Слежение за пустотой, или атаки на несуществующие ресурсы
В последнее время ходит немало разговоров о том, что социальные сети и мессенджеры заглядывают в личную переписку и используют ее в своих целях. После очередного вброса в сторону новомодного нынче Телеграмма, появились мысли провести очередное исследование, посвященное указанной тематике. Читать...
Security Week 46: Разносторонний Java-баг, жизнь криптолокеров, 17 заплаток Adobe Flash
В новом эпизоде нашего сериала: — Серьезная уязвимость в библиотеке Apache Commons Collections ставит под удар основанные на Java сервисы сразу нескольких компаний, такие как Oracle WebLogic и IBM WebSphere. Как и любую другую уязвимость в распространенных и широко используемых библиотеках, эту...
Security Week 46: Разносторонний Java-баг, жизнь криптолокеров, 17 заплаток Adobe Flash
В новом эпизоде нашего сериала: — Серьезная уязвимость в библиотеке Apache Commons Collections ставит под удар основанные на Java сервисы сразу нескольких компаний, такие как Oracle WebLogic и IBM WebSphere. Как и любую другую уязвимость в распространенных и широко используемых библиотеках, эту...
Лаборатория тестирования на проникновение «Test lab v.8»: welcome to hell
Сегодня, в пятницу, 13-го, в 22 часа по московскому времени, состоится запуск новой лаборатории «Test lab», представляющей собой виртуальный банк, с присущей ему инфраструктурой и уязвимостями. Участникам предлагается произвести компрометацию всей ИТ-структуры банка. «Test lab» —...
Лаборатория тестирования на проникновение «Test lab v.8»: welcome to hell
Сегодня, в пятницу, 13-го, в 22 часа по московскому времени, состоится запуск новой лаборатории «Test lab», представляющей собой виртуальный банк, с присущей ему инфраструктурой и уязвимостями. Участникам предлагается произвести компрометацию всей ИТ-структуры банка. «Test lab» —...
[Из песочницы] Незащищенный Redis, или кто виноват?
Один из разработчиков Redis опубликовал у себя в блоге статью A few things about Redis security («Немного о безопасности Redis»), в которой детально описал банальную, но, как оказалось, для многих критичную проблему хранения данных и обеспечения безопасности доступа к серверу. Для меня все было бы...
[Из песочницы] Незащищенный Redis, или кто виноват?
Один из разработчиков Redis опубликовал у себя в блоге статью A few things about Redis security («Немного о безопасности Redis»), в которой детально описал банальную, но, как оказалось, для многих критичную проблему хранения данных и обеспечения безопасности доступа к серверу. Для меня все было бы...
666-й пост: страхи и суеверия айтишников
Страхи и суеверия рука об руку идут с разработчиками по жизни. Будем откровенны — тому виной баги. Баги бывают у всех. Некоторые баги точь-в-точь детские страшилки, что появились в далёком прошлом и противоестественно существуют уже десятки лет. Иррациональная боязнь встретить баг (напороться на...
Курс этичного хакинга для начинающих: «Zero Security: A»
Информационная безопасность — крайне динамичная область. Новые методы и инструменты тестирования на проникновение обновляются с такой периодичностью, что отследить их становится крайне сложно. Для специалистов, интересующихся вопросом практической ИБ и желающих в короткое время получить...
Курс этичного хакинга для начинающих: «Zero Security: A»
Информационная безопасность — крайне динамичная область. Новые методы и инструменты тестирования на проникновение обновляются с такой периодичностью, что отследить их становится крайне сложно. Для специалистов, интересующихся вопросом практической ИБ и желающих в короткое время получить...
Хватит болтать, пора ломать
До старта конференции ZeroNights 2015 остается 2 недели Друзья, вот мы и подошли к финишной прямой. До нашей с вами встречи осталось всего две недели! Программа конференции полностью сформирована, на нашем сайте размещено итоговое расписание двух дней, с ним вы можете ознакомиться здесь:...
Хватит болтать, пора ломать
До старта конференции ZeroNights 2015 остается 2 недели Друзья, вот мы и подошли к финишной прямой. До нашей с вами встречи осталось всего две недели! Программа конференции полностью сформирована, на нашем сайте размещено итоговое расписание двух дней, с ним вы можете ознакомиться здесь:...
Криптовымогатели. На этот раз под ударом веб-сервера на Linux
Изображение: Kaspersky Lab Ransomware, или программы-криптовымогатели, уже давно известны. Это ПО шифрует данные пользователей, требуя затем оплаты за предоставление секретного ключа, позволяющего расшифровать данные. Оплата обычно производится в биткоинах, а само ПО атакует компьютеры под...
[Из песочницы] WoSign Free SSL — конец большой китайской халявы
Некоторое время назад Китайская компания WoSign, начала бесплатно раздавать SSL сертификаты, о чем ни раз писалось на Хабре. Сначала они выдавали сертификаты на 2 года Бесплатные SSL-сертификаты на 2 года с поддержкой до 100 доменов, Бесплатные SSL-сертификаты на 2 года от WoSign, а потом решили...
Критическая уязвимость в ряде Java Application Server
Вчера в блоге Apache FSF появилась интересная запись. Уязвимым оказалось практически все ПО, которое использует сериализацию и десереализацию данных совместно с apache commons collections и некоторыми другими библиотеками. Сама уязвимость была описана 6 ноября, а сегодня Oracle выпустил первые...
Критическая уязвимость в ряде Java Application Server
Вчера в блоге Apache FSF появилась интересная запись. Уязвимым оказалось практически все ПО, которое использует сериализацию и десереализацию данных совместно с apache commons collections и некоторыми другими библиотеками. Сама уязвимость была описана 6 ноября, а сегодня Oracle выпустил первые...
[Из песочницы] Прозрачный обход блокировок в домашней сети
Последние новости в очередной раз заострили проблему блокировок интернет-ресурсов. С одной стороны о способах их обхода написано немало, и пережевывать эту тему в очередной раз казалось бы незачем. С другой, регулярно предпринимать какие-то дополнительные действия для посещения нужного ресурса —...
[Из песочницы] Прозрачный обход блокировок в домашней сети
Последние новости в очередной раз заострили проблему блокировок интернет-ресурсов. С одной стороны о способах их обхода написано немало, и пережевывать эту тему в очередной раз казалось бы незачем. С другой, регулярно предпринимать какие-то дополнительные действия для посещения нужного ресурса —...