Шпионим за всеми с помощью Яндекс.Метро
Так как Яндекс, по всей видимости, не собирается закрывать свой шпионский «баг», давайте тогда будем активно им пользоваться. Читать дальше →...
Странности в работе Яндекс.Метро: разбор полётов и апдейт приложения
На прошлой неделе на Хабре был популярный пост о странностях в поведении приложения Яндекс.Метро под Андроид. Мы очень серьёзно относимся к вопросам приватности наших пользователей и корректности поведения наших программ и по итогам поста провели внутреннее расследование. Его результатом стал не...
Разграничение информационных систем при защите персональных данных
Предмет данной статьи — разграничение информационных систем при защите персональных данных с помощью программы Киберсейф Межсетевой экран. В статье будет показан пример развертывания программы и разграничения доступа групп ПК в реальной компании. Читать дальше →...
Kali NetHunter. Мобильная pentest-платформа
5 января 2015г. состоялся релиз версии 1.1 Kali NetHunter, платформы для pentest-ов для мобильных устройств Nexus и OnePlus. Кратко опишу новые возможности и преимущества NetHunter и пошагово расскажу как установить Kali NetHunter на Nexus 5. Тем кому интересно — прошу под кат. Читать дальше →...
Kali NetHunter. Мобильная pentest-платформа
5 января 2015г. состоялся релиз версии 1.1 Kali NetHunter, платформы для pentest-ов для мобильных устройств Nexus и OnePlus. Кратко опишу новые возможности и преимущества NetHunter и пошагово расскажу как установить Kali NetHunter на Nexus 5. Тем кому интересно — прошу под кат. Читать дальше →...
Исследование: Перехват трафика мобильного Интернета через GTP и GRX
Большинство абонентов считают, что работа через сотовую сеть достаточно безопасна, ведь крупный оператор связи наверняка позаботился о защите. Увы, на практике в мобильном Интернете есть множество лазеек, дающих широкие возможности для злоумышленников. Исследователи Positive Technologies обнаружили...
[Из песочницы] Почему вам надо обновить свои SSL сертификаты
Если точнее, то SSL/TLS сертификаты. Если смотреть трезво, то использовать теперь следует только TLS. Но сертификат-то что для SSL, что для TLS один. И называют его все по привычке «SSL сертификат». Статья предназначена, в основном, для администраторов веб=серверов. Причина, по которой вам возможно...
[Перевод] Новое исследование: Неограниченный доступ сотрудников к конфиденциальным файлам подвергает опасности важные данные
Инсайдеры со слишком широкими правами доступа часто становятся виновниками утечки данных, согласно результатам опроса более 2000 служащих, проведенного под эгидой Varonis. НЬЮ-ЙОРК – (Marketwired) – 12.09.2014 – Несмотря на растущее количество утечек данных, получающих широкую огласку, 71 процент...
Перестаем пользоваться паролями в Plesk’е
Зачем это нужно? Использование паролей для аутентификации имеет свои нюансы. Сложные пароли трудно запомнить, легкий пароль — могут подобрать. Если паролей нужно несколько десятков, то запоминать их все становится мучительно. Пароли начинают записывать. Хорошо, если это что-то типа программы...
Статистика использования imarker (система СОРМ-like веб-аналитики)
Прошел ровно месяц с момента публикации о системе imarker, коммерческой веб-аналитике, которая, по заверению самой системы на тот момент, должна была стоять у Акадо, ТТК, Ростелекома, Эр-Телекома, NetByNet и QWERTY, однако, сейчас официальный сайт изменили, и теперь они заявляют, что работают...
Ограничение количества попыток ввода пароля в веб-форме авторизации WordPress при помощи Nginx или HAProxy
Рассмотрим на примере WordPress способ усиления безопасности при помощи ограничения количества HTTP-запросов к форме ввода пароля. Это позволит оградить опубликованный блог от брутфорса (поиска и взлома пароля путем перебора всех теоретически возможных вариантов из определенного набора символов или...
MyTOTP — полностью своя* двухфакторная авторизация по rfc6238
Итак, вы решили внедрить двухфакторную авторизацию для своего проекта, и решили не следовать примеру Яндекса и изобретать свой новый стандарт, а воспользоваться существующим, а именно TOTP по rfc6238 Алгоритмы генерации и валидации одноразовых кодов достаточно подробно описаны как в самом RFC, так...
Бесплатно и безопасно: главные мифы свободного ПО
Минкомсвязи в конце декабря опубликовало свои взгляды в отношении внедрения свободного программного обеспечения (СПО) в госорганах. В документе перечислены преимущества свободных продуктов, главными из которых названы бесплатность и безопасность. Но так ли это на самом деле? Читать дальше →...
XSS уязвимость на Mobli
Совсем недавно мне нужно было загрузить ролик на Mobli. Mobli — это социальная сеть для обмена фотографиями и видео. Примерное кол-во пользователей 22 миллиона. После прошлого случая, у меня появилась привычка проверять сайты на XSS. Читать дальше →...
XSS уязвимость на Mobli
Совсем недавно мне нужно было загрузить ролик на Mobli. Mobli — это социальная сеть для обмена фотографиями и видео. Примерное кол-во пользователей 22 миллиона. После прошлого случая, у меня появилась привычка проверять сайты на XSS. Читать дальше →...
Adobe исправила очередную опасную уязвимость Flash Player
Компания Adobe выпустила очередное внеплановое обновление для Flash Player (APSB15-04). На этот раз речь идет о 0day уязвимости CVE-2015-0313, которая использовалась атакующими для осуществления атак drive-by download (скрытная установка вредоносного ПО). Это третье обновление Flash Player за...
Microsoft выплатила рекордные $125k за эксплойт
Microsoft выплатила $100k security-ресерчерам из группы Zero Day Initiative (ZDI) за демонстрацию метода успешного обхода новейших механизмов защиты Internet Explorer 11 от уязвимостей. Речь идет о механизмах браузера под общим названием Anti-Use-After-Free (Anti-UAF). Еще $25k были выплачены за...
XSS-уязвимость нулевого дня в Internet Explorer позволяет атаковать любые сайты
Сегодня стало известно о появлении ранее неизвестной уязвимости межсайтового скриптинга в Microsoft Internet Explorer. Используя эту ошибку, удаленный пользователь может внедрить в HTML-страницу произвольный JavaScript-сценарий в обход политики единства происхождения практически на любом сайте....