Публикации / Закладки / Профиль subversa / Хабр

RalfHacker 22 августа 2019 в 23:07

Natas Web. Прохождение CTF площадки, направленной на эксплуатацию Web-уязвимостей. Часть 3
- Tutorial
В данной статье мы разберемся с эксплуатацией некоторых WEB-узвимостей на примере прохождения варгейма Natas. Каждый уровень имеет доступ к паролю следующего уровня. Все пароли также хранятся в файлах /etc/natas_webpass/. Например, пароль для natas5 хранится в файле /etc/natas_webpass/natas5 и доступен для чтения только для пользователей natas4 и natas5.

Прошлые части: часть 1 и часть 2.
Читать дальше →
- +9
- 1,6k
- Комментировать
RalfHacker 24 августа 2019 в 14:35

Natas Web. Прохождение CTF площадки, направленной на эксплуатацию Web-уязвимостей. Часть 4
- Информационная безопасность,
- PHP,
- Python,
- SQL,
- CTF
- Tutorial
В данной статье мы разберемся с эксплуатацией некоторых WEB-узвимостей на примере прохождения варгейма Natas. Каждый уровень имеет доступ к паролю следующего уровня. Все пароли также хранятся в файлах /etc/natas_webpass/. Например, пароль для natas5 хранится в файле /etc/natas_webpass/natas5 и доступен для чтения только для пользователей natas4 и natas5.

Прошлые части: часть 1, часть 2 и часть 3.
Читать дальше →
- +15
- 1,8k
- Комментировать
RalfHacker 17 ноября 2019 в 23:02

Web. Решение задач с r0от-мi. Часть 2
- Информационная безопасность,
- CTF
- Tutorial
Данная статья содержит решение заданий, направленных на эксплуатацию web-узвимостей. Статья ориентирована в основном на новичков, которые хотят разобараться в заголовках HTTP и учавствовать в CTF. Ссылки на предыдущие части этого раздела:

Web. Решение задач с r0от-мi. Часть 1
Организационная информация
Специально для тех, кто хочет узнавать что-то новое и развиваться в любой из сфер информационной и компьютерной безопасности, я буду писать и рассказывать о следующих категориях:

PWN;

криптография (Crypto);

cетевые технологии (Network);

реверс (Reverse Engineering);

стеганография (Stegano);

поиск и эксплуатация WEB-уязвимостей.

Вдобавок к этому я поделюсь своим опытом в компьютерной криминалистике, анализе малвари и прошивок, атаках на беспроводные сети и локальные вычислительные сети, проведении пентестов и написании эксплоитов.
Читать дальше →
- +9
- 2,3k
- Комментировать
Acribia 21 октября 2019 в 12:35

Спирфишинг: разбираем методы атак и способы защиты от них
- Блог компании Акрибия,
- Информационная безопасность
Фишинг (phishing) – вид интернет-мошенничества, использующий принципы социальной инженерии. Это письмо в электронной почте, звонок, SMS или сообщение в мессенджере или соц.сети, пытающееся обманом убедить пользователя передать свои конфиденциальные данные, скачать какой-то вредоносный файл или перевести деньги. Для этого отправитель представляется неким другим лицом, от которого подобная просьба вызывает меньше подозрений.

Целевой фишинг (spear phishing) – подвид фишинга, который нацелен на более узкий круг людей. Это может быть какая-то организация, группа ее сотрудников или отдельный человек, в зависимости от намерений атакующего. Получаемое сообщение в этом случае будет рассчитано именно на ограниченный круг лиц. В ходе такой атаки злоумышленник может попытаться:
- заполучить конфиденциальные данные (данные банковской карты в целях кражи денег);
- установить ВПО на целевое устройство;
- заполучить секреты и конфиденциальные данные организации в целях шантажа или перепродажи конкурентам;
- заполучить военные данные.
Различия между фишингом и целевым фишингом
Читать дальше →
- +8
- 3k
- 2
Acribia 7 мая 2018 в 11:42

Как понять, что ваш сайт взломали?
- Блог компании Акрибия,
- Информационная безопасность
В настоящее время взломы сайтов становятся массовым, поставленным на поток процессом. Сайты могут взламывать ради использования их мощностей (популярный нынче майнинг, участие в ботнете и т.д.). Также злоумышленники могут быть заинтересованы в краже содержимого вашего ресурса или продвижении собственного контента (реклама, фишинг). В любом случае, злоумышленники постараются выжать максимум из успешного взлома, то есть остаться незамеченными как можно дольше, извлекая из взломанного сайта как можно больше выгоды.

Читать дальше →
- +19
- 14,3k
- 17
Acribia 9 апреля 2018 в 15:04

Можно ли войти в закрытую дверь, или как патчат уязвимости
- Блог компании Акрибия,
- Информационная безопасность
В мире каждый день публикуются десятки CVE (по данным компании riskbasedsecurity.com за 2017 год было опубликовано 20832 CVE). Однако производители стали с большим пониманием и вниманием относиться к security-репортам, благодаря чему скорость закрытия багов существенно увеличилась (по нашим ощущениям).

