Как-то давно я уже писал об этом, но немного скудно и сумбурно. После я решил расширить список инструментов в обзоре, добавить статье структуры, учесть критику (большое спасибо Lefty за советы) и отправил ее на конкурс на СекЛаб (и опубликовал ссылку, но по всем понятным причинам ее никто не увидел). Конкурс закончен, результаты объявили и я с чистой совестью могу ее (статью) опубликовать на Хабре.

Бесплатные инструменты пентестера веб-приложений

В данной статье я расскажу о наиболее популярных инструментах для пентестинга (тестов на проникновение) веб-приложений по стратегии «черного ящика».
Для этого мы рассмотрим утилиты, которые помогут в данном виде тестирования. Рассмотрим следующие категории продуктов:

1. Сетевые сканеры
2. Сканеры брешей в веб-скриптах
3. Эксплойтинг
4. Автомазация инъекций
5. Дебаггеры (снифферы, локальные прокси и т.п.)

Завтра будет «праздник плюшевых мишек и конфет», а сегодня — один из настоящих «мужских» праздников — Всемирный день радио. Отмечать его стали совсем недавно, в 2011-м, а выбрали для этого 13 февраля, поскольку в этот день в 1946-м было создано Радио ООН. И поэтому сегодня мы хотим вспомнить об интересном техническом хобби — любительской радиосвязи.

Введение

Занимаюсь автоматизацией бухгалтерского учета 17 лет. После универа поработал как программист бухгалтерской программы. Выяснилось, что есть спрос на программистов этой программы. Поменял одну работу, вторую. Начал брать заказы на стороне. Выяснилось (или показалось), что выполнять заказы выгоднее, чем получать зарплату. Стал частным предпринимателем. Выяснилось (или опять показалось), что продавать программу выгоднее, чем программировать. Стал дилером. Оказалось, что выгоднее всего – подписка на обновления и обслуживание. Возможно, еще выгоднее сделать веб-сервис для онлайн-бухгалтерии…

В ходе работы приходилось нанимать программистов и обучать основам бухгалтерского учета. Когда обучал программистов бухучету, мне нравилось за час рассказать им всю базовую теорию. Приятно срывать покровы сложности и таинственности. Оказывается, курсы бухгалтеров никому не нужны. Нет такой науки. Разве что набор терминов, в которых путаются сами бухгалтера…

Жители малайской деревни, натуральные носители нового языка, которому учёные присвоили название джедек (Jedek)

По состоянию на 2009 год учёным было известно 6909 языков на Земле. Казалось бы, список исчерпывающий, и ничего нового обнаружить уже не удастся. По крайней мере, среди живых языков, которыми по-прежнему кто-то пользуется. Но это не останавливает антропологов и лингвистов от продолжения поисков. И их усилия были вознаграждены. Исследователям из Лундского университета (Швеция) удалось найти совершенно новый язык в деревне в северной части Малайского полуострова (Малакки), в южной оконечности полуострова Индокитай. Полуостров политически разделён между Мьянмой, Таиландом и Малайзией, а эта конкретная деревня находится на территории Малайзии. На неизвестном науке языке говорит около 280 человек.

Человеческое тело физически не способно пробежать марафон (42 километра) меньше, чем за 1 час 58 минут. Это вычислил в 1991 году американский физик Майкл Джойнер. Он принял во внимание три фактора: максимальный объем кислорода, который способен потребить атлет, темпы распространения молочной кислоты по мышцам и максимальную эффективность бега. 1 час 58 минут – при всех идеальных условиях, и идеальном спортсмене, который не расходует энергию в своем теле ни на что, кроме бега.

В первом Олимпийском марафоне, в 1896-м, победитель, Спиридон Луис из Греции, пробежал дистанцию за 2 часа и 58 минут. Люди долго не могли поверить, что кто-то может сделать это быстрее, чем за два с половиной часа, пока в дело не вступили кенийские бегуны, славящиеся своей идеальной комплекцией для преодоления больших дистанций.

Самое быстрое время, за которое спортсмен когда-либо преодолевал марафон, сейчас составляет 2 часа, 2 минуты и 57 секунд.

Но в 2014 году группа энтузиастов, назвавшаяся Breaking2, решила побить этот рекорд. И пробить двухчасовую границу, которую большинство тренеров и атлетов считают физически невозможной.

