Pull to refresh
90.7
Karma
58.2
Rating
Sergey Vasiliev @foto_shooter

Пользователь

  • Followers 18
  • Following
  • Posts
  • Comments

Vulners — Гугл для хакера. Как устроен лучший поисковик по уязвимостям и как им пользоваться

Журнал Хакер corporate blog Information Security *
Tutorial


Часто нужно узнать всю информацию о какой-нибудь уязвимости: насколько найденный баг критичен, есть ли готовые сплоиты, какие вендоры уже выпустили патчи, каким сканером проверить наличие бага в системе. Раньше приходилось искать вручную по десятку источников (CVEDetails, SecurityFocus, Rapid7 DB, Exploit-DB, базы уязвимостей CVE от MITRE/NIST, вендорские бюллетени) и анализировать собранные данные. Сегодня эту рутину можно (и нужно!) автоматизировать с помощью специализированных сервисов. Один из таких — Vulners, крутейший поисковик по багам, причем бесплатный и с открытым API. Посмотрим, чем он может быть нам полезен.
Читать дальше →
Total votes 45: ↑45 and ↓0 +45
Views 87K
Comments 3

Последствия удалёнки, о которых молчит рунет

HeadHunter corporate blog Development Management *Personnel Management *

Прошло уже больше года с тех пор, как вся IT-индустрия форсированно уехала “по домам”. Но о том, как эта смена режима повлияла на нашу работу сказано не так уж и много. Изредка попадаются заметки в узкоспециализированных изданиях или не самых  профильных. И не ясно: то ли все стараются избежать репутационного ущерба, ведь “удаленка у нас не летит” — это уже своеобразный “ярлык отсталости”, то ли плюсы так сильно перевешивают минусы, то ли даже спустя год все еще “не до того”. Однако влияние удаленки весьма велико. И несмотря на то, что топик ни разу не технический, предлагаю его обсудить.

Ну-ка ну-ка..
Total votes 101: ↑70 and ↓31 +39
Views 56K
Comments 240

CodeQL: SAST своими руками (и головой). Часть 1

Swordfish Security corporate blog Information Security *DevOps *

Привет, Хабр!

Как вы все уже знаете, в области безопасности приложений без статических анализаторов исходного кода (SAST) совсем никуда. SAST-сканеры занимаются тем, что проверяют код приложения на различные типы программных ошибок, которые могут скомпрометировать систему, предоставить злоумышленнику непредвиденные возможности для доступа к данным, либо для нарушения работы приложения. В основном анализ безопасности кода строится на изучении его семантической структуры, путей прохождения данных от момента пользовательского ввода до обработки. Однако есть и обычная для таких инструментов возможность поиска наиболее часто встречающихся небезопасных паттернов.

В этой статье я расскажу о CodeQL от GitHub Security Lab, интересном инструменте и языке для анализа исходного кода, который активно набирает популярность и выглядит весьма перспективным.

Читать далее
Total votes 6: ↑6 and ↓0 +6
Views 2.2K
Comments 0

Хоум Кредит банк как он есть

IT career

Хоум Кредит банк позиционирует себя как дружную команду единомышленников. Топ-менеджеры при каждом удачном случае отмечают "необыкновенную атмосферу", царящую в коллективе и даже используют специальный термин для сотрудников банка, "хомяки". Неофитам на онбординге рассказывают в какой прекрасный банк они попали, как им повезло, какие широкие перспективы открывает перед ними банк и как нужно стараться, чтобы не подвести этих замечательных людей. Всё прямо как в секте. Однако, при ближайшем рассмотрении оказывается что коллеги - люди как люди. Встречаются и позитивные и не очень, и профессионалы и джуны, некоторые работают "на износ", другие - "с перекурами".

Правда, есть одна группа людей, в которой позитивные профессионалы встречаются чаще чем в других - это группа покидающих банк. А если кто-то приходит - скорее это будет в лучшем случае человек пришедший прокачивать скилы с около-нулевого уровня, а в худшем человек с тем же около-нулевым уровнем, но который прокачивать ничего не собирается. Но пропаганда топ-менеджмента дает свои плоды: как-то раз я был на собесе в другом банке, который считается прямым конкурентом Хоума и меня на серьезных щах спросили: а что у вам там в Хоуме случилось, слишком много вас оттуда в последнее время, я думал у вас там классно...