Нам стало интересно посмотреть на несколько продуктов и понять, из-за чего же возникли уязвимости (учимся на чужих ошибках). А также как производители их исправляют и всегда ли это у них получается (забегая вперед – не всегда).

Читать дальше →
- +25
- 7,7k
- 2
AAMinin 26 ноября 2018 в 11:03

Проверяем закрытую уязвимость и получаем четыре новые CVE
- Блог компании Акрибия,
- Информационная безопасность
Меня попросили продолжить цикл статей про закрытие уязвимостей и про то, как их закрывают (нашу первую статью прочитать можно здесь). В прошлый раз мы выяснили, что даже если производитель рапортует о закрытии уязвимости, то на деле все может быть и не так.

Читать дальше →
- +14
- 3,6k
- Комментировать
Acribia 21 ноября 2019 в 13:55

Шпаргалки по безопасности: CSRF
- Блог компании Акрибия,
- Информационная безопасность
Не смотря на то, что в последнем публиковавшемся перечне уязвимостей OWASP Top 10 2017 CSRF атаки отнесены к разряду “Удалены, но не забыты”, мы решили, что не будет лишним еще раз напомнить о том, как защититься от CSRF атак, опираясь на те же правила, предоставляемые OWASP.
Читать дальше →
- +10
- 5,3k
- 2
EditorGIB 18 ноября 2019 в 10:16

Снифферы, которые смогли: как семейство FakeSecurity заразило онлайн-магазины
В декабре 2018 года, специалисты Group-IB обнаружили новое семейство снифферов, получившее название FakeSecurity. Их использовала одна преступная группа, заражавшая сайты под управлением CMS Magento. Анализ показал, что в недавней кампании злоумышленники провели атаку с использованием вредоносного ПО для кражи паролей. Жертвами стали владельцы сайтов онлайн-магазинов, которые были заражены JS-сниффером. Центр реагирования на инциденты информационной безопасности CERT Group-IB предупредил атакованные ресурсы, а аналитик Threat Intelligence Group-IB Виктор Окороков решил рассказать о том, как удалось выявить преступную активность.

Напомним, что в марте 2019 года Group-IB опубликовала отчет «Преступление без наказания: анализ семейств JS-снифферов», в котором были проанализированы 15 семейств различных JS-снифферов, использовавшихся для заражения более двух тысяч сайтов онлайн-магазинов.
Читать дальше →
- +3
- 2,8k
- Комментировать
altrus 2 мая 2018 в 08:49

Защита от легкого DDoS'a
Совсем недавно на хабре уже появилась рекламная статья о борьбе с DDoS атаками на уровне приложения. У меня был аналогичный опыт поиска оптимального алгоритма противодействия нападениям, может кому пригодится — когда человек в первый раз сталкивается в DDoS-ом его сайта, это вызывает шок, поэтому полезно заранее знать, что всё не так уж страшно.
Читать дальше →
- +3
- 10,6k
- 15
olemskoi 11 июля 2017 в 10:57

Ограничение скорости обработки запросов в nginx
- Перевод
Фотография пользователя Wonderlane, Flickr

NGINX великолепен! Вот только его документация по ограничению скорости обработки запросов показалась мне, как бы это сказать, несколько ограниченной. Поэтому я решил написать это руководство по ограничению скорости обработки запросов (rate-liming) и шейпингу трафика (traffic shaping) в NGINX.
Читать дальше →
- +23
- 15,8k
- 12
keklick1337 15 ноября 2019 в 19:35

Самый беззащитный — это Сапсан
- Из песочницы
Был я как-то на ZeroNights, это очередная конференция по информационной безопасности, которая в этом году была совсем шлаком.

Там я хотел как всегда что-либо поломать, получить за это приз, и т.д., но как я выяснил — интересных задач там не было, и пришлось развлекать себя самому.

Что происходило там — особой смысловой нагрузки не несёт, а вот что началось потом — это что-то.

Как закончилась конференция, все её участники взяли билеты на сапсан, последний сапсан Санкт-Петербург — Москва выезжает в 21:00, и я на него успевал…
Читать дальше →
- +481
- 173k
- 365
Audioman 25 августа 2019 в 11:45

«За нами следят»: что может происходить в неприметном минивэне прямо у вас под окном
Образ белых минивэнов с оборудованием для прослушки давно стал неотъемлемой частью нашей поп-культуры. Эти ничем не примечательные автомобили превратились в отражение коллективных страхов и паранойи — стали символами прозаичного зла, безличной машины «большого брата», под колеса которой может попасть каждый. Но что действительно находится внутри таких машин?

Кто может их использовать и в каких целях?