Длительное нахождение в плохо освещённых помещениях меняет структуру мозга, снижает способность к обучению и ухудшает память. Нейрофизиологи Университета штата Мичиган выяснили это с помощью экспериментов над мышами: группа животных, которая в течение месяца получала мало света, потеряла 30% ёмкости гиппокампа, ответственного за переход кратковременной памяти в долговременную. Включите свет поярче.

Существует достаточно большое количество вариантов видеть ночью. Это или взять прибор ночного видения, или тепловизор, или ночной прицел с подсветкой, или, может быть, камеру с электронным умножением на EMCCD. К сожалению, не всегда все камеры и приборы оказываются под рукой одновременно, и их обычно не удаётся сравнить между собой.

К счастью, нам повезло, и у нас появилась такая возможность. Более того, повезло, что погода позволила воссоздать эталонные условия для проведения сравнительных испытаний. Луна отсутствовала, небо было чистое, и нужно было только выехать за город, подальше от искусственного освещения.

Итак, что же у нас было с собой:

1.1 ЭОП – электронно-оптический преобразователь третьего поколения. Лучший из всех приборов типа ЭОП, с которыми приходилось сталкиваться. Очень сложно создать условия, при которых он ничего не видит. Разрешение ЭОП 68лин/мм. Максимум спектральной чувствительности должен быть в районе 800нм. ЭОП состыкован с камерой VC249 на базе малошумящего сенсора. Разрешение камеры значительно выше разрешение ЭОП, поэтому камера не влияет на результат.

1.2 VS320 – камера ближнего ИК-диапазона (SWIR) с чувствительностью в диапазоне спектра от 0.9 до 1.8 мкм. Спектральная чувствительность практически плоская. Разрешение 320х256, размер фоточувствительного элемента 25х25мкм.

1.3 VC400 – «обычная» камера видимого диапазона на базе кремневой структуры. «Обычная» в кавычках, потому что это камера для проведения астронометрических наблюдений с обратной засветкой. Разрешение 2000х2000, размер фоточувствительного элемента более 10мкм. Максимум спектральной характеристики в районе 550нм.

Все камеры разработаны и произведены в России, но это не должно никого смущать, так как элементная база (за исключением ЭОП) вполне себе импортная.

Если поместить кусочек натрия в воду, можно вызвать бурную, часто взрывную реакцию

Иногда мы узнаём что-то в начале жизни и просто принимаем, как данность, что мир работает именно так. К примеру, если бросить кусочек чистого натрия в воду, можно получить легендарную взрывную реакцию. Как только кусочек намокнет, реакция заставляет его шипеть и разогреваться, он прыгает по поверхности воды и даже выдаёт язычки пламени. Это, конечно, просто химия. Но не происходит ли чего-то ещё на фундаментальном уровне? Именно это и хочет узнать наш читатель Семён Стопкин из России:

Какие силы управляют химическими реакциями, и что происходит на квантовом уровне? В частности, что происходит, когда вода взаимодействует с натрием?

Реакция натрия с водой — это классика, и у неё есть глубокое объяснение. Начнём с изучения прохождения реакции.

Чтобы описать суть проблемы, мне нужно рассказать, как вообще устроен HTML. Вы наверняка в общих чертах представляли себе, но я все равно коротко пробегусь по основным моментам, которые понадобятся для понимания. Если кому-то не терпится, сразу переходите к сути.

HTML — это язык гипертекстовой разметки. Чтобы говорить на этом языке, нужно соблюдать его формат, иначе тот, кто читает написанное, не сможет вас понять. Например, в HTML у тегов есть атрибуты:

<p name="value">

Тут [name] — это имя атрибута, а [value] — это его значение. В статье я буду использовать квадратные скобки вокруг кода, чтобы было понятно, где он начинается и заканчивается. После имени стои́т знак равенства, а после него — значение, заключенное в кавычки. Значение атрибута начинается сразу после первого символа кавычки и заканчивается сразу перед следующим символом кавычки, где бы он не находился. Это значит, что если вместо [value] вы запишете [OOO "Рога и копыта".], то значение атрибута name будет [OOO ], а еще у вашего элемента будет три других атрибута с именами: [рога], [и] и [копыта"."], но без значений.

<p name="OOO "Рога и копыта"."></p>

Если это не то, чего вы ожидали, вам нужно как-то изменить значение атрибута, чтобы в нем не встречалась кавычка. Самое простое, что можно придумать — просто вырезать кавычки.

