Отчёт Центра мониторинга информационной безопасности за I квартал 2017 года
В отчёте мы собрали сводную статистику по зафиксированным в I квартале 2017 года нашим корпоративным Центром мониторинга событиям и инцидентам информационной безопасности. Поскольку у нас есть достаточно большой набор данных: 12 000 узлов на мониторинге; 137 873 416 событий информационной...
Отчёт Центра мониторинга информационной безопасности за I квартал 2017 года
В отчёте мы собрали сводную статистику по зафиксированным в I квартале 2017 года нашим корпоративным Центром мониторинга событиям и инцидентам информационной безопасности. Поскольку у нас есть достаточно большой набор данных: 12 000 узлов на мониторинге; 137 873 416 событий информационной...
Масштабируя TLS
Хабр, это доклад с одного из «не главных» залов Highload++ 2016. Артём ximaera Гавриченков, технический директор Qrator Labs, рассказывает про прикладное шифрование, в том числе, в высоконагруженных проектах. Видео и презентация в конце поста — спасибо Олегу Бунину. Приветствую! Мы продолжаем...
[Перевод - recovery mode ] Как подойти к анализу сайта с точки зрения взломщика и выявить уязвимости?
Пошаговая инструкция по выявлению недочетов в системе безопасности веб-приложений с помощью Detectify для поиска уязвимостей. 97% проверенных TrustWave приложений уязвимы перед тем или иным видом угрозы. Читать дальше →...
Ломать нельзя помиловать, или что ждет хакеров на PHDays VII
Пожалуй, самая ожидаемая часть форума — это конкурсы. В этом году мы подготовили обширную программу: участников ждут конкурсы, ставшие классикой PHDays, и кое-что совершенно новое. Основное правило остается неизменным — только реальные цели, только хардкор. Большинство соревнований PHDays VII...
GoTo MeetUp: Security by Default
Информационная безопасность — это важно, впрочем, это знание мало кому помогает. Количество соединенных general-purpose компьютеров (==сложность) растёт каждый день, происходят очень реальные инциденты от Heart или Cloudbleed до Stuxnet или проблем с бортовым компьютером Toyota (когда машина не...
«Теперь обязательно»: Выдача SSL-сертификатов с учетом DNS-записи
В этом году публичные организации, отвечающие за распределение сертификатов, в обязательном порядке начнут учитывать специальные DNS-записи. Эти записи позволяют владельцам доменов определять «круг лиц», которым дозволено выдавать сертификаты SSL/TLS (о них мы писали в нашем предыдущем посте) для...
«Теперь обязательно»: Выдача SSL-сертификатов с учетом DNS-записи
В этом году публичные организации, отвечающие за распределение сертификатов, в обязательном порядке начнут учитывать специальные DNS-записи. Эти записи позволяют владельцам доменов определять «круг лиц», которым дозволено выдавать сертификаты SSL/TLS (о них мы писали в нашем предыдущем посте) для...
Методы обхода защитных средств веб-приложений при эксплуатации XSS-векторов
Несмотря на большое количество рекомендаций по защите веб-приложения от клиент-сайд атак, таких как XSS (cross site scripting) многие разработчики ими пренебрегают, либо выполняют эти требования не полностью. В статье будут рассмотрены способы обхода средств фильтрации и при эксплуатации...
Методы обхода защитных средств веб-приложений при эксплуатации XSS-векторов
Несмотря на большое количество рекомендаций по защите веб-приложения от клиент-сайд атак, таких как XSS (cross site scripting) многие разработчики ими пренебрегают, либо выполняют эти требования не полностью. В статье будут рассмотрены способы обхода средств фильтрации и при эксплуатации...
Доверенная загрузка Шрёдингера. Intel Boot Guard
Предлагаем вновь спуститься на низкий уровень и поговорить о безопасности прошивок x86-совместимых компьютерных платформ. В этот раз главным ингредиентом исследования является Intel Boot Guard (не путать с Intel BIOS Guard!) – аппаратно-поддержанная технология доверенной загрузки BIOS, которую...
VulnHub: Новая серия — hackfest2016 Quaoar
Всем доброго времени суток. Давно я не выкладывал райтапы лаб с VulnHub. За это время там появилась небольшая подборка образов виртуальных машин, готовых для взлома. В этой статье начнём разбор образов подготовленных к недавно прошедшему Hackfest 2016 CTF, а именно рассмотрим Quaoar, скачать...
VulnHub: Новая серия — hackfest2016 Quaoar
Всем доброго времени суток. Давно я не выкладывал райтапы лаб с VulnHub. За это время там появилась небольшая подборка образов виртуальных машин, готовых для взлома. В этой статье начнём разбор образов подготовленных к недавно прошедшему Hackfest 2016 CTF, а именно рассмотрим Quaoar, скачать...
Security Week 15: Дырявый модем в Huawei, VirusTotal как канал утечки данных, Microsoft патчится от Dridex
Бывают же люди, до чужих багов жадные. Ральф-Филипп Вайнман из Comsecuris явно слегка повернут на уязвимостях беспроводных модемов – он копает эту тему как минимум с 2011 года, безжалостно бичуя поставщиков дырявых чипсетов. Почти каждый год выступает с новым докладом. В этот раз досталось Huawei,...
Security Week 15: Дырявый модем в Huawei, VirusTotal как канал утечки данных, Microsoft патчится от Dridex
Бывают же люди, до чужих багов жадные. Ральф-Филипп Вайнман из Comsecuris явно слегка повернут на уязвимостях беспроводных модемов – он копает эту тему как минимум с 2011 года, безжалостно бичуя поставщиков дырявых чипсетов. Почти каждый год выступает с новым докладом. В этот раз досталось Huawei,...
No Bugs, No Flaws или о надежности систем как таковых
Сегодня просматривая публикацию Егора Бугаева When Do You Stop Testing!, с удивление обнаружил, что немногие понимают и задумываются о том, что проблема тестирования и утверждения о том, что система не имеет недостатков принципиально не решаема. Это кстати еще актуально и в связи с внедрением...
Онлайн-конкурсы PHDays: да будет CTF
Отличная возможность настроиться на нужную волну перед Positive Hack Days и продемонстрировать практические навыки в области безопасности — участвовать в онлайн-конкурсах. В начале мая в рамках подготовки к форуму пройдут CTF, HackQuest от Wallarm и «Конкурентная разведка». На кону памятные призы и...
Онлайн-конкурсы PHDays: да будет CTF
Отличная возможность настроиться на нужную волну перед Positive Hack Days и продемонстрировать практические навыки в области безопасности — участвовать в онлайн-конкурсах. В начале мая в рамках подготовки к форуму пройдут CTF, HackQuest от Wallarm и «Конкурентная разведка». На кону памятные призы и...