• Zip Slip возвращается в Node.js

      Не так давно, в 2018 году, прогремел хорошо забытый новый вид атак — Zip Slip.

      Zip Slip является широко распространенной критической уязвимостью распаковки архивов, позволяющей злоумышленникам записывать произвольные файлы в систему, что обычно приводит к удаленному выполнению команд. Она была обнаружена и раскрыта командой Snyk Security в преддверии публичного разглашения — 5 июня 2018 года и затронула тысячи проектов, в том числе HP, Amazon, Apache, Pivotal и многие другие.

      Дополнительную информацию о технических подробностях Zip Slip можно найти на сайте.

      С тех пор большинство фреймворков и языков, в которых были обнаружены эти уязвимости, были исправлены, и об уязвимости давно не было слышно.

      Но совсем недавно появился новый случай не менее интересный, чем предыдущие.
      Zip Slip в популярной библиотеке для Node.js — «decompress».
      Читать дальше →
    • Как организовать бэкенд мобильного приложения?

        image

        Что мы делаем? Сервис регистрации и авторизации пользователя для мобильного приложения

        В пет-проектах каждого мобильного разработчика рано или поздно наступает момент, когда требуется быстро и без лишней головной боли создать сервер для своего приложения. Не важно, какую функцию должен выполнять сервер: будь то хранение данных или регистрация/авторизация пользователей.

        Как правило, вначале все идут (ну или большинство) по пути наименьшего сопротивления. Мы ищем готовое решение и смотрим, как быстро его можно приспособить для наших нужд.

        На данном этапе первое, что получается «нагуглить» — это сервисы Firebase, бесплатных лимитов которых более чем достаточно для организации бекенда небольшого мобильного приложения. Но в данном случае, рассматривая именно российского разработчика, мы рискуем наступить на грабли нашего законодательства — трансграничную передачу данных и хранение персональных данных пользователя.

        (ФЗ 152 «О персональных данных», ст. 12, Глава 2)

        Соблазн использования именно Firebase велик, но если мы хотим застраховаться от ненужной возни с различными надзорными ведомствами, то начинаем смотреть альтернативные варианты.
        Читать дальше →
      • Как разобраться новичку, какой язык выбрать для желаемой профессии?

          Дисклеймер: данный текст не рекомендован к прочтению детям до 13 лет (для них нужно устанавливать отдельную политику конфиденциальности), сеньорам, мидлам, людям со слабой психикой, любителям VBA и языка АЛГОЛ, а также беременным женщинам. Все изложенное является личным мнением неадекватного автора и не изложено здесь с целью посеять рознь среди адептов статической и динамической типизации. Поехали: new Thread().start()


          Читать дальше →
        • Как прокачать свою карьеру через GitHub

            GitHub – крупнейшая библиотека, созданная разработчиками для разработчиков. Главная прелесть хостинга в его идеологии: отдавать также легко, как и получать. Здесь можно найти самые разные IT-проекты как легальные, так и не совсем. Пользуясь открытостью, кто-то роется в исходниках в корыстных целях – чтобы потом использовать их уязвимости для банального шантажа, а кто-то с помощью репозиториев прокачивает свои профессиональные скилы. Давайте разберемся, как не закопаться в миллионах источников и какие перки можно заполучить.

            То, что знания не принадлежат лишь узкому кругу избранных, уже признают и транснациональные корпорации. На основе одного исходного кода вырастает несколько новых – так и развиваются технологии, которыми в итоге начинает пользоваться весь мир. Такие гиганты, как Apple, Google, Facebook, Microsoft – разместили и продолжают постоянно обновлять свои репозитории на GitHub. Да что уж, если даже Министерство обороны США заводит хранилище на хостинге https://github.com/Code-dot-mil/code.mil с лозунгом «Помогите нам стать лучше». И каждое новое предложенное полезное решение – это очередной выученный урок в карьере разработчика.

            Формат open-source проектов хорош тем, что позволяет участникам общаться также, как мы делаем это в социальных сетях. Помните про принцип соревновательности! К примеру, некто постит вариант реализации идеи. Другие участники, на интересе, либо желая покуражиться предлагают хаки. В итоге – сообщество плюсует авторам лучших решений.

            Поэтому чтобы попрактиковаться и проверить свои способности периодически стоит закидывать pull requests – предложения на изменения кода – разработчику, открывшему приглянувшийся вам репозиторий. Владелец в свою очередь может как отклонить, так и принять запрос. Это и будет оценкой выполненной работы. Плюс – таким образом можно понять нуждается ли проект в доработках.

            Читать дальше →
          • Как проходить кибер испытания на «Checkpoint» 2 часть

            • Tutorial
            Привет всем, я Никита Куртин, куратор израильской высшей школы IT и безопасности HackerU.

            И я продолжаю рассказывать про кибер испытания от ведущей израильской компании в области информационной безопасности Checkpoint. В предыдущем посте я описал как прошел четыре испытания, а в этом хочу рассказать о следующих трех, которых мне удалось пройти.

            Для тех, кто пропустил первый пост расскажу, этим летом Checkpoint, опубликовала серию кибер испытаний.
            Челлендж официально завершился к концу сентября 2018-го.

