• Взаимодействие сканеров уязвимостей с Metasploit. Часть 1

    • Tutorial
    Мы начинаем цикл обучающих статей, посвященных взаимодействию сканеров уязвимостей с Метасплоитом.

    Требуемое программное обеспечение: Kali Linux.
    Необходимые знания: опыт работы с консолью Linux-систем (в частности, дистрибутивом Kali Linux) и консолью Метасплойта.

    Большинство атак основано на уязвимостях в программном обеспечении или ошибках конфигурации. В связи с этим рекомендуемыми мерами для обеспечения информационной безопасности организации являются регулярное сканирование системы на наличие уязвимостей и тестирование на проникновение.

    Сканирование на наличие уязвимостей позволяет проверить диапазон указанных IP-адресов на возможные проблемы в системе безопасности, предоставляя пентестерам информацию о вероятных векторах атак. При работе со сканерами уязвимостей нужно помнить, что они могут ошибаться и выдавать ложную или неправильную информацию.

    Как известно, Metasploit Framework – это инструмент для создания, тестирования и использования эксплойтов. Но, благодаря поддержки модулей и плагинов, он вполне может сгодиться и для поиска уязвимостей.

    В первой части мы рассмотрим модули, встроенные в Metasploit, которые позволяют выявить наиболее распространенные бреши в системах безопасности.
    Читать дальше →
    • +27
    • 35.1k
    • 7
  • LoveQA. Первая мини-конференция Badoo для тестировщиков

      UPD: Фото с конференции в FB и Вконтакте.

      Весь прошлый год мы много писали на Хабр и рассказывали на конференциях о том, как у нас устроен процесс тестирования в Badoo, как мы выкатываем релизы два раза в день и о многом другом.

      Этот год мы решили начать со своей небольшой мини конференции — LoveQA (ЛавQA), на которую хотели бы позвать специалистов, которым интересно послушать про автоматизацию тестирования, тестирование мобильных приложений, безопасность и многое другое. Нам тоже было бы интересно пообщаться с коллегами из других компаний, ответить на вопросы и узнать, как устроено тестирование у них.

      Кроме презентаций, которые вы уже могли слышать на конференциях, мы подготовили для вас несколько совершенно новых докладов.
      Мы хотим сделать небольшую уютную конференцию, и позвать примерно 120 человек.
      В программе интересные доклады, кофебрейк и обед, экскурсия по офису Badoo.
      Будем делать трансляцию и видеозапись докладов. Следите за новостями по хэштегу: #loveqa

      LoveQA — Meet New People! Посидим, пообщаемся.

      Когда: 15 февраля, суббота

      Где: Офис компании Badoo, Цветной бульвар д.2, БЦ «Легенды Цветного», Москва

      Расписание докладов и ссылка на регистрацию
    • Вы можете развить свой интеллект: 5 способов максимально улучшить свои когнитивные способности

      • Translation
      Не стоит преследовать цели, которые легко достичь. Стоит нацеливаться на то, что удается сделать с трудом, приложив немалые усилия — Альберт Эйнштейн

      Несмотря на то, что Эйнштейн не был нейробиологом, он точно знал все, когда говорил о способности человека добиваться чего-либо. Он интуитивно догадывался о том, что лишь сегодня нам удалось подтвердить с помощью данных, а именно: что заставляет когнитивные способности работать на максимально высоком уровне. По существу: То, что тебя не убивает, делает тебя умнее.
      Читать дальше →
    • Как я не взломал «Хабрахабр» или 10+ активных XSS

        image
        Увидев как все ринулись искать XSS на прекрасно-синем Хабрахабре решил попытать свое счастье. POST-овые self-xss, бесполезные во многих контекстах и векторах, начиная с фильтрации в самых популярных браузеров (chrome/safari/ie etc) и заканчивая сложностью их же применения и эксплуатации было решено оставить остальным первопроходцам и отправиться на поиски чего-то более стоящего.
        Читать дальше →
      • Тестирование сканеров безопасности веб-приложений: подходы и критерии

          Сканеры информационной безопасности (сканеры уязвимостей) — это средства мониторинга и контроля, с помощью которых можно проверять компьютерные сети, отдельные компьютеры и установленные на них приложения на наличие проблем защищенности. Большинство сканеров позволяют детектировать уязвимости, описанные классификатором WASC Threat Classifcation. В сегодняшнем хабратопике мы рассмотрим некоторые вопросы, связанные с тестированием сканеров информационной безопасности веб-приложений как программных продуктов.

