Как стать автором
Обновить
89.61
Рейтинг
Сначала показывать
  • Новые
  • Лучшие

Vulners — Гугл для хакера. Как устроен лучший поисковик по уязвимостям и как им пользоваться

Блог компании Журнал Хакер Информационная безопасность *
Tutorial


Часто нужно узнать всю информацию о какой-нибудь уязвимости: насколько найденный баг критичен, есть ли готовые сплоиты, какие вендоры уже выпустили патчи, каким сканером проверить наличие бага в системе. Раньше приходилось искать вручную по десятку источников (CVEDetails, SecurityFocus, Rapid7 DB, Exploit-DB, базы уязвимостей CVE от MITRE/NIST, вендорские бюллетени) и анализировать собранные данные. Сегодня эту рутину можно (и нужно!) автоматизировать с помощью специализированных сервисов. Один из таких — Vulners, крутейший поисковик по багам, причем бесплатный и с открытым API. Посмотрим, чем он может быть нам полезен.
Читать дальше →
Всего голосов 45: ↑45 и ↓0 +45
Просмотры 88K
Комментарии 3

Кирилл «isox» Ермаков, главный безопасник QIWI, рассказывает о своей работе, о блеке, об анонимности и о взрослой ИБ

Блог компании Журнал Хакер Информационная безопасность *Программирование *



Есть мнение, что банковские CISO — скучные ребята. Совершенно не умеют работать руками, бесконечно совещаются и вообще занимаются всякой ерундой. Героя сегодняшней истории, isox’а, скучным назвать точно нельзя. Кому-то он известен как топовый багхантер Яндекса, кому-то как создатель открытой базы уязвимостей Vulners, а кому-то — просто как крутейший спец по корпсеку. Isox предельно честно рассказал о своей работе, о блеке, об анонимности и о взрослой ИБ в целом. Итак, знакомься — Кирилл «isox» Ермаков, главный безопасник QIWI!

Читать далее
Всего голосов 75: ↑65 и ↓10 +55
Просмотры 60K
Комментарии 55

Malware для OS X: полная летопись. Самые знаковые яблочные вредители этого десятилетия

Блог компании Журнал Хакер Информационная безопасность *


Количество зловредов под OS X росло вместе с ростом ее популярности. Немногие этого ожидали (хорошая защищенность и необходимость root создавали ощущение безопасности), но теперь этот факт можно считать установленным: чем больше народная любовь к системе, тем выше интерес к ней со стороны злокодеров, и малварь начинает появляться даже в, казалось бы, хорошо базово защищенных системах. Особенно результативным в этом плане оказался год прошлый. Мы сделали для тебя хронологическое описание всех самых заметных зловредов, поражающих продукцию от Apple. Наслаждайся!
Читать дальше →
Всего голосов 26: ↑21 и ↓5 +16
Просмотры 21K
Комментарии 19

Походная аптечка сисадмина. Минимальный набор утилит для максимально эффективного решения проблем

Блог компании Журнал Хакер
image

Каждому сисадмину приходится иногда обслуживать компьютеры знакомых или совершать надомные выезды. В этом деле ему помогает проверенный набор утилит. Наш обзор расскажет только о бесплатных, не требующих установки и ставших стандартом де-факто.
Читать дальше →
Всего голосов 39: ↑26 и ↓13 +13
Просмотры 137K
Комментарии 36

Аббревиатуры против вирмейкеров: WIM, CSRSS, EMET, CCMP, EFS, SEHOP, ASLR, KPP, UAC, DEP и еще кое-что

Блог компании Журнал Хакер


С древнейших времен (хорошо, что все они были на нашей памяти) айтишники обожают сокращения — как в бытовом (все эти AFK, BTW, AFAIK), так и в профессиональном общении. Поэтому иногда при чтении профессиональной литературы по безопасности мозг даже прилично подготовленного хакера может встать в позу речного скорпиона. Чтобы этого не произошло, мы подготовили для тебя статью, в которой разобрали несколько самых распространенных аббревиатур и акронимов (наш литературный редактор говорит, что это разные вещи, придется загуглить разницу), означающих нечто, осложняющее жизнь честному хакеру или вирмейкеру.
Читать дальше →
Всего голосов 9: ↑6 и ↓3 +3
Просмотры 6.8K
Комментарии 2

Исключения для хардкорщиков. Особенности обработки эксепшенов в динамически размещаемом коде

Блог компании Журнал Хакер Информационная безопасность *Реверс-инжиниринг *Разработка под Windows *
image

Современные версии ОС налагают на исполняемый код ограничения, связанные с требованиями безопасности. В таких условиях использование механизма исключений в инжектированном коде или, скажем, во вручную спроецированном образе может стать нетривиальной задачей, если не быть в курсе некоторых нюансов. В этой статье речь пойдет о внутреннем устройстве юзермодного диспетчера исключений ОС Windows для платформ x86/x64/IA64, а также будут рассмотрены варианты реализации обхода системных ограничений.
Читать дальше →
Всего голосов 16: ↑16 и ↓0 +16
Просмотры 19K
Комментарии 11

Боремся со Status 7. Как работает механизм OTA-обновлений и почему он дает сбои

Блог компании Журнал Хакер Разработка под Android *


Довольно часто юзеры, привыкшие рутовать прошивки, устанавливать разного рода системный софт, менять ядра и по-другому издеваться над прошивкой, обнаруживают, что установить OTA-обновление невозможно. Оно просто не встает, ругаясь на измененные системные файлы, неправильные цифровые ключи и всякое прочее. В этой статье я расскажу о самой механике обновления, причинах возникновения проблем и о том, как их решить.
Читать дальше →
Всего голосов 14: ↑14 и ↓0 +14
Просмотры 57K
Комментарии 1

Соединяй и властвуй. Нестандартный взгляд на keep-alive

Блог компании Журнал Хакер Информационная безопасность *Разработка веб-сайтов *Python *


Большинство современных серверов поддерживает соединения keep-alive. Если на страницах много медиаконтента, то такое соединение поможет существенно ускорить их загрузку. Но мы попробуем использовать keep-alive для куда менее очевидных задач.
Читать дальше →
Всего голосов 41: ↑33 и ↓8 +25
Просмотры 44K
Комментарии 10

Под прессом. Ломаем и защищаем Wordpress своими руками

Блог компании Журнал Хакер Информационная безопасность *WordPress *Разработка веб-сайтов *


WordPress — это удобная блог-платформа для публикации статей и управления ими, на которой базируется огромное число различных сайтов. Из-за своей распространенности эта CMS уже давно является лакомым куском для злоумышленников. К сожалению, базовые настройки не обеспечивают достаточного уровня защиты, оставляя многие дефолтные дырки незакрытыми. В этой статье мы пройдем типичным путем «типового» взлома сайта на Wordpress, а также покажем как устранить выявленные уязвимости.
Читать дальше →
Всего голосов 29: ↑26 и ↓3 +23
Просмотры 83K
Комментарии 11

Анатомия IPsec. Проверяем на прочность легендарный протокол

Блог компании Журнал Хакер Информационная безопасность *


В современном мире различные VPN-технологии используются повсеместно. Некоторые (например, PPTP) со временем признаются небезопасными и постепенно отмирают, другие (OpenVPN), наоборот, с каждым годом наращивают обороты. Но бессменным лидером и самой узнаваемой технологией для создания и поддержания защищенных частных каналов по-прежнему остается IPsec VPN. Иногда при пентесте можно обнаружить серьезно защищенную сеть с торчащим наружу лишь пятисотым UDP-портом. Все остальное может быть закрыто, пропатчено и надежно фильтроваться.

В такой ситуации может возникнуть мысль, что здесь и делать-то особо нечего. Но это не всегда так. Кроме того, широко распространена мысль, что IPsec даже в дефолтных конфигурациях неприступен и обеспечивает должный уровень безопасности. Именно такую ситуацию сегодня и посмотрим на деле. Но вначале, для того чтобы максимально эффективно бороться c IPsec, нужно разобраться, что он собой представляет и как работает. Этим и займемся!
Читать дальше →
Всего голосов 25: ↑23 и ↓2 +21
Просмотры 155K
Комментарии 13

Как продеть слона через игольное ушко. Обработка максимальных объемов данных за минимальное время

Блог компании Журнал Хакер Высокая производительность *Совершенный код *C++ *
Tutorial


Чего только ни услышишь от апологетов тех же Java или C# про разработку на C/C++! Якобы этот язык устарел и на нем никто не пишет. Вот только когда требуется создать no latency или low latency сервис или нужно сэкономить память и время выполнения узкого места обработки больших объемов данных, то тут же прибегают за помощью к «архаичным» разработчикам на C/C++. Просто потому, что эти ребята умеют вручную управлять памятью и прекрасно представляют, что за начинка у той или иной высокоуровневой операции. Сегодня наша задача — стать на шаг ближе к этим ребятам.
Читать дальше →
Всего голосов 26: ↑19 и ↓7 +12
Просмотры 26K
Комментарии 27

Сериализация, сэр! Сегодня на ужин байтовая каша, сваренная из объектов C++

Блог компании Журнал Хакер Программирование *Совершенный код *C++ *
Tutorial


Переменные и типы хороши, пока мы находимся внутри логики программы C++. Однако рано или поздно становится нужно передавать информацию между программами, между серверами или даже просто показать типы и значения переменных человеку разумному. В этом случае нам приходится заключать сделку со злобным Сериализатором и расплачиваться производительностью своего кода. В последней лекции Академии C++ мы наконец дошли до главного босса, которого нужно научиться побеждать с минимальными потерями в скорости выполнения кода. Поехали!
Читать дальше →
Всего голосов 22: ↑18 и ↓4 +14
Просмотры 37K
Комментарии 7

Откровения метапрограммиста. Программируем программный код на этапе компиляции, используем шаблоны C++ для нешаблонных решений

Блог компании Журнал Хакер Программирование *Совершенный код *C++ *
Tutorial


Шаблоны можно назвать самым главным отличием и основным преимуществом языка C++. Возможность создать шаблон алгоритма для различных типов без копирования кода и со строгой проверкой типов — это лишь один из аспектов использования шаблонов. Код специализаций шаблона строится на этапе компиляции, а это значит, что поведением создаваемых типов и функций можно управлять. Как тут удержаться от возможности попрограммировать компилируемые классы?

Метапрограммирование становится столь же неотъемлемой частью написания кода на C++, как и использование стандартной библиотеки, часть которой создана именно для использования на этапе компиляции. Сегодня мы произведем на свет библиотеку безопасного приведения скалярных типов C++, метапрограммируя шаблонами!
Читать дальше →
Всего голосов 17: ↑16 и ↓1 +15
Просмотры 27K
Комментарии 2

Всё, точка, приплыли! Учимся работать с числами с плавающей точкой и разрабатываем альтернативу с фиксированной точностью десятичной дроби

Блог компании Журнал Хакер Программирование *Совершенный код *C++ *Математика *
Tutorial


Сегодня мы поговорим о вещественных числах. Точнее, о представлении их процессором при вычислении дробных величин. Каждый из нас сталкивался с выводом в строку чисел вида 3,4999990123 вместо 3,5 или, того хуже, огромной разницей после вычислений между результатом теоретическим и тем, что получилось в результате выполнения программного кода. Страшной тайны в этом никакой нет, и мы обсудим плюсы и минусы подхода представления чисел с плавающей точкой, рассмотрим альтернативный путь с фиксированной точкой и напишем класс числа десятичной дроби с фиксированной точностью.
Читать дальше →
Всего голосов 29: ↑23 и ↓6 +17
Просмотры 173K
Комментарии 13

Грустная история забытых символов. Как не сойти с ума при работе с кодировками в C++

Блог компании Журнал Хакер Программирование *Совершенный код *C++ *
Tutorial


Говоря о тексте, большинство программистов C++ думают о массивах кодов символов и кодировке, которой эти коды соответствуют. Наиболее опытные разработчики вообще не мыслят понятие текста без указания кодировки, наименее опытные просто считают массив байтов с кодами символов данностью и интерпретируют в понятиях кодировки операционной системы. Фундаментальная разница между этими двумя подходами не только в опыте разработчика, но и в том, что не думать о кодировке намного проще. Пора рассмотреть способ, как не заботиться о хранении кодировки, перекодировке текста, получать свободный доступ к символам и при этом видеть безошибочное представление текста вне зависимости от того, кто и где смотрит на строку текста: в Китае ли, в США или на острове Мадагаскар.
Читать дальше →
Всего голосов 32: ↑28 и ↓4 +24
Просмотры 68K
Комментарии 71

