Как стать автором
Обновить
0
0

Пользователь

Отправить сообщение

Методы обхода защитных средств веб-приложений при эксплуатации XSS-векторов

Время на прочтение 8 мин
Количество просмотров 38K
image

 
Несмотря на большое количество рекомендаций по защите веб-приложения от клиент-сайд атак, таких как XSS (cross site scripting) многие разработчики ими пренебрегают, либо выполняют эти требования не полностью. В статье будут рассмотрены способы обхода средств фильтрации и при эксплуатации xss-векторов.

Читать дальше →
Всего голосов 36: ↑35 и ↓1 +34
Комментарии 12

Деловая переписка на английском языке: фразы и советы

Время на прочтение 18 мин
Количество просмотров 597K
Елена Соловьева, менеджер проектов в компании Лаборатория Касперского, специально для блога Нетологии поделилась советами о том, как вести деловую переписку с иностранными коллегами и партнерами на английском языке. Статья участвует в конкурсе.

Электронные сообщения дают возможность быстро обмениваться информацией на больших расстояниях. По скорости передачи идеи это приравнивает их к телефонному разговору. Однако электронные письма сохраняются на почтовых серверах и используются как печатное свидетельство наших слов. Поэтому электронная переписка требует ответственного отношения.

Задача становится сложнее, если вы общаетесь на неродном английском языке с представителями других культур. В статье я поделюсь, на что в этом случае обратить внимание, как избежать ошибок и достичь взаимопонимания с иностранными коллегами и партнерами.
Читать дальше →
Всего голосов 104: ↑100 и ↓4 +96
Комментарии 80

WAF глазами хакеров

Время на прочтение 23 мин
Количество просмотров 38K
Привет, Хабр! Сегодня мы поговорим об одном из современных механизмов защиты веб-приложений, а именно о WAF, Web Application Firewall. Мы расскажем, на чем основываются и как работают современные WAF, какие существуют способы обхода и bypass-техники, как их применять, а также почему ни в коем случае не стоит всецело полагаться на WAF. Мы представим свой взгляд пентестеров, которые никогда не принимали участие в разработке WAF и которые собирали информацию из открытых источников и на основе своего опыта, поэтому о некоторых тонкостях работы WAF мы можем даже и не подозревать.
Читать дальше →
Всего голосов 42: ↑34 и ↓8 +26
Комментарии 3

Взлом Wi-Fi

Время на прочтение 7 мин
Количество просмотров 329K

Взлом маршрутизаторов WPA/WPA2 Wi-Fi с помощью Airodump-ng и Aircrack-ng/Hashcat


Это краткое пошаговое руководство, которое демонстрирует способ взлома сетей Wi-Fi, защищённых слабыми паролями. Оно не исчерпывающее, но этой информации должно хватить, чтобы вы протестировали свою собственную сетевую безопасность или взломали кого-нибудь поблизости. Изложенная ниже атака полностью пассивна (только прослушивание, ничего не транслируется с вашего компьютера) и о ней невозможно узнать, если вы только реально не воспользуетесь паролем, который взломали. Необязательную активную атаку с деаутентификацией можно применить для ускорения разведывательного процесса. Она описана в конце статьи.
Читать дальше →
Всего голосов 77: ↑64 и ↓13 +51
Комментарии 51

300 потрясающих бесплатных сервисов

Время на прочтение 11 мин
Количество просмотров 1.6M


Автор оригинальной статьи Ali Mese добавил ещё 100 новых бесплатных сервисов. Все 400 потрясающих сервисов доступны здесь. И еще подборку +500 инструментов от 10 марта 2017 г. смотрите здесь.



A. Бесплатные Веб-Сайты + Логотипы + Хостинг + Выставление Счета

  • HTML5 UP: Адаптивные шаблоны HTML5 и CSS3.
  • Bootswatch: Бесплатные темы для Bootstrap.
  • Templated: Коллекция 845 бесплатных шаблонов CSS и HTML5.
  • Wordpress.org | Wordpress.com: Бесплатное создание веб-сайта.
  • Strikingly.com Domain: Конструктор веб-сайтов.
  • Logaster: Онлайн генератор логотипов и элементов фирменного стиля (new).
  • Withoomph: Мгновенное создание логотипов (англ.).
  • Hipster Logo Generator: Генератор хипстерских логотипов.
  • Squarespace Free Logo: Можно скачать бесплатную версию в маленьком разрешении.
  • Invoice to me: Бесплатный генератор счета.
  • Free Invoice Generator: Альтернативный бесплатный генератор счета.
  • Slimvoice: Невероятно простой счет.