<p name="OOO Рога и копыта."></p>

Помните угрозу анонима уничтожить Интернет? Где хакер грозился «положить» 13 корневых DNS серверов сети Интернет и сделать получение информации, посредством запроса с использованием доменного имени, невозможным? В результате чего любой, кто введёт «http://www.google.com» или какой-либо другой URL-адрес, получит страницу с ошибкой, что заставило бы большинство пользователей думать, что Интернет не работает.



В представлении современного человека, слабо связанного с IT, Интернет — это Wi-Fi, и мало кто задумывается, что большая часть сети Интернет расположена под водой и вообще о том, насколько огромное количество данных передаётся по этой подводной сети магистральных каналов, которая хоть и избыточна, но довольно-таки уязвима и может быть в один прекрасный момент уничтожена физически. Для лучшего понимания проблемы рекомендую к прочтению статью: Сообщения в глубине: удивительная история подводного Интернета. В этой же статье мы рассмотрим вероятные точки отказа, несмотря на то, что Интернет-сеть децентрализована и принято считать, что отключить её полностью невозможно и предположим ситуацию, при которой сеть перестанет функционировать полностью.

Добровольцы из числа инженеров и архитекторов хотят решить самую нерешаемую проблему Эвереста: убрать свалку человеческих отходов

Подняться на Эверест становится всё проще. Лучшее оборудование, инфраструктура, помощь неутомимых гидов заполнило гору отважными туристами. В 2016 году там прошло более 36000 человек, что на 34% больше, чем приезжало в 2015-м.

Повышение интереса к горе Эверест прибыльно для Непала. Каждый из альпинистов тратит от $30 000 до $100 000 на это предприятие, в зависимости от выбора лицензий и сопровождающих. Но больше людей — это значит, больше отходов, включая и отходы жизнедеятельности человека. Да, да — какахи. Много каках.

Каждый год выходит какой-нибудь телефон, в котором обязательно стоит супер-новая камера, которая должна быть на порядок лучше предшественников и еще чуть-чуть и никто уже не будет покупать фотоаппараты, потому что камеры в телефоне будет достаточно всем. Или по-крайней мере непрофессионалам (тем, кто на фотографии деньги не зарабатывает). И каждый раз после покупки телефона я искренне надеюсь, что теперь то у меня вегда с собой отличная камера, буду ловить интересные моменты и красивые пейзажи. Зеркалку-то с объективами только по особым случаям можно взять. Но каждый раз что-то идет не так.

Это четвёртая из пяти частей туториала, посвящённого созданию игр с помощью Python 3 и Pygame. В третьей части мы углубились в сердце Breakout и узнали, как обрабатывать события, познакомились с основным классом Breakout и увидели, как перемещать разные игровые объекты.

(Остальные части туториала: первая, вторая, третья, пятая.)

В этой части мы узнаем, как распознавать коллизии и что случается, когда мяч ударяется об разные объекты: ракетку, кирпичи, стены, потолок и пол. Наконец, мы рассмотрим важную тему пользовательского интерфейса и в частности то, как создать меню из собственных кнопок.

Извержение вулкана Пинатубо на Филипиннах в 1991 году привело к выбросу 10 кубических километров горных пород. В результате наша планета была временно охлаждена. Учёные, столкнувшиеся с проблемой климатических изменений, думают о возможности повторить естественные процессы и применить метод солнечного геоинжениринга.

Согласно статье в Nature Ecology & Evolution, солнечный геоинжениринг является быстрым способом борьбы с глобальным потеплением. Проблема в том, что после старта проекта одной или несколькими странами он должен быть доведён до конца: нехватка финансирования, межгосударственные конфликты или иные причины остановки проекта поставят под угрозу исчезновения много видов живых существ.


Вулкан Пинатубо, одно из первых в 1991 году извержений

Здравствуй, читатель! Пару лет назад в статье про vfork() я обещал рассказать про реализацию fork() для систем без MMU, но руки до этого дошли только сейчас :)

В этой статье я расскажу, как мы реализовали такой странный fork(). Проверять работоспособность буду на сторонней программе — dash — интерпретаторе, который использует fork() для запуска приложений.

Кому интересно, прошу под кат.

Итак, пожалуй самым легендарным и самым противоречивым продуктом советской HI-FI индустрии является акустическая система 35АС-1 (боле известная широким массам как S-90). Это была первая советская АС, которая достигла планки HI-FI и стала своеобразным символом качественной советской аудиотехники. Более того — это был первый в СССР серийный аудиокомпонент, соответствующий стандарту DIN 45500, следующим стал усилитель «Бриг».