          Современный сканер веб-приложений — это многофункциональный и весьма сложный продукт. Поэтому его тестирование и сравнение с аналогичными решениями имеет целый ряд особенностей.
          Читать дальше →
          • +18
          • 20.1k
          • 5
        • Система офлайн-уведомлений Badoo

            Для того чтобы пользователи, находясь офлайн, узнавали о событиях на сайте, мы создали специальную систему уведомлений. В её задачи входит аккумулировать события для пользователя и в нужный момент сообщать о них через доступные каналы связи, такие как электронная почта и push-уведомления на смартфоны.
            Как организовано хранение событий? О каких событиях приходят уведомления? В какой момент они отправляются и по какому принципу? Сегодня мы постараемся ответить на все эти и другие вопросы.

            Статья дает общее описание архитектуры системы с небольшими техническими подробностями и будет интересна тем, кто только собирается или уже каким-то способом уведомляет своих пользователей обо всём новом, что произошло за время их отсутствия на сайте (в приложении, сервисе и т.п.)

            Читать далее...
            • +52
            • 57.6k
            • 8
          • Parallels Plesk Panel 11.5: что появилось в новой версии

              Привет! Новая версия контрольной панели для хостеров Parallels Plesk Panel 11.5 в эфире. Здесь уже не раз обсуждались предыдущие версии, причем за всеми комментариями мы внимательно следили. В итоге в новой версии пожелания пользователей учитывались по максимуму. Итак, что изменилось в 11.5?

              PHP


              • Для каждого сайта теперь можно выбрать любую установленную на сервере и зарегистрированную в Plesk версию PHP – своей сборки или загруженную из репозитория. Нас об этом просили, потому что разные веб-сайты часто требуют разных версий PHP.
              • Появился режим «Гибридного веб-сервера», когда часть PHP скриптов можно запускать с помощью nginx, пока остальные работают на Apache. Гибридность при этом — настройка домена, а не сервера.

              image
              Конфигурация PHP на странице настройки параметров сайта
              Читать дальше →
              • +35
              • 8.2k
              • 6
            • Конкурс уязвимостей, или Ломай меня полностью!

                19 марта мы объявили о начале месяца поиска уязвимостей «Проверь Badoo на прочность». Сегодня нам хочется подвести первые итоги и поделиться с вами промежуточными результатами, рассказать, как мы готовились к проверке на прочность, рассмотреть самые интересные уязвимости и сделать «фейспалм».

                И для начала немного статистики:
                • за первые две недели участники прислали нам почти 500 заявок с потенциальными уязвимостями;
                • около 50 заявок оказались дубликатами;
                • каждая десятая заявка содержала в себе реальную уязвимость (самые опасные были исправлены в течение нескольких часов);
                • Более 150 заявок составили ошибки, не связанные с безопасностью сайта, и около 10% из них относятся к платформам, не участвующим в конкурсе.
                • большинство уязвимостей пришлось на самый главный компонент системы ― профиль (как только участники конкурса не издевались над аккаунтами пользователей: удаляли и загружали фотографии, манипулировали комментариями, интересами, личными данными и адресами электронной почты).
                • Более половины присланных уязвимостей ― различные CSRF, в основном затрагивающие загруженный или написанный пользователями контент (удаление и загрузка фото и комментариев, работа с чёрным списком, избранным и т.д.).
                Читать далее
              • Оптимальная параллелизация юнит-тестов или 17000 тестов за 4 минуты

                  Сегодня мы поговорим про разработанную нами утилиту, которая оптимизирует тестирование PHP-кода с помощью PHPUnit и TeamCity. При этом нужно понимать, что наш проект — это не только веб-сайт, но и мобильные приложения, wap-сайт, Facebook-приложение и много чего ещё, а разработка ведется не только на PHP, но и на C, C++, HTML5 и т.д.

                  Методы, которые мы описываем, прекрасно адаптируются под любой язык, любую систему тестирования и любое окружение. Поэтому наш опыт может оказаться полезным не только разработчикам веб-сайтов на PHP, но и представителям других областей разработки. Кроме того, в ближайшем будущем мы планируем перевести нашу систему в Open Source ― без обязательной привязки к TeamCity и PHPUnit ― наверняка она кому-нибудь пригодится.
                  Читать далее
                • Тенденции рынка мобильной разработки в 2013 году

                    Сегодня на рынке мобильной разработки можно наблюдать парадоксальную ситуацию: технология опережает мысль. Программисты и дизайнеры получили в свое распоряжение широкий набор инструментов и технологий, на базе которых можно генерировать массу идей для потенциально успешных мобильных приложений.

