Использую с SailsJS. А на пост действительно не тянет, скорее введение, до P.S. думал что вот сейчас будет интересно. На 2ality много интересного по ES6 есть, включая Babel. А буржуйский нужно знать разработчику.
У вас легкий и приятный дизайн главной. Но на мой взгляд там где фичи, много пустого пространства. Скрины большие, а текста немного. Я бы текст по вертикали центрировал относительно картинок. Имхо конечно.
Болты в сфере коммуникаций закручивают с невероятной скоростью. Прощай Интернет в РФ, привет тщательно отфильтрованное, «безопасное», отечественное говно сеть.
А за что, собственно минус? Тема действительно не раскрыта, это статистика и комментарии к ней, о how-to здесь нет ни слова. Говориться о том что сделано, а не как это сделать.
Это как раз таки есть в заголовке. Не вижу смысла разжевывать базовые понятия, которые прямого отношения к теме статьи не имеют, при том что она опубликована в блоге «Информационная безопасность», это подразумевает то, что вы в курсе основных понятий и не будете задавать вопросы, не имеющие отношения к обсуждению данной статьи. Про шансы выпасть из песочницы и чтение целиком — это не ваша забота. Вместо неконструктивной критики — напишите свою статью, покажите как надо писать. На этом этот оффтоп прекращаю.
Плохого не знаю, но политика выйгрышна только для компании. 5к$ для них — ерунда, а вот куча уязвимостей, и работа большого количества специалистов над поиском багов стоит куда больших затрат.
И эта статья не о том как создать расширение, она о расширении, которое уже создано. Payload — не расширение к metasploit, а код, который должен выполниться в результате эксплуатирования уязвимости.
Статья о payload'у под названием meterpreter. Статья рассказывает о том, как использовать его в качестве инструмента удаленного администрирования. Meterpreter широко используется в Metasploit (все версии). Если есть еще вопросы — задавайте, с удовольствием отвечу.
Согласен с вышесказанным. Во-первых уязвимости искать просто невыгодно, вот если бы оплата была за каждую (не 5000, а соизмеримые с приложенными усилиями деньги) — другое дело. Во-вторых очень велика вероятность повторения багов. То есть достаточно представить что 100 специалистов (условно) ринулись искать уязвимости, специалист №1 нашел уязвимость X, велика вероятность того что специалист №50 найдет ту же самую и отправив ее в Яндекс не может быть уверен что он полноценный участник конкурса, так как «авторство» найденного бага будет присвоено специалисту №1.
Нет, не давно, насчет shikata_ga_nai ничего не могу сказать, однако за всю практику ни разу не засветил свое присутствие в системе (конечно же использую не только meterpreter) используя разные крипторы, msfvenom включительно
Не вижу спутанности, в первом написано общее определение, переведенное с официальной документации. Последнее — сугубо мое мнение относительно данного Payload'а. Я же не могу привести свое мнение как истину в последней инстанции в качестве определения.
Почему же, на закрытых багтрекерах довольно много 0day уязвимостей (про WinXP молчу), и при навыках написания эксплоитов они успешно используются для проникновения на удаленную машину без соц. инженеринга. Позже я напишу статью о написании эксплоитов и адаптации их под использование в Metasploit. Но это будет позже, а сейчас есть уже известные уязвимости, которые позволяют сделать многое. Я не отрицаю важности наличия навыков соц. инженеринге, но есть ряд случаев когда это не требуется. Для win-пользователей скажу одно — не забывайте о апдейтах.
Вы пропустили
говносеть.Фу такое на хабре писать