Расследование одного взлома или как быстро и просто потратить миллиард
Все вокруг постоянно рассуждают о коррупции. А я хочу рассказать Вам о случае, на коррупцию очень похожем, но в среде чистого IT-бизнеса, на государство никак не завязанного. Описываемый далее случай интересен именно с точки зрения взлома бизнеса, хотя статья больше посвящена взлому в смысле IT....
BSON инъекция в MongoDB адаптере для Ruby
В BSON-ruby был найден баг который в лучшем случае приводил к небольшому DoS, но большинство версий было уязвимо к инъекции в BSON (аналог SQL инъекции, BSON это бинарный аналог JSON используемый для работы с базой). На хабре уже как то упоминалась особенность регулярок в руби — у нас ^$ значат не...
BSON инъекция в MongoDB адаптере для Ruby
В BSON-ruby был найден баг который в лучшем случае приводил к небольшому DoS, но большинство версий было уязвимо к инъекции в BSON (аналог SQL инъекции, BSON это бинарный аналог JSON используемый для работы с базой). На хабре уже как то упоминалась особенность регулярок в руби — у нас ^$ значат не...
WPAD: инструкция по эксплуатации
Привет! Я Максим Андреев, программист бэкенда Облака Mail.Ru. На последнем Security Meetup’е я поделился результатами своего исследования протокола автоматической настройки прокси WPAD. Для тех, кто пропустил, — сегодняшний пост. Я расскажу о том, что такое WPAD, какие возможности для эксплуатации...
Зачем покупать монстров? — Практика отечественного импортозамещения софта
В последний год одним из самых обсуждаемых вопросов на многих IT-мероприятиях, включая InfoSecurity Russia 2014, РИФ+КИБ 2015 и Связь-Экспокомм-2015, стал закон об импортозамещении ПО, призванный ограничить долю импортного программного обеспечения к 2025 году размером не более 50%. Законом живо...
Вирусдай — антивирус для сайтов, за который не стыдно
Это, по большей части, рекламный пост, поскольку он первый в нашем блоге. После первого знакомства мы будем писать здесь об архитектуре защитных систем, антивирусных алгоритмах и интерфейсах. В 2012 году мы решили создать самый удобный инструмент для защиты и борьбы с вирусами на сайтах и вот,...
Вирусдай — антивирус для сайтов, за который не стыдно
Это, по большей части, рекламный пост, поскольку он первый в нашем блоге. После первого знакомства мы будем писать здесь об архитектуре защитных систем, антивирусных алгоритмах и интерфейсах. В 2012 году мы решили создать самый удобный инструмент для защиты и борьбы с вирусами на сайтах и вот,...
Эксплуатируем XSS уязвимость на сайте ipay.ua для кражи карточных данных
Продолжая пинтестинг отечественных платежных систем, я остановился на довольно популярном в Украине платежном сервисе ipay.ua. Меня интересовало, на сколько PCI DSS сертификация платежными системами и проводимое ими ежеквартальное ASV-сканирование (в том числе на наличие XSS уязвимостей)...
Релиз FastNetMon 1.1.2 открытого решения для мониторинга DoS/DDoS атак
За прошедшие почти 10 месяцев с релиза 1.0.0 была очень большая работа по улучшению программы. Из основных изменений стоит отметить следующие: Возможность выявлять самые популярные виды атак: syn_flood, icmp_flood, udp_flood, ip_fragmentation_flood Добавление поддержки протокола Netflow,...
DoS эксплойт десктопного Skype для Windows и Mac OS
В последних версиях Skype для Windows и Mac OS X и присутствует ошибка, позволяющая безвозвратно обрушить программу. Для этого достаточно отправить в чате строку: http://: После чего Skype вылетает и больше не запускается. Работает как в групповых чатах, так и в приватных. Уязвимые версии: для...
DoS эксплойт десктопного Skype для Windows и Mac OS
В последних версиях Skype для Windows и Mac OS X и присутствует ошибка, позволяющая безвозвратно обрушить программу. Для этого достаточно отправить в чате строку: http://: После чего Skype вылетает и больше не запускается. Работает как в групповых чатах, так и в приватных. Уязвимые версии: для...
Приглашаем на OWASP Russia Meetup 6 июня
6 июня, в субботу, состоится OWASP Russia Meetup. Мы приглашаем специалистов по информационной безопасности в московский офис Mail.Ru Group. Продолжая традицию весенней активности PHD, AppSec, CONFidence, HITB и других, участники обсудят новые векторы атак, будущее веб-безопасности, а также...
Приглашаем на OWASP Russia Meetup 6 июня
6 июня, в субботу, состоится OWASP Russia Meetup. Мы приглашаем специалистов по информационной безопасности в московский офис Mail.Ru Group. Продолжая традицию весенней активности PHD, AppSec, CONFidence, HITB и других, участники обсудят новые векторы атак, будущее веб-безопасности, а также...
[Из песочницы] «ВКонтакте» не платит пользователям за найденные уязвимости
Исходный пост был переведен администрацией в черновики за «нарушение правил сайта» (запрещено размещать чужие публикации под своим именем и выпрашивать инвайты в публикациях в обход Песочницы Хабра). В результате «Автор» публикации теперь сидит в read-only, а мне было предложено опубликовать её...
[Из песочницы] «ВКонтакте» не платит пользователям за найденные уязвимости
Исходный пост был переведен администрацией в черновики за «нарушение правил сайта» (запрещено размещать чужие публикации под своим именем и выпрашивать инвайты в публикациях в обход Песочницы Хабра). В результате «Автор» публикации теперь сидит в read-only, а мне было предложено опубликовать её...
Методология аудита безопасности веб-приложения
Сегодня мы поговорим о методологии проведения тестирования на проникновение веб-приложений. Одним из методов аудита веб-сайта является тестирование на проникновение BlackBox (BlackBox — «черный ящик»), при котором специалист располагает только общедоступной информацией о цели исследования. В данном...
Методология аудита безопасности веб-приложения
Сегодня мы поговорим о методологии проведения тестирования на проникновение веб-приложений. Одним из методов аудита веб-сайта является тестирование на проникновение BlackBox (BlackBox — «черный ящик»), при котором специалист располагает только общедоступной информацией о цели исследования. В данном...
[Перевод] Защищенный компьютер внутри Micro SD карты
Так как миллионы хакеров, спамеров и мошенников охотятся за вашей персональной онлайн информацией, то вы не можете ожидать, что ваши пароли будут оставаться в безопасности, несмотря на их сложность. Большинство из нас волнуется о потери своего пароля, так как мы постоянно регистрируемся все в...