[Из песочницы] xss уязвимость
Угрозы xss атак с применением javascript Прежде чем начать, стоит оговориться, что данный материал несет исключительно информационный характер. В наше время одним из самых популярных видов атак является межсайтовый скриптинг с применением javascript. В этой статье мы рассмотрим, какие проблемы...
[Из песочницы] xss уязвимость
Угрозы xss атак с применением javascript Прежде чем начать, стоит оговориться, что данный материал несет исключительно информационный характер. В наше время одним из самых популярных видов атак является межсайтовый скриптинг с применением javascript. В этой статье мы рассмотрим, какие проблемы...
Настройка VPN (PPTP) в Ubuntu 17.10 с авторизацией по смарт-карте JaCarta
В операционных системах семейства Windows настроить доступ по VPN c использованием смарт-карт – достаточное простое и тривиальное дело. Хотя, господа из MS явно сломали эту возможность в ОС Windows 10 версия 1709 сборка 16299.15. При попытке подключиться к VPN серверу по протоколу pptp с...
[Из песочницы] Безопасность в современных корпорациях
Предисловие Я работаю разработчиком в одной Бо-о-о-ольшой компании. Проникновение во внутренний контур – лакомый кусочек для мошенников. В компании, естественно, существует служба безопасности. Но, то, как работает служба безопасности и эффективность её работы у меня вызывает сомнения. В этой...
PCI DSS: что это такое и как под него сертифицироваться + наш опыт
— Хорошо, теперь покажите ваш статический анализатор кода. — Знакомьтесь, это Пётр. — Приятно познакомиться, но… — Пётр и есть наш статический анализатор кода. Когда вы работаете с платёжными данными, то должны обеспечивать определённый уровень безопасности. Этот уровень описан в стандарте PCI DSS,...
PCI DSS: что это такое и как под него сертифицироваться + наш опыт
— Хорошо, теперь покажите ваш статический анализатор кода. — Знакомьтесь, это Пётр. — Приятно познакомиться, но… — Пётр и есть наш статический анализатор кода. Когда вы работаете с платёжными данными, то должны обеспечивать определённый уровень безопасности. Этот уровень описан в стандарте PCI DSS,...
Включаем поддержку TLS v1.3 в Nginx на примере Debian 9
Всем доброго времени суток! Данный пост написан вследствие победы желания докопаться до сути над усталостью, сонливостью, соблазном опрокинуть очередную бутылочку пива пятничным вечером. Сразу скажу, что ничего супер сложного не раскрываю, всего лишь включение TLS v1.3 в Nginx. Наверняка на Хабре...
[Перевод] Чем опасны социальные сети на рабочем ПК?
Исследователи компании Trend Micro обнаружили новый бот-майнер криптовалюты, распространяющийся через Facebook Messenger. Впервые он был замечен в Южной Корее и получил прозвище Digmine. Также наблюдалось распространение Digmine в других регионах, таких как Вьетнам, Азербайджан, Украина, Вьетнам,...
Как я взломал компании, связанные с криптовалютой, и заработал на этом $60 000
Биткоин и криптовалюты в целом сейчас у всех на слуху. Моё знакомство с криптовалютами произошло примерно 5 месяцев назад, именно тогда я начал инвестировать в bitcoin и ethereum, курс на тот момент был по $1900 за btc и $89 за эфир. Для того, чтобы вы могли понять, какой профит я получил, скажу,...
Что-то не так с IDS сигнатурой
Имена Snort и Suricata IDS знакомы каждому, кто работает в сфере сетевой безопасности. Системы WAF и IDS — это те два класса защитных систем, которые анализируют сетевой трафик, разбирают протоколы самого верхнего уровня и сигнализируют о злонамеренной или нежелательной сетевой активности. Если...
Как управлять секциями в БД Oracle и не сойти с ума
Мы уже рассказывали о том, почему секционирование баз данных очень важно для производительности DLP-системы и как мы реализовывали его в PostgreSQL. В этой статье речь пойдет об Oracle. Специфика использования СУБД в DLP-решениях состоит в том, что объем данных прирастает очень быстро. Их...
Как бороться с майнерами криптовалют в корпоративной сети
На днях ФСБ нагрянула в аэропорт Внуково и задержала администратора, который на вычислительных мощностях авиационной гавани майнил криптовалюту (аналогичная проблема была и в Транснефти). Сразу отвечу на часто звучащий вопрос: “А причем тут ФСБ?” Все очень просто. Внуково — это не только аэропорт...
Как бороться с майнерами криптовалют в корпоративной сети
На днях ФСБ нагрянула в аэропорт Внуково и задержала администратора, который на вычислительных мощностях авиационной гавани майнил криптовалюту (аналогичная проблема была и в Транснефти). Сразу отвечу на часто звучащий вопрос: “А причем тут ФСБ?” Все очень просто. Внуково — это не только аэропорт...
Как скомпрометировать систему документооборота в несколько кликов
На пороге уже стоит 2018 год. Но большинство бородатых уязвимостей продолжает жить в разрабатываемых системах. И не смотря на то что появился OWASP Top-10 2017. И приоритетность определенных вещей сильно поменялась. По прежнему ничего не мешает натыкаться на ситуации, которые были актуальны в 2010....
Создание блокчейн-приложения для страховой компании с помощью Hyperledger Fabric от IBM
За счет распределенного реестра, смарт-контрактов и невозможности опровержения, блокчейн-технология совершает революцию в способах ведения деятельности финансовых учреждений, и индустрия страхования не исключение. В IBM разработали паттерн, позволяющее создать блокчейн-приложение для упрощения...
Сертификация CompTIA Network+
Начало CompTIA Network+, к этой сертификации я долго шел. Дело в том, что я — так называемый «процессный ИБ» (в свое время поднял CISM), и для нормального движения вперед понял, что без сетей никак. Необходимо было собрать воедино все что знаю по сетям, увидеть дальнейшее развитие. Выбирал между...
SecurityWeek 50: хактивист устал и мухожук, фальшивый криптокошелек для любителей панд, двуликий Янус под Android
Новость на русском, подробности на английском Профессиональное выгорание, постигшее хактивиста по прозвищу The Doctor (он же The Janit0r), заставило его забросить свой ботнет BrickBot и отправиться в бессрочный отпуск. Причина проста: затевая в 2016 году крестовый поход против дыр в IoT, апологет...
SecurityWeek 50: хактивист устал и мухожук, фальшивый криптокошелек для любителей панд, двуликий Янус под Android
Новость на русском, подробности на английском Профессиональное выгорание, постигшее хактивиста по прозвищу The Doctor (он же The Janit0r), заставило его забросить свой ботнет BrickBot и отправиться в бессрочный отпуск. Причина проста: затевая в 2016 году крестовый поход против дыр в IoT, апологет...