• История маленького взлома, или адекватный багБаунти местного провайдера интернета

    Введение


    Доброго времени суток, друзья. Эта история небольшого взлома произошла со мной в середине августа этого 18-го года. Начиналась история в маленьком городе краснодарского края, с тырнетом плохо, есть 4g но это все не то, тут за городом можно было только мечтать о проводах. И вот недавно это чудо случилось, в мой район провели провода, и я сразу побежал подключать 100 мбит по оптоволокну, 8к за подключение с тарифом.

    Любопытство


    Радости полные штаны, тырнет хороший, провайдер небольшой местный, лк у него соответствует статусу местного провайдера, из любопытства ради я шарился по лк, смотрел какие поддомены есть, и нашел я поддомен admin.домен_провайдера.ru/ который сразу кидал на форму авторизации login.php, F12, открыл посмотрел что туда подгружалось, посмотрел js, там находились любопытные ссылки в ajax запросах "/?user_id=" + id, просто скопировав ссылку и вбив рандомное число, мне выкинули данные пользователя в таблице:

    Серия/номер паспорта
    Кем выдан
    Дата выдачи
    ФИО
    адресс проживания
    номер телефона
    Логин(от тырнета)
    Читать дальше →
  • О работе в Германии

      В этой статье я расскажу о том как собственно работается в Германии, какие коллеги попадаются, какие комбинации проворачивают немецкие корпорации, для грамотного распиливания бабла. Комбинаций, которым многим нашим чиновникам стоило бы поучиться.

      К сожалению я никогда не работал на маленьких фирмах, поэтому будем считать, что все это относится к большим компаниям. О себе могу сказать лишь то, что я работал уже на 6-ти различных AG и прошел в Германии абсолютно все стадии эволюции: полугодовая практика на Daimler, работа Werkstudent’ом(Студенческая работа программистом), Junior, Middle, Senior.

      Также, когда закончится вода, я расскажу о реальных зарплатах, ожиданиях, а также затрону тему мусора, которое льется из многих статей и видео, о работе программистом в германии. Большинство из того что вы можете увидеть и найти на youtube о работе разработчиком в Германии это рассказы людей, которые или пару лет находятся здесь, или вообще здесь никогда не были, или просто находятся в каком-то сказочном неадеквате.

      А начну я с коллег которые вам будут встречаться везде — легкие русофобы.
      Читать дальше →
    • Как стать лучшим в мире в какой-то нише

      • Перевод


      Комбинация хорошо развитых навыков сделает вас уникальным, даже если по каждому из них вы далеко не гений


      Давайте подумаем, что нужно, чтобы стать игроком НБА. Большинство профессиональных баскетболистов оттачивали мастерство практически с младенчества. Годы бесконечных тренировок, сборов и игр помогли им отработать различные важные в этом спорте навыки: броски, ведение мяча, пасы, защита и так далее.

      Как вы можете себе представить, вероятность стать игроком НБА очень низкая: всего есть 30 команд по 15 игроков в каждой, что дает в общей сложности около 450 человек — не так уж много, особенно если учесть, что в молодежный баскетбол играет более полумиллиона ребят. Несложные подсчеты показывают, что меньше чем один из тысячи становится профессионалом.


      Источник: Томас Пуэйо

      Так что давайте будем реалистами: вы не попадете в НБА, не станете ни президентом, ни величайшим писателем в мире, ни лучшим шахматистом, ни самым искусным оратором. Вы никогда не станете лучшим в мире в каком-либо конкретном навыке: всегда найдется кто-то, кто выкладывается больше, у кого лучше генетические данные, кому больше везет (или всё сразу).


      Большинство людей (в синей области) слабо владеют конкретным навыком. Если немного постараться, вы быстро попадете в 10% лучших (зеленая область). Но как только вы присоединились к этой элите, двигаться дальше становится всё сложнее, потому что ваши конкуренты всё чаще — люди, глубоко преданные этому делу.

      Пытаться стать лучшим в одном деле — не самый разумный путь к успеху. Лучше приложить усилия в освоении сочетания навыков. То есть, решением является комбинирование навыков — концепция, популяризируемая Скоттом Адамсом. Принцип ее работы следующий.

      Переведено в Alconost
      Читать дальше →
    • Как освоить иностранный язык без преподавателя. Часть 2. «Пошаговая стратегия»

        Languages are not taught, they are learnt!


        Это статья для тех, кто хочет свободно разговаривать на иностранном языке. Неважно, начинаете вы с нуля или уже учите язык годами, но до сих пор испытываете сложности с восприятием беглой речи на слух или стресс при необходимости поговорить с носителем языка, здесь вы найдёте пошаговую стратегию освоения разговорного языка.


