Обнаружение в коде дефекта «разыменование нулевого указателя»
Этой статьей мы открываем серию публикаций, посвященных обнаружению ошибок и уязвимостей в open-source проектах с помощью статического анализатора кода AppChecker. В рамках этой серии будут рассмотрены наиболее часто встречающиеся дефекты в программном коде, которые могут привести к серьезным...
Хакеры атакуют MongoDB: число скомпрометированных систем превысило 27 000
В СМИ попала информация о масштабной волне кибератак, жертвами которых становятся администраторы систем, использующих MongoDB. Злоумышленники получают к ним доступ, а затем удаляют данные из уязвимых или неверно настроенных систем, после чего требуют выкуп. Читать дальше →...
Хакеры атакуют MongoDB: число скомпрометированных систем превысило 27 000
В СМИ попала информация о масштабной волне кибератак, жертвами которых становятся администраторы систем, использующих MongoDB. Злоумышленники получают к ним доступ, а затем удаляют данные из уязвимых или неверно настроенных систем, после чего требуют выкуп. Читать дальше →...
Сшиваем SSL-сертификаты правильно на bash
Использование SSL-шифрование на сайтах приобретает уже почти обязательный характер: Google с этого года начал агрессивно предупреждать о небезопасном соединении с сайтами, ряд платежных шлюзов требуют безопасное подключение на сайтах (например, Яндекс.Касса). Установка SSL-сертификата на сайт...
[Из песочницы] Что делать, если у кабелей есть уши, или стеганографическое прокси
День добрый. Сегодня я расскажу вам об одном виде паранойи, связанном с последними тенденциями в сфере защиты государством населения от информации, и методе его лечения. Читать дальше →...
VulnHub: Слепая эксплуатация и Брайнфак в DC416 Basement
Продолжаем разбор CTF с конференции DefCon Toronto's. Задания предоставлены командой VulnHub, за что им огромное спасибо. А мы рассмотрим DC416 Basement. Ниже, вы можете ознакомиться с предыдущим райтапом: DC416 Dick Dastardly Читать дальше →...
Обещания Google начали сбыватся — теперь сайты https помечаются как надёжные
Пару месяцев назад Google решила перевести весь интернет на HTTPS, стимулируя пользователей браузера Chrome посещать только HTTPS сайты. Сейчас начался первый этап — пометка сайтов с https как безопасные. Что там будет дальше? Читать дальше →...
Обещания Google начали сбыватся — теперь сайты https помечаются как надёжные
Пару месяцев назад Google решила перевести весь интернет на HTTPS, стимулируя пользователей браузера Chrome посещать только HTTPS сайты. Сейчас начался первый этап — пометка сайтов с https как безопасные. Что там будет дальше? Читать дальше →...
[Перевод] Безопасность в IoT: Архитектура системы безопасности
При проектировании системы важно понять, каким угрозам эта система может подвергаться, и разработать соответствующие меры защиты при проектировании и построении её архитектуры. Особенно важно с самого начала учитывать требования безопасности при проектировании продукта. Если вы понимаете, каким...
[Из песочницы] У «Казаков» секретов нет
Думаю, многие из читателей с добрым словом вспомнят серию игр «Казаки», многочасовые баталии, военные хитрости и бесподобное звуковое сопровождение — отличная стратегия своего времени. Спустя 15 лет они вернулись, и теперь уже в режиме онлайн, о проблемах и уязвимостях новой версии и пойдет речь в...
33C3 CTF Эксплуатируем уязвимость LaTeX'а в задании pdfmaker
Этот небольшой write-up будет посвящен разбору одного из заданий с недавнего CTF 33С3. Задания ещё доступны по ссылке, а пока рассмотрим решение pdfmaker из раздела Misc. Читать дальше →...
33C3 CTF Эксплуатируем уязвимость LaTeX'а в задании pdfmaker
Этот небольшой write-up будет посвящен разбору одного из заданий с недавнего CTF 33С3. Задания ещё доступны по ссылке, а пока рассмотрим решение pdfmaker из раздела Misc. Читать дальше →...
VulnHub: Разбор IMF 1 и очередное переполнение буфера
В этот раз рассмотрим Boot2Root IMF 1 от VulnHub. Имеется 6 флагов, каждый из которых содержит подсказку к получению следующего. Так же рекомендую ознакомиться с разборами предыдущих заданий. Читать дальше →...
CTFzone write-ups — Grand Finale
Друзья, настало время раскрыть последнюю тайну CTFzone. Мы готовы опубликовать райтап на одно из самых сложных заданий соревнований – OSINT на 1000 очков. Как и в случае с Reverse 1000, мы решили вынести последнее задание ветки в отдельный пост ввиду большого размера и сложности. Решения на таски...
CTFzone write-ups — Grand Finale
Друзья, настало время раскрыть последнюю тайну CTFzone. Мы готовы опубликовать райтап на одно из самых сложных заданий соревнований – OSINT на 1000 очков. Как и в случае с Reverse 1000, мы решили вынести последнее задание ветки в отдельный пост ввиду большого размера и сложности. Решения на таски...
[recovery mode] Второе пришествие ГОСТ 28147-89: Честные тесты
Второе пришествие ГОСТ 28147-89 Около десяти лет тому назад симметричная криптография, основанная на ГОСТ 28147-89, перестала удовлетворять потребностям аппаратных платформ по скоростным параметрам. Скорости криптопреобразований, обеспечиваемые алгоритмами реализованными на регистрах общего...
[Из песочницы] Методы защиты от CSRF-атаки
Что такое CSRF атака? Ознакомиться с самой идеей атаки CSRF можно на классических ресурсах: OWASP Acunetix Отличный ответ на SO Выдержка из ответа на SO: Причина CSRF кроется в том, что браузеры не понимают, как различить, было ли действие явно совершено пользователем (как, скажем, нажатие кнопки...
[Из песочницы] Методы защиты от CSRF-атаки
Что такое CSRF атака? Ознакомиться с самой идеей атаки CSRF можно на классических ресурсах: OWASP Acunetix Отличный ответ на SO Выдержка из ответа на SO: Причина CSRF кроется в том, что браузеры не понимают, как различить, было ли действие явно совершено пользователем (как, скажем, нажатие кнопки...