Уязвимость карты Подорожник: бесплатные поездки в наземном транспорте Санкт-Петербурга
Почти год назад на Хабрахабре появилась статья "Исследование защищенности карты Тройка", в которой было подробно описано устройство проездных билетов и векторы атаки на систему оплаты общественного транспорта в Москве. Ещё тогда, вдохновившись прочитанным, мне захотелось попробовать применить...
[Из песочницы] Фича, а не баг. Или как Rambler позволяют подменять отправителя письма
Добрый день. Меня зовут Алексей. Я занимаюсь написанием ботов и реверсом Android приложений с поиском в них уязвимостей. Мне попало в руки приложение Рамблер/почта для Android. Цель была автоматизировать отправку почты средствами API мобильного приложения. Был запущен эмулятор MEmu и Charles,...
Хакатон «Лаборатории Касперского»: спаси от хакеров завод по переработке газойля
Для изучения состояния промышленных систем эксперты по безопасности “Лаборатории Касперского” используют подход под названием Industrial DPI (Deep Packet Inspection), подразумевающий детальный разбор технологических процессов. Иными словами, работа контроллеров АСУ ТП исследуется на прикладном...
Хакатон «Лаборатории Касперского»: спаси от хакеров завод по переработке газойля
Для изучения состояния промышленных систем эксперты по безопасности “Лаборатории Касперского” используют подход под названием Industrial DPI (Deep Packet Inspection), подразумевающий детальный разбор технологических процессов. Иными словами, работа контроллеров АСУ ТП исследуется на прикладном...
Хакер за вознаграждение уничтожал данные о штрафах за нарушение ПДД
Изображение: John Grimm, Flickr Как сообщают СМИ, сотрудники полиции города Улан-Батор (Монголия) арестовали 25-летнего хакера. По версии следствия, он за вознаграждение уничтожал сведения о штрафах за нарушение ПДД на сервере городского центра управления дорожным движением. До 90% дорожного...
Хакер за вознаграждение уничтожал данные о штрафах за нарушение ПДД
Изображение: John Grimm, Flickr Как сообщают СМИ, сотрудники полиции города Улан-Батор (Монголия) арестовали 25-летнего хакера. По версии следствия, он за вознаграждение уничтожал сведения о штрафах за нарушение ПДД на сервере городского центра управления дорожным движением. До 90% дорожного...
Файловое хранилище в соцсети и другие проекты студентов Университета Иннополис
Обучающиеся магистерской программы «Разработка безопасных систем и сетей» нашли слабые места в криптосистемах, предложили способы по улучшению защиты больших графов и выяснили, что во «ВКонтакте» под видом аудиозаписей можно хранить файлы любого типа и размера. Читать дальше →...
Файловое хранилище в соцсети и другие проекты студентов Университета Иннополис
Обучающиеся магистерской программы «Разработка безопасных систем и сетей» нашли слабые места в криптосистемах, предложили способы по улучшению защиты больших графов и выяснили, что во «ВКонтакте» под видом аудиозаписей можно хранить файлы любого типа и размера. Читать дальше →...
Часто используемые пароли: как не попасться самому и уберечь пользователей
Прошлый год был богат на сообщения о взломах соцсетей, организаций и крупных проектов, и почти в каждом фигурировали “часто используемые пароли”, которые, несмотря на свою небезопасность, тем не менее продолжают использоваться миллионами пользователей. Применение стойких хеш-алгоритмов и “соление”...
Часто используемые пароли: как не попасться самому и уберечь пользователей
Прошлый год был богат на сообщения о взломах соцсетей, организаций и крупных проектов, и почти в каждом фигурировали “часто используемые пароли”, которые, несмотря на свою небезопасность, тем не менее продолжают использоваться миллионами пользователей. Применение стойких хеш-алгоритмов и “соление”...
А ты хто такой? Эволюция протоколов аутентификации MySQL и MariaDB в лицах
В далекие времена, до фейсбука и гугла, когда 32 мегабайта RAM было дофига как много, security была тоже… немножко наивной. Вирусы выдвигали лоток CD-ROM-а и играли Янки Дудль. Статья «Smashing the stack for fun and profit» уже была задумана, но еще не написана. Все пользовались telnet и ftp, и...
Отчет с OWASP Russia Meetup #6: видео и презентации докладов
На прошлой неделе в московском офисе Positive Technologies состоялась первая в 2017 году встреча российского отделения OWASP (международного сообщества специалистов по информационной безопасности). Сегодня мы публикуем отчет об этом митапе, а также видео и презентации представленных на нем...
Отчет с OWASP Russia Meetup #6: видео и презентации докладов
На прошлой неделе в московском офисе Positive Technologies состоялась первая в 2017 году встреча российского отделения OWASP (международного сообщества специалистов по информационной безопасности). Сегодня мы публикуем отчет об этом митапе, а также видео и презентации представленных на нем...
Построение демилитаризованной зоны DMZ в системах АСУ ТП с помощью протоколов Modbus и МЭК-60870-5-104
Всем здравствуйте! Статься предназначена для специалистов в области АСУ ТП. Остальным она может оказаться непонятной из-за обилия специфических терминов. Как правило в АСУ ТП реализация демилитаризованной зоны выглядит следующим образом: В сети №1 есть OPC-сервер от которого должен получать данные...
[Перевод] Требования к паролям — полная чушь
Знаете, что самое худшее в паролях (а там есть из чего выбирать)? Требования к их сложности. «Если мы не решим проблему с паролями при моей жизни, я восстану из могилы призраком и буду вас всех преследовать». Пусть эта клятва будет записана на скрижалях Интернета. Я не в курсе, есть ли жизнь после...
[Перевод] Требования к паролям — полная чушь
Знаете, что самое худшее в паролях (а там есть из чего выбирать)? Требования к их сложности. «Если мы не решим проблему с паролями при моей жизни, я восстану из могилы призраком и буду вас всех преследовать». Пусть эта клятва будет записана на скрижалях Интернета. Я не в курсе, есть ли жизнь после...
Корпоративные лаборатории — учебный процесс
Корпоративные лаборатории Pentestit — уникальные по своему формату и содержанию курсы практической ИБ-подготовки, разработанные на основе лучших практик тестирования на проникновение и анализа защищенности, по уровню содержания сравнимые с материалами хакерских конференций. Читать дальше →...
Корпоративные лаборатории — учебный процесс
Корпоративные лаборатории Pentestit — уникальные по своему формату и содержанию курсы практической ИБ-подготовки, разработанные на основе лучших практик тестирования на проникновение и анализа защищенности, по уровню содержания сравнимые с материалами хакерских конференций. Читать дальше →...