Читать дальше →
Всего голосов 341: ↑325 и ↓16 +309
Комментарии 107

Будущее веб-технологий: создаём интеллектуального чат-бота, который может слышать и говорить

Время на прочтение 10 мин
Количество просмотров 19K
Голосовые интерфейсы в наши дни вездесущи. Во-первых — всё больше пользователей мобильных телефонов используют голосовых помощников, таких как Siri и Cortana. Во-вторых — устройства, вроде Amazon Echo и Google Home, становятся привычным элементом интерьера. Эти системы построены на базе программного обеспечения для распознавания речи, которое позволяет пользователям общаться с машинами с помощью голосовых команд. Теперь же эстафета, в обличье Web Speech API, переходит к браузерам.

image
Читать дальше →
Всего голосов 25: ↑23 и ↓2 +21
Комментарии 3

Полный кошмар: USB-C и Thunderbolt 3

Время на прочтение 7 мин
Количество просмотров 369K
Купили ли вы уже себе новый MacBook или MacBook Pro? А может, Google Pixel? Вы находитесь на пороге путаницы, благодаря этим новым портам «USB-C». Этот простецкий на вид порт таит в себе вселенскую путаницу, и благословенная обратная совместимость использует различные кабели для различных задач. Покупателям придётся очень аккуратно выбирать себе кабель!



USB Type-C: порты и протоколы


Порты USB Type-C распространились достаточно широко, Google начал использовать их на своих компьютерах и телефонах Pixel и Nexus, Apple применяет их на 12" MacBook, а теперь ещё и на новых MacBook Pro. Это физическая спецификация для 24-контактного двустороннего штекера и соответствующих кабелей. В этой статье я буду называть этот физический кабель и порт «USB-C», как наиболее часто используемый термин. Google сообщает, что этот порт называют «USB-C» 21 миллион раз, «USB C» 12 миллионов раз, а правильно, «USB Type-C», всего 8,5 миллионов раз.
Читать дальше →
Всего голосов 71: ↑69 и ↓2 +67
Комментарии 163

[ZeroNights2016] [CTFzone] Без 100 грамм не разберёшься

Время на прочтение 7 мин
Количество просмотров 8.7K


Продолжаем цикл статей, посвященный райтапу по CTFzone, который проходил 17 и 18 ноября в рамках ZeroNights2016 под флагом Bi.Zone. В этот раз мы поговорим о заданиях, выполнение которых приносило по 100 очков в пользу реальных хакеров!
Продолжение внутри
Всего голосов 17: ↑15 и ↓2 +13
Комментарии 6

Кирилл «isox» Ермаков, главный безопасник QIWI, рассказывает о своей работе, о блеке, об анонимности и о взрослой ИБ

Время на прочтение 13 мин
Количество просмотров 62K



Есть мнение, что банковские CISO — скучные ребята. Совершенно не умеют работать руками, бесконечно совещаются и вообще занимаются всякой ерундой. Героя сегодняшней истории, isox’а, скучным назвать точно нельзя. Кому-то он известен как топовый багхантер Яндекса, кому-то как создатель открытой базы уязвимостей Vulners, а кому-то — просто как крутейший спец по корпсеку. Isox предельно честно рассказал о своей работе, о блеке, об анонимности и о взрослой ИБ в целом. Итак, знакомься — Кирилл «isox» Ермаков, главный безопасник QIWI!

Читать далее
Всего голосов 75: ↑65 и ↓10 +55
Комментарии 55

Пентест-лаборатория Pentestit — полное прохождение

Время на прочтение 17 мин
Количество просмотров 77K


Компания Pentestit 20-го мая запустила новую, уже девятую лабораторию для проверки навыков практического тестирования на проникновение.

