Обнаружение дефектов кода типа «Expression Issues» (CWE-569)
Настоящей статьей мы продолжаем серию обзоров, посвященных обнаружению уязвимостей в open-source проектах с помощью статического анализатора кода AppChecker. В рамках этой серии рассматриваются наиболее часто встречающиеся дефекты в программном коде, которые могут привести к серьезным уязвимостям....
Уязвимость расширения для проведения веб-конференций Cisco WebEx позволяет осуществлять выполнение произвольного кода
Расширением Cisco WebEx активно пользуются около 20 млн человек — оно является частью популярного софта для проведения веб-конференций. Исследователь Google Тэвис Оманди опубликовал информацию об обнаруженной им уязвимости в этом компоненте — используемая для его работы технология nativeMessaging...
Уязвимость расширения для проведения веб-конференций Cisco WebEx позволяет осуществлять выполнение произвольного кода
Расширением Cisco WebEx активно пользуются около 20 млн человек — оно является частью популярного софта для проведения веб-конференций. Исследователь Google Тэвис Оманди опубликовал информацию об обнаруженной им уязвимости в этом компоненте — используемая для его работы технология nativeMessaging...
[Из песочницы] Дайте мне точку опоры или безопасный Интернет — это реальность
Основная проблема доступа к информационным ресурсам сети Интернет состоит в том, что точка подключения к ней становится частью этой сети и, как следствие, становится общедоступной, взаимодействует с ней по общепринятым сетевым протоколам и по этим же протоколам взаимодействует с защищаемой сетью....
ПРАВИЛьная кухня
Добрый день, коллеги. Вот и подошел черед третьей статьи, посвященной Security Operations Center. Сегодняшняя публикация затрагивает наиболее важный аспект любого SOC – контент, связанный с выявлением и анализом потенциальных инцидентов информационной безопасности. Это, в первую очередь,...
ПРАВИЛьная кухня
Добрый день, коллеги. Вот и подошел черед третьей статьи, посвященной Security Operations Center. Сегодняшняя публикация затрагивает наиболее важный аспект любого SOC – контент, связанный с выявлением и анализом потенциальных инцидентов информационной безопасности. Это, в первую очередь,...
Правильный путь становления безопасника: от ламера до практического эксплойтинга
Приветствую, тебя %хабраюзер%. Прочитал я тут статью на хабре «Экзамен для будущих «русских хакеров» в Московском Политехе». И мой мозг вошел в бесконечный цикл непонимания происходящего. То ли я сейчас заглянул на школофорум «хакеров», то ли действительно на хабр. Уж извините, с таким подходом...
Правильный путь становления безопасника: от ламера до практического эксплойтинга
Приветствую, тебя %хабраюзер%. Прочитал я тут статью на хабре «Экзамен для будущих «русских хакеров» в Московском Политехе». И мой мозг вошел в бесконечный цикл непонимания происходящего. То ли я сейчас заглянул на школофорум «хакеров», то ли действительно на хабр. Уж извините, с таким подходом...
[Перевод] Угон аккаунтов Whatsapp используя веб-версию
С введением таких изменений, как End-to-end шифрования для всех пользователей, Whatsapp вырос от приложения, игнорировавшего безопасность, к приложению, которое уважают многие. Whatsapp аккаунты основаны на телефонных номерах. Это означает, что ваш телефонный номер это ваш логин, использующийся...
[Перевод] Угон аккаунтов Whatsapp используя веб-версию
С введением таких изменений, как End-to-end шифрования для всех пользователей, Whatsapp вырос от приложения, игнорировавшего безопасность, к приложению, которое уважают многие. Whatsapp аккаунты основаны на телефонных номерах. Это означает, что ваш телефонный номер это ваш логин, использующийся...
Экзамен для будущих «русских хакеров» в Московском Политехе
И снова здравствуйте. Обычно я пишу статьи в качестве разработчика, но сегодня хочется поделиться опытом проведения экзамена по информационной безопасности в Московском Политехе. По-моему получилось довольно интересно. Задание даже может быть полезным начинающим тестировщикам и пентестерам. Но...
Эй, телевизор, ты что, самый «умный»?
Про опасности использования «умных» телевизоров слышали, наверное, все. Говорят, что они наблюдают за владельцем и прослушивают его разговоры. Но это не тревожит большинство пользователей, которые продолжают спокойно заполнять формы авторизации прямо на экране TV. Мы решили проверить, реально ли...
Эй, телевизор, ты что, самый «умный»?
Про опасности использования «умных» телевизоров слышали, наверное, все. Говорят, что они наблюдают за владельцем и прослушивают его разговоры. Но это не тревожит большинство пользователей, которые продолжают спокойно заполнять формы авторизации прямо на экране TV. Мы решили проверить, реально ли...
[Из песочницы] На сказочном Бали выпал снег или как же легко обмануть GPS
Добрый день, судя по фотографии, на Бали выпал снег! Как же так получилось? Плач В последнее время мне приходится заниматься проектированием и изготовлением спутниковых навигационных антенн, антенных решеток и радиоприемных устройств (РПУ). Здесь нужно заметить, что эти РПУ — это пребразователи...
[Из песочницы] На сказочном Бали выпал снег или как же легко обмануть GPS
Добрый день, судя по фотографии, на Бали выпал снег! Как же так получилось? Плач В последнее время мне приходится заниматься проектированием и изготовлением спутниковых навигационных антенн, антенных решеток и радиоприемных устройств (РПУ). Здесь нужно заметить, что эти РПУ — это пребразователи...
Ломаем Android. Как глубока кроличья нора?
Мой первый Android телефон Galaxy Note N7000 был приобретен сразу после анонса в октябре 2011 года. Благодаря одному немецкому умельцу под ником bauner, у меня была возможность использовать последнюю версию CyanogenMod (ныне LineageOS). До тех пор, пока полтора года назад телефон не умер от...
Безопасность сайта по его заголовкам, или что делать, если хочется залезть во внутренности каждого сайта
Разработчики стараются внимательно относиться к своим продуктам, минифицируют файлы, настраивают кэш, дерутся за каждую миллисекунду скорости. Но почему-то почти везде игнорируется то, что самым первым отправляется пользователю — а именно заголовки HTTP. Как-то довелось мне посетить курсы по...
VulnHub: USV 2016. CTF в Румынии, какие они?
Всем доброго времени суток, в этой статье рассмотрим решение Румынского CTF-USV 2016, на тему: «Игра престолов». Скачать образ виртуальной машины можно по ссылке с VulnHub. Если вам интересно как проходят межвузовские CTF в Румынии, прошу под кат Читать дальше →...