[Internship - Cyber Security Engineer]

Recomand Zitec. Am lucrat acolo acum ceva ani si a fost misto. Am vazut ca a crescut enorm in ultimii ani, deci nu pot decat sa presupun ca e si mai misto acum. 

[Alternativa gratuita teamviewer/anydesk?]

7 hours ago, gigiRoman said:

E un fel de ssh jump host?

 

Este dynamic port forwarding. Este diferit fata de local/remote port forwarding, unde specifici portul X pe masina Y ajunge in portul Z pe masina Q. Practic folosesti serverul la care esti conectat prin SSH ca un SOCKS proxy. 

[Sec-ch-ua header]

De exemplu, Chromium care vine bundled cu Burp Suite trimite headerele astea implicit:

 

Sec-Ch-Ua: "Chromium";v="107", "Not=A?Brand";v="24"
Sec-Ch-Ua-Platform: "Windows"
Sec-Ch-Ua-Mobile: ?0

 

Deci presupun ca browserele bazate pe Chromium le trimit. Daca nu le procesezi tu server-side nu ai de ce sa iti faci griji. 

[Blocare inregistrare dupa adresa IP pe IPS Community Suite]

On 5/12/2022 at 7:15 PM, CD-RAY said:

SirGod , tu poti sa-mi arati cum se procedeaza cu fingerprintjs,am incercat dar nu am reusit...???!!!

 

Trebuie si putin cod custom pe langa integrare. Il integrezi in site, salvezi fingerprinturile si cand faci match (e.g. nume cont, posturi) la user cu un fingerprint il folosesti ca sa il blochezi (aici ai diverse optiuni, pe client-side sau trimiti fingerprintul pe server-side si blochezi la nivel de .htaccess, cod, etc.)

[Blocare inregistrare dupa adresa IP pe IPS Community Suite]

Poti sa ii faci un fingerprint la browser si sa il blochezi specific pe el. Exista https://fingerprintjs.com/, pentru free plan ai 20k IDs pe luna, mai mult decat suficient. Sunt si alte alternative precum https://github.com/mattbrailsford/imprintjs. Sa implementezi tu ceva similar nu merita efortul.

[Caut persoana sa configureze si administreze magazin online (ecommerce)]

Salut, si eu as recomanda SaaS pentru magazine mici, cel putin la inceput de drum pana cand se stabilizeaza treaba. Cunosc pe cineva care a luat decizia de trece de la Magento la Shopify si a fost una din cele mai bune decizii. Costurile de hosting, mentenanta si update-uri permanente (au fost si probleme de securitate, a trebuit investigat, refacut, backup-uri, etc.) au fost principalul motiv pentru migrare. Acum totul e mai simplu, fara batai de cap. Plati cu cardul, administrare usoara, API-ul de la Shopify are tot ce trebuie, griji in minus. Overall, costurile sunt mai mici pe termen lung. Sigur, pentru magazine mari, cu departamente IT, situatia se schimba. Personal, atunci m-as gandi sa fac mutarea de la SaaS, sunt suficiente servicii/tooluri de migrare ulterioara de pe Shopify pe Magento si restul. 

[Cat ar costa un astfel de site?]

Salut, cred ca te pripesti putin pentru o (alta?) pasiune. Tu vrei  "un game evaluator asemenator cu cel al chess.com DAR MAI SMECHER". Chess.com e o companie cu peste 200 de angajati si peste 14 ani vechime! Nu e ceva ce se poate face intre un crawler de anunturi si o tema de Wordpress, pe cateva sute de euro. 

 

Inca ceva, de pe github-ul lichess:

 

Quote

Lichess is written in Scala 2.13, and relies on the Play 2.8 framework. scalatags is used for templating. Pure chess logic is contained in the scalachess submodule. The server is fully asynchronous, making heavy use of Scala Futures and Akka streams. WebSocket connections are handled by a separate server that communicates using redis. Lichess talks to Stockfish deployed in an AI cluster of donated servers. It uses MongoDB to store more than 1.7 billion games, which are indexed by elasticsearch. HTTP requests and WebSocket connections can be proxied by nginx. The web client is written in TypeScript and snabbdom, using Sass to generate CSS.

 

Iti trebuie dezvoltare cu programatori si testeri care sunt si pasionati/experti in sah si stiu cu ce se mananca stack-ul asta. Nu e stack-ul clasic de carpeala cu PHP si MySQL in spate. 

 

2 hours ago, Che said:

oricum nu se fac bani din asa ceva

 

Cum am zis si mai sus, cei 200+ angajati ai companiei te pot contrazice...
 

Nu pare un proiect care sa merite, mai ales pentru o pasiune din care nu vrei sa scoti bani. Parerea mea. Tot ce am zis mai sus presupune ca vrei ceva functional si calitativ. Daca vrei o carpeala, sunt sigur ca gasesti pe cineva pentru cateva mii de euro. 

