Эксплуатация cookie-based XSS | $2300 Bug Bounty story
⠀Уже на протяжении довольно длительного времени я охочусь за уязвимостями на платформе HackerOne, выделяю некоторое количество времени вне основной работы, чтобы проверить любимые и новые программы. Бесчисленное количество раз приходилось натыкаться на cookie-based XSS уязвимость, которая и станет...
Apple Watch 4 (44 мм, 2019 г.) vs Pebble Steel Classic (2014 г.)
Свои Pebble Steel Classic я купил в 2014 году, аккурат перед выпуском самых первых Apple Watch (0 серия) (можно почитать мой обзор далекого 2014 года https://habr.com/ru/post/364677/). Я помню как сильно сомневался брать Pebble или подождать выпуска Apple Watch (это же Apple!) и как испытал...
[Перевод] Руководство для начинающих по SELinux
Перевод статьи подготовлен для студентов курса «Безопасность Linux» SELinux или Security Enhanced Linux — это улучшенный механизм управления доступом, разработанный Агентством национальной безопасности США (АНБ США) для предотвращения злонамеренных вторжений. Он реализует принудительную (или...
О столе для работы стоя, здоровье позвоночника и личной эффективности
С недавних пор я снова перешёл на 100% работу из дома и стал использовать стол для работы стоя. Хочу поделиться дампом своего опыта на тему здоровья, призвать закончить прокрастинировать и начать работать стоя. Сначала, о том, почему стол для работы стоя — не панацея... Читать дальше →...
Check Point Falcon Acceleration Cards — ускоряем обработку трафика
Относительно недавно мы публиковали статью про Check Point Maestro, новую масштабируемую платформу, которая позволяет практически линейно наращивать “мощность” шлюзов Check Point. Однако это не единственная технология увеличения производительности. Еще в 2018 году были анонсированы новые карты...
Управление мобильными устройствами и не только с помощью UEM решения от Sophos
Сегодня многие компании в своей работе активно используют не только компьютеры, но и мобильные устройства и ноутбуки. В связи с этим появляется проблема управления этими устройствами, используя унифицированное решение. Sophos Mobile успешно справляется с этой задачей и открывает большие возможности...
Google Chrome перестанет защищать от XSS-атак?
Google удаляет XSS Auditor из браузера Chrome после серии уязвимостей, подвергших сомнению эффективность данной функции. Читать дальше →...
Race condition в веб-приложениях
TL;DR Большинство атакующих использовали ненадежные методы race condition, инструмент racepwn поможет это исправить Вася хочет перевести 100 долларов, которые есть у него на счету, Пете. Он переходит на вкладку переводов, вбивает Петин ник и в поле с количеством средств, которые необходимо...
The Matrix has you: обзор проектов, использующих MITRE ATT&CK
Уже давно на разных площадках обсуждается матрица MITRE ATT&CK (Adversarial Tactics, Techniques and Common Knowledge), в том числе есть целая серия статей здесь, на самом Хабре. Можно сказать, что сообщество приняло эту модель, более того — многие начали ее использовать. Сегодня мы составили для...
Мегафон снял 600 рублей за бесплатную опцию
Я люблю Мегафон, и являюсь клиентом с питерских времён, именно по этому меня раздражает то, что происходит последнее время. Трачу наше с вами время и пишу не ради того чтобы поплакаться в жилетку, а с верой в самое действенное СМИ, вдруг Мегафон одумается и начнёт исправляться, для этого и...
Мощные светодиодные лампы нового поколения
Появились мощные светодиодные лампы, у которых люминофор нанесён на колбу изнутри. Я изучил и протестировал лампы нового поколения. Читать дальше →...
Пароли, пароли… пароли (на мотив песни)
«Вы думаете, всё так просто? Да, всё просто. Но совсем не так… „ Альберт Энштейн Одно из любимых занятий человечества: все усложнять. Раньше как было: подходил человек к двери и говорил голосом: “Открывай, Зина, это я!» или стучал три раза определенным образом о косяк и дверь открывалась. Но с...
Рецепты для ELFов
На русском языке довольно мало информации про то, как работать с ELF-файлами (формат ELF (Execution & Linkable Format) — основной формат исполняемых файлов Linux и многих Unix-систем). Не претендуем на полное покрытие всех возможных сценариев работы с эльфами, но надеемся, что информация будет...
Похождения электронной подписи в России
Стоит признать, что мы живём в информационном веке и сложно недооценивать значение информационных систем в повседневной жизни. Государства всё больше вмешиваются в некогда гиковскую информационную область и устанавливают правила её регулирования. Одним из институтов государственного регулирования в...
OpenGear — снижаем время простоя бизнеса, используя консольный сервер с Out-of-Band управлением
Казалось бы простое устройство — консольный сервер, однако на сегодняшний день это не просто глупое устройство, а умная платформа для создания экосистемы по управлению и автоматизации развёртывания активного сетевого оборудования. Ведь у неё есть самое главное — классическая консоль, которая даёт...
Решение задания с pwnable.kr 07 — input. Разбираемся с pwntools
В данной статье разберем решение многоуровнего задания с помощью библиотеки pwntools. Организационная информация Специально для тех, кто хочет узнавать что-то новое и развиваться в любой из сфер информационной и компьютерной безопасности, я буду писать и рассказывать о следующих категориях: PWN;...
Вокруг света с электронной книгой: обзор ONYX BOOX James Cook 2
«Сделайте хотя бы раз то, что, по словам окружающих, вам не по плечу. После этого вы уже никогда не будете обращать внимание на их правила и ограничения.» Джеймс Кук, английский военный моряк, картограф и первооткрыватель К выбору электронной книги каждый подходит по-своему. Одни долго думают и...
Как получить NextGen Firewall себе домой абсолютно бесплатно
Всем привет! Сегодня речь пойдет о том, как получить продукт энтерпрайз класса с полным функционалом себе домой абсолютно бесплатно. Для дома я использую следующие функции: фильтрую веб-трафик домашних пользователей (современный интернет даже при легитимном использовании может быть коварным для...