        Примечание: Материалы статьи опираются на исследования Е.Д. Авериной, Д.Б. Никуличевой, Э.В. Гуннемарка и П.Нейшна, пропущенные через призму моего восприятия и опыт изучения 3 иностранных языков.

        Читать дальше →
      • Совмещаем изучение английского языка с досугом

          Многие люди предлагают различные методики, описывают мобильные приложения, рекомендуют курсы и многое другое, я же хочу рассказать свой личный опыт изучения английского языка на протяжении последних 4 лет.

          Как введение могу сказать что более 4 лет назад на самом рассвете моей карьеры в IT я собеседовался в одну всем известную и очень большую иностранную фирму. Как полагается в таком случае собеседование было на английском языке.

          Собственно после этого собеседования я принял для себя решение что английский язык для программиста это не просто язык чтения документации и его надо учить так же как и все IT дисциплины.

          Как я строил процесс обучения, как он продвигался и какие достигнуты результаты читаем под катом.

          Подробности
        • Взлом с помощью поиска, невнимательность и мой подельник GitHub

            image

            Вступление


            Одним прекрасным, светлым утром, будучи потрясенным от того, что температура за окном, как казалось, была градусов на 5 больше чем обычно, я почувствовал наплыв небывалой ранее освещенности и в мой мозг прокралась идея — «а ведь те, офферы и аккаунты, которые продаются на „черном рынке“ — они же ворованные всевозможными фишинг-сайтами и стилерами, а насколько я знаю стилеры — все логи должны храниться на каом-то хосте в сети интернет».
            Читать дальше →
          • Экзамен для будущих «русских хакеров» в Московском Политехе

              И снова здравствуйте. Обычно я пишу статьи в качестве разработчика, но сегодня хочется поделиться опытом проведения экзамена по информационной безопасности в Московском Политехе. По-моему получилось довольно интересно. Задание даже может быть полезным начинающим тестировщикам и пентестерам. Но вначале я немного расскажу про то, как проходили занятия в течении семестра — чтобы было понятно, как мы дошли до жизни такой.


              Читать дальше →
            • Разбор заданий конкурса «Конкурентная разведка» на PHDays V

                В этом году в «Конкурентную разведку» играли не только традиционные любители конкурса, но и команды CTF, поэтому по уровню сложности задания были подобраны для тех и для других. Кроме того, разрешена была командная игра. (Но один человек не мог играть и в индивидуальном зачете, и за команду CTF, поэтому нам пришлось по взаимному согласию дисквалифицировать участника, занявшего по очкам 1-е место — azrael).

                Под общей легендой государства United States of Soviet Unions были объединены все конкурсы, и в рамках «Конкурентной разведки» участникам пришлось искать информацию о служащих разных компаний, «прописанных» в USSU. Параллельно можно было отвечать на пять разных вопросов о пяти разных организациях; внутри одного блока вопросы открывались друг за другом, по мере получения ответов. (Одна команда нашла ответ методом перебора, но на следующий вопрос они так и не смогли ответить — у них не было на руках необходимых ресурсов.)
                Читать дальше →
                • +16
                • 15k
                • 1
              • Прохождение конкурса “Конкурентая разведка“ на PHDays III

                  В этом году при разработке легенды заданий для конкурса «Конкурентная разведка» мы сделали упор на применимость выискиваемой информации в реальных работах по пассивному анализу при подготовке к пентестам и в работах по оценке осведомленности, а также на использование различных поисковых механизмов и дедуктивных методов.

                  Как можно судить по одному из интересных райтапов об этом конкурсе — у нас это получилось, хотя бы отчасти.

                  К сожалению, в этом году участников было не так много, как в прошлом, и поскольку некоторые задания были гораздо сложнее, полностью их не выполнил никто. Победители остановились на отметке в 12 правильных ответов и награждать пришлось в зависимости от быстроты прохождения.

                  Итак, давайте взглянем на примерный алгоритм прохождения всех заданий конкурса и дадим наконец ответы на вопросы о непройденных заданиях, а также еще раз огласим уточненный список победителей.

                  Компанией, с которой предстояло работать конкурсантам, была Godzilla Nursery Laboratory — интернациональная корпорация, занимающаяся разведением и продажей домашних годзилл. Годзиллы были выбраны не случайно – именно они «охраняли» железную дорогу из конкурса «Choo-choo PWN».