Лаборатория представляет собой корпоративную сеть, очень похожую на сеть настоящей организации. Благодаря лабораториям Pentestit можно всегда быть в курсе последних уязвимостей и попробовать себя в качестве настоящего пентестера, параллельно обучаясь у профессионалов — тех, кто каждый день занимается тестированием на проникновение в реальных сетях.

К 1-му июня лаборатория была пройдена — все 13 машин и 14 токенов были взяты. Теперь подошло время описать процесс прохождения лаборатории в полном объеме для всех, кто еще не успел пройти лабораторию, кто хотел бы узнать больше об актуальных уязвимостях, или глубже окунуться в мир тестирования на проникновение.

Сразу хочу отметить, что процесс прохождения лаборатории получился довольно трудоемким, а его описание — длинным, но, надеюсь, интересным. Начнем!
Читать дальше →
Всего голосов 35: ↑35 и ↓0 +35
Комментарии 26

SЯP wrong эncяyptioи или как скомпрометировать всех пользователей в SAP JAVA

Время на прочтение 8 мин
Количество просмотров 11K

Всем привет, меня зовут Ваагн Варданян (тут нет опечатки, как многие думают :) ), работаю я в DSec исследователем безопасности SAP-систем, и в этой небольшой статье расскажу о связке уязвимостей в SAP, использование которых может привести к компрометации системы и как результат – доступу к критичной бизнес информации.


С каждой новой версией SAP NW, приложения становятся все более защищёнными, и уязвимости не дают скомпрометировать систему полностью. Но бывают ситуации, когда несколько проблем безопасности, используемых вместе, все же позволяют атакующим добиться своих целей. Сегодня мы расскажем о том, как скомпрометировать SAP NW с помощью связки уязвимостей.


В статье сначала мы поговорим о возможности получения информации из системы, об эксплуатации уязвимости, основанной на утечке информации, далее — об эскалации привилегий. Все уязвимости были найдены в последних (на момент исследования) версиях SAP (SAP NW AS JAVA 7.4). Ну что ж, понеслось.



Читать дальше →
Всего голосов 35: ↑35 и ↓0 +35
Комментарии 4

Почему некоторым людям везёт намного больше, чем другим?

Время на прочтение 7 мин
Количество просмотров 28K
image

Известный киноактёр и телеведущий Джеймс Скотт Бамгарнер, более известный под псевдонимом Джеймс Гарнер, недавно ушёл из жизни в возрасте 86 лет. Многие люди считают, что он был великим человеком, и любят рассказывать истории про его жизнь. Как парень, не имеющий никакого актерского опыта и не любящий выступать перед публикой, смог заставить влиятельного голливудского агента заняться его карьерой? Повезло?
Читать дальше →
Всего голосов 17: ↑14 и ↓3 +11
Комментарии 9

Must-read книги за 2014 год по ИБ и программированию

Время на прочтение 7 мин
Количество просмотров 110K
Пока вся страна готовится к новому экономическому кризису, судорожно скупая всевозможные товары, продукты и недвижимость, мы предлагаем всем заняться саморазвитием, вложиться в себя. Ведь гречка с макаронами скоро будут съедены, но зато на новые харчи можно будет заработать, вложив время в самообразование. Сами понимаете, в непростые времена выгодно быть универсальным, неприхотливым и не болеющим. О последних двух качествах, возможно, поговорим отдельно, а сейчас обсудим ассортимент наиболее интересной литературы по информационной безопасности и программированию, опубликованной в 2014 году.

Безопасность


Тактика хакера: практическое руководство по тестированию на проникновение (The Hacker Playbook: Practical Guide To Penetration Testing)




Книга написана в стиле планирования футбольной игры. Здесь подробно и пошагово разобраны проблемы и трудности, с которыми сталкиваются специалисты по безопасности, тестируя системы защиты. В частности, рассматриваются атаки на различные типы сетей, обход антивирусов и взлом систем безопасности. Автор книги — Питер Ким, специалист по IT-безопасности с многолетним опытом, CEO компании Secure Planet.
Читать дальше →
Всего голосов 79: ↑60 и ↓19 +41
Комментарии 17

Почему цены на авиабилеты никогда не станут логичными для путешественников

Время на прочтение 5 мин
Количество просмотров 27K

Мы публикуем вольный перевод статьи Mashable. Оригинал здесь

Ответьте без раздумий: сколько стоит билет из Москвы в Сочи?

