Безопасность веб-приложений: от уязвимостей до мониторинга
Уязвимости веб-приложений возникают тогда, когда разработчики добавляют небезопасный код в веб-приложение. Это может происходить как на этапе разработки, так и на этапе доработки или исправления найденных ранее уязвимостей. Недостатки часто классифицируются по степени критичности и их...
ЕС предупреждает: под предлогом коронавируса нельзя нарушать приватность
Google и Apple внедряют в свои операционные системы общий механизм Contact Tracing API для отслеживания контактов пользователя и передачи этих данных третьим лицам. Предполагается, что доступ к API получат программные сервисы, помогающие сдерживать распространение коронавируса. Возможно,...
Популярный сервис цифровой подписи DocuSign теперь поддерживает инфраструктуру GlobalSign
Подпись DocuSign добавляется в документ PDF в программе Adobe Acrobat Reader DC Если работники сидят в карантине и не могут выйти в офис, то как подписывать документы? GlobalSign и DocuSign заключили соглашение о технологическом партнёрстве. Это значит, что сервис цифровой подписи Digital Signing...
Вирусная эпидемия требует удалённой работы, а значит — цифровой подписи документов
В США довольно популярен сервис Service Experts по удалённому найму сантехников, специалистов по отоплению, кондиционированию воздуха и так далее. В России тоже есть аналогичные сайты: очень удобно быстро подобрать мастера. Хотя в нынешних условиях лучше самостоятельно прибить эту полку, чтобы...
Как я обошёл запрет на Messages API через документацию Вконтакте
Привет всему Хабро-сообществу. Для меня эта первая статья и пишется она под определённой эйфорией, так что прошу не судить эту статью слишком строго за литературную часть. Но что же, меньше слов и переходим к делу. С чего всё началось Все мы знаем, что у ВК есть API, и я уверен, что большинство...
Hack The Box — прохождение AI. SQLi в AРI Text To Sрeach, SSH Forwarding и RCE в JDWР
Продолжаю публикацию решений отправленных на дорешивание машин с площадки HackTheBox. Надеюсь, что это поможет хоть кому-то развиваться в области ИБ. В данной статье познакомимся с преобразованием текста в голос и найдем SQL иньекцию в AРI, прокинем порт через SSH, а также выполним RCE с помощью...
Hack The Box — прохождение Craft. Копаемся в Git, эксплуатируем уязвимости в API, разбираемся с Vault
Данной статьей я начну публикацию решений отправленных на дорешивание машин с площадки HackTheBox. Надеюсь, что это поможет хоть кому-то развиваться в области ИБ. Мы рассмотрим, как можно проэксплуатировать RCE в API, покопаемся в репозиториях Gogs, поработаем с базами данных и разберемся c...
Аппаратное шифрование DRAM уже близко. Чем оно грозит простым пользователям?
Существует масса вариантов для шифрования дисков, разделов и отдельных документов. На случай компрометации одного устройства есть даже федеративное распределение ключа, где для доступа требуется участие нескольких сторон (см. схему разделения секрета Шамира). Опции шифрования файловой системы...
Звуковой отпечаток компьютера через AudioContext API
Компании, отслеживающие действия пользователей в интернете, нуждаются в надёжной идентификации каждого человека без его ведома. Фингерпринтинг через браузер подходит идеально. Никто не заметит, если веб-страница попросит отрисовать фрагмент графики через canvas или сгенерирует звуковой сигнал...
Сторонние сервисы, которые Apple предустанавливала на iOS: YouTube, Яндекс, Карты, Twitter, Facebook, FeliCa, Baidu
5 ноября Госдума в первом чтении одобрила законопроект, по которому на смартфоны, компьютеры, Smart-TV, продающиеся в России, должны будут предустанавливаться российские сервисы из списка определённого в Правительстве. Представитель Ассоциации торговых компаний и товаропроизводителей электробытовой...
Пиратский источник кино для рунета Moonwalk наконец-то прибили голландцы
Голландский Фонд защиты авторских прав (BREIN) и судебные приставы предписали пятёрке местных хостинг-провайдеров отключить серверы, конфисковать улики и сохранить метаданных трёх голландских и двух иностранных (по отношению к Нидерландам) видеопиратских компаний. Целью приставов стал сервис...
Верификация пользователей в Китае и социальный кредит
Согласно законодательству КНР, регистрация на любом интернет-портале или сервисе требует идентифицировать пользователя как реальное лицо. О том, как это сделать, что для этого требуется и какие последствия несет мы и поговорим в этой статье. Читать дальше →...
OWASP API Security Top 10 RC
Этот проект предназначен для постоянно растущего числа организаций, которые внедряют потенциально чувствительные API в рамках своих программных решений. API используются для внутренних задач и для взаимодействия со сторонними сервисами. К сожалению, многие API не проходят тщательного тестирования...
[Из песочницы] Почему самоуничтожающиеся фотографии/видео в Telegram не безопасны
Совсем недавно я увидел статью, где говорилось о внедрении самоуничтожающихся сообщений в мессенджере WhatsApp. Она будет иметь схожую с Telegram функциональность, но если в мессенджере Дурова удаление распространяется как на обычные сообщения (секретные чаты), также их можно использовать на фотках...
Huawei предусмотрели бэкдор для взлома смартфонов Mate 30
Разработчик Magisk, популярного приложения для получения и управления правами суперпользователя в Android John Wu обнаружил, что компания Huawei использовала собственные недокументированные API в смартфонах серии Mate 30. [Предположительно] лишь для установки сервизов Google. Недокументированные...
OAuth авторизация и InterSystems IRIS – укрощаем протоколы доверия
Как разрешить компьютерам доверять друг другу в ваше отсутствие, сохраняя безопасность и приватность? — Сухой «мартини». В большом бокале. — Oui, monsieur. [Да, месье (фр.)] — Секунду, еще не все. Три пальца «Гордона», один — водки, полпальца «Кины Ликлет». Хорошо взбейте в шейкере, а потом...
Запускаем OpenVPN в Докере за 2 секунды
Привет, хабровчане! Сталкивались ли вы когда-либо с ситуацией, когда очень хотелось бы виртуально перенестись в другой город, страну или на другой континет? У меня такая необходимость возникает достаточно часто, поэтому возможность иметь свой VPN сервер, который можно запусть где угодно, за пару...
Vimeo купили видеоредактор Magisto проинвестированный Mail.ru в 2014
Видеосервис Vimeo объявил о покупке платформы Magisto для редактирования или автоматического создания видеороликов и их дистрибуции. Изначально проект появился в виде приложений для смартфонов и API для построения онлайн-сервисов. Конечные продукты могли работать под любым брендом, в частности на...