Буквально вчера опубликовали пост о фишинге в Gmail и в одном из комментариев @Chickey написал


Да я и сам с таким сталкивался:

Эта статья о давно известном баге в конфигурации dns-серверов — разрешение на трансфер зоны любому юзеру. И о том, как я написал небольшой сканер для проверки конфигурации dns-серверов самых популярных сайтов. И где уязвимыми оказались банки, гос. сайты, провайдеры и многие другие важные ресурсы.

AXFR-запросы

Передача зоны DNS, AXFR — вид транзакции DNS. Является одним из механизмов репликации баз DNS между серверами © wikipedia

Три дня назад (2 декабря) Kingcope внезапно опубликовал несколько эксплойтов (в том числе 0day), преимущественно для MySQL (win/linux)

• IBM System Director Remote System Level Exploit
• MySQL (Linux) Heap Based Overrun PoC Zeroday
• MySQL Denial of Service Zeroday PoC
• MySQL (Linux) Database Privilege Elevation Zeroday Exploit
• MySQL 5.1/5.5 WiNDOWS REMOTE R00T (mysqljackpot)
• MySQL (Linux) Stack Based Buffer Overrun PoC Zeroday
• MySQL Remote Preauth User Enumeration Zeroday
• MySQL Windows Remote System Level Exploit (Stuxnet technique) 0day
• FreeSSHD Remote Authentication Bypass Zeroday Exploit
• FreeFTPD Remote Authentication Bypass Zeroday Exploit
• SSH.com Communications SSH Tectia Authentication Bypass Remote Zeroday Exploit

Данный пост — небольшой отчет о процессе реверсивного проектирования и анализа работы самой популярной соц. сети в СНГ — vk.com. В основном анализ проводился со стороны безопасности (хотя сама соц. сеть весьма привлекательна как high-load проект, безусловно). Для себя вынес некоторые интересные решения и просто получил удовольствие. Пост получился, возможно, немного сумбурный, так углублялся просто в интересные мне моменты.

Содержание

Обзор

Архитектура

• php 5.2/5.3
• Периоды нагрузки (отключения автоподгрузки ленты)
• Врапперы в сообщениях
• Разный код для мобильной и полной версий

Security

• Фичи
  
  • Авторизация
  • Anti-CSRF токены
  • Запрет iframe
  • Отключенный POST на контент-серверах
• Фиче-баги
  • Узнать возраст через поиск
• Баги
  • XSS
  • Загрузка документов без имени
  • Подгрузка по ajax фото из закрытых альбомов (?)
  • Не везде anti csrf

Разное

Уже везде гудят по этому поводу, но на Хабре новости еще нет.
Собственно тема раскрыта в заголовке, есть официальная информация о несанкционированном проникновении к серверам Battle.Net

26-29 июля в Лас-Вегасе (штат Невада) проходила одна из крупнейших хакерских (в прямом смысле своего слова) конференций — DEFCON, в рамках которой так же проходили соревнования CTF. В этому году в них приняло участие 4 команды из России — Leet More + Smoked Chicken, SiBears и HackerDom.

Содержание

• Общий обзор
• Бейдж от Parallax
• Capture The Flag
• Материалы
• Послесловие

Warning: Трафик, объемный пост

Довольно неприятная вещь случилась не так давно (3 дня назад). Почти подтверждена информация, что Blizzard закрыли opensource эмулятор Diablo 3 (Mooege).



Для тех, кто не в курсе, немного введу в курс дела, какую взаимосвязь имеет OpenSource и некоторые проекты Blizzard. Те, кто в курсе — могут пропустить абзац.

Сегодня 8 мая, а никто с праздником не поздравил. И лучше поздно, чем никогда :) Вчера, 7 мая — был День Радио, и я рад поздравить всех, кто имеет отношение к радиотехнике! Думаю на Хабрахабре таких не мало :)

Скажем спасибо Попову Александру Степановичу за изобретение радио!

Чтобы пост не был только поздравительным, я хочу немного рассказать о том, как празднуется данный праздник в городе Томске, а конкретнее — в моем ВУЗе (ТУСУР), а так же подробно остановится на одном мероприятий, имеющее технический интерес.

С данной темой доклада я выступал на CodeFest. А здесь я перескажу словами, что, как и зачем.


Доклад довольно поверхностный и не требует практически никакой квалификации в области ИБ. Был рассчитан на целевую аудиторию (веб-разработчики, тестировщики (не на проникновение), сисадмины и т.д.). Все довольно просто: несколько утилит, запустили, подождали, разбираем отчет.

Видеоприглашение на конференцию:

Как-то забрел к shinnai, зашел в раздел tools и нашел много полезного для исследования ПО и написания шеллкодов (софт доступен по хотлинкам).
Список утилит, их описание, статьи по использованию под катом.

Возможно, слегка громкое название статьи, но вопрос поднят именно этот.

Момент первый

Если следовать всем правилам, т.е. использовать внутренние механизмы Zend, подготавливать параметры в методах — то на данный момент нет информации о возможности проведения sql-инъекции. Речь идет о подобных конструкциях:

$select->order($value);

Которые так или иначе встречаются на практике.