                  Google подсказывал участникам сразу, что рабочий сайт этой компании с симпатичным логотипом — www.godzillanurserylab.com, а многие из ее сотрудников представлены в социальной сети LinkedIn. Ну, поехали!
                  Читать дальше →
                • PHDays IV: Открыта регистрация на онлайн-конкурсы «Конкурентная разведка» и Hash Runner

                    Конкурентная разведка


                    Со времени проведения последнего конкурса «Конкурентная разведка» многое поменялось в информационном пространстве. Сноуден разоблачил АНБ, и оказалось, что следят за гражданами в интернете не только любопытные домохозяйки, но и профессионалы в дорогих костюмах не без помощи математиков из Массачусетса. Безопасность различных криптографических протоколов, как проприетарных, так и свободных, оказалась совсем не такой высокой, как хотелось бы. Математические алгоритмы для работы с большими данными в облачных решениях позволяют отследить взаимосвязи транзакций казалось бы надежных и анонимных Bitcoin-переводов…

                    Три победителя — те, кто справится с заданиями лучше и быстрее всех, — получат приглашения на PHDays IV, где мы вручим им ценные призы. Приз за первое место — iPad. Сам конкурс будет проходить за неделю до форума и продлится два дня — 15 и 16 мая.
                    Читать дальше →
                    • +11
                    • 5,9k
                    • 3
                  • PHDays HackBattle: ломаем один на один



                      В мае на конференции по практической информационной безопасности Positive Hack Days VII впервые состоялся конкурс HackBattle. В первый день PHDays посетители могли принять участие в отборочных соревнованиях, а двое участников, выполнивших наибольшее количество заданий за наименьшее время, вышли в финал HackBattle, который состоялся на второй день конференции на главной сцене. В этой статье мы расскажем, как проходило соревнование, а также предложим всем желающим попробовать свои силы в тех задачах, которые использовались на конкурсе.
                      Читать дальше →
                      • +6
                      • 10,8k
                      • 4
                    • Конкурентная разведка на PHDays: шпионим через Интернет вещей

                        image

                        Онлайновый конкурс по конкурентной разведке проводится на конференции Positive Hack Days уже шестой год подряд — и наглядно показывает, как легко в современном мире получить различную ценную информацию о людях и компаниях. При этом обычно даже не нужно ничего взламывать: все секреты разбросаны в общедоступных сетях. В этом обзоре мы расскажем, какие были задания на «Конкурентной разведке» 2017 года, как их нужно было решать, и кто победил в конкурсе.

                        В этом году участникам необходимо было найти всевозможную информацию о сотрудниках компании GreatIOT. К обычному поиску и анализу информации в Интернете добавились задания с различными IoT-устройствами. По легенде, с компанией случилось что-то странное, и в один момент все, включая разработчиков, техподдержку и даже CEO — пропали. Задача участников конкурса — найти данные, необходимые для расследования этой интриги.
                        Читать дальше →
                        • +16
                        • 14,2k
                        • 4
                      • WebGL рулит! Автопром в 3D

                          Забавная штука 3D, хочешь так повернул, а хочешь этак. Несомненный плюс по сравнению с фотографиями и видео. А если прибавить к этому интерактивность, то преимуществ еще больше. Вопрос только в одном, думают ли так же представители бизнеса?

                          В этот раз разговор пойдет о 3D конфигураторах. Причем самой консервативной и массивной части индустрии — автопрома.


                          Читать дальше →
                        • Спортивный анализ данных, или как стать специалистом по data science

                            Меня зовут Пётр Ромов, я — data scientist в Yandex Data Factory. В этом посте я предложу сравнительно простой и надежный способ начать карьеру аналитика данных.

                            Многие из вас наверняка знают или хотя бы слышали про Kaggle. Для тех, кто не слышал: Kaggle — это площадка, на которой компании проводят конкурсы по созданию прогнозирующих моделей. Её популярность столь велика, что часто под «кэглами» специалисты понимают сами конкурсы. Победитель каждого соревнования определяется автоматически — по метрике, которую назначил организатор. Среди прочих, Kaggle в разное время опробовали Facebook, Microsoft и нынешний владелец площадки — Google. Яндекс тоже несколько раз отметился. Как правило, Kaggle-сообществу дают решать задачи, довольно близкие к реальным: это, с одной стороны, делает конкурс интересным, а с другой — продвигает компанию как работодателя с солидными задачами. Впрочем, если вам скажут, что компания-организатор конкурса задействовала в своём сервисе алгоритм одного из победителей, — не верьте. Обычно решения из топа слишком сложны и недостаточно производительны, а погони за тысячными долями значения метрики не настолько и нужны на практике. Поэтому организаторов больше интересуют подходы и идейная часть алгоритмов.



