[Перевод] XXE: XML external entity

В этой статье мы объясним, что такое инъекция внешних сущностей XML, опишем некоторые общие примеры, поясним, как найти и использовать различные виды XXE-инъекций, а также обобщим, как предотвратить атаки с их помощью. Читать дальше →...

Все блоги / Про интернет

Бьюти-гаджеты — серьезный бизнес

Бьюти-гаджеты долго оставались нелюбимым пасынком в мире потребительских технологий. Все переменилось в новом веке: все больше компаний занимаются темой всерьез. Они создают функциональные и новые изобретения. Среди инноваторов — шведская компания Foreo, выпускающая культовые устройства для ухода...

Все блоги / Нетбуки и Планшеты

Руководство по заполнению уведомления оператора персональных данных

В одной из наших предыдущих статей, которая была посвящена подготовке к проверкам Роскомнадзора по выполнению требований законодательства «О персональных данных» мы рассказывали о важности правильного заполнения уведомления, о случаях, когда уведомление нужно заполнять и там же мы пообещали...

Все блоги / Про интернет

iOS 13, watchOS 6, iPadOS и новый Mac Pro. Презентация Apple на WWDC 2019

Сегодня в Сан-Хосе на первый день своей конференции Apple провела большую презентацию со всеми апдейтами софта. Пять тысяч журналистов и девелоперов собрались, чтобы узнать, какие апдейты ждут их iOS и macOS. Действо получилось довольно впечатляющим, и длилось два с половиной часа – в разы дольше,...

Все блоги / Нетбуки и Планшеты

Security Week 23: уязвимость в Блокноте, миллион систем с непропатченным RDP

Блокнот в Windows – это островок стабильности посреди вакханалии прогресса. Приложение, которое никогда не подводит. Функционал Notepad почти не изменился за 34 года его существования (разве что были подняты лимиты на размер открываемых документов), да и дизайн актуальной версии мало чем отличается...

Все блоги / Про интернет

Авторы GandCrab прекращают работу: они уверяют, что украли достаточно

В минувшую пятницу на одном из закрытых хакерских форумов появилось сообщение о закрытии RaaS (Ransomware-as-a-Service) сервиса GandCrab: Мы лично заработали более 150 000 000 долларов за год. Эти деньги мы успешно обналичили и легализовали в различные сферы белого бизнеса как в реале, так и в...

Все блоги / Про интернет

[Перевод] Ментальные модели информационной безопасности

Я ранее приводил аргументы, почему информационная безопасность находится в состоянии когнитивного кризиса, причём ситуация ухудшается. Несмотря на обилие свободно доступной информации, мы плохо справляемся с выявлением и обучением практическим навыкам в сфере ИБ, во всём разнообразии доступных...

Все блоги / Про интернет

Zimbra Collaboration Suite и контроль за мобильными устройствами с помощью ABQ

Стремительное развитие портативной электроники и, в частности, смартфонов и планшетов, создало массу новых вызовов для корпоративной информационной безопасности. И действительно, если раньше вся кибербезопасность строилась на создании защищенного периметра и его последующей охране, то теперь, когда...

Все блоги / Про интернет

Задача со звёздочками: собираем электровелик на примере Twitter Mantis-E0

Привет, Хабр! Вне всяких сомнений многие из вас уже открыли велосезон (а кто-то его не закрывал) и это похвально. Мы с вами катаемся, а вместе с этим возобновляем наш блог, в котором в прошлом году делали подробные обзоры электровелосипедов. Вы знали, что есть такая профессия как сборщик...

Все блоги / Нетбуки и Планшеты

[Перевод] Фотограмма без фотобумаги

Фотограмма — очень интересное искусство, в своё время его даже пропагандировали в телепередачах. Вы помещаете предметы на фотобумагу, экспонируете с направления, при котором получается наиболее интересный силуэт, проявляете, фиксируете — и готово произведение искусства. Но теперь фотобумагу на...

Все блоги / Нетбуки и Планшеты

Что нужно знать о последнем патче Cisco для маршрутизаторов

Не так давно IT-гигант объявил о критической уязвимости в системе ASR 9000. Под катом рассказываем, в чем суть бага и как его «залатать». Фото — ulleo — PD Уязвимость обнаружили в маршрутизаторах серии ASR 9000, работающих под управлением 64-битной IOS XR. Это — аппаратура класса high-end для...

Все блоги / Про интернет

Пишем Reverse socks5 proxy на powershell.Часть 3

История об исследовании и разработке в 3-х частях. Часть 3 — практическая. Буков много — пользы еще больше Предыдущие статьи из цикла можно найти тут и здесь =) Проверка боем Давайте теперь проверим работу нашего скрипта на практике. Для этого попробуем выбросить обратный туннель с виртуалки...

Все блоги / Про интернет

КПК (Карманный Путевой Компьютер): Схемотехника GPS логгера

Мой хобби проект — это GPS логгер. В комментариях даже предложили называть его “Путевой компьютер”, т.к. логгирование это только небольшая часть всех возможностей устройства. Многое уже реализовано, но бОльшую часть еще только предстоит сделать. В прошлых статьях я описывал переход с ардуино на...

Все блоги / Нетбуки и Планшеты

PHDays 9: разбор заданий AI CTF

Тема безопасности машинного обучения довольно хайповая последнее время и хотелось затронуть именно практическую ее сторону. А тут повод крутой — PHDays, где собираются самые разные специалисты из мира ИБ и есть возможность привлечь внимание к этой теме. В общем-то мы сделали task-based CTF, с...

Все блоги / Про интернет

Победа на PHDays 9. Делимся лайфхаками в трёх частях. Часть 2

Всем привет! Меня зовут Виталий Малкин. Я руководитель отдела анализа защищённости компании «Информзащита» и по совместительству капитан команды True0xA3. Чуть больше недели назад мы победили в одном из самых престижных соревнований белых хакеров в СНГ. В прошлой статье (если вы пропустили её,...

Все блоги / Про интернет

Алгоритмы эффективности: обзор камер видеонаблюдения Nobelic 2019

Модели Nobelic остаются нашими самыми востребованными камерами и причин тому множество. От старта продаж мы не меняли характеристики устройств, а занимались развитием сервиса. Даже самая популярная камера – это лишь половина успеха, за остальное отвечает работа софта. Правда в том, что Ivideon –...

Все блоги / Нетбуки и Планшеты

The Standoff: как это было

Приветы! Увидев на PHDays 9 достаточный интерес к тому, что происходит на The Standoff в рядах защитников, мы решили рассказать о том, как происходила подготовка и само «Противостояние» глазами Jet CSIRT как части команды Jet Security Team. Читать дальше →...

Все блоги / Про интернет

По следам индустриального ниндзя: приглашаем участвовать в онлайн-конкурсе по промышленной безопасности

На прошедшем PHDays 9 мы проводили конкурс по взлому завода по перекачке газа Industrial Ninja. На площадке было три стенда, эмулирующих индустриальный процесс: под большим давлением в воздушный шар закачивался воздух. У каждого стенда был свой уровень сложности (по степени защиты): новичок,...

Все блоги / Про интернет