Анализ уязвимостей стека протокола мобильных операторов связи SS7
В современном мире мы не можем представить жизнь без мобильной связи. Мы постоянно на связи, получаем OTP коды от различных веб-сервисов и банковских приложений. Есть мнение, что сеть мобильных операторов связи закрыта и защищена от атак злоумышленников, но на самом деле нет. Пограничное...
Самые громкие события инфобеза за июнь 2023 года
Всем привет! По следам ушедшего месяца подводим итоги дайджестом новостей. Он выдался довольно горячим: в первый же день июня прогремела «Операция Триангуляция» со спайварью под айфоны, выявленной Касперским на пару с ФСБ. А следом Atomic Wallet подвергся до сих пор не объяснённому компанией...
Самые громкие события инфобеза за июнь 2023 года
Всем привет! По следам ушедшего месяца подводим итоги дайджестом новостей. Он выдался довольно горячим: в первый же день июня прогремела «Операция Триангуляция» со спайварью под айфоны, выявленной Касперским на пару с ФСБ. А следом Atomic Wallet подвергся до сих пор не объяснённому компанией...
Что не так с бесплатным VPN
В 2022 году Россия заняла второе место по использованию VPN в мире после Индии. Рост по количествам скачиваний VPN-сервисов составил 167%: если в 2021 году было скачано 12,59 млн. VPN-приложений, то в 2022 году уже 33,54 млн. О точном количестве пользователей VPN это не говорит, потому что...
Что не так с бесплатным VPN
В 2022 году Россия заняла второе место по использованию VPN в мире после Индии. Рост по количествам скачиваний VPN-сервисов составил 167%: если в 2021 году было скачано 12,59 млн. VPN-приложений, то в 2022 году уже 33,54 млн. О точном количестве пользователей VPN это не говорит, потому что...
Как утечки данных пользователей ChatGPT подставляют пользователей
В конце мая вскрылась масштабная утечка данных пользователей ChatGPT, которые потенциально могут скомпрометировать конфиденциальную и чувствительную информацию, которую пользователи доверяют этому продвинутому чат-боту. На биржах украденных данных в даркнете появились логи, содержащие более 100 000...
Как утечки данных пользователей ChatGPT подставляют пользователей
В конце мая вскрылась масштабная утечка данных пользователей ChatGPT, которые потенциально могут скомпрометировать конфиденциальную и чувствительную информацию, которую пользователи доверяют этому продвинутому чат-боту. На биржах украденных данных в даркнете появились логи, содержащие более 100 000...
Защищаем Linux с помощью iptables
В этой статье мы поговорим о настройке iptables – межсетевого экрана, работающего непосредственно на хосте. Конечно, хостовые файрволлы администраторы часто отключают, полагаясь исключительно на периметровые средства защиты, чтобы они не мешали администрировать. Однако безопасности много не бывает...
Защищаем Linux с помощью iptables
В этой статье мы поговорим о настройке iptables – межсетевого экрана, работающего непосредственно на хосте. Конечно, хостовые файрволлы администраторы часто отключают, полагаясь исключительно на периметровые средства защиты, чтобы они не мешали администрировать. Однако безопасности много не бывает...
Митигация SQL-инъекций при работе с PostgreSQL
Привет, Хабр! Меня зовут Игорь, я занимаюсь разработкой серверной части в команде RuBackup. В процессе своей работы мы с коллегами уделяем большое внимание вопросам безопасности наших приложений. SQL-инъекция — одна из самых серьезных угроз этой безопасности. Она заняла третье место в списке 25...
Митигация SQL-инъекций при работе с PostgreSQL
Привет, Хабр! Меня зовут Игорь, я занимаюсь разработкой серверной части в команде RuBackup. В процессе своей работы мы с коллегами уделяем большое внимание вопросам безопасности наших приложений. SQL-инъекция — одна из самых серьезных угроз этой безопасности. Она заняла третье место в списке 25...
Новый стандарт для онлайн-платежей: SPC
В июне 2023 года консорциум W3C анонсировал новый стандарт для подтверждения финансовых операций Secure Payment Confirmation (SPC), который в случае принятия упростит платежи в интернете. Пока стандарт опубликован в качестве рекомендации-кандидата (Candidate Recommendation). SPC делает стандартом...
Новый стандарт для онлайн-платежей: SPC
В июне 2023 года консорциум W3C анонсировал новый стандарт для подтверждения финансовых операций Secure Payment Confirmation (SPC), который в случае принятия упростит платежи в интернете. Пока стандарт опубликован в качестве рекомендации-кандидата (Candidate Recommendation). SPC делает стандартом...
BloodHound и GPO Client Side Extension
Продолжаем цикл статей «Учим старого пса новым трюкам», посвященных расширению возможностей BloodHound. Это популярный инструмент, который используется для сбора и анализа данных во время проведения пентеста внутренней инфраструктуры на базе Active Directory. BloodHound позволяет визуализировать...
BloodHound и GPO Client Side Extension
Продолжаем цикл статей «Учим старого пса новым трюкам», посвященных расширению возможностей BloodHound. Это популярный инструмент, который используется для сбора и анализа данных во время проведения пентеста внутренней инфраструктуры на базе Active Directory. BloodHound позволяет визуализировать...
Обход блокировки «Тиндера» — простой метод
20 июня 2023 года приложение для знакомств Tinder (США) заблокировало пользователей из РФ. Если конкретно, на сайте tinder.com и в мобильном приложении теперь нельзя авторизоваться с российских IP-адресов. Перед вами идеальный пример пользы от VPN, потому что в данном случае VPN решает проблему...
Обход блокировки «Тиндера» — простой метод
20 июня 2023 года приложение для знакомств Tinder (США) заблокировало пользователей из РФ. Если конкретно, на сайте tinder.com и в мобильном приложении теперь нельзя авторизоваться с российских IP-адресов. Перед вами идеальный пример пользы от VPN, потому что в данном случае VPN решает проблему...
Безопасная разработка и уязвимости кода. Часть 2. Пишем shell-код
В этой статье мы продолжим рассматривать интересную тему эксплуатации уязвимостей кода. В первой части мы выявили наличие самой уязвимости и узнали, какой именно объем байт мы можем передать нашей уязвимой программе для эксплуатации уязвимости. Сейчас мы на время оставим нашу уязвимую программу и...