[Из песочницы] Пять очевидных ошибок, которые почему-то продолжают совершать
В этой статье я расскажу, как из одного сообщения об ошибке на сайте я случайно получил доступ к внутренней информации компании (и даже немного больше). Отмечу, что это можно проделать, используя один лишь браузер. Пролог Сайты иногда падают. Такое случается. Но вот то, что описано в статье,...
[Из песочницы] Пять очевидных ошибок, которые почему-то продолжают совершать
В этой статье я расскажу, как из одного сообщения об ошибке на сайте я случайно получил доступ к внутренней информации компании (и даже немного больше). Отмечу, что это можно проделать, используя один лишь браузер. Пролог Сайты иногда падают. Такое случается. Но вот то, что описано в статье,...
[Из песочницы] Очередной XSS на SoundCloud
Вечерний багхантинг на Facebook привел к сервису Soundcloud. Исследовалась возможность XSS уязвимостей при шейринге треков в ленту Facebook. После нескольких неудачных попыток захотелось проверить и сам Soundcloud. В течение первых 5 минут был обнаружен бесполезный, так называемый self-xss — при...
[Из песочницы] Очередной XSS на SoundCloud
Вечерний багхантинг на Facebook привел к сервису Soundcloud. Исследовалась возможность XSS уязвимостей при шейринге треков в ленту Facebook. После нескольких неудачных попыток захотелось проверить и сам Soundcloud. В течение первых 5 минут был обнаружен бесполезный, так называемый self-xss — при...
Топ-5 самых дурацких антивирусов. Записки хулигана
Дисклеймер: всему сказанному ниже «верить нельзя не верить»… Запятую поставьте сами. На носу 1 апреля, а многие из вас все еще пользуются скучными и устаревшими антивирусами. А ведь если побродить по разным софт-каталогам и поискать чего-нибудь на слово антивирус, можно найти ну очень интересные...
Single Sign-On (SSO): OpenAM + mod_auth_mellon
Пост расcчитан на новичков, которые только знакомятся с SSO. В интернете не очень много документации по связке OpenAM и mod_auth_mellon, тем более на русском языке. Для быстрого старта буду использовать образы Docker. Для аутентификации пользователя рассмотрю модуль mod_auth_mellon, но можно...
IO Ninja – программируемый эмулятор терминала/сниффер
Приветствую вас, уважаемые хабровчане! Сегодня я хотел начать рассказ об одном интересном продукте представляемой мной на хабре компании Tibbo. Продукт этот может оказаться полезен широкому кругу IT-профессионалов, включая системных администраторов, специалистов по информационной безопасности, и,...
[Из песочницы] Как мы нашли способ добавления в сообщество любого пользователя VK и получили за это $10 тыс
Как-то раз мы с другом написали расширение для браузера, которое отслеживало все клиентские запросы к серверу на сайте vk.com. Наше расширение не просто отслеживало, а искало те запросы, где присутствовал ID пользователя. Сначала запросов было очень много. Чтобы уменьшить, мы решили отправлять...
Почему Касперский определяет на сайте троян HEUR:Trojan.Script.Generic? (и возможный способ устранения)
Доброго времени суток. У меня созрела еще одна статья, касающаяся безопасности, а точнее доступа к Вашим сайтам, уважаемые вебмастера… и позвольте мне Вам рассказать. Угроза «HEUR:Trojan.Script.Generic» Возможно у Вас есть сайт и Вы не использовали библиотеки типа jQuery, а решили просто на...
Как создавать и зарабатывать на SaaS | Часть 17 | Персональные данные и врачебная тайна в облаке
Сегодня сухой пост, написанный в ходе плотных консультаций с юристами компании Зарцин и партнеры и стартапа Dental Cloud. Добавить мне нечего, по-этому читаем и обращаемся к Людмиле Харитоновой за разъяснениями и консультациями. И внимание(!) в нем ссылки на 16 нормативно-правовых актов и предлагаю...
Как поймать то, чего нет. Часть третья: а судьи кто?
В прошлой статье было показано, что основной проблемой безопасности является то, что средства защиты (на примере антивирусов) пропускают наиболее опасные вредоносные файлы. И такое поведение является нормальным и ожидаемым. С другой стороны, имеются результаты многочисленных тестов, которые...
Как поймать то, чего нет. Часть третья: а судьи кто?
В прошлой статье было показано, что основной проблемой безопасности является то, что средства защиты (на примере антивирусов) пропускают наиболее опасные вредоносные файлы. И такое поведение является нормальным и ожидаемым. С другой стороны, имеются результаты многочисленных тестов, которые...
Даниил Дубровкин: «Оpen source не значит, что это бесплатно и что это никому не принадлежит»
Представляем шестой выпуск подкаста о технологиях, процессах, инфраструктуре и людях в IT-компаниях. Сегодня в гостях у “CTOcast” — Даниил Дубровкин (Daniel Doubrovkine), технический директор компании Artsy и open source энтузиаст. Читать дальше →...
Даниил Дубровкин: «Оpen source не значит, что это бесплатно и что это никому не принадлежит»
Представляем шестой выпуск подкаста о технологиях, процессах, инфраструктуре и людях в IT-компаниях. Сегодня в гостях у “CTOcast” — Даниил Дубровкин (Daniel Doubrovkine), технический директор компании Artsy и open source энтузиаст. Читать дальше →...
Добиваемся OCSP stapling = Yes для сертификатов от WoSign на Nginx
Доброго времени суток, Хабражители. Прочитав статьи №1 и №2 (про бесплатные SSL сертификаты от китайских друзей WoSign столкнулся с тем, что многие не могут добиться OCSP stapling = Yes для этих сертификатов. Хочу рассказать как этого добился я. Мы получили сертификат WoSign, залили на сервер. И...
[Из песочницы] Исследование мобильного jar трояна
Бывает так, что вам приходит смс следующего содержания: «Вам пришло MMS-сообщение, которое можно посмотреть по ссылке: ...» Хотя сейчас мобильные вирусы уже полностью переключились на Android-устройства, все же остались старинные «динозавры», которые до сих пор терроризируют мирных жителей. В мои...
Про MAC-таблицы в коммутаторах
Привет, Хабр! Случается так, что иногда хочется отойти от скупой теории и перейти к практике. Сейчас как раз такой случай. Желание возникло на фоне воспоминаний того, как мы делали коммутатор. Он — вещь довольно простая, делов-то — пересылай пакеты с порта на порт, да статистику веди. Все оказалось...
Washington Post: Целыми днями сидите в Facebook? Будьте осторожны: ваш шеф может следить за вами
Предлагаю читателям перевод статьи «Stare at Facebook all day? Watch out: Your boss could be monitoring you», опубликованной в Washington Post. Мериэл Каррер – руководитель компании Patriot Scuba в Оккокане, штат Вирджиния, США. Это заведение организует поездки любителей дайвинга из округа...