BlackOasis APT: новая кампания с новым зеродеем

Мы в «Лаборатории Касперского» плотно работаем с разработчиками стороннего ПО. Как только находим очередную уязвимость, сразу информируем производителя, чтобы закрыть дыру по горячим следам. И вот 10 октября 2017 года наша система противодействия эксплойтам обнаружила новый зеродей для Adobe Flash,... Хабрахабр Информационная безопасность Информационная безопасность



WAF глазами хакеров

Привет, Хабр! Сегодня мы поговорим об одном из современных механизмов защиты веб-приложений, а именно о WAF, Web Application Firewall. Мы расскажем, на чем основываются и как работают современные WAF, какие существуют способы обхода и bypass-техники, как их применять, а также почему ни в коем... Хабрахабр Информационная безопасность Информационная безопасность



Серьезная уязвимость в популярной библиотеке шифрования подрывает безопасность миллионов крипто-ключей

Изображение: crocs.fi.muni.cz Международная группа исследователей информационной безопасности из Великобритании, Словакии, Чехии и Италии обнаружила критическую уязвимость в популярной библиотеке шифрования RSA Library v1.02.013 от Infineon. Ошибка в алгоритме для генерации простых чисел RSA,... Хабрахабр Информационная безопасность Криптография



[Из песочницы] BaumankaCoin – велосипед в 3000 строк или блокчейн на пальцах

Про Blockchain сегодня не пишет только ленивый. Существует огромное количество статей разной степени понятности и полезности. Это очередная из них. Нам захотелось создать максимально простой, но работающий блокчейн и написать кратко, но понятно для неспециалистов, как же эта собака этот блокчейн... Хабрахабр Информационная безопасность Математика



Обнаружены критичные уязвимости в протоколе WPA2 — Key Reinstallation Attacks (KRACK)

  Группа исследователей обнаружила серьезные недостатки в протоколе WPA2, обеспечивающем защиту всех современных Wi-Fi сететй. Злоумышленник, находящийся в зоне действия жертвы, может использовать эти недостатки, используя Key Reinstallation Attacks. Злоумышленники могут использовать этот новый... Хабрахабр Информационная безопасность Информационная безопасность



[Из песочницы] Пять простых шагов для понимания JSON Web Tokens (JWT)

Представляю вам мой довольно вольный перевод статьи 5 Easy Steps to Understanding JSON Web Tokens (JWT). В этой статье будет рассказано о том, что из себя представляют JSON Web Tokens (JWT) и с чем их едят. То есть какую роль они играют в проверке подлинности пользователя и обеспечении безопасности... Хабрахабр Информационная безопасность Разработка веб-сайтов



[Из песочницы] Как взломать более 17 000 сайтов за одну ночь

Эта история о том, как я нашел уязвимость в фреймворке Webasyst и, в частности, в ecommerce-движке Shop-Script 7. Читать дальше →... Хабрахабр Информационная безопасность Информационная безопасность



Security Week 41: Accenture выложила на Amazon все, год малвертайзинга на Pornhub, свежая атака на Office

Жить без облачных технологий мы уже не умеем, а жить с ними еще не умеем. То и дело случаются самые нелепые факапы из-за того, что люди не очень понимают, что их облачный ресурс и аналогичный локальный – две большие разницы, и обращаться с ними нужно соответственно. Вот, например, как сейчас, когда... Хабрахабр Информационная безопасность Информационная безопасность



Врайтап осеннего crackme от «Лаборатории Касперского»

Всем привет. Название говорит само за себя. Эвент был мало освещен и я лишь каким-то чудом сумел в нем поучаствовать. В результате, успел выхватить одиннадцатое место и получить право на обещанные дивиденды. Перейдем к делу. Читать дальше →... Хабрахабр Информационная безопасность Системное программирование



Настройка двусторонней RSA и GOST аутентификации в приложении на JBoss EAP 7

Здравствуйте! Безопасности в современной деловой информационной среде отводится одна из первостепенных ролей. Нужно ли говорить, что в Банке, где большая часть продуктов строится на Digital-технологиях, а на кону доверие, спокойствие и благосостояние клиентов, информационная безопасность ставится... Хабрахабр Информационная безопасность Криптография



Attify OS — дистрибутив для тестирования на проникновения IoT

  Мало кто знает, что буква S в аббревиатуре IoT означает Security. В этой статье я расскажу о дистрибутиве Attify OS, предназначенном для тестирования IoT- устройств. Читать дальше →... Хабрахабр Информационная безопасность Информационная безопасность



Злой XML с двумя кодировками

WAFы видят вместо документа белый шум! 00000000 3C3F 786D 6C20 7665 7273 696F 6E3D 2231 ..1.3.3.7. В статье — небольшой рассказ про кодировки в XML и про обход WAFов с их помощью. Читать дальше →... Хабрахабр Информационная безопасность Информационная безопасность



[Из песочницы] Ломаем модифицированный AES-256

Недавно в институте я столкнулся с любопытной криптографической задачей, которой хотел бы поделиться с Сообществом. Так как русскоязычных примеров решения таких учебных «головоломок» встречается немного, а сама задача рекомендована для начинающих свой путь специалистов (не обладающих глубокими... Хабрахабр Информационная безопасность Математика



Результаты летней стажировки 2017 в Digital Security. Отдел исследований

В предыдущей статье от коллег из отдела аудита, помимо их опыта, было немного рассказано про общий процесс стажировки 2017 в Digital Security. А сегодня Отдел исследований поделится своими впечатлениями и представит интервью стажёров нашего отдела. Читать дальше →... Хабрахабр Информационная безопасность Информационная безопасность



Внедрение IdM. Часть 1: что такое IdM и какая функциональность к нему относится

…Всё началось с отдела маркетинга. Эти милые люди подумали и решили, что нам (специалистам пресейла и сервисов) следует написать некоторое количество статей «на разные интересные темы». Темы они, как водится, придумали сами, исходя из видящихся им «потребностей рынка». (При этом, если взглянуть на... Хабрахабр Информационная безопасность Информационная безопасность