Мы открываем набор на «Summ3r 0f h4ck», традиционную летнюю обучающую программу от Digital Security. Она пройдет c 3 по 31 августа в нашем офисе в Санкт-Петербурге. Прием заявок продлится до 7 июня включительно.
Digital Security открывает набор на «Summ3r 0f h4ck», традиционную летнюю обучающую программу. Она пройдет c 3 по 31 августа в нашем офисе в Санкт-Петербурге. Прием заявок продлится до 7 июня (включительно).
Успейте подать заявку на участие в нашей обучающей программе! 1 мая после 23:59 мы закроем анкеты. И откроем новый набор только в 2023 году :)
Мы подготовили для будущих стажеров отличный учебный план с практическими задачами и ворк-шопами. Кстати, напоминаем: по итогам прохождения стажировки вы можете получить оффер и работать у нас!
Всем привет. Я чуть больше полутора лет занимаюсь внутренним пентестом. И вроде бы уже многое знаю, но всегда кажется, что этого недостаточно и хочется знать больше. Когда часто делаешь похожую работу, привыкаешь к одним и тем же действиям, инструментам, и нет идей, что бы еще попробовать. Иногда я черпаю вдохновение в отчетах своих коллег, но всегда интересно почитать о том, как работают и что используют другие команды. А раз это интересно мне, может, это интересно кому-то еще. Мы c командой решили тоже поделиться несколькими интересными киллчейнами. В этой статье я расскажу о последовательности шагов, которая привела к получению привилегий администратора домена в компании, в которой «почти все безопасно».
Подробнее — под катом.
В данной статье рассмотрим уязвимости, которые легко проэксплуатировать в Active Directory — так называемые «низко висящие фрукты». Они часто встречаются и в результате дают возможность атакующему продвинуться вглубь инфраструктуры или получить дополнительную информацию.
Комбинация таких участков часто позволяет достичь полного контроля над средой Active Directory с правами администратора домена или расширить исходные привилегии.
Не углубляясь в технические дебри, я хочу показать, какие типовые проблемы существуют в домене Active Directory, что они из себя представляют и какие меры защиты стоит применить либо принять во внимание.
Подробнее — под катом.
В последнее время почти на каждом проекте по внутреннему пентесту я встречаю уязвимость PetitPotam. И почти всегда она помогает в получении привилегий администратора домена. При наличии доменной учетной записи (в некоторых случаях возможна эксплуатация уязвимости без аутентификации) атакующий может с помощью специально сформированного запроса заставить уязвимый хост выполнить обращение к произвольному хосту с передачей аутентификационных данных.
В этой статье я расскажу, как использую эту уязвимость и как мне удалось получить привилегии администратора домена пятью разными способами в реальных проектах.
Подробнее — под катом.
Сейчас уже, наверное, больше половины серверов перебрались с http на https протокол. Зачем? Ну, это мол круто, секъюрно.
В чем же заключается эта секъюрность? На эту тему уже написана куча статей, в том числе и на Хабре. Но я бы хотел добавить еще одну.
Я, вообще, по специальности Android разработчик, и не особо шарю в криптографии и протоколах защиты информации. Поэтому когда мне пришлось столкнуться с этим непосредственно, я был немного в шоке от размера пропасти в моих теоретических знаниях.
Я начал рыться в разных источниках, и оказалось, что в этой теме не так просто разобраться, и тут недостаточно просто прочитать пару статей на Хабре или Вики, при чем я нигде не встретил абсолютно исчерпывающего и понятного источника, чтобы сослаться и сказать — "Вот это Библия". Поэтому у меня это "немного разобраться" заняло кучу времени. Так вот, разобравшись, я решил поделиться этим, и написать статью для таких же новичков, как и я, или просто для людей, которым интересно зачем в строке URL иногда стоит https, а не http.
Нам часто приходят вопросы о том, как молодому и амбициозному специалисту по информационной безопасности попасть в команду Digital Security. Так вот наша летняя обучающая программа Summ3r 0f h4ck — это отличная возможность.
Это не шутка! Мы открываем прием заявок на прохождение ежегодной стажировки в Digital Security. Проверьте свои силы в сфере этичного хакинга под руководством опытных кураторов.
Криптография позволяет нам защитить информацию от подмены и однозначно установить ее правообладателя посредством усиленной электронной подписи.