Интересно ещё и то, что создателем этой “культовой” системы стал настоящий патриарх советской и латвийской акустики Роланд Керно, который ещё в годы войны получил ценный опыт на предприятиях фирмы Telefunken.

Помимо прочего история создания S-90 связана с современными мифами, которые распространяет один из якобы бывших сотрудников завода ”Radiotehnika”. На этом мифе я остановлюсь отдельно, так как стараниями этого человека пол рунета принимает его за создателя.

В погоне за экологичностью материалов и снижением их стоимости автопроизводители используют сою, солому, жмых, получаемый при добыче пальмового масла и другие «вкусные» для крыс и мышей компоненты, из-за чего грызуны заводятся в автомобиле и живут под капотом и в салоне. В США уже были поданы иски против Kia, Toyota, Honda и Hyundai. Началось всё в 1990-х с Mercedes-Benz с биоразлагаемой изоляцией проводов.

Теорема о четырёх красках — это математическая формулировка, связанная с картами. Все примеры карт, которые я нашёл в Интернете, были слишком сложными для введения, поэтому я набросал собственный неказистый рисунок:


Если посмотреть под другим углом, то можно воспринимать её как граф — достаточно ужать все области до кругов и соединить круги, соответствующие соседним областям карты:


Теорема о четырёх цветах утверждает, что для разметки любого рисунка, похожего на мой, (или соответствующего ему графа) достаточно четырёх цветов, чтобы никакие соседние области не имели одинаковой раскраски. Это значит, что если мы возьмём карту США или Европы, даже со всеми этими причудливыми границами, и присвоим каждому штату или стране свой цвет, то для разметки всей карты будет достаточно четырёх цветов.

Некоторым картам не нужны все четыре цвета, им достаточно всего двух или трёх. Карта, которую можно раскрасить одним цветом, будет не очень интересной, так что её мы пропустим.

Первое, что поразило меня, как разработчика ПО: четыре цвета — это совсем мало. Кажется поразительным, что любой граф можно раскрасить всего четырьмя цветами; мне кажется, что если я нарисую графы некоторых из кодовых баз, с которыми я работал, где рёбрами будут соединены обменивающиеся данными объекты, то им запросто может потребоваться дюжина цветов.

Рад приветствовать вновь всех посетителей этого славного места в интернете, чтобы привнести еще один скромный вклад.

В этот раз, он касается уже довольно избитой темы, вокруг которой всегда ходят споры, а когда суть доходит до дела оказывается, что все её реализации либо заточены для конкретной задачи, конкретным человеком, в конкретных условиях, либо не работают совсем.

Речь пойдет о программной реализации UART, для микроконтроллеров AVR компании Atmel, интеллектуальной собственностью которой с некоторых пор владеет компания Microchip.

Всем привет.

С середины 2016 года мы проектируем и разрабатываем новое поколение платформы. Принципиальное отличие от первого поколения — поддержка API "тонкого" клиента. Если старая платформа предполагает, что на клиента при запуске загружается метаинформация о всем контенте, который доступен для абонента, то новая платформа должна отдавать срезы данных отфильтрованные и отсортированы для отображения на каждом экране/странице.

Высокоуровневая архитектура на уровне хранения данных внутри системы — постоянное хранение всех данных в централизованном реляционном SQL хранилище. Выбор пал на Postgres, тут никаких откровений. В качестве основного языка для разработки — выбрал golang.

У системы порядка 10м пользователей. Мы посчитали, что с учетом профиля теле-смотрения, 10М пользователей может дать сотни тысяч RPS на всю систему.

Это означает, что запросы от клиентов и близко не стоит подпускать к реляционной SQL БД без кэширования, а между SQL БД и клиентами должен быть хороший кэш.

Посмотрели на существующие решения — погоняли прототипы. Данных, по современным меркам у нас немного, но параметры фильтрации (читай бизнес-логика) — сложные, и главное персонализированные — зависящие от сессии пользователя, т.е. использовать параметры запроса как ключ кэширования в K-V кэше будет очень накладно, тем более пейджинг и богатый набор сортировок никто не отменял. По сути, под каждый запрос от пользователя формируется полностью уникальный набор отфильтрованных записей.