Active Directory: raz0rblack by THM writeup
Приветствую, вас, уважаемые кулхацкеры. Данный райт будет посвящен прохождению машины raz0rblack на TryHackMe Читать далее...
Apple Pro Weekly News (25.09 – 01.10.23)
Apple выпускает обновление iOS с исправлениями для всех и бета-версию для разработчиков без части функций – изучаем, что к чему. Почему iPhone 15 мог перегреваться и что готовит компания для решения проблемы. Apple могла купить Bing, но выбрала Google – небольшие инсайды из прошлого. А также другие...
Security Week 2340: адаптер для смартфона с нулевой приватностью
На прошлой неделе журналисты издания 404 Media написали про адаптер для подключения смартфона Apple к внешнему монитору или телевизору с крайне сомнительным поведением с точки зрения приватности пользователя. Выскажемся конкретнее: такие устройства вообще не должны существовать, но этот переходник...
Артефакты прошлого: TabletPC Compaq TC1000 с процессором Transmeta Crusoe TM5800
Мы живём в золотой век процессоров с миллиардами транзисторов на борту, тактовая частота которых близка к 5 ГГц. «Место под солнцем» заняли такие гиганты, как Intel и AMD, сделавшие ставку на архитектуру x86_64, а также Apple, решившая занять пьедестал архитектуры ARM. Это был долгий и сложный путь...
Топ самых интересных CVE за сентябрь 2023 года
Всем привет! В этой подборке представлены самые интересные уязвимости за сентябрь 2023-го года. Сегодня из примечательного ворох уязвимостей в продуктах от TP-Link и D-Link, в том числе и критических, которые пока не получили исправлений. Также засветилась критическая уязвимость в GitLab,...
Как оценивать технический риск ИБ при разработке приложений
Всем привет! С вами снова Антон Башарин, технический директор Swordfish Security. В предыдущих статьях мы рассказывали об обработке обнаруженных при сканировании уязвимостей – о дедубликации, автоматических правилах, приоритизации и других функциях инструмента класса ASOC, которые позволяют...
[Перевод] Кроме настроек по умолчанию: оцениваем безопасность Kubernetes и облачных сред
Команда VK Cloud перевела конспект конференции InfoQ Live со специалистами мирового класса. В этот раз на ней говорили о безопасности в Kubernetes и облачных средах. Спикеры обсудили распространенные ошибки и передовые методы обеспечения безопасности кластеров Kubernetes, поговорили о том, как...
Построение сетевой архитектуры на базе криптошлюза S-Terra c инициализацией IPsec на сертификатах
Описание продукта Программно-аппаратный комплекс «С-Терра Шлюз» выполняет функции межсетевого экрана, средства криптографической защиты информации и маршрутизатора. С-Терра Шлюз обеспечивает создание виртуальных защищенных сетей (VPN), защиту транзитного трафика между различными узлами сети, защиту...
Страх и ненависть в ГОСТ Р 51583-2014 (18+)
Статья посвящена проблемам при планировании, управлении и создании сложных информационных систем. Иногда на то что ты делаешь или в чём участвуешь требуется посмотреть иным взглядом. Думаю многим будут до боли знакомы перечисленные грабли. Поехали...
Чем занимается AppSec? Безопасность внутренних веб-ресурсов
Довольно долгое время вероятным нарушителем считался только злоумышленник из интернета. На сегодняшний день компании весьма неплохо научились защищать внешний периметр, по крайней мере, важные активы. Но внешние ИТ-ресурсы — это лишь вершина айсберга. Во внутреннем периметре любой компании...
Чай в постель: обзор английского чаевара-автомата Swan Teasmade
Доброго времени суток! Уже довольно давно мне попалась информация об одном интересном чисто английском устройстве под названием Teasmade. Это, если кратко, чайник-чаевар, совмещённый с будильником. Он умеет готовить чай утром, к моменту пробуждения. Ставится в спальне у кровати. Засыпаем с вечера...
Добавили бота в свой Telegram канал? Будьте готовы с ним попрощаться
Изучая безопасность мессенджера Telegram, меня поразила одна его "особенность" при работе с ботами - выяснилось, что при добавлении в канал бота никак нельзя ограничить его в правах на удаление подписчиков. То есть, говоря прямо, любой бот может вычистить всю аудиторию канала за считанные минуты....
Памяти Кевина Митника — хакера, ломавшего ФБР, