В 2022 году во всем мире насчитывалось более 5,32 миллиардов граждан, использующих мобильные телефоны, при этом в 2000 году этот показатель был равен всего лишь 1 миллиарду. Мы являемся свидетелями повальной миграции пользователей с персональных компьютеров на мобильные телефоны.

Трафик мобильной передачи данных в России к 2022 достиг 43 эксабайт, что почти в 6 раз больше, чем в 2017 году (7.3 эксабайта). Смартфоны сегодня такие, как iPhone, Samsung Galaxy и другие, представляют собой карманные компьютеры с высокой эффективностью, огромным объемом памяти и увеличенным функционалом.

Для синих и красных команд The Standoff начнется 16 мая, а закончится 19 мая — 4 дня с перерывами на сон (как вы просили 😉). Три команды пригласим в ЦМТ, остальные — онлайн.

Защитникам будут противостоять 15 команд хакеров. Топ-5 по итогам ноябрьской кибербитвы мы пригласили напрямую, минуя отборочный тур. Оставшиеся 10 слотов могут занять команды из любой точки мира. Не упустите возможность!

Positive Technologies впервые в России объявила о запуске программы bug bounty нового типа^[1], которая ориентирована не на поиск сугубо технических уязвимостей во внешних сервисах компании, а на реализацию действительно критически опасного для компании события — хищения денег со счетов. Мы готовы выплатить беспрецедентное для России вознаграждение в 10 миллионов рублей.

Почему я решил написать этот текст.

Содержание

Обзор

Архитектура

• php 5.2/5.3
• Периоды нагрузки (отключения автоподгрузки ленты)
• Врапперы в сообщениях
• Разный код для мобильной и полной версий

Security

• Фичи
  
  • Авторизация
  • Anti-CSRF токены
  • Запрет iframe
  • Отключенный POST на контент-серверах
• Фиче-баги
  • Узнать возраст через поиск
• Баги
  • XSS
  • Загрузка документов без имени
  • Подгрузка по ajax фото из закрытых альбомов (?)
  • Не везде anti csrf

Разное

К сожалению, нигде не нашел упоминания в постах на Хабре о замечательной утилите — WPScan, которая просто безумно помогает с пентестом блогов на WordPress. Этот пост о ней и еще одной утилите, которые помогут даже ничего не знающему в безопасности IT'шнику провести пентест блога на WordPress.

# ./wpscan.rb
_______________________________________________________________
        __          _______   _____
        \ \        / /  __ \ / ____|
         \ \  /\  / /| |__) | (___   ___  __ _ _ __
          \ \/  \/ / |  ___/ \___ \ / __|/ _` | '_ \
           \  /\  /  | |     ____) | (__| (_| | | | |
            \/  \/   |_|    |_____/ \___|\__,_|_| |_|

        WordPress Security Scanner by the WPScan Team
                    Version v2.1r1c1a6d2
     Sponsored by the RandomStorm Open Source Initiative
 @_WPScan_, @ethicalhack3r, @erwan_lr, @gbrindisi, @_FireFart_
_______________________________________________________________

Привет, Хабр!

«Физический доступ — это проникновение в здание интересующей вас компании. Мне это никогда не нравилось. Слишком рискованно. Пишу об этом — и меня уже пробивает холодный пот.» Кевин Митник, «Призрак в Сети. Мемуары величайшего хакера»