Как убедить всех, что у тебя защищённый ЦОД?

Преамбула. Статья носит исключительно информационный характер. Предназначена для потенциальных клиентов ЦОД, которые слышали про 152-ФЗ, 149-ФЗ, хотят потратить бюджетные средства и не знают, что такие схемы бывают. Для удобства восприятия материала автор будет излагать схемы от первого лица, хотя...

Все блоги / Про интернет

Яндекс не считает Tabnabbing уязвимостью

Что такое Tabnabbing? Про это написано уже множество статей, например, эта и на OWASP. Если вкратце — управление вкладкой браузера через дочернюю вкладку, открытую с target="_blank". Установив ссылку на внешний сайт с target="_blank", сайт будет иметь доступ к window.opener, через который можно...

Все блоги / Про интернет

Яндекс не считает Tabnabbing уязвимостью

Что такое Tabnabbing? Про это написано уже множество статей, например, эта и на OWASP. Если вкратце — управление вкладкой браузера через дочернюю вкладку, открытую с target="_blank". Установив ссылку на внешний сайт с target="_blank", сайт будет иметь доступ к window.opener, через который можно...

Все блоги / Про интернет

[Перевод] Пистолеты из 3D-принтера вернулись, и теперь их уже не остановить

В онлайне мобилизуется децентрализованная сеть сторонников распечатывания оружия. Они анонимно делятся чертежами, советами, и создают своё сообщество. И простого способа остановить их не существует. В США снова растёт сеть сторонников распечатывания оружия на 3D-принтере – но сейчас уже всё...

Все блоги / Про интернет

[Перевод] Пистолеты из 3D-принтера вернулись, и теперь их уже не остановить

В онлайне мобилизуется децентрализованная сеть сторонников распечатывания оружия. Они анонимно делятся чертежами, советами, и создают своё сообщество. И простого способа остановить их не существует. В США снова растёт сеть сторонников распечатывания оружия на 3D-принтере – но сейчас уже всё...

Все блоги / Про интернет

От обычного пользователя до полноправного администратора сервера (XSS, LFI, Web-Shell)

В начале года мне написал сотрудник одной фирмы. Как я понял, в компании произошел небольшой конфликт. Из-за которого существовал риск компроментации системы каким-то из сотрудников. Решение провести аудит системы определенно было правильное. Ведь результаты проверки приятно удивили меня, и...

Все блоги / Про интернет

От обычного пользователя до полноправного администратора сервера (XSS, LFI, Web-Shell)

В начале года мне написал сотрудник одной фирмы. Как я понял, в компании произошел небольшой конфликт. Из-за которого существовал риск компроментации системы каким-то из сотрудников. Решение провести аудит системы определенно было правильное. Ведь результаты проверки приятно удивили меня, и...

Все блоги / Про интернет

В 19% популярнейших Docker-образов нет пароля для root

В минувшую субботу, 18 мая, Jerry Gamblin из Kenna Security проверил 1000 самых популярных образов с Docker Hub на используемый в них пароль для пользователя root. В 19% случаев он оказался пустым. Читать дальше →...

Все блоги / Про интернет

В 19% популярнейших Docker-образов нет пароля для root

В минувшую субботу, 18 мая, Jerry Gamblin из Kenna Security проверил 1000 самых популярных образов с Docker Hub на используемый в них пароль для пользователя root. В 19% случаев он оказался пустым. Читать дальше →...

Все блоги / Про интернет

Безопасная передача данных между двумя приложениями

Всем привет, сегодня я хотел бы вам рассказать о некоторых вариантах передачи данных между двумя андройд приложениями и рассмотреть их с точки зрения безопасности. Я решил написать эту статью по двум причинам. Первая, я начал часто сталкиваться с непониманием разработчиков механизмов работы...

Все блоги / Про интернет

Безопасная передача данных между двумя приложениями

Всем привет, сегодня я хотел бы вам рассказать о некоторых вариантах передачи данных между двумя андройд приложениями и рассмотреть их с точки зрения безопасности. Я решил написать эту статью по двум причинам. Первая, я начал часто сталкиваться с непониманием разработчиков механизмов работы...

Все блоги / Про интернет

Аттестация информационных систем по принципу типовых сегментов. Мифы и реальность

Доброго времени суток, Хабр! Сегодня мы хотели бы рассмотреть различные мифы, связанные с аттестацией объектов информатизации (ОИ) по требованиям безопасности информации по принципу типовых сегментов. А также разберемся, как все-таки правильно делать такую аттестацию. Мифов надо сказать...

Все блоги / Про интернет

Аттестация информационных систем по принципу типовых сегментов. Мифы и реальность

Доброго времени суток, Хабр! Сегодня мы хотели бы рассмотреть различные мифы, связанные с аттестацией объектов информатизации (ОИ) по требованиям безопасности информации по принципу типовых сегментов. А также разберемся, как все-таки правильно делать такую аттестацию. Мифов надо сказать...

Все блоги / Про интернет

Криптография простым языком: разбираем симметричное и асимметричное шифрование на примере сюжета Звездных войн

Привет всем читателям Хабра! Не так давно решил разобраться с алгоритмами шифрования и принципами работы электронной подписи. Тема, я считаю, интересная и актуальная. В процессе изучения попробовал несколько библиотек, однако самой удобной с моей точки зрения является библиотека PyCrypto. У неё...

Все блоги / Про интернет

Криптография простым языком: разбираем симметричное и асимметричное шифрование на примере сюжета Звездных войн

Привет всем читателям Хабра! Не так давно решил разобраться с алгоритмами шифрования и принципами работы электронной подписи. Тема, я считаю, интересная и актуальная. В процессе изучения попробовал несколько библиотек, однако самой удобной с моей точки зрения является библиотека PyCrypto. У неё...

Все блоги / Про интернет

Два в одном: данные туристов и билеты на культурные мероприятия находились в открытом доступе

Сегодня рассмотрим сразу два кейса – данные клиентов и партнеров двух совершенно разных компаний оказались в свободном доступе «благодаря» открытым серверам Elasticsearch с логами информационных систем (ИС) этих компаний. В первом случае — это десятки тысяч (а может и сотни тысяч) билетов на...

Все блоги / Про интернет

Два в одном: данные туристов и билеты на культурные мероприятия находились в открытом доступе

Сегодня рассмотрим сразу два кейса – данные клиентов и партнеров двух совершенно разных компаний оказались в свободном доступе «благодаря» открытым серверам Elasticsearch с логами информационных систем (ИС) этих компаний. В первом случае — это десятки тысяч (а может и сотни тысяч) билетов на...

Все блоги / Про интернет

Социальная инженерия с помощью программ Universal Windows Platform (APPX)

TL;DR: В APPX-файл Universal Windows Platform можно упаковать обычный exe-файл, который будет запускаться в Windows 10 (сборка 1607 и новее) примерно так же, как обычные exe-файлы. Это можно использовать для атак социальной инженерии, с помощью рассылки через email — почтовые провайдеры не...

Все блоги / Про интернет