Читать дальше →
- +17
- 30k
- 33
LukaSafonov 22 октября 2018 в 12:02

Be a security ninja: запись вебинаров и бонусный уровень
- Блог компании Инфосистемы Джет,
- Информационная безопасность
Информационная безопасность – одна из дисциплин, набирающих бешеную популярность в последние годы. Мы решили помочь всем желающим и организовали цикл бесплатных вебинаров по информационной безопасности. Сегодня мы публикуем видеозаписи и анонсируем бонусный уровень, посвященный практической информационной безопасности.
Читать дальше →
- +20
- 13k
- 3
valerylinkov 30 июля 2019 в 18:19

17 способов проникновения во внутреннюю сеть компании
Безопасность. Слово означающие защищённость человека или организации от чего-либо/кого-либо. В эпоху кибербезопасности мы всё чаще задумываемся не столько о том, как защитить себя физически, сколько о том, как защитить себя от угроз извне (киберугроз).

Сегодня мы поговорим о том, как можно проникнуть в современную корпоративную сеть, которая защищена на периметре различными, даже очень хорошими, средствами сетевой безопасности и самое главное поговорим о том, как с этим можно бороться.

Давайте посмотрим на современную сеть, которая используют самые новомодные технологии в области безопасности.
Читать дальше →
- +16
- 30,8k
- 24
Max_D 13 ноября 2018 в 07:47

Google PageSpeed Insights кардинально обновился, что изменится?
12 ноября Google по тихому обновил PageSpeed Insights, изменив в нем практически все. Это станет большой переменой для всей индустрии сайтостроения. Похоже, сейчас настанет некоторая волна паники и хайпа вокруг этого события. В статье — анализ перемен и что они нам принесут.
Читать дальше →
- +21
- 41,1k
- 50
moikrug 23 августа 2019 в 09:52

Информационная безопасность — что нужно знать и уметь, чтобы считаться хорошим специалистом по ИБ?
Действительно, эксперты в сфере кибербезопасности защищают деньги, данные, репутацию компаний, их сотрудников и пользователей. Гордиться есть чем. Тем не менее, о тех, кто защищает нашу с вами безопасность в интернет-пространстве, известно далеко не так много, как о разработчиках, о которых говорят и пишут. Кто-то написал приложение или игру, которые принесли создателю популярность и деньги, еще кто-то разработал криптовалютную платформу, на которую обратили внимание криптобиржи. Работа «инфобезопасников» остается скрытой от любопытных глаз.

Тем не менее, она важна не менее, чем дело рук программистов, ведь их продукты в какой-то мере становятся популярными и благодаря слаженной работе экспертов по кибербезопасности. О том, что представляет собой сама профессия и на что можно рассчитывать, когда начинаешь свой путь в качестве ИБ, и рассказывает эта статья. Разобраться в этой сложной теме помог Виктор Чаплыгин преподаватель факультета GeekBrains по информационной безопасности (ИБ).
Читать дальше →
- +24
- 24,4k
- 10
i4iksy 29 мая 2019 в 19:02

6 способов угодить в ад готовых решений и спустить миллион-другой
- Из песочницы
Привет, сейчас я расскажу тебе, что будет с перспективным проектом, если с самого начала обратиться к готовым решениям а-ля Wordpress, Open Cart и любым CMS, думая, что это и есть MVP. Основываться буду на трёхмесячном опыте работы на одном из проектов, в GitHub которого за предыдущие 8 месяцев так и не упало ни одного коммита в production ветку.
Читать дальше →
- +15
- 6,3k
- 11
alizar 16 марта 2019 в 13:50

Суверенный интернет — за наши деньги
- Законодательство в IT
Законопроект № 608767-7 об автономной работе Рунета был внесён в Госдуму 14 декабря 2018 года, а в феврале одобрен в первом чтении. Авторы — сенатор Людмила Бокова, сенатор Андрей Клишас и депутат Андрей Луговой.

Ко второму чтению для документа подготовили ряд поправок, в том числе одну очень важную. Затраты операторов связи на закупку и обслуживание оборудования будут компенсировать из бюджета. Об этом рассказала один из авторов законопроекта, сенатор Людмила Бокова.
Читать дальше →
- +44
- 22,8k
- 136
marks 4 апреля 2019 в 22:06

Справочная: «Автономный рунет» — что это и кому нужно
В прошлом году правительство утвердило план мероприятий по направлению «Информационная безопасность». Это часть программы «Цифровая экономика Российской Федерации». В план внесли законопроект о необходимости обеспечения работы российского сегмента интернета в случае отключения от зарубежных серверов. Документы подготовила группа депутатов во главе с главой комитета Совета Федерации Андреем Клишасом.

Зачем России автономный сегмент глобальной сети и какие цели преследуют авторы инициативы — далее в материале.
Читать дальше →
- +19
- 20,6k
- 149