Любой, кому приходилось покупать авиабилеты, знает, что ответ на этот вроде бы простой вопрос требует много уточнений. Когда вы летите? В какое время? Только туда или обратно тоже? Пересадка возможна? Аэропорт нужен какой-то конкретный? Готовы ли вы прилететь в другой город неподалеку? Багаж будет? И так далее, и тому подобное.

«Я всегда воспринимала как данность, что понятие цены на авиабилет не имеет смысла, — рассказывает фотограф и блогер Фрейя Доусон. — Вам просто предлагают согласиться с тем, что есть. Сегодня я собиралась забронировать билет в Сенегал, и поискала на Skyscanner. Получилось £700 за 24-часовой перелет. Потом я проверила на Momondo, и там оказалось £450 и восемь часов».
Читать дальше →
Всего голосов 11: ↑11 и ↓0 +11
Комментарии 12

Как устроены дыры в безопасности: переполнение буфера

Время на прочтение 29 мин
Количество просмотров 129K
Прим. переводчика: Это перевод статьи Питера Брайта (Peter Bright) «How security flaws work: The buffer overflow» о том, как работает переполнение буфера и как развивались уязвимости и методы защиты.

Беря своё начало с Червя Морриса (Morris Worm) 1988 года, эта проблема поразила всех, и Linux, и Windows.



Переполнение буфера (buffer overflow) давно известно в области компьютерной безопасности. Даже первый само-распространяющийся Интернет-червь — Червь Морриса 1988 года — использовал переполнение буфера в Unix-демоне finger для распространения между машинами. Двадцать семь лет спустя, переполнение буфера остаётся источником проблем. Разработчики Windows изменили свой подход к безопасности после двух основанных на переполнении буфера эксплойтов в начале двухтысячных. А обнаруженное в мае сего года переполнение буфера в Linux драйвере (потенциально) подставляет под удар миллионы домашних и SMB маршрутизаторов.

По своей сути, переполнение буфера является невероятно простым багом, происходящим из распространённой практики. Компьютерные программы часто работают с блоками данных, читаемых с диска, из сети, или даже с клавиатуры. Для размещения этих данных, программы выделяют блоки памяти конечного размера — буферы. Переполнение буфера происходит, когда происходит запись или чтение объёма данных большего, чем вмещает буфер.

На поверхности, это выглядит как весьма глупая ошибка. В конце концов, программа знает размер буфера, а значит, должно быть несложно удостоверится, что программа никогда не попытается положить в буфер больше, чем известный размер. И вы были бы правы, рассуждая таким образом. Однако переполнения буфера продолжают происходить, а результаты часто представляют собой катастрофу для безопасности.
Читать дальше →
Всего голосов 48: ↑47 и ↓1 +46
Комментарии 29

Бунт против виртуальной машины

Время на прочтение 25 мин
Количество просмотров 20K
Предлагаю вашему вниманию перевод статьи Rage Against the Virtual Machine.

Антивирусные компании, магазины мобильных приложений и исследователи безопасности используют техники, основанные на динамическом анализе кода, для обнаружения и анализа мобильных вредоносных приложений. В этот статье, представлен широкий диапазон техник противодействия анализу, которые могут быть использованы вредоносными приложения для обхода динамического анализа в эмулируемые средах платформы Android.

Эвристики обнаружения, представленные в этой статье, охватывают три различные категории, основанные на (i) статических свойствах, (ii) динамической информации от датчиков и (iii) тонкостях работы эмулятора Android на виртуальных машинах. Для оценки эффективности представленных методов они были включены в образцы реальных вредоносных приложений и отправлены в публично доступные системы динамического анализа, после чего были получены тревожные результаты. Было обнаружено, что все инструменты и сервисы уязвимы для большинства наших техник уклонения от анализа. Даже тривиальные техники, такие как проверка значения IMEI, достаточны для обхода некоторых существующих сред динамического анализа. Также предложены возможные контрмеры для улучшения устойчивости текущих инструментов динамического анализа против попыток уклонения от анализа.
Читать дальше →
Всего голосов 19: ↑16 и ↓3 +13
Комментарии 18

SAP Afaria. Маленькая SMS для взлома большой компании

Время на прочтение 7 мин
Количество просмотров 27K
Меня зовут Дмитрий Частухин, и я уже долгое время занимаюсь информационной безопасностью различных софтверных решений для Enterprise. В основном, это, конечно, разнообразные продукты компании SAP (можно почитать предыдущие мои посты на эту тему тут, тут или тут).