Читать далее
Total votes 224: ↑215 and ↓9 +206
Views 62K
Comments 238

Всегда старайтесь быть н̶е̶заменимым

Маклауд corporate blog Project management *Personnel Management *IT career Lifehacks for geeks
Translation
Есть хорошая жизненная философия, которой можно придерживаться на рабочем месте, — это «постоянно быть готовым увольняться» («always be quitting»). Это не значит думать о том, чтобы уйти с работы. Но вести себя так, как будто вы можете уйти в кратчайшие сроки. Парадоксально, но это сделает вас лучшим инженером и откроет возможности для роста.

Так что же значит «постоянно быть готовым уйти»? Это означает «сделать себя заменимым»; «унизить себя»; «автоматизировать свою работу». Возможно, вы слышали эти более популярные ярлыки (и вам нужно будет с этим поразбираться и выяснить что это), и они дают подсказку что делать.

Ключ в том, чтобы НЕ быть незаменимым. Если вы незаменимый, то вы застрянете на своей конкретной работе до тех пор, пока эта работа актуальна, с крайне малой возможностью немного передохнуть (без отпусков, без роста). И когда (не если) работа станет ненужной, ваша должность тоже станет ненужной.

Парадоксально, но, будучи легко заменимым, вы освобождаете себя. Вы облегчаете себе переход к роли более высокого уровня и вам легче менять проекты, над которыми вы работаете. Не согласны? В замешательстве? Вот 10 конкретных вещей, которые вы можете сделать:
Читать дальше →
Total votes 101: ↑91 and ↓10 +81
Views 38K
Comments 119

Австралия и ФБР несколько лет распространяли среди криминала «защищенное» приложение, а потом арестовали 800 человек

Selectel corporate blog Information Security *Instant Messaging *Smartphones Cellular communication

На Хабре не стоит объяснять, что любой смартфон, купленный в магазине — потенциальный «жучок», который могут прослушивать в любой момент. С какой целью это делается — второй вопрос, но сейчас это и не столь важно. Тема статьи — интереснейшая операция австралийской полиции и ФБР, связанная с криминалом, защищенными телефонами и шифрованием.

Несколько лет назад существовала такая компания, как Phantom Secure. Она занималась распространением среди криминальных элементов модифицированных смартфонов — чаще всего с удаленными физически камерами и микрофонами, вырезанными сервисами производителей и ограниченной функциональностью, которая оставляет лишь возможность обмениваться текстовыми сообщениями по зашифрованным каналам. Phantom Secure была не единственной такой компанией, но именно к ней у правоохранителей было больше всего вопросов. В 2018 году ее закрыли, руководителя — арестовали, после чего началось самое интересное.
Читать дальше →
Total votes 143: ↑138 and ↓5 +133
Views 49K
Comments 260

Плюсуем к скидке. Покупатели Яндекс.Маркет заметили, что товары для подписчиков Плюса стоят дороже, чем без подписки

Perfect code *Development for e-commerce *Web services testing *E-commerce management *IT-companies

Удивительные дела творятся в Яндекс королевстве. Кто-то под покровом ночи взял и утащил все моральные ценности и чувство сострадания у продавца и выставил перед покупателями с оформленной подпиской на Плюс товары с завышенной ценой. Возможно, в королевстве завелся Робин Гуд, которые радует бедный и не щадит статусных владельцев подписки.

Может и так, но все это шутки. А вот как дела обстоят в реальности.

Акт 1. Плюс к скидке

Сейчас на Яндекс.Маркет проходит грандиозная распродажа в честь дня рождения "Плюса" о которой площадка трубила несколько недель подряд. Сначала рассылала письма покупателям, потому активно агитировала продавцов скорее идти к ней с товарами, потому что благодаря акции невиданной щедрости клиентов на маркетплейс придет уйма.

Потом началась распродажа и вчера клиенты пришли. Только увидели они, странное дело, очень запутанную картину. Заметили, конечно, не все. Обычные покупатели Маркета вчера могли зайти на сайт, увидеть товары с гигантскими скидками и сделать заказ. Дотошные пользователи нечаянно зашли на сайт Маркета в режиме инкогнито, в котором закрыт аккаунт с подпиской Плюс и увидели, что так товары можно купить еще дешевле.

Первым делом несостыковки заметили покупатели компьютерной мыши. Ее цена со сказочной скидкой в 20% cоставляет 5 643 рубля. Жаль, что такие скидки недоступны обычному гражданину. Без подписки купить эту же мышь можно за 4 988 рублей.

