Как убедить всех, что у тебя защищённый ЦОД?
Преамбула. Статья носит исключительно информационный характер. Предназначена для потенциальных клиентов ЦОД, которые слышали про 152-ФЗ, 149-ФЗ, хотят потратить бюджетные средства и не знают, что такие схемы бывают. Для удобства восприятия материала автор будет излагать схемы от первого лица, хотя...
Яндекс не считает Tabnabbing уязвимостью
Что такое Tabnabbing? Про это написано уже множество статей, например, эта и на OWASP. Если вкратце — управление вкладкой браузера через дочернюю вкладку, открытую с target="_blank". Установив ссылку на внешний сайт с target="_blank", сайт будет иметь доступ к window.opener, через который можно...
Яндекс не считает Tabnabbing уязвимостью
Что такое Tabnabbing? Про это написано уже множество статей, например, эта и на OWASP. Если вкратце — управление вкладкой браузера через дочернюю вкладку, открытую с target="_blank". Установив ссылку на внешний сайт с target="_blank", сайт будет иметь доступ к window.opener, через который можно...
[Перевод] Пистолеты из 3D-принтера вернулись, и теперь их уже не остановить
В онлайне мобилизуется децентрализованная сеть сторонников распечатывания оружия. Они анонимно делятся чертежами, советами, и создают своё сообщество. И простого способа остановить их не существует. В США снова растёт сеть сторонников распечатывания оружия на 3D-принтере – но сейчас уже всё...
[Перевод] Пистолеты из 3D-принтера вернулись, и теперь их уже не остановить
В онлайне мобилизуется децентрализованная сеть сторонников распечатывания оружия. Они анонимно делятся чертежами, советами, и создают своё сообщество. И простого способа остановить их не существует. В США снова растёт сеть сторонников распечатывания оружия на 3D-принтере – но сейчас уже всё...
От обычного пользователя до полноправного администратора сервера (XSS, LFI, Web-Shell)
В начале года мне написал сотрудник одной фирмы. Как я понял, в компании произошел небольшой конфликт. Из-за которого существовал риск компроментации системы каким-то из сотрудников. Решение провести аудит системы определенно было правильное. Ведь результаты проверки приятно удивили меня, и...
От обычного пользователя до полноправного администратора сервера (XSS, LFI, Web-Shell)
В начале года мне написал сотрудник одной фирмы. Как я понял, в компании произошел небольшой конфликт. Из-за которого существовал риск компроментации системы каким-то из сотрудников. Решение провести аудит системы определенно было правильное. Ведь результаты проверки приятно удивили меня, и...
В 19% популярнейших Docker-образов нет пароля для root
В минувшую субботу, 18 мая, Jerry Gamblin из Kenna Security проверил 1000 самых популярных образов с Docker Hub на используемый в них пароль для пользователя root. В 19% случаев он оказался пустым. Читать дальше →...
В 19% популярнейших Docker-образов нет пароля для root
В минувшую субботу, 18 мая, Jerry Gamblin из Kenna Security проверил 1000 самых популярных образов с Docker Hub на используемый в них пароль для пользователя root. В 19% случаев он оказался пустым. Читать дальше →...
Безопасная передача данных между двумя приложениями
Всем привет, сегодня я хотел бы вам рассказать о некоторых вариантах передачи данных между двумя андройд приложениями и рассмотреть их с точки зрения безопасности. Я решил написать эту статью по двум причинам. Первая, я начал часто сталкиваться с непониманием разработчиков механизмов работы...
Безопасная передача данных между двумя приложениями
Всем привет, сегодня я хотел бы вам рассказать о некоторых вариантах передачи данных между двумя андройд приложениями и рассмотреть их с точки зрения безопасности. Я решил написать эту статью по двум причинам. Первая, я начал часто сталкиваться с непониманием разработчиков механизмов работы...
Аттестация информационных систем по принципу типовых сегментов. Мифы и реальность
Доброго времени суток, Хабр! Сегодня мы хотели бы рассмотреть различные мифы, связанные с аттестацией объектов информатизации (ОИ) по требованиям безопасности информации по принципу типовых сегментов. А также разберемся, как все-таки правильно делать такую аттестацию. Мифов надо сказать...
Аттестация информационных систем по принципу типовых сегментов. Мифы и реальность
Доброго времени суток, Хабр! Сегодня мы хотели бы рассмотреть различные мифы, связанные с аттестацией объектов информатизации (ОИ) по требованиям безопасности информации по принципу типовых сегментов. А также разберемся, как все-таки правильно делать такую аттестацию. Мифов надо сказать...
Криптография простым языком: разбираем симметричное и асимметричное шифрование на примере сюжета Звездных войн
Привет всем читателям Хабра! Не так давно решил разобраться с алгоритмами шифрования и принципами работы электронной подписи. Тема, я считаю, интересная и актуальная. В процессе изучения попробовал несколько библиотек, однако самой удобной с моей точки зрения является библиотека PyCrypto. У неё...
Криптография простым языком: разбираем симметричное и асимметричное шифрование на примере сюжета Звездных войн
Привет всем читателям Хабра! Не так давно решил разобраться с алгоритмами шифрования и принципами работы электронной подписи. Тема, я считаю, интересная и актуальная. В процессе изучения попробовал несколько библиотек, однако самой удобной с моей точки зрения является библиотека PyCrypto. У неё...
Два в одном: данные туристов и билеты на культурные мероприятия находились в открытом доступе
Сегодня рассмотрим сразу два кейса – данные клиентов и партнеров двух совершенно разных компаний оказались в свободном доступе «благодаря» открытым серверам Elasticsearch с логами информационных систем (ИС) этих компаний. В первом случае — это десятки тысяч (а может и сотни тысяч) билетов на...
Два в одном: данные туристов и билеты на культурные мероприятия находились в открытом доступе
Сегодня рассмотрим сразу два кейса – данные клиентов и партнеров двух совершенно разных компаний оказались в свободном доступе «благодаря» открытым серверам Elasticsearch с логами информационных систем (ИС) этих компаний. В первом случае — это десятки тысяч (а может и сотни тысяч) билетов на...
Социальная инженерия с помощью программ Universal Windows Platform (APPX)
TL;DR: В APPX-файл Universal Windows Platform можно упаковать обычный exe-файл, который будет запускаться в Windows 10 (сборка 1607 и новее) примерно так же, как обычные exe-файлы. Это можно использовать для атак социальной инженерии, с помощью рассылки через email — почтовые провайдеры не...