[Gls.ro IDOR]

1 minute ago, theandruala said:

Pai e bug?
Ca ei iti trimit prin SMS link-ul de login, nr de colet, si pass

 

Eu zic ca da. Presupun ca parcel IDs sunt incrementale, iar daca PIN-ul este din 4 caractere, fara rate limiting pe API, devine o problema. 

[Intrebari despre boost]

[Remote Desktop P2P]

10 hours ago, XRAHITEL said:

who can Compile

 

It contains a project file, use Visual Studio and compile directly. If you encounter any issues  just come back and we'll try to help.

[how to load java shellcode]

Hello, you can try these methods:

 

1. via JNI: https://www.cobaltstrike.com/blog/how-to-inject-shellcode-from-java/

2. without JNI: https://github.com/schierlm/JavaPayload/blob/master/JavaPayload/src/javapayload/stage/Shellcode.java (also check out JITShellcodeRunner.java in the repo)

[Trimitere SMS cu numar ascuns]

Cu *ri# era, dar nu cred ca mai functioneaza. Acum ai zeci de platforme si API-uri de la care poti trimite SMS cu nume (cum folosesc magazinele de exemplu) custom. 

[Mai sunt pensionari pe aici ?]

7 hours ago, M4T3! said:

si era mortal team si rst ul se numea altfel... hacking 3xforum parca nu?

 

Da, era Mortal-Team care apoi a fuzionat cu HackMD si a rezultat Insecurity Romania (ISR). RST s-a tot schimbat, RST crew, RST zone... 

Imi mai aduc aminte de h4ck-y0u, h4cky0u, hellsoft (RO, stiu ca Hertz era pe acolo), unkn0wn.eu... 

[Mai sunt pensionari pe aici ?]

Eu sunt cititor de cel putin 14 ani. 

[Client Side dar protected?]

Daca vrei neaparat pe client-side poti face asa:

 

1. scrii codul secret in C++

2. obfuschezi codul

3. apoi il compilezi ca modul de WebAssembly

3. te asiguri ca toate functiile exportate sa aiba nume si parametri obfuscati, inclusiv valorile

4. codul JavaScript din care apelezi functiile exportate sa fie obfuscat la randul lui

5. ???

6. PROFIT!

 

Atentie, toate astea vin si cu o parte nasoala: Equation Group s-ar putea sa iti faca oricum reverse engineering si sa fure toata munca. 

[Posibil vector de atac gasit]

14 hours ago, gigiRoman said:

Thread = fir de executie.

https://ro.m.wikipedia.org/wiki/Fir_de_execuție

 

Da, doar ca eu ma refeream in contextul de fata, thread pe forum. 

[Posibil vector de atac gasit]

17 hours ago, lzomedia said:

nu inteleg la ce te referi 

 

Nu iti bate capul. Pare ceva bot care in functie de keywords din thread posteaza niste mesaje pseudo-relevante, traduse cu Google Translate (nimeni nu zice fir la thread, poate un maxim fir de discutie). Nu mai e.

 

[Ajutor cu Python si Networking & Internet.]

5 minutes ago, Che said:

Exact asa m-am gandit si eu la inceput doar ca yfinance nu are ca si parametru timeout.

Este o metoda, nici macar o functie.

https://pypi.org/project/yfinance/

ex.

import yfinance as yf

msft = yf.Ticker("MSFT")

# get stock info
msft.info

 

Practic ii faci try si catch pe msft.info pe care il salvezi in linia de cod urmatoare daca nu a intervenit nici o eroare.

Ai putea, te rog, sa-mi arati cum se poate face timeout si catch in caz de timeout (banuiesc ca trebuie) la asa ceva?

Multumesc mult de tot!

 

La prima vedere pare destul de simpla biblioteca, cel mai sigur o modifici si adaugi tu parametrul de timeout. 

[Program care face la fel si pe Linux?]

On 8/31/2021 at 7:24 PM, theandruala said:

https://www.sweetscape.com/010editor/

 

010 Editor recomand si eu. Acum cativa ani am primit de la client fisiere de zeci de GB si a facut fata cu brio (pe Windows). Chiar si modificarile (mass-replace) erau decente. Odata ce m-am familiarizat cu structura, am facut cateva incercari cu sed si la el am ramas, timp de executie exponential mai mic (daca nu ai nevoie de GUI). 

[Stergerea permisiunilor inlatura si functionalitatea in Android?]

