[Перевод] XSS + Ошибки конфигурации OAuth = Кража токенов и захват аккаунта
В этой статье я расскажу о том, как мне удалось найти уязвимость для захвата аккаунта (Account Takeover, ATO) через ошибки конфигурации OAuth и украсть токены авторизации. Читать далее...
Standoff-онбординг: собираем команду, создаем баг-репорт и готовимся к соревнованиям
Всем привет! Это заключительный материал из нашего импровизированного цикла «Standoff-онбординг». В первой статье мы разобрали, как реализовывать фишинг и ломать внешний периметр, а во второй — взламывали внутренний периметр и АСУ ТП, а также говорили про дополнительные полезные источники и матрицу...
Подборка механических клавиатур: 5 беспроводных моделей для работы и творчества
Существует два основных вида клавиатур: мембранные и механические. Первые выбирают по внешнему виду, а вот со вторыми всё гораздо сложнее. Обе категории можно купить в магазине, но только одна из них допускает модификации или апгрейд. В механической клавиатуре можно заменить кейкапы, установить...
Выборочный роутинг по доменным именам на маршрутизаторах Keenetic
Эта статья предназначена для тех, кто хочет настроить выборочный роутинг на основе доменных имен на своих маршрутизаторах Keenetic. Основная цель — обойти блокировки по конкретным доменным именам, без необходимости добавлять сотни маршрутов в таблицу маршрутизации вручную. Такой подход значительно...
Безопасность цепочек поставок ПО. Построение процессов с помощью OSS
Привет, Хабр! Рассказываем об одном из вариантов применения Open Source инструментов Software Supply Chain Security. Коллеги по цеху попросили выложить небольшой его обзор сюда:) Эта статья является краткой текстовой версией моего доклада с конференции PHD2. Если тема вас заинтересует, можете...
Умная тонировка, дисплеи-трансформеры и шаг пикселя в 0,3 мм – что мы увидели на выставке BOE IPC 2024
Мы посетили мероприятие BOE – одного из крупнейших производителей матриц для дисплеев в мире. Компания ежегодно делится новинками на выставке инновационных партнеров BOE Innovation Partner Conference 2024 (BOE IPC 2024) в Пекине. Мероприятие уникально тем, что демонстрирует реальные продукты, кои...
[Перевод] Крадем учетные данные Windows
В этой статье мы разберем различные сценарии получения паролей в системе Windows. Metasploit Metasploit поставляется со встроенным модулем, который помогает нам провести атаку на получение учетных данных пользователя в открытом виде. Поскольку это модуль после эксплуатации, его просто нужно связать...
Ливанский куш, взлом банка с последствиями
Эта статья про физическое проникновение в один из банков Ливана. Легальный проект, с неожиданной концовкой, который выполнял один из самых известных специалистов по физическому тестированию на проникновение Jason E. Street! Вся история — это набор фактов, смешанный с его личными комментариями с...
ПО шагам: Защищаем сайт от парсеров и поведенческих ботов с помощью DNS-прокси
- контент не будет спаршен - с ВПН работает - выявит высокоуровневых JS ботов - реальных не заблокирует - фиксирование только настоящих просмотров - рекомендательная система будет работать изумительно Как интегрировать защиту, как выявить фейковых http ботов, как написать свой код верификации...
Apple Pro Weekly News (14.10 – 20.10.24)
Apple представила новый iPad mini 7, но что в нём нового? Какие новые возможности компания дала бизнесу, музыкантам, а что хочет сделать с сертификатами безопасности для сайтов? Немного о свежих бетах, багах в iPhone 16, а ещё про то, чем в России хотят заменить Apple Pay на iPhone. Какие...
Ноутбук с двумя экранами или два экрана для ноутбука — что выберете вы?
Хабр, привет! Это Антон Комаров, автор команды спецпроектов в МТС Диджитал. Сегодня поговорим о GPD Duo: что это за ноутбук и есть ли смысл в его покупке. Новый мощный GPD Duo с двумя дисплеями компания GPD анонсировала в начале этого года. Примерно неделю назад девайс появился на краудфандинговой...
Закон распределения делителей числа (расширенная версия)
В арифметике известны элементарные действия с числами (+), (–), (×), (/) и др., использование которых при заданных исходных данных дает нам возможность получать определенные результаты: сумму, разность, произведение, частное. Обратное действие с результатами в качестве исходных данных возможно...
PinkHash: Незабываемые розовые хеши
Розовый хеш — это как розовый слон, только хеш. Как превратить ваш обычный скучный хеш в голого эндокринолога, которого уже не забыть! А так же, как сделать свой собственный менеджер паролей, не доверяя пароли никаким внешним сервисам. К эндокринологам и многомерным антихристам...
Обзор HOMATICS 4K TV Stick: сертифицированный стик на Google TV c AFR, HDR, Dolby Atmos и лицензионным Netflix
Нашел классную TV приставку в виде стика, которая имеет нужные лицензии и сертификаты для высокого качества в популярных стриминговых сервисах, поддержку HDR и не требует танцев с бубном для настройки. Речь о HOMATICS 4K TV Stick — приставке, которая работает на Google TV и максимально адаптирована...
Создание GitHub бота для сообщества
В мире разработки ПО своевременное получение информации о событиях в репозиториях важно для активного сообщества. Мы решили автоматизировать этот процесс, создав чат-бота для нашего комьюнити в Telegram. Мы сделали упор на то, чтобы бот был простым в использовании, помогал оставаться в курсе...
Анонимная сеть Hidden Lake: переход на постквантовую криптографию
Всё что нам известно о текущем состоянии квантовых компьютеров - это их постоянное и планомерное улучшение, которое мы наблюдаем по открытым источникам. В это же время, нам всё также неизвестна реальная расстановка сил - неизвестно кто конкретно лидирует в гонке создания квантовых компьютеров, кто...
Действительно ли смартфон может работать в режиме скрытой прослушки?
Много лет среди обывателей распространена конспирологическая теория, что телефоны «подслушивают» пользователей даже в выключенном состоянии. Например, чтобы регистрировать ключевые слова и потом показывать актуальную контекстную рекламу. Некоторые замечали, что после обсуждения в офлайне какого-то...
Как в цифровом мире безопасно рассказать информацию не выдавая себя?
К примеру контрибьютер опенсорс проекта хочет рассказать о планах но при этом остаться анонимным. Или еще пример: какая-то технологическая фирма замешана в тёмных делишках и некоторый честный сотрудник хочет это прекратить. Он не знает сколько таких же как он единомышленников, но при этом он точно...