Pull to refresh
43
0
videns @videns

User

Опыт внедрения 2fa на linux с duosecurity

Reading time 6 min
Views 8.2K
На недавно прошедшей конференции Zeronights я рассказывал про двухфакторную аутентификацию, и какие проблемы могут быть при ее внедрении. К сожалению, времени выступления для полного погружения в тему было мало, поэтому я постараюсь раскрыть некоторые детали в рамках отдельных постов.
И начну с самой популярной темы, а именно двухфакторной аутентификации на linux — какие есть варианты настройки и почему даже очень хорошее решение требуется доработать напильником.
Читать дальше →
Total votes 26: ↑25 and ↓1 +24
Comments 3

Как мы делали поиск в elasticsearch на vulners.com

Reading time 6 min
Views 24K

Как мы писали ранее, в качестве основной базы для поиска на сайте используется elasticsearch. Поиск в elastic работает очень быстро и из коробки доступно много полезных функций для работы с данными — полнотекстовый поиск, неточный поиск, всевозможные методы агрегации и тд.

И в отличии от классических SQL баз данных или noSQL типа MongoDB здесь очень удобно делать неточный поиск по всему документу. Для этого используется синтаксис Query DSL. Для полнотекстового поиска по всему документу есть несколько поисковых запросов. У себя на сайте мы используем тип query_string. Этот запрос поддерживает Lucene синтаксис, который позволяет и нам и пользователю создавать сложные запросы в google-style. Вот примеры таких запросов:

title:apache AND title:vulnerability
type:centos cvss.score:[8 TO 10]

Можно сделать вот такой простой запрос и все:

{
  "query": {
    "query_string": {
      "query": "exploit wordpress"
    }
  }
}

Но начав впервые использовать query_string, вы столкнетесь с тем, что поиск выдает не то, что вы хотите видеть. Как же добиться от elasticsearch внятного результата поиска?
Читать дальше →
Total votes 34: ↑30 and ↓4 +26
Comments 2

Запиши свой терминал

Reading time 1 min
Views 16K
Теперь если Вас просят показать, как что-то выполняется в консоли, не надо копировать вывод из putty или записывать видео через snagIt. Утилита ascii.io сделает все это за Вас.
image
Читать дальше →
Total votes 45: ↑40 and ↓5 +35
Comments 39

Уязвимы по определению

Reading time 4 min
Views 39K
У многих людей, как-либо связанных с безопасностью, периодически возникает желание заняться pentest'ом, то есть тестом на проникновение. И чаще всего начинают все с pentest'а веб-приложений. Порог вхождения довольно мал (простейшая sqli определяется добавлением кавычки в параметр и эксплуатируется не особо сложнее), но при этом встречаются и довольно сложные задания, которые заставляют потратить пару-тройку дней на ковыряние.
Но возникает вопрос — где применять теоретические знания, без страха внезапного появления маски-шоу? Под катом проведу небольшой обзор полигонов для экспериментов по pentest'у.
Читать дальше →
Total votes 89: ↑87 and ↓2 +85
Comments 29

Модель безопасности СУБД IBM DB2

Reading time 7 min
Views 6.6K

Система управления базами данных IBM DB2 начинает свое развитие в далеких 70-х годах и сейчас занимает прочное положение на рынке корпоративных СУБД, отвечая высоким требованиям к производительности, надежности, безопасности и масштабируемости. В частном секторе система DB2 не получила широкого распространения, несмотря на наличие бесплатной версии IBM DB2 Express. Возможно, именно из-за этого в Интернете не так много статей по поводу настройки и использования DB2.

Модель безопасности DB2 обладает широким функционалом и позволяет защитить данные как от внешнего воздействия, так и разграничить права доступа для внутренних пользователей средствами самой СУБД.

Однако неподготовленному пользователю сложно с нуля разобраться во всем этом многообразии, поэтому некоторые важные аспекты будут рассмотрены в данной статье.
Читать дальше →
Total votes 1: ↑1 and ↓0 +1
Comments 3

Выполнение произвольного кода в Opera

Reading time 1 min
Views 1.7K
Браузер Opera подвержен 0day уязвимости, а именно выполнение произвольного кода. Уязвимость существует из-за ошибки при обработке древовидных SVG данных внутри frameset. Удаленный пользователь может с помощью специально сформированного Web сайта выполнить произвольный код на целевой системе.

Более подробная информация:

spa-s3c.blogspot.com/2011/10/spas3c-sv-006opera-browser-101112-0-day.html

Рекомендую временно пересесть на другой браузер до выхода соответствующего исправления.
Total votes 50: ↑41 and ↓9 +32
Comments 24

СПАСИБОПУТИНУЗАЭТО

Reading time 1 min
Views 2.9K
И опять русский хеш-тэг вышел в мировые тренды. В этот раз гораздо интереснее, чем х#и. Ничто не объединяет людей так, как <sarcasm>любовь</sarcasm> к будущему президенту.

И все могут почувствовать себя поэтом, СПАСИБОПУТИНУЗАЭТО
Total votes 424: ↑273 and ↓151 +122
Comments 175

Введение в IBM DB2

Reading time 4 min
Views 42K
По работе пришлось в течение некоторого времени разбираться с СУБД IBM DB2. Т.к. система коммерческая, то в интернете не так много информации на русском языке, поэтому решил описать некоторые особенности работы этой СУБД.

Читать дальше →
Total votes 39: ↑32 and ↓7 +25
Comments 6

ACHI — замена FOP

Reading time 2 min
Views 1.3K
Хочу представить Вам замену FOP (flash operator panel) — приложение, которое показывает информацию об агентах в режиме реального времени для сервера IP-телефонии Asterisk.

Кодовое название — ACHI (Asterisk Channel Information). Предыдущее описание не удалось, в этот раз попробую представить больше информации о проекте.

Скриншот главного окна, которое собственно и представляет основной пользовательский интерфейс:
image
Читать дальше →
Total votes 3: ↑1 and ↓2 -1
Comments 3

Information

Rating
Does not participate
Location
Россия
Date of birth
Registered
Activity