 

 

In Build.HARDWARE apare unul din stringurile alea daca deviceul este unul virtual/emulator. Deci vrea sa vada daca ruleaza intr-un emulator. Motive pot fi multe, unele legitime (incarca o alta biblioteca pentru diverse compatibilitati, UI), altele nu (anti-detectie, nu ruleaza bucata de cod X, nu se conecteaza la serverul Y). Daca tot ai codul si vezi ca rezultatul functiei e trimis ca parametru in apelul ala, de ce nu verifici Runtime.initInternal si vezi ce face cu el? 

 

Personal cred ca te complici foarte mult cu foarte multe lucruri marunte. E foarte bine sa fii curios, ai tot codul la dispozitie, poti vedea linie cu linie ce face. Merita? Esti sigur ca intelegi tot ce se intampla acolo? Vezi ca poate foloseste si niste biblioteci externe, le verifici si pe alea? 

 

Pentru linistea ta sufleteasca iti sugerezi sa iti faci un baseline de security cu care esti confortabil. Asa tii deoparte majoritatea potentialelor "atacuri", "spionaje" si ce mai vrei tu. Dar sa fii sigur ca daca vrea NSA sa te sparga nu ai ce face. Aici am citit candva o analogie foarte buna: e bine sa fii apt fizic, sa stii niste bataie, dar daca vine Tyson tot o sa iti rupa dintii.

[Care este profitul?]

18 hours ago, Che said:

Vad ca ati pus linkuri, credeam ca nu este ok dar din moment ce este totul public atunci pun si eu despre ce vorbeam:

https://bit.ly/37f8c8E

 

Eu am ramas masca la asta si am crezut ca mai mult de atat nu se poate.

Si in legatura cu ce intrebam eu despre profit: Profitul din acel tabel este per total adica ce ii ramane lui personal in mana (dupa ce a platit si taxe si tot) SAU inainte de a plati si cei 12 angajati pe care ii are ca atunci inseamna ca suma din coloana cu profitul se imparte la 12? Eu asta intrebam.

 

@M4T3! Chiar e pe bune aia? Nici macar nu stiu cum se citeste numarul ala. Si din cate vad scrie acolo ca e si neplatitor de TVA, probabil fiindca e necajit.

Dar chiar e adevarat? Nu e pusa la misto acolo?

 

Daca e asa, pai sunt oameni cu bani in Romania. Vorba cuiva "sunt bani in Romania" si atunci... ar trebui sa o ducem ca tara super bine.

 

 

Este OK, datele financiare ale companiilor sunt publice. 

 

Profitul nu se imparte intre angajati. Banii aia se impart intre actionari, in functie de cat procent detin din companie, sub forma de dividende. Salariile angajatilor intra la cheltuieli. Doar ca in Romania se mai practica minimul pe cartea de munca si patronul plateste din buzunarul "propriu", la negru, restul de bani conveniti (din dividendele pe care le scoate). Acest lucru se intampla pentru ca taxele pentru un salariu sunt foarte mari comparativ cu taxele pe dividende (5%). 

 

Facem un calcul scurt:

 

- pentru 10.000 RON pe luna pe cartea de munca, angajatorul trebuie sa plateasca 17.478 RON. 

- pentru 10.000 RON pe luna si "combinatie", angajatorul trece 1.500 RON pe cartea de munca si plateste la stat 2.564 RON. Iti da restul de 8.500 RON la negru, pentru care plateste impozit pe dividende, adica un total de 8.925 RON (+425 RON). In total, ca sa iti ofere aceeasi suma de bani, angajatorul plateste 8.925 + 2.564 adica 11.489 RON. 

 

Adica o diferenta de aproximativ 6.000 RON.

 

Acum angajatorul o sa plateasca pe persoana fizica, 10% CASS din salariu minim pe economie anual pentru dividende. Adica 2.280 RON. Dar asta se intampla oricum in majoritatea cazurilor pentru ca actionarul scoate peste 22.800 RON, deci nu face cheltuiala asta pentru angajat. Ori ca scoate 22.800 RON ori ca scoate 100.000 RON dividende, plateste aceeasi taxa. 

[Care este profitul?]

1 hour ago, Che said:

Esti sigur? Cat are o shaormarie? Cat ar trebui sa faca un cabinet stomatologic, ca despre asta este vorba in discutie?

Mie mi se pare un profit enorm. Practic este un apartament pe luna.

 

Uite Shaormeria Baneasa, profit aproape 500.000 EUR: https://www.listafirme.ro/baneasa-station-food-srl-38803350/. Din cifra de afaceri (in cazul de fata de peste 2.000.000 EUR) scazi cheltuielile, impozite si altele si ramai cu profit. Doar ca cheltuielile pot insemna masini si aparatamente. Ce vreau sa zic este ca nu doar profitul reprezinta banii pe care ii poti cheltui. 

[Parere despre periuta de dinti electrica?]