                    Не случайно особую популярность приобретает такой формат мероприятий как хакатон, который объединяет ИТ-специалистов для совместной разработки мобильных продуктов. Рынку нужны новые концепции.

                    Одна из самых привлекательных сфер для развития фантазии — технология дополненной реальности, в ней рождается много интересного и неоднозначного. Есть и другие перспективные направления: бизнес-аналитика, мобильные платежи, умный дом, медицина. Если вам интересно, что сейчас происходит в этих сферах с точки зрения мобильного разработчика, добро пожаловать под кат.



                    Читать дальше →
                  • Что умеют современные квадрокоптеры?



                      Когда речь заходит о квадрокоптерах, большинство из нас представляет себе устройство с достаточно скромными характеристиками — скорее игрушку на радиоуправлении, чем что-то, достойное наименования «беспилотный летающий аппарат». У многих вызывают недоумение инициативы вроде этой — трудно поверить, что на базе этих игрушек можно построить что-то серьёзное. Тем не менее, технологии, лежащие в основе квадрокоптеров — аккумуляторы, навигационное оборудование, бортовые компьютеры — развиваются очень быстро. Современные профессиональные беспилотники с четырьмя роторами очень сильно отличаются от любительских игрушек. Они способны летать под проливным дождём, в мороз и жару, они могут продержаться в воздухе около часа, а управлять ими сможет даже ребёнок.

                      В этой статье пойдёт речь о двух довольно похожих профессиональных аппаратах, предназначенных для применения в промышленности, видеонаблюдении, аэрофотосъёмке, сельском хозяйстве и военном деле. Две компании — канадская Aeryon и немецкая Microdrones как раз этой весной обновили флагманские модели своих квадрокоптеров — Aeryon SkyRanger и Microdrones md4-3000.
                      Читать дальше →
                    • Как создать систему бизнес-аналитики и не наломать дров

                        Для правильного принятия бизнес-решений необходимо владеть наиболее полной и подробной информацией о состоянии дел в компании. Но нередко такая информация ограничена годовыми да квартальными отчётами.

                        Этого, безусловно, мало. Для эффективного анализа на предприятиях часто внедряют системы бизнес-аналитики (англ. business intelligence, далее — BI-системы). Сегодня мы хотим поделиться несколькими советами, которые могут помочь при создании BI-системы в вашей компании (и которые помогли бы нам самим год назад).


                        Читать дальше →
                      • Эмулятор машины Тьюринга на MySQL

                        Недавно на одном из собеседований мне задали задачку на разбор строки только средствами MySQL.
                        После этого я задумалась: а вообще, насколько сложные задачи такого рода можно решить с помощью одной лишь СУБД? Ответ нашелся быстро: средствами MySQL можно решить вообще любую задачу на распознавание строк. А чтобы делать это более удобным и универсальным способом, достаточно написать примитивный эмулятор конечного автомата, а еще лучше — машины Тьюринга, разумеется используя только лишь конструкции, любезно предоставляемые MySQL. Итак, начнем эксперимент.

                        Проектируем

                        Любая программа начинается с проекта. Так будет и в этот раз. Прежде всего, что такое машина Тьюринга, что она делает, что умеет? Умеет она, прямо скажем, немного. Имея в распоряжении бесконечную ленту и управляющее устройство (каретку) машина может:
                        1. Двигаться по ленте влево и вправо
                        2. Читать с ленты символ
                        3. Писать на ленту символ
                        4. Переходить в различные состояния

                        Читать дальше →
                      • Про Yota и «жжж»

                             Почти незаметно, но у всех на глазах, Yota из стартапа превратилась в серьезный бизнес. Ну как, серьёзный… еще в 2008 году она еле-еле ловила на Тверской, а летом 2009 стартовала коммерческая эксплуатация сети. Осенью 2010 абонентская база насчитывала 680 000 абонентов, выручка составила 2,6 млрд рублей, EBITDA (прибыль до вычета налогов, процентов и амортизации) 220 млн рублей, а в Казани состоялся успешный запуск LTE. Вообще, в сознании большого количества людей термин LTE появился именно после того, как Yota сначала объявила о строительстве, а затем и запустила сеть.



                          Читать дальше →