                            Kaggle — не единственная площадка с соревнованиями по анализу данных. Существуют и другие: DrivenData, DataScience.net, CodaLab. Кроме того, конкурсы проводятся в рамках научных конференций, связанных с машинным обучением: SIGKDD, RecSys, CIKM.

                            Для успешного решения нужно, с одной стороны, изучить теорию, а с другой — начать практиковать использование различных подходов и моделей. Другими словами, участие в «кэглах» вполне способно сделать из вас аналитика данных. Вопрос — как научиться в них участвовать?
                            Хардкор
                          • Как ловили меня

                              Навеяно историей «Как я ловил хакера». У меня получилось не так динамично, но я хочу поделиться тем, как делать не надо.

                              Что же, насколько приятно ловить злоумышленников, знает только тот, кто их ловил. Но спросите тех попавшихся, каково им? А я вам расскажу, и поделюсь своими мыслями насчет этого. Если кому-то они покажутся само собой разумеющимися, я буду только рад.
                              Читать дальше →
                            • Предсказываем будущее с помощью библиотеки Facebook Prophet

                                Прогнозирование временных рядов — это достаточно популярная аналитическая задача. Прогнозы используются, например, для понимания, сколько серверов понадобится online-сервису через год, каков будет спрос на каждый товар в гипермаркете, или для постановки целей и оценки работы команды (для этого можно построить baseline прогноз и сравнить фактическое значение с прогнозируемым).


                                Существует большое количество различных подходов для прогнозирования временных рядов, такие как ARIMA, ARCH, регрессионные модели, нейронные сети и т.д.


                                Сегодня же мы познакомимся с библиотекой для прогнозирования временных рядов Facebook Prophet (в переводе с английского, "пророк", выпущена в open-source 23-го февраля 2017 года), а также попробуем в жизненной задаче – прогнозировании числа постов на Хабрехабре.


                                Читать дальше →
                              • Открытый курс машинного обучения. Тема 2: Визуализация данных c Python


                                  Второе занятие посвящено визуализации данных в Python. Сначала мы посмотрим на основные методы библиотек Seaborn и Plotly, затем поанализируем знакомый нам по первой статье набор данных по оттоку клиентов телеком-оператора и подглядим в n-мерное пространство с помощью алгоритма t-SNE. Есть и видеозапись лекции по мотивам этой статьи в рамках второго запуска открытого курса (сентябрь-ноябрь 2017).


                                  UPD: теперь курс — на английском языке под брендом mlcourse.ai со статьями на Medium, а материалами — на Kaggle (Dataset) и на GitHub.


                                  Сейчас статья уже будет существенно длиннее. Готовы? Поехали!

                                  Читать дальше →
                                • Интроверты в IT. Как использовать особенности своего характера для достижения целей

                                    Несколько лет назад я работал сценаристом обучающих курсов. Однажды утром, начальник встретил меня с лицом «нам надо поговорить».

                                    Он попросил меня пообщаться с приглашенным психологом. «Спасибо, что не психиатром», подумал я. Оказалось, он нанял психолога, который «помогает преодолевать барьеры общения в коллективе». Для отвода глаз, психолог поговорил со всеми работниками, хотя проблему они видели только во мне.

                                    Я отклонил это заманчивое предложение и благополучно забыл о нем. Но на следующей неделе я снова встретился с этим психологом. Сначала она сидела на диване и разглядывала каталоги. А потом села неподалеку с видом «я здесь если тебе понадобится помощь». Через какое-то время, мне это надоело и я сказал, что я об этом думаю.



                                    Читать дальше →
                                  • Как я научился кодить, создал веб-приложение и запустил его на Product Hunt за 2 месяца

                                    • Перевод
                                    Два месяца назад я начал путь к созданию своего первого веб-приложения. Это очень простенькое веб-приложение, оно называется When To Surf и каждый день подсказывает серферам самое лучшее время для занятий серфингом. Сегодня я его запускаю.

                                    UPD: после запуска я написал статью о результатах


                                    Читать дальше →
                                  • Подборка: Более 70 источников по машинному обучению для начинающих



                                      Индикатор кулачкового аналогового компьютера / Wiki

                                      В нашем блоге мы уже рассказывали о разработке системы квантовой связи и о том, как из простых студентов готовят продвинутых программистов. Сегодня мы решили вернуться к теме машинного обучения и привести адаптированную (источник) подборку полезных материалов.
                                      Читать дальше →