Размещай и властвуй! Используем размещающий new для оптимизации кода на C++

Блог компании Журнал Хакер Программирование *Совершенный код *C++ *
Tutorial


Создавая объект за объектом, мы часто не обращаем внимания на такую «мелочь», как динамическое выделение памяти. Наравне с копированием и сериализацией, выделение памяти из кучи через new постепенно сводит на нет преимущества C++ в скорости. Чем интенсивнее мы пользуемся заветным new, тем сложнее становится приложению, поскольку память кончается, фрагментируется и всячески стремится утекать. Эта участь уже постигла удобные, но неявно опасные для производительности контейнеры STL: vector, string, deque, map. Особенно обидно терять скорость на выделении небольших объектов в больших количествах. Но есть способ обработать размещение памяти таких объектов на стеке, при этом скрывая детали реализации в специальный класс данных. В этом нам поможет механизм размещающего new — непревзойденный способ оптимизации приложения, полного частых и мелких выделений памяти из кучи.
Читать дальше →
Всего голосов 29: ↑23 и ↓6 +17
Просмотры 40K
Комментарии 31

Побег из темницы типов. Реализуем работу с данными, тип которых определяется динамически

Блог компании Журнал Хакер Программирование *Совершенный код *C++ *
Tutorial


Когда результат SQL-запроса влечет бесконечные приведения типов ко всевозможным вариантам типов полей. Когда код заполнен малопонятной логикой с гигантским перебором перегрузок по типам boost::variant. Когда не знаешь, как принять аргумент произвольного типа по RPC-протоколу. Тогда требуется механизм эмуляции динамической типизации в C++. Расширяемый и удобный, создающий понятный API. Такой, что не требует предопределенного списка типов и не заставляет работать с указателями на базовый класс. Такой механизм есть — нам поможет двойная диспетчеризация!
Читать дальше →
Всего голосов 16: ↑14 и ↓2 +12
Просмотры 28K
Комментарии 27

Проверяем MS SQL на прочность. Векторы атак на MS SQL Server

Блог компании Журнал Хакер Информационная безопасность *SQL *Microsoft SQL Server *
image

Практически ни один серьезный пентест не обходится без проверки СУБД, ведь это одна из самых популярных у злоумышленников дверей к желаемой информации и машине. В крупных проектах в качестве СУБД очень часто используется MS SQL Server. И о проверке именно его безопасности мы сегодня и поговорим. Открывать Америку не будем — опытные камрады лишь освежат свои знания, а вот для тех, кто только начинает осваивать тему, я постарался максимально подробно разложить все по пунктам.
Читать дальше →
Всего голосов 30: ↑23 и ↓7 +16
Просмотры 33K
Комментарии 8

Играем мускулами. Методы и средства взлома баз данных MySQL

Блог компании Журнал Хакер Информационная безопасность *MySQL *SQL *


MySQL — одна из самых распространенных СУБД. Ее можно встретить повсюду, но наиболее часто она используется многочисленными сайтами. Именно поэтому безопасность базы данных — очень важный вопрос, ибо если злоумышленник получил доступ к базе, то есть большая вероятность, что он скомпрометирует не только ресурс, но и всю локальную сеть. Поэтому я решил собрать всю полезную инфу по взлому и постэксплуатации MySQL, все трюки и приемы, которые используются при проведении пентестов, чтобы ты смог проверить свою СУБД. 0day-техник тут не будет: кто-то еще раз повторит теорию, а кто-то почерпнет что-то новое. Итак, поехали!
Читать дальше →
Всего голосов 22: ↑18 и ↓4 +14
Просмотры 58K
Комментарии 16

Атака на оракула. Подробный гайд по векторам атак на Oracle DB

Блог компании Журнал Хакер Информационная безопасность *Oracle *SQL *


Сегодня я бы хотел поговорить о векторах атак на СУБД Oracle на разных стадиях: как прощупать слабые места базы снаружи, проникнуть и закрепиться внутри плюс как все это дело автоматизировать с помощью специализированного софта. Архитектура и возможности базы данных весьма интересны, занимательных моментов немало, а значит, немало и способов все испортить. Однако не забывай: ломать — не строить, поэтому вся дальнейшая информация предоставлена исключительно с целью выявить недочеты в защищенности тестируемых систем и повысить безопасность.
Читать дальше →
Всего голосов 21: ↑20 и ↓1 +19
Просмотры 33K
Комментарии 5

Информация

Дата основания
Местоположение
Россия
Сайт
xakep.ru
Численность
51–100 человек
Дата регистрации