[Из песочницы] Взлом аккаунтов через форму и событие. «XSS», чтобы не было путаницы с каскадными таблицами стилей
Вторую часть заголовка я взял из статьи вики. Забавно звучит. Легкое чтиво, веселого проникновения. Я хотел уже запостить котиков на страничке, нажал кнопку предпросмотр, увидел погрузку контента и мой браузер на пол секунды повис, развернув чуть ниже кнопки «добавить», «мой будущий пост». Я нажал...
Новая версия TextSecure: зашифрованные чаты под Android
Компания Whisper Systems выпустила новую версию своего приложения TextSecure для Android. Если раньше TextSecure шифровал содержимое SMS, то теперь работает как обычный асинхронный ... Источник:Хабрахабр, Информационная безопасность...
Apple обещает скоро исправить SSL-баг в OS X
Компания Apple признала наличие бага в Mac OS X 10.9.1, который позволяет перехватывать трафик, зашифрованный по SSL. Несколько дней назад вышли соответствующие обновления безопасности iOS 7.0.6 и 6.1.6 для iOS 7 и 6. Как выяснилось, баг присутствует и в последней версии Mac OS X. Уязвимы все...
Ещё один пример теста на проникновение из собственной практики
Доброго времени суток, уважаемые читатели. Давно я не писал примеров по пен-тесту из собственной практики, пора это исправить. Как раз имеется один заказ, после выполнения которого прошло уже достаточно времени, и клиент разрешил опубликовать информацию в сети, но, естественно, без упоминания...
О чем расскажут на PHDays IV: трояны на SIM-карте и куда бежать при киберналете
Как создать вирус и ботнет для Android? Что можно узнать, купив жесткий диск на аукционе EBay? Чем угрожает SIM-карта своему владельцу? Как скопировать токен одноразовых паролей? 17 февраля стартовал заключительный этап Call For Papers ... Источник:Хабрахабр, Информационная безопасность...
Банк России считает биткоины финансовой пирамидой
Олимпиада закончилась, наступила пора закручивать гайки. Глава департамента национальной платежной системы ЦБ Тимур Батырев говорит, что Биткоин — это финансовая пирамида: Найдутся люди, готовые расстаться с деньгами в расчете на легкую прибыль, и купят биткоины. Но будут и те люди, которые оплатят...
От белорусских компаний потребовали сертифицировать продаваемые средства защиты информации
Прошу прощения за такой громкий заголовок, но никак иначе назвать я это не могу. Сегодня хотели взять счета на продление антивируса, и получили ошеломляющую новость. Оказывается с 1-го января 2014 года в Беларуси перестали продаваться любые антивирусные продукты и не только они. Хочу сразу отметить...
Шифрованный тоннель для общения через VK (RSA + GreaseMonkey)
В связи с развитием событий в мире последним временем пользователи сети всё чаще задумываются о своей безопасности: кто-то отказывается пользоваться рядом web-сервисов, кто-то удаляет личную информацию, фото и другие данные с социальных сетей, а кто-то и вовсе «блокирует» свои учётные записи. Но...
Адам Лэнгли объяснил причины бага в iOS: лишняя строчка кода поломала всю безопасность
Вчера компания Apple выпустила обновление безопасности iOS 7.0.6 для iPhone 4 и более поздних моделей, iPod touch 5-го поколения и iPad 2+. Одновременно выпущен аналогичный патч 6.1.6 для iPhone 3GS и iPod touch 4-го поколения. Обновление закрывает уязвимость CVE-2014-1266, которая позволяет...
А может не уведомлять об обработке персональных данных?
Частью первой ст 22 Федерального закона от 27 июля 2006 года N 152-ФЗ «О персональных данных» (далее в статье — Закон) предусмотрена обязанность оператора, осуществляющего обработку персональных данных, уведомить орган Роскомнадзора до начала обработки. Сразу же (во второй части статьи) Закон...
[Из песочницы] Беда с web безопасностью или самый защищенный банк Америки
Вдохновившись статьей MrGrey о реакций российских компаний на плохие новости о дырах в безопасности, решил добавить свои 5 копеек, рассказав о своем опыте общения с американским Банком, который называет самым защищенным банком и является одним из крупнейших банков Америки — и в ообщем, наверное,...
[Из песочницы] Беда с web безопасностью или самый защищенный банк Америки
Вдохновившись статьей MrGrey о реакций российских компаний на плохие новости о дырах в безопасности, решил добавить свои 5 копеек, рассказав о своем опыте общения с американским Банком, который называет самым защищенным банком и является одним из крупнейших банков Америки — и в общем, наверное,...
[Из песочницы] Как я перехватывал трафик покер рума или «Пишем свой MitM SSL прокси на C#»
Однажды у меня появилась навязчивая идея: посмотреть, а что же там такого покерный клиент отправляет на сервер. Как Вы понимаете, крупные покерные румы используют SSL для передачи данных. Протоколы, основанные на асимметричном шифровании, подвержены только одному известному мне виду атак — MitM...
[Перевод] Переполненяем стек в fprintf на Linksys WRT120N
После того, как мы получили расшифрованную прошивку и JTAG-доступ к устройству, настало время поисследовать код на какие-нибудь интересные баги. Как мы узнали раньше, WRT120N работает на RTOS. В целях безопасности, административный WEB-интерфейс RTOS использует HTTP Basic authentication:...
[Перевод] Переполненяем стек в fprintf на Linksys WRT120N
После того, как мы получили расшифрованную прошивку и JTAG-доступ к устройству, настало время поисследовать код на какие-нибудь интересные баги. Как мы узнали раньше, WRT120N работает на RTOS. В целях безопасности, административный WEB-интерфейс RTOS использует HTTP Basic authentication:...
[Из песочницы] Реакция разных компаний на уязвимости их ресурсов
В данном посте я решил немного рассказать о своих исследованиях в области IT безопасности. Некоторые компании не будут названы в статье, чтобы не портить «имидж». Ресурсы в которых были найдены уязвимости: aa.mail.ru, nag.ru, graph.document.kremlin.ru, sencha.com, parallels.com, volgogsm.ru,...
[Из песочницы] Реакция разных компаний на уязвимости их ресурсов
В данном посте я решил немного рассказать о своих исследованиях в области IT безопасности. Некоторые компании не будут названы в статье, чтобы не портить «имидж». Ресурсы в которых были найдены уязвимости: aa.mail.ru, nag.ru, graph.document.kremlin.ru, sencha.com, parallels.com, volgogsm.ru,...
[Перевод] Исследуем обфускацию прошивки Linksys WRT120N
Недавно мое внимание привлек факт, что в обновлениях прошивок для Linksys WRT120N используют какую-то обфускацию. Мне показалось, что будет интересно порыться в ней, и я решил взглянуть. Последняя версия прошивки не выглядит как прошивка, с которой можно сразу работать Как вы можете видеть, есть...