Oral-B Genius 9000. O am de cativa ani, e mult mai OK decat cea manuala si decat cealalta electrica anterioara (nu mai stiu exact ce era). E eficienta, are senzori de presiune, un gazilion de pulsatii pe minut. Trusa de calatorie este excelenta, suportul pentru capete este de asemenea util.

 

https://www.evomag.ro/ingrijire-personala-igiena-dentara-periute-de-dinti-electrice/oral-b-periuta-de-dinti-electrica-oral-b-genius-9000-smartring-6-programe-4-capete-conectivitate-bluetooth-trusa-de-calatorie-cu-suport-pentru-smartphone-negru-2884022.html

[Ce sa fac in legatura cu acest lucru?]

2 hours ago, Che said:

Ma uitam si aici pe linode ca am vazut intr-un video pe Youtube si parea interesant dar nu stiu ce sa aleg:

https://www.linode.com/pricing/

 

Plus ca ai 100$ free credit pentru 60 de zile daca te inscrii printr-un referal dar faza este ca nu stiu ce se intampla dupa daca tu ti-ai terminat treaba doar intr-o luna?... Plus ca plata este pe ora calculata de fapt si scrie acolo la ei pe site ca platesti si daca lor li se intrerupe serverul (curentul sau mai stiu eu ce) si serverul este offline. Ma gandesc ca au fost poate reclamatii de s-au gandit sa scrie asta. Faza este ca daca s-a intrerupt conexiunea la internet si serverul este offline scriptul in Python ramane blocat si de fapt nu ruleaza ci asteapta sa se conecteze. Bineinteles ca tu daca nu stii urmeaza doar sa le platesti lor bani fara beneficii in schimbul lor.

 

Am cautat si pe google de VPS acum dupa ce ti-am citit postarea dar sincer nu stiu cum e cu VPS-ul. Cum functioneaza? Este ca un remote desktop conection si practic te contectezi la el ca si cum te-ai conecta la un alt PC cu TeamViewer sau cum anume este cu VPS-ul? Ce situri recomanzia (daca stii) ca fiind serioase ca sa nu ai probleme cu hostingul, cu serviciile sau cu plata prin card ca poate mai sunt si de astia?

Apropo, vad ca la toate ofertele de VPS iti arata ca er nu stiu cate vCPU/VCores. Bun, dar care anume? Este i7, i5, i3 sau ce anume este si cum iti dai seama ca sa stii daca este bun pentru ce ai tu nevoie?

 

Totusi, parca mi se pare mai sigur sa detin eu controlul asupra hardware-ului si nu stiu, pe asa ceva ar merge la ce zic eu:

https://www.olx.ro/d/oferta/vensmile-ipc002-plus-mini-pc-windows-10-IDe2wYl.html#e120e62a68

sau

https://www.olx.ro/d/oferta/mini-computer-giada-slim-n10-IDbIL5l.html#ca30ab27d2

avand in vedere ca am avut Pentium D 925 Dual Core de 3.0 Ghz si 2GB RAM si se bloca destul de des cand deschideam Chrome?

 

@lzomedia Nu stiu. De unde iau? Este mai scump decat un laptop slab dar care sa mearga la ce am eu nevoie? Ala nu trebuie programat special ca si Arduino? Poti instala Python 3.8 sau 3.7 pe el si sa ruleze Chrome? Are harddisk sau unde salveaza?

 

Multumesc mult de tot!

 

Eu nu as opta pentru ceva fizic, ci un server pe undeva. Daca te frizeaza Linode, poti incerca la ei. Eu sunt convins ca sunt mai pregatiti de un eveniment (e.g. picat curent, picat net) decat un home user si ca nu ar trebui sa iti faci griji de asta. 

 

Un VPS este ca un server fizic dedicat, doar ca virtual. Unele au shared vCPU, altele dedicat. Nu stiu daca poti afla cu exactitate hardware-ul (unii provideri specifica tipul, e.g. Intel Cascade Lake), dar sunt sigur ca nu e vorba de Intel Atom sau Celeron. Poti sa ai pe el RDP, VNC, X11, in functie de ce sistem de operare iti instalezi si ce vrei sa folosesti. 

 

Uite aici au pus oamenii score-urile de la diverse benchmark-uri pe CPU, poti sa iti faci o idee cam ce poate:

 

https://www.vultr.com/products/cloud-compute/

[Vand root-uri si loguri]

44 minutes ago, DannyKlass said:

vreau si eu un root sau un vps pentru a tine un server radio cu back-up.rog seriozitate.contact.0721059216 ofer 20 euro pe el.

 

Uite aici cate "root-uri" vrei, si mai ieftine: https://www.digitalocean.com/pricing/

Bonus tip: daca faci virtualizare ai si mai multe "root-uri"! Gandeste-te la posibilitati!