Светофоры тоже можно взломать
Последние несколько лет все чаще и чаще стали появляться статьи и заметки о взломах современных систем, установленных в автомобилях. Благодаря тому, что эти системы с каждым годом становятся все сложнее и содержат все больше точек соприкосновения с внешним миром — они привлекают все большее и...
Светофоры тоже можно взломать
Последние несколько лет все чаще и чаще стали появляться статьи и заметки о взломах современных систем, установленных в автомобилях. Благодаря тому, что эти системы с каждым годом становятся все сложнее и содержат все больше точек соприкосновения с внешним миром — они привлекают все большее и...
Test lab v.8 — лаборатория, построенная на базе реальных корпоративных сетей. Принять участие в разработке
В отличие от CTF-соревнований, лаборатории тестирования на проникновение «Test lab» имитируют ИТ структуру настоящих компаний и имеют полноценную легенду. Созданные для легальной проверки и закрепления навыков пентеста, лаборатории всегда уникальны и содержат самые актуальные уязвимости, а участие...
Test lab v.8 — лаборатория, построенная на базе реальных корпоративных сетей. Принять участие в разработке
В отличие от CTF-соревнований, лаборатории тестирования на проникновение «Test lab» имитируют ИТ структуру настоящих компаний и имеют полноценную легенду. Созданные для легальной проверки и закрепления навыков пентеста, лаборатории всегда уникальны и содержат самые актуальные уязвимости, а участие...
Подпольный рынок кардеров. Перевод книги «Kingpin». Глава 4. «The White Hat»
Кевин Поулсен, редактор журнала WIRED, а в детстве blackhat хакер Dark Dante, написал книгу про «одного своего знакомого». В книге показывается путь от подростка-гика (но при этом качка), до матерого киберпахана, а так же некоторые методы работы спецслужб по поимке хакеров и кардеров. Начало и план...
«Ваша конфиденциальность очень важна для нас». Читаем Заявление о конфиденциальности корпорации Майкрософт
Прошлая неделя во многом прошла под знаком Microsoft — точнее обсуждения того, какие персональные данные собирает новая операционная система. Но прежде чем подробно разобрать этот вопрос. позволю себе цитату из The Guardian: Несколько жителей Лондона согласились с условием «отдать своего первенца»,...
«Ваша конфиденциальность очень важна для нас». Читаем Заявление о конфиденциальности корпорации Майкрософт
Прошлая неделя во многом прошла под знаком Microsoft — точнее обсуждения того, какие персональные данные собирает новая операционная система. Но прежде чем подробно разобрать этот вопрос. позволю себе цитату из The Guardian: Несколько жителей Лондона согласились с условием «отдать своего первенца»,...
Мегафон — кто угодно может управлять вашим счётом
Недавно обнаружил, что если зайти на страницу https://szfsg.megafon.ru/ps/scc/mobile/ с мобильного устройства через мобильный интернет Мегафона, то имеется возможность попасть в «Мегафон Сервис-Гид Северо-Запад» без пароля (для других регионов, возможно, существует аналогичная ссылка) Читать дальше...
Как Windows 10 собирает данные о пользователях
Информация о том, что Windows 10 собирает данные о пользователях, не нова. Еще в 2014 году компания Microsoft опубликовала заявление о конфиденциальности, из которого следует, что на ее серверы может передаваться информация об использованных программах, устройстве и сетях, в которых они работают....
Security Week 33: двери без замков, неуязвимость Microsoft, дизассемблер и боль
Добро пожаловать в еженедельный дайджест событий в области безопасности, сезон первый, эпизод второй. В предыдущей серии мы узнали о самооткрывающихся машинках, хронической боязни сцены у Android и о том, как нас не будут больше отслеживать в сети (на самом деле будут). В этом выпуске две вроде бы...
Security Week 33: двери без замков, неуязвимость Microsoft, дизассемблер и боль
Добро пожаловать в еженедельный дайджест событий в области безопасности, сезон первый, эпизод второй. В предыдущей серии мы узнали о самооткрывающихся машинках, хронической боязни сцены у Android и о том, как нас не будут больше отслеживать в сети (на самом деле будут). В этом выпуске две вроде бы...
Прошлое и настоящее SSL-сертификатов
Появление SSL SSL (Secure Sockets Layer), семейство транспортных криптографических протоколов, известно примерно с 1994 года (первые работы по использованию средств криптографии в качестве транспорта для уже известных протоколов проводились и раньше). Последний протокол семейства, SSL v3, в июне...
Прошлое и настоящее SSL-сертификатов
Появление SSL SSL (Secure Sockets Layer), семейство транспортных криптографических протоколов, известно примерно с 1994 года (первые работы по использованию средств криптографии в качестве транспорта для уже известных протоколов проводились и раньше). Последний протокол семейства, SSL v3, в июне...
Spring Security 4 + CSRF (добавление в Spring проект защиты от межсайтовой подделки запроса)
Здравствуйте! Современное веб приложение считается уязвимым, если в нем отсутствует защита от Межсайтовой подделки запроса (CSRF). В Spring Security 4.x она включена по умолчанию, поэтому при миграции с Spring Security 3.x на 4.x ее надо либо отключить ... либо, правильнее и зачетнее, добавить в...
Человек — это главная уязвимость. Немного о социальной инженерии на PHDays V
На YouTube появились записи выступлений с Positive Hack Days V — несколько десятков докладов по практической безопасности на русском и английском языках. В 2015 году на форуме говорили не только о хардкорных методах взлома, но и о «нетехнических» атаках. Многим запомнился доклад Криса Хаднаги...
Человек — это главная уязвимость. Немного о социальной инженерии на PHDays V
На YouTube появились записи выступлений с Positive Hack Days V — несколько десятков докладов по практической безопасности на русском и английском языках. В 2015 году на форуме говорили не только о хардкорных методах взлома, но и о «нетехнических» атаках. Многим запомнился доклад Криса Хаднаги...
Злоумышленники активно эксплуатируют новую уязвимость в Windows
Компания Microsoft выпустила security-обновление MS15-085, которое закрывает опасную LPE уязвимость CVE-2015-1769 (Mount Manager Elevation of Privilege Vulnerability). Уязвимость присутствует на клиентских и серверных версиях Windows, начиная с Windows Vista, и заканчивая Windows 10. Она относится...
Злоумышленники активно эксплуатируют новую уязвимость в Windows
Компания Microsoft выпустила security-обновление MS15-085, которое закрывает опасную LPE уязвимость CVE-2015-1769 (Mount Manager Elevation of Privilege Vulnerability). Уязвимость присутствует на клиентских и серверных версиях Windows, начиная с Windows Vista, и заканчивая Windows 10. Она относится...