[Перевод] Первое знакомство с SQL-инъекциями
SQL-инъекции (SQL injection, SQLi, внедрение SQL-кода) часто называют самым распространённым методом атак на веб-сайты. Их широко используют хакеры и пентестеры в применении к веб-приложениям. В списке уязвимостей OWASP Топ-10 присутствуют SQL-инъекции, которые, наряду с другими подобными атаками,...
[Перевод] Кому еще дисковый сотовый телефон?
Не все столь радостно восприняли технологический путь развития мобильных устройств. Как оказывается, некоторые одаренные мечтатели ожидали от него совсем другого и теперь, не желая мириться с возникшей ситуацией, противопоставляют ей весьма изящные и вполне функциональные альтернативы, способные по...
[Перевод] Поиск секретных данных в исходном коде
Когда разработчики вносят прямо в исходный код секретные данные, вроде паролей и ключей API, эти данные вполне могут добраться до общедоступных репозиториев. Я — разработчик, и я признаю то, что раньше допускала попадание секретных данных в открытые GitHub-репозитории. Подобные данные, жёстко...
Аудит доступа к персональным данным (согласно GDPR) в базе данных и его последствия для администратора безопасности
Аудит доступа к персональным данным (согласно GDPR) в базе данных и его последствия для администратора безопасности Три года назад в Европе прогремел GDPR – новый закон о защите персональных данных. Озвучен он был заранее и готовились к нему основательно, благо что после принятия до вступления в...
Русские хакерши: разговор с Алисой Esage Шевченко
Примечание редактора: в декабре 2016 года президент Барак Обама подписал указ, в котором объявил о санкциях в отношении российских граждан и организаций в ответ на попытки вмешательства в выборы. В список вошли несколько известных хакеров, а также Федеральная служба безопасности (ФСБ) и Главное...
Segregation of Duties на примере SAP
Когда заходит речь о SoD (segregation of duties или разделении прав доступа) пользователей, то часто кажется что существует словно два мира – мир красивых презентаций о том, почему доверие в бизнесе это важно и мир реальности, где нужно конвертировать красивые слова о стратегии в реалистичную и,...
[Перевод] Интеллектуальный термометр
Автор статьи, перевод которой мы сегодня публикуем, хочет рассказать об устройстве AI Fever Screening Thermometer, разработкой которого он занимался около двух месяцев. Оно, с использованием термальной (инфракрасной) и обычной (цветной) камер, позволяет решать следующие задачи: Обнаружение людей,...
История жизни и смерти хакера, взломавшего пентагон и NASA в 15 лет
Как правило, хакеры стараются вести скрытный образ жизни и соблюдать анонимность. Многим это удается, но некоторые из них обретают популярность вопреки собственной воле. Так случилось, например, с Кевином Митником или Робертом Моррисом. Но есть и другие компьютерные гении, о судьбе которых известно...
Взрослый разговор о пентесте и хакинге
На этой неделе в наших соцсетях выступал Омар Ганиев, основатель компании DeteAct и член российской команды хакеров LC↯BC. Омара можно смело назвать одним из самых лучших хакеров страны. LC↯BC заняла первое место в финале международного турнира по компьютерной безопасности 0CTF в Шанхае в 2016...
[Перевод] Голосовое управление Roomba с помощью Alexa и эмулятора Belkin-Wemo
Роботом-пылесосом iRobot Roomba можно управлять голосовыми командами, запуская уборку или отправляя пылесос в док-станцию. Я уже рассказывал о том, как «общаться» с Roomba через сервер ioBroker. Сегодня речь пойдёт о системе голосового управления, для которой не нужен подобный сервер. Тут, для...
Анонс: взрослый разговор о пентесте и хакинге
ЗАВТРА, в 20:00 в наших соцсетях выступит Омар Ганиев, основатель компании DeteAct и член российской команды хакеров LC↯BC. Омара можно смело назвать одним из самых лучших хакеров страны. LC↯BC заняла первое место в финале международного турнира по компьютерной безопасности 0CTF в Шанхае в 2016...
Сертификация ISO27001
Однажды мой хороший друг сказал мне: «вся индустрия аудита основана на том, что люди друг другу врут». Это как нельзя лучше отражало истинную причину почему банкам и другим финансовым институтам нужно получать заключение внешних аудиторов каждый год – для того, чтобы другие институты верили их...
Хватит отдавать Гуглу ваши данные. Десять альтернатив для Google Analytics
4 сентября 1998 года Сергей Брин и Ларри Пейдж основали компанию Google. На заре своего существования Google представляла собой «фирму одного продукта», притом продукт получился настолько крутым и классным, что быстро пошатнул рыночные позиции конкурентов. Однако перенесемся на 23 года вперед....
Взлом по любви. Как математик взломал алгоритм сайта знакомств и нашел идеальную девушку
Как редактору журнала «Хакер», мне часто приходится писать о взломах. Все подобные случаи обычно связаны с хищением приватной информации, денег, либо и того и другого сразу. Очень редко хакер преследует какие-то иные цели: заявить о себе, отомстить бывшему работодателю или устроить акт вандализма...
[Перевод] Видеодомофон, основанный на Raspberry Pi
Автор статьи, перевод которой мы сегодня публикуем, хочет поделиться рассказом о создании видеодомофона, основанного на Raspberry Pi 3. Устройство работает в паре с iOS-телефоном, отправляя на него Push-уведомления когда кто-то нажимает на кнопку домофона. Система позволяет увидеть гостя и...
[Перевод] Простая настройка взаимной проверки подлинности клиента и сервера с использованием TLS
Это руководство посвящено настройке защиты приложений с помощью TLS-аутентификации. При таком подходе возможность работы пользователей с приложением зависит от имеющихся у них сертификатов. То есть — разработчик может самостоятельно принимать решения о том, каким пользователям разрешено обращаться...
Жулики против разработчиков приложений Apple. Как потерять два миллиона долларов и не подать виду
Алло, Хьюстон, у нас проблемы! Вернее, не у нас, а у вас. И не в Хьюстоне, а в Купертино, или где там теперь базируется офис Apple, занимающийся поддержкой магазина приложений App Store. Эти самые проблемы возникают регулярно не только у пользователей, но и у разработчиков софта, страдающих от...
SuperСookies: супер-способ слежки за вами в интернете
Томас Даннинг говорил: «При 300 процентах [прибыли] нет такого преступления, на которое он [капитал] не рискнул бы, хотя бы под страхом виселицы». Эти слова, сказанные в XIX веке, актуальны до сих пор. Компании, которые ведут бизнес в интернете, изобретают все более изощренные способы слежки за...