            Задачи поделили на шесть категорий:

            • Logic
            • Web
            • Programming
            • Networking
            • Reversing
            • Surprise

            По две задачки на каждое направление. Как я уже писал, Checkpoint до этого уже успел завоевать уважение и интерес с мой стороны, поэтому я решил принять эти вызовы. Однако ввиду занятости, смог позволить себе взяться лишь за 8 из 12 заданий (из четырёх разных категорий). И решить мне удалось 7 из них.

            И так:

            Челлендж: «Пазл»

            Описание:

            Наконец-то мы тебя нашли!
            Читать дальше →
          • Как проходить кибер испытания на «Checkpoint»

            • Tutorial
            Привет всем, я Никита Куртин, куратор израильской высшей школы IT и безопасности HackerU

            Этим летом ведущая израильская компания в области информационной безопасности Checkpoint, опубликовала серию кибер испытаний.

            Задачи поделили на шесть категорий:

            • Logic
            • Web
            • Programming
            • Networking
            • Reversing
            • Surprise

            По две задачки на каждое направление. В этом посте я расскажу как проходил только четыре испытания, в следующем другие три:

            Checkpoint до этого уже успел завоевать уважение и интерес с мой стороны, поэтому я решил принять эти вызовы. Однако ввиду занятости, смог позволить себе взяться лишь за 8 из 12 заданий (из четырёх разных категорий). И решить мне удалось 7 из них.

            Челлендж официально завершился к концу сентября 2018-го.

            image

            Поэтому теперь я с чистой совестью могу рассказать пошагово о том, как я прорывался к решению следующих задач:

            • Логический челлендж «PNG++»
            • Web челлендж «Роботы возвращаются»
            • Web челлендж «Галерея Диего»
            • Задача на программирование «Осторожные шаги»
            • Задача на программирование «Пазл»
            • Нетворкинг челлендж «Пинг Понг»
            • Нетворкинг челлендж «Протокол»

            Челлендж: PNG++

            Описание:

            Это (ссылка на зашифрованный файл PNG) изображение было закодировано с использованием пользовательского шифра.

            Нам удалось считать большую часть этого кода здесь (ссылка на python код).
            К несчастью, кто-то нерасторопный пролил кофе на весь key_transformator.py.
            Читать дальше →
          • История одного вскрытия: как мы ревёрсили Hancitor



              Для тех, кто уже наигрался с задачками crackme, мы подвезли свежего троянца. В дикой природе загрузчик Hancitor еще встречается в своей естественной среде обитания — спам-рассылках. В настоящее время он активно используется для прогрузки банковского трояна Panda, который является модификацией небезызвестного Zeus.

              В один холодный летний вечер мы встретились с ним лицом к лицу, просматривая почтовый спам. Если любите смотреть, что там у вредоносов «под капотом», почитайте наш новый реверс-разбор.
              Читать дальше →
              • +30
              • 6,1k
              • 8
            • CTF от Минобрнауки: разбор задач олимпиады по ИБ

                Каждый год МИФИ проводит студенческую олимпиаду по ИБ. Это очень необычное мероприятие, сильно отличающееся от привычных task-based CTF. Забавно, что олимпиада носит официальный статус и даже признана Минобром, но о ней мало кто знает. При этом ее победители и призеры имеют возможность поступить в МИФИ без экзаменов.

                Если вы горите желанием размять мозги и протестить ваши знания в области инфобеза, читайте наш разбор пяти более интересных задач практического тура олимпиады.
                Читать дальше →
                • +15
                • 13,5k
                • 8
              • Этичный хакинг: как заработать денег, а не проблемы с законом



                  Поиск уязвимостей напоминает лотерею, в которой можно как сорвать джекпот с кругленькой суммой, так и потерять все, включая свободу. И это вопрос не везения, а четкого понимания границ этичного хакинга. Решили для вас разобрать на пальцах, как ковырять баги в чужих системах легально.
                  Читать дальше →
                • Как правильно составить отчёт о выявленной уязвимости



                    Каждый, кто участвовал в программах по поиску уязвимостей (bug bounty), знает, что найденная «дыра» — еще не повод требовать денег и славы. Описание проблемы, инструментов для ее обнаружения – все это важно описать в грамотном отчете.

                    Мы перевели актуальную статью из блога американской компании Cobalt, которая предоставляет услуги пентестинга as a service. Исследователь Дэвид Сопас рассказывает о том, какие ошибки допускают пользователи и как на самом деле нужно писать отчеты, чтобы заработать реальные деньги, а не бонусные копейки.
                    Читать дальше →
                  • Взлом ядерного Crackme



                      Привет, Хабралюди!

                      Сам процесс решения задачек на взломы особенно приятен, а когда есть решение – приятно вдвойне. Сегодня мы решили разобрать крякми, который попался нам на конференции ZeroNights в ноябре, где наша команда из школы кибербеза и ИТ HackerU дебютировала и сразу выдебютировала заняла первое место в hardware challenge. Решение crackme «SHADOW» пригодится тем, кто увлекается реверс-инжинирингом.

                      Для крякми этого уровня достаточно знать ассемблер и иметь базовое представление об устройстве драйверов под Windows.
                      Читать дальше →