Сегодня же мы с вами заглянем под «капот» SAP Afaria – MDM-решения от известного немецкого софтверного гиганта. Устраивайтесь поудобнее и откидывайтесь на спинку кресла (пожалуйста, будьте аккуратнее, если вы сидите на стуле).


Читать дальше →
Всего голосов 32: ↑28 и ↓4 +24
Комментарии 10

Коммерческий VPN сервис в opensource

Время на прочтение 1 мин
Количество просмотров 41K
Всем доброго времени суток!

Позвольте представиться.
Я CEO/CTO/CIO/итд VPN сервиса SmartVPN.biz.
Можно называть меня Виктор Иванов, так как таков был мой псевдоним в службе поддержки клиентов SmartVPN.biz.

Пару лет назад я решил создать свой первый стартап — VPN сервис.
Идея нагрянула после того как около 5 друзей попросили у меня VPN на моем личном сервачке.
Естественно, никакого анализа рынка, конкурентов и написания бизнес плана не было. Я просто сел и начал кодить.
Спустя какое-то время проектом стало можно пользоваться — и он увидел свет.
Читать дальше →
Всего голосов 83: ↑70 и ↓13 +57
Комментарии 34

Trust Hacking: 6 способов сразу вызвать доверие и продать больше

Время на прочтение 12 мин
Количество просмотров 32K
Хотите, чтобы у вас покупали больше и чаще? Мы в Alconost перевели чудесный материал о том, как быстро завоевать доверие клиента. Все, что вам для этого понадобится — качественный продукт. Читайте, применяйте, продавайте!



Мы приобретаем товары только у людей и компаний, которым доверяем. В современном перенасыщенном маркетингом мире люди испытывают тревогу и почти животный страх перед продажами. Добейтесь доверия, и вы сможете продавать пресловутый снег эскимосам. Потеряйте доверие — и даже жаждущий в пустыне не купит у вас воду.

Однако мы часто недооцениваем стоящую перед нами задачу. Абсолютно все потребители сталкивались с пустыми обещаниями и некачественной продукцией. Из-за столь негативного прошлого опыта завоевать их доверие непросто.

Но мы можем сократить путь к доверию и увеличить продажи с помощью поведенческой психологии, в которой существуют принципы когнитивных искажений и эвристик (эвристика — это упрощенный способ мышления, простой способ сделать вывод, не прибегая к математическим расчетам или к научному мышлению — прим.пер.). Эти принципы относятся к ментальным моделям (порой иррациональным и несовершенным), которые используются для экономии времени или энергии при принятии решений. Хотя есть более 100 когнитивных искажений и эвристик, я хотел бы сосредоточиться только на тех, которые позволяют добиться мгновенного доверия в глазах потребителя.

Это — игра на доверии.

Но сначала предупреждение: я никоим образом не поощряю использование технологий убеждения с единственной целью получить от людей деньги. Для начала вам необходимо обзавестись хорошим продуктом, который действительно поможет потребителям. А техники убеждения помогут товару попасть в правильные руки. Если это не про вас, то немедленно прекратите читать.

Приступим.
Читать дальше →
Всего голосов 12: ↑12 и ↓0 +12
Комментарии 4

jQuery для начинающих. Часть 4. Селекторы

Время на прочтение 11 мин
Количество просмотров 215K


Последнее время мне всё чаще задают вопрос как выбрать тот или иной элемент в DOM'е, и данный пост будет сплошь посвящен селекторам в jQuery, возможно большинство из них Вы видели в различных источниках, но собрать их воедино все же стоит…
Читать дальше →
Всего голосов 83: ↑79 и ↓4 +75
Комментарии 30

Информация

В рейтинге
Не участвует
Зарегистрирован
Активность