Момент второй

В чем же соль? В том, что даже при поступлении параметров в подобные методы без какой-либо подготовки внутренние механизмы все же их подготавливают. Только не все (а некоторые частично) — об этом и речь.

Как-то давно я уже писал об этом, но немного скудно и сумбурно. После я решил расширить список инструментов в обзоре, добавить статье структуры, учесть критику (большое спасибо Lefty за советы) и отправил ее на конкурс на СекЛаб (и опубликовал ссылку, но по всем понятным причинам ее никто не увидел). Конкурс закончен, результаты объявили и я с чистой совестью могу ее (статью) опубликовать на Хабре.

Бесплатные инструменты пентестера веб-приложений

В данной статье я расскажу о наиболее популярных инструментах для пентестинга (тестов на проникновение) веб-приложений по стратегии «черного ящика».
Для этого мы рассмотрим утилиты, которые помогут в данном виде тестирования. Рассмотрим следующие категории продуктов:

1. Сетевые сканеры
2. Сканеры брешей в веб-скриптах
3. Эксплойтинг
4. Автомазация инъекций
5. Дебаггеры (снифферы, локальные прокси и т.п.)

Этот пост призван собрать все материалы (приоритетно презентации) конференции «ZeroNights» проходившей 25 ноября в г. Санкт-Петербурге, до их «официальной» публикации на сайте конференции (кому невтерпёж, а может и поможет организаторам). Полезно тем, кто не был, и тем, кто хочет еще раз пересмотреть/перечитать материалы.

— все презентации в upd 2 ---

Несколько недель назад я писал о бесплатных занятиях по информационной (без)опасности в Томске.
Новость получила довольно широкое распространение, занятия идут, а этот пост — небольшой рассказ, что же проходит на занятиях, как можно «приобщиться» к нам и получать знания, не пребывая в Томске.
У кого нет хабра-аккаунта может прочитать тут

Частично вдохновленный этим постом задумался, почему бы не сделать что-то похожее у себя в городе, добавив немного субкультуры и лайв-демонстраций различных атак.

Итого было решено поделиться знаниями, организовав бесплатные занятия по InfoSec для всех желающих. Под катом программа занятий и подробности.
Для тех, кто не из Томска — можете просто прокомментировать выбранные темы и возможно предложить свои.

Эта статья — продолжение цикла статей по информационной безопасности в веб-приложениях (и не только).

Вообще думал написать о «белом ящике», но я решил что нужно сначала ликвидировать возможные пробелы у целевой аудитории (в основном веб-разработчики) в этой области.

Может многие и все знают, о чем я пишу в статье, но я попытаюсь разбавлять ее практическими примерами и занятным опытом.

Планирую, что это статья — предпоследняя. После данный цикл будет повторен, только в более сложном варианте, с бОльшим углублением в данную тему. Надеюсь меня хватит на это, и вообще, что есть смысл об этом писать.

Как обычно — ответственность за все полученные знания только на читателе :)

В данной статье я предложу вам технику аудита «черного ящика», которую можно освоить не обладая особыми знаниями и применить ее относительно своих ресурсов.

Естественно, статью можно перевести и в технику взлома ресурсов. Но чтобы знать, как защищать — надо знать, как взламывать. Ответственность за приобретенные знания вы берете на себя ;)

И если вы, как разработчик, будете знать хотя бы некоторые принципы и техники, что используют хакеры — думаю вам станет чуть спокойнее за них (ресурсы) и результат вашей деятельности приобретет более высокий уровень

В статье отображен аудит базового уровня, сохраняем низкий порог для чтения и понимания.

Вопрос безопасности всегда будет актуальным, особенно в Сети. По этому, чтобы в один прекрасный день не получить на своем ресурсе такую картинку нужно уметь проверять на предмет уязвимостей себя самого.

Под катом — краткий обзор и типовые примеры использования бесплатных утилит, которые помогут (а точнее уже во всю помогают) хакерам, администраторам, разработчикам, тестировщикам проверить свои ресурсы конкурентов в автоматизированном режиме.

У статьи довольно низкий порог вхождения для понимания и использования, по этому, надеюсь, придется по душе многим. Раскрывается лишь базовый функционал программ.

Предыстория (можно пропустить)

Ситуация: есть большая локальная сеть с малодоступной «внешкой» и свободная более-менее производительная машина с безлимитным внешним интернетом.
И есть общее желание у студентов: смотреть футбол по интернету, ввиду недоступности телевизора в общежитиях.
После долгих проб и ошибок с ретрансляцией ТВ со «внешки» (обрывы связи под вечер, любой лаг источника видео — обрывы и «кубики» у всех внутри локальной сети) были поиски альтернативных источников канала со спортом. Спутниковую антенну возможности поставить нет. И в итоге был найден сайт — tvali.ge, который работает по схеме:
Захватил видео с канала (5 минут) -> сохранил -> отдал пользователю во флеш-плеер. Все с задержкой от оригинального потока в 10 минут


Под катом детальная схема работы сервиса и решение, как же «перетащить» канал к себе.