CoreBoot, выступил на конференции LinuxCon с докладом, в котором рассказал о развиваемом компанией Google открытом проекте NERF (Non-Extensible Reduced Firmware). В рамках NERF предпринята попытка разработки прозрачной и открытой замены прошивкам UEFI, в основе которой использовано ядро Linux и урезанное программное окружение. Конечной целью является предоставление средств для замены или отключения всех прослоек, выполняемых вне основной операционной системы, и блокирование любой связанной с UEFI, SMM и Intel ME фоновой активности.

NERF также рассчитан на снижение векторов возможных атак, расширение возможностей по контролю за активностью прошивок, исключение излишней функциональности (например, TCP-стек и web-сервер), удаление встроенных механизмов обновления в пользу обновления из базового Linux-окружения. В состав NERF входит избавленный от блобов упрощённый вариант прошивки для Intel ME (Management Engine), урезанная прошивка для UEFI, код для отключения SMM, ядро Linux, образ initramfs c системой инициализации и инструментарием u-root, написанными на языке Go.

В прошивке для Intel ME оставлены только компоненты для начальной инициализации CPU, все остальные модули удалены при помощи инструментария me_cleaner (прошивка сокращена с 5 Мб до 300 Кб). Код обработчиков SMM (System Management Mode) также отключен и переведён на обработку прерываний SMI через ядро Linux. Прошивка для UEFI переведена на использование ядра Linux, наработок CoreBoot и инструментария u-root.

Таким образом, в u-root все утилиты предлагаются в исходных текстах, а для адаптации инструментария требуется лишь настройка компилятора. Компиляция занимает доли секунды и не приводит к ощутимым задержкам при вызове. Подобный подход позволяет сделать образ u-root универсальным и распространять единый образ корневой ФС для всех платформ, поддерживаемых компилятором языка Go (для каждой новой архитектуры требуется лишь подготовить 4 исполняемых файла, в одном образе могут содержаться сборки компилятора для разных архитектур). Дополнительно предусмотрены варианты c компиляцией всех утилит во время загрузки или поставки готовых сборок (для минимизации размера прошивки все утилиты могут быть собраны в один исполняемый файл, по аналогии с busybox).

Языки программирования для кибербезопасности

Языки программирования для кибербезопасности

В частности, ресурс WikiLeaks в этом году раскрыл сведения о разработке в ЦРУ имплантов для контроля за системой, внедряемых в прошивки UEFI. Современные прошивки сильно усложнены и включают многие атрибуты обычных ОС, включая TCP-стек, http-сервер, DHCP, драйверы, файловые системы и web-интерфейс. С учётом значительного размера кодовой базы прошивок UEFI, которая составляет около 2 млн строк кода, и недоступностью кода прошивок для независимого аудита, также возникают опасения о наличии в прошивках большого количества неисправленных уязвимостей.

Источник

Видео

7 языков программирования для Хакера | Какой язык программирования учить в 2022? | UnderMind

7 языков программирования для Хакера | Какой язык программирования учить в 2022? | UnderMind

не ХАЦКЕР, а Специалист по Информационной Безопасности! | UnderMind

не ХАЦКЕР, а Специалист по Информационной Безопасности! | UnderMind

Информационная безопасность с нуля. Основы кибербезопасности

Информационная безопасность с нуля. Основы кибербезопасности

10 глупых вопросов СПЕЦИАЛИСТУ ПО КИБЕРБЕЗОПАСНОСТИ

10 глупых вопросов СПЕЦИАЛИСТУ ПО КИБЕРБЕЗОПАСНОСТИ

Языки и сферы их применения. Какой язык программирования выбрать?

Языки и сферы их применения. Какой язык программирования выбрать?

Специалист по информационной безопасности — кто это и как им стать | GeekBrains

Специалист по информационной безопасности — кто это и как им стать | GeekBrains

Какой язык программирования выбрать в 2022 году?

Какой язык программирования выбрать в 2022 году?

С чего начать карьеру в кибербезопасности в 2022 году?

С чего начать карьеру в кибербезопасности в 2022 году?

5 САМЫХ ЛЁГКИХ языков программирования

5 САМЫХ ЛЁГКИХ языков программирования

Язык программирования которые используют Хакеры

Язык программирования которые используют Хакеры
Поделиться или сохранить к себе:
Добавить комментарий

Нажимая на кнопку "Отправить комментарий", я даю согласие на обработку персональных данных, принимаю Политику конфиденциальности и условия Пользовательского соглашения.