[Из песочницы] Почему важно не выдавать пользователям простой пароль
В начале года во всех (ну почти) школах Москвы ввели новый электронный дневник. Его использование было обязательно. Разработчиком этого «великолепного» творения был Департамент ИТ города Москвы. Хоть и красивый дизайн, который доступен пользователям Chrome, внушал, что журнал хорош, на деле было...
[Из песочницы] Почему важно не выдавать пользователям простой пароль
В начале года во всех (ну почти) школах Москвы ввели новый электронный дневник. Его использование было обязательно. Разработчиком этого «великолепного» творения был Департамент ИТ города Москвы. Хоть и красивый дизайн, который доступен пользователям Chrome, внушал, что журнал хорош, на деле было...
[Из песочницы] Printf Oriented Programming
Intro К своему удивлению не нашел статей на хабре по этой теме и этой статьей я хотел бы исправить положение дел. В ней я постараюсь максимально доходчиво рассказать со стороны атакующего о Format String Attacks, однако с некоторыми упрощениями. На практике они достаточно просто разрешаются, но не...
[Из песочницы] Printf Oriented Programming
Intro К своему удивлению не нашел статей на хабре по этой теме и этой статьей я хотел бы исправить положение дел. В ней я постараюсь максимально доходчиво рассказать со стороны атакующего о Format String Attacks, однако с некоторыми упрощениями. На практике они достаточно просто разрешаются, но не...
Мобильные приложения и PA-DSS
Автор: Роман Денисенко, старший инженер по тестированию. Из-за специфики моей работы, мне часто задают вопросы вида «у нас есть прекрасное мобильное приложение, и мы собираемся добавить в него возможность платежей банковскими картами. Но мы немного обеспокоены по поводу стандарта PCI PA-DSS. Что...
Компания Adobe выпустила экстренный патч для исправления критических уязвимостей Flash Player
В понедельник 28 декабря компания Adobe выпустила экстренное обновление безопасности, закрывающее 19 уязвимостей в продукте Flash Player. Обнаруженные ошибки безопасности могут быть использованы злоумышленниками для исполнения вредоносного кода на компьютере жертвы, получая над ним полный контроль....
Компания Adobe выпустила экстренный патч для исправления критических уязвимостей Flash Player
В понедельник 28 декабря компания Adobe выпустила экстренное обновление безопасности, закрывающее 19 уязвимостей в продукте Flash Player. Обнаруженные ошибки безопасности могут быть использованы злоумышленниками для исполнения вредоносного кода на компьютере жертвы, получая над ним полный контроль....
[Перевод] От ИИ и наук о данных до криптографии: исследователи Microsoft дают 16 предсказаний на 2016 год
В прошлом месяце Microsoft выпустила книгу “Future Visions” – антологию небольших историй, написанных некоторыми современными научными фантастами, основываясь на общении с исследователями Microsoft и посещения их лабораторий. Электронная версия книги доступна бесплатно на Amazon и других сайтах....
Сборка и настройка FreeRADIUS 3 с поддержкой SQLITE
Доброго дня, уважаемые. Хочу поделиться с Вами решением одной творческой задачи. Надеюсь кому-то будет полезно. Итак, ДАНО: маломощная железка с arm процессором и собранный под нее и установленный Debian 7 wheezy. ЗАДАЧА: поставить FreeRADIUS 3.0.X, настроить его на работу с БД SQLITE. Т.е.,...
Сканеры безопасности: автоматическая классификация уязвимостей
Растущее количество угроз вынуждает разработчиков средств анализа защищенности постоянно усовершенствовать свои решения. Сейчас на рынке ИБ представлен широкий выбор сканеров безопасности от различных производителей, которые разнятся по своей эффективности. Это делает невозможным выпуск новых...
И еще раз о необходимости закрывать базы
DataBreaches.net сообщает о найденной базе персональных данных 191 млн избирателей США. Сайт на данный момент лежит под хабраэффектами, google cache. Исследователь Chris Vickery, ранее уже находивший не защищенные как следует многомиллионные базы аккаунтов, рассказал о наличии неограниченного...
И еще раз о необходимости закрывать базы
DataBreaches.net сообщает о найденной базе персональных данных 191 млн избирателей США. Сайт на данный момент лежит под хабраэффектами, google cache. Исследователь Chris Vickery, ранее уже находивший не защищенные как следует многомиллионные базы аккаунтов, рассказал о наличии неограниченного...
[recovery mode] Почему я перепроверяю записанные данные, или История одного расследования…
Недавняя хабрастатья о различиях в побайтово идентичных файлах вызвала из глубин памяти (и почтового ящика) небольшой кусочек моей переписки с одним из инженеров, отвечавших в то время за линию дисков MPG в компании Fujitsu. Для удобства англонеговорящих читателей, привожу перевод перевод под...
«ВКонтакте» не только не платит пользователям за найденные уязвимости, но и не рассматривает их
По моему скромному мнению, баги из разряда банальных SQL инъекций в GET параметрах и выполнение команд через пайп уходят в далёкое прошлое. Различные фреймворки разрабатывающиеся десятками и сотнями людей, автоматизированное тестирование и лучшие практики программирования практически не оставляют...
«ВКонтакте» не только не платит пользователям за найденные уязвимости, но и не рассматривает их
По моему скромному мнению, баги из разряда банальных SQL инъекций в GET параметрах и выполнение команд через пайп уходят в далёкое прошлое. Различные фреймворки разрабатывающиеся десятками и сотнями людей, автоматизированное тестирование и лучшие практики программирования практически не оставляют...
Security Week 52-53: бэкдор у Juniper с толстым слоем криптографии, винтажная Java, гопо-bug bounty
В тот момент, когда елка уже стоит, но салаты еще не нарезаны, самое время в последний раз в этом году поговорить о новостях безопасности. На прошлой неделе я отчитался о «нестандартных» лучших новостях года, и в общем-то за оставшееся время ничего особенного не произошло. Хотя нет, есть одна...
Security Week 52-53: бэкдор у Juniper с толстым слоем криптографии, винтажная Java, гопо-bug bounty
В тот момент, когда елка уже стоит, но салаты еще не нарезаны, самое время в последний раз в этом году поговорить о новостях безопасности. На прошлой неделе я отчитался о «нестандартных» лучших новостях года, и в общем-то за оставшееся время ничего особенного не произошло. Хотя нет, есть одна...
Как я искал (и нашел) разницу в двух побайтово идентичных файлах
Есть у нас одно .NET-приложение, которое умеет загружать и использовать плагины. Плагины — дело хорошее. Можно функционал расширять, можно оперативненько обновлять их со своего сайта, можно даже юзерам дать SDK и позволить писать свои плагины. Мы всё это и делали. Наши плагины представляли собой...