Читать далее
Total votes 245: ↑242 and ↓3 +239
Views 105K
Comments 551

Откровения трезвого инженера

Маклауд corporate blog Personnel Management *IT career Popular science
Translation
image

Ответ на: Откровения пьяного старшего инженера

… Я выскажу свое мнение и значительно короче, наверное.

  1. Работа в нашей отрасли полностью построена на порочных стимулах.
  2. Лучший способ продвинуться по карьерной лестнице — это смена компании. Компании, в которых вы работаете, будут вознаграждать хорошую работу большей работой и ответственностью, а не большим количеством времени и/или денег. Компании, в которые вы переходите, вознаградят вашу предыдущую хорошую работу в других компаниях большими деньгами. На самом деле это не имеет смысла… См. Пункт №1.
  3. Каждый раз, когда я меняю работу, я сокращаю свои обязанности на 50% и увеличиваю зарплату на 50%. На моей первой работе я был очень раздражен, когда новые сотрудники, которые были на моем уровне квалификации, зарабатывали больше, чем я. Теперь другие старожилы в моей компании с таким же уровнем квалификации раздражаются, когда я зарабатываю намного больше, чем они (обратите внимание, что количество смен работы >= 3). На самом деле это не имеет смысла… См. Пункт №1.
Читать дальше →
Total votes 154: ↑139 and ↓15 +124
Views 65K
Comments 148

Откровения пьяного старшего инженера

Маклауд corporate blog Personnel Management *IT career Popular science
Translation
image

Я пьян и, наверное, пожалею об этом, но вот пьяный рейтинг вещей, которым я научился как инженер за последние 10 лет.

  • Лучший способ достичь карьерного роста — сменить компанию.
  • Стек технологий на самом деле не имеет значения, потому что в моей области есть примерно 15 базовых шаблонов разработки программного обеспечения. Я работаю с данными, поэтому они не будут такими же, как веб-разработка или embedded. Но все области имеют около 10-20 основных принципов, и технический стек просто пытается упростить эти вещи, так что не переживайте.
  • Есть причина, по которой люди рекомендуют искать работу. Если я недоволен работой, наверное, пора уходить.
  • У меня появилось несколько хороших друзей на всю жизнь в компаниях, с которыми я работал. Мне не нужно это от каждого места, где я работаю. Я был совершенно счастлив, работая в тех местах, где у меня не складывались дружеские отношения с моими коллегами, и я был несчастен в местах, где у меня было несколько хороших друзей.
Читать дальше →
Total votes 236: ↑203 and ↓33 +170
Views 128K
Comments 175

Особенности строк в .NET

.NET *C# *
Строковый тип данных является одним из самых важных в любом языке программировании. Вряд ли можно написать полезную программу не задействовав этот тип данных. При этом многие разработчики не знают некоторых нюансов связанных с этим типом. Поэтому давайте рассмотрим кое-какие особенности этого типа в .NET.

Итак, начнем с представления строк в памяти


В.NET строки располагаются согласно правилу BSTR (Basic string or binary string). Данный способ представления строковых данных используется в COM (слово basic от языка программирования VisualBasic, в котором он первоначально использовался). Как известно в C/C++ для представления строк используется PWSZ, что расшифровывается как Pointer to Wide-character String, Zero-terminated. При таком расположении в памяти в конце строки находится null-терминированный символ, по которому мы можем определить конец строки. Длина строки в PWSZ ограничена лишь объемом свободной памяти.
Читать дальше →
Total votes 83: ↑78 and ↓5 +73
Views 81K
Comments 34

Приходит ПМ и говорит, что надо на завтра чай через 3 минуты

Project management *Product Management *
Sandbox

Ты говоришь, что чайник только 5 будет закипать. ПМ настаивает, что клиент очень просит и это нам крайне важно, ты под натиском прогибаешься и решаешь что-то думать. Кидаешь пакетик в чайник, заливаешь водой и ждешь когда вода покоричневеет. Четко понимаешь, что надо будет не забыть отмыть чайник, ибо так останутся кольца от чая и возможно плесень. Наливаешь получившуюся крашеную воду для клиента, ПМ с довольной рожей говорит: ну видишь, можно же. А ты думаешь, что не хотел бы что бы тебе так делали... Но обстоятельства требуют. И только ты расслабился, как влетает ПМ и говорит: ты хоть пробовал это?

Читать далее
Total votes 186: ↑175 and ↓11 +164
Views 67K
Comments 126

И так сойдёт… или как данные 14 миллионов россиян оказались у меня в руках

Information Security *PostgreSQL *SQL *
Sandbox
Одиноким вечером, глядя на свою пустую зачётку и осознавая, что конец близок, я снова задумался о том, как бы мне сейчас собрать сумку, или даже просто рюкзак, положить туда рубашку, шорты и свалить в тёплую страну. Было бы хорошо, да вот с дипломом живётся намного лучше. Во всяком случае, мне всегда так говорят.

Также часто слышал много историй про людей, которые приходили на собеседования с красными дипломами МГУ, но при этом абсолютно не разбирались в своей специальности, а потом на корпоративах признавались, что диплом у них купленный.

Но времена сейчас другие, сейчас 21 век, век больших возможностей, любой работодатель, который умеет пользоваться мышкой и знает, как выглядит браузер на рабочем столе, может проверить данные диплома. Каждый диплом, который выдаётся учебным заведением, теперь регистрируется в едином реестре, доступ к которому есть у каждого через сайт Федеральной службы по надзору в сфере образования и науки.

image

Внимание: не пытайтесь повторять действия, описанные в публикации и им подобные. Помните о ст. 272 УК РФ «Неправомерный доступ к компьютерной информации».

Читать дальше →
Total votes 360: ↑346 and ↓14 +332
Views 136K
Comments 815

Реверс-инжиниринг. История. Моя

Programming *Algorithms *Reverse engineering *Old hardware Games and game consoles


Всем привет,


На этот раз статья будет не технической (хотя в ней и будут попадаться какие-то технические термины/моменты), а скорее автобиографической, если так можно выразиться. Эта статья о том, как я докатился до такой жизни пришёл в реверс-инжиниринг, что читал, чем интересовался, где применял, и т.д. И, я почему-то уверен, что моя история будет иметь множество отличий от твоей. Поехали…

Читать дальше →
Total votes 79: ↑77 and ↓2 +75
Views 41K
Comments 43

Атопический дерматит (нейродермит): что сломалось и как лечить

Гельтек-Медика corporate blog Biotechnologies Health
image
Одно из возможных проявлений атопического дерматита

Знаете, чему учат студентов-медиков, когда они в первый раз попадают на курацию по кожно-венерологическим заболеваниям? Правильно общаться с пациентом и корректно его осматривать. Типичный студент, увидевший кожу с неприглядными корочками или покраснениями, сразу отодвигается на полтора метра и делает круглые глаза. А потом чуть ли не палочкой пытается тыкать в пациента, стараясь не приближаться. Людей это расстраивает, особенно с учётом того, что большинство пациентов там вовсе не болеет чем-то страшным и заразным.

Часто попадаются довольно неприятно выглядящие хронические заболевания, которые радикально не лечатся, но поддаются контролю при правильном подходе. Псориаз или атопический дерматит очень сложно лечить из-за двух причин:

  1. Базовая причина связана с генетическими дефектами, которые мы пока не можем чинить, несмотря на все успехи генотерапии.
  2. Есть куча непонятных факторов, которые могут запускать этот процесс.

В итоге можно попытаться загнать заболевание в постоянную ремиссию. Сегодня мы поговорим:

  1. Что это за патология, с которой сталкивается около 20 % людей.
  2. Что ломается в организме у атопиков.
  3. Как это связано с аллергией.
  4. Что лучше мазать на кожу.
  5. Почему антидепрессанты могут сильно помочь.

Под катом будет несколько фотографий повреждённой кожи, но не ужас-ужас, как вы и просили.
Читать дальше →
Total votes 96: ↑91 and ↓5 +86
Views 56K
Comments 149

Как устроены мышцы? И за счет чего они растут

Health
Пандемия заставила нас вести менее подвижный образ жизни. Мы закрылись дома, перестали бегать по утрам (я не бегал, но вдруг, в отличие от меня у вас были на это силы). Это поспособствовало накоплению запасов к зиме (или к лету, если вы живете в Австралии), и особенно ударило по тем, кто пытается держать себя в форме. В эти липофильные (буквально — сродство к жирам) времена мы начинаем чаще задумываться о том, что пора бы заняться какой-нибудь двигательной активностью даже не выходя из дома: покачать пресс, поотжиматься, скачать наконец фитнесс приложение (о них подробнее тут), или пойти в зал — это для совсем бесстрашных. В связи с этим мне хотелось бы поговорить о нескольких вещах, которые важно знать, чтобы лучше понимать, как тренировки воздействуют на наше тело и почему к одним нагрузкам оно хорошо приспособлено, а к другим — нет.



В этой статье мы поговорим о мышцах, о том какие они бывают и за счет чего растут

Читать дальше →
Total votes 69: ↑66 and ↓3 +63
Views 48K
Comments 90

Самый беззащитный — уже не Сапсан. Всё оказалось куда хуже…

Information Security *System administration *Network technologies *
{UPD 10.02.2021} Евгений Чаркин дал интервью на эту тему gudok.ru/newspaper/?ID=1552569
Под катом мои комментарии на некоторые тезисы.
{/UPD}

Больше года назад хабравчанин keklick1337 опубликовал свой единственный пост «Самый беззащитный — это Сапсан» в котором рассказывает как он без серьёзных ухищрений получил доступ ко внутренней сети РЖД через WiFi Сапсана.

В ОАО «РЖД» прокомментировали результаты этого расследования. «Есть результаты проверки. Почему удалось взломать? Наверное, потому, что злоумышленник. Наверное, из-за этого… Ну, он из „фана“. Юный натуралист. Там уязвимостей, которые бы влияли на утечку каких-то критических данных, нет. Мультимедийный портал „Сапсанов“ функционирует как положено и не нуждается в доработке», — заявил Евгений Чаркин.

То есть вместо того, чтобы выразить благодарность за обнаруженную уязвимость, автора обозвали «злоумышленником» и «Юным натуралистом».

К сожалению, но специалисты РЖД, начиная с директора по информационным технологиям, отнеслись к статье очень пренебрежительно, проигнорировав важное указание автора:
Также оттуда в сеть РЖД есть впн. Если захотите — найдёте её там сами.

И вот, год спустя я попал в сеть РЖД даже не садясь в Сапсан.



Видимо, только этот котэ добросовестно охраняет вокзал.

Как именно я попал в сеть РЖД с пруфами, чего не сделал директор по информационным технологиям ОАО «РЖД» Чаркин Евгений Игоревич и возможные последствия — под катом.
Читать дальше →
Total votes 1453: ↑1450 and ↓3 +1447
Views 481K
Comments 984

Реверс-инжиниринг исходного кода коронавирусной вакцины от компаний BioNTech/Pfizer

Popular science Biotechnologies
Translation
Добро пожаловать. В данном посте мы посимвольно разберём исходный код вакцины BioNTech/Pfizer SARS-CoV-2 мРНК.

Да, такое заявление может вас удивить. Вакцина – это ведь жидкость, которую вводят человеку в руку. При чём тут какой-то исходный код?

Хороший вопрос. Начнём мы с небольшой части того самого исходного кода вакцины BioNTech/Pfizer, также известной, как BNT162b2, также известной, как Tozinameran, также известной, как Comirnaty.


Первые 500 символов мРНК BNT162b2.

В сердце вакцины находится вот такой цифровой код. Его длина составляет 4284 символа, так что его вполне можно уместить в несколько твитов. В самом начале процесса производства вакцины кто-то закачал этот код в ДНК-принтер (ага), который, в свою очередь, превратил байты с накопителя в реальные молекулы ДНК.
Total votes 316: ↑310 and ↓6 +304
Views 94K
Comments 351

Защита ASP.NET приложений от взлома

Microsoft corporate blog Information Security *Website development *.NET *ASP *

ASP.NET MVC — не самый хайповый, но довольно популярный стек в среде веб-разработчиков. С точки зрения (анти)хакера, его стандартная функциональность дает тебе кое-какой базовый уровень безопасности, но для предохранения от абсолютного большинства хакерских трюков нужна дополнительная защита. В этой статье мы рассмотрим основы, которые должен знать о безопасности ASP.NET-разработчик (будь то Core, MVC, MVC Razor или Web Forms).


Читать дальше →
Total votes 30: ↑27 and ↓3 +24
Views 23K
Comments 11

Авалония для самых маленьких

Контур corporate blog Programming *.NET *Development for MacOS *Development for Windows *
Tutorial
В свежем превью Rider, помимо прочего, появилась поддержка Авалонии. Авалония — это самый крупный .NET фреймворк для разработки кроссплатформенного UI, и его поддержка в IDE — отличный повод наконец разобраться, как писать десктопные приложения для любых платформ.

В этой статье я на примере простой задачи по реализации калькулятора покажу:

  • как управлять разметкой,
  • как связывать функциональность с компонентами,
  • как управлять стилями.


Читать дальше →
Total votes 43: ↑43 and ↓0 +43
Views 11K
Comments 34

Information

Rating
83-rd
Location
Скопин, Рязанская обл., Россия
Works in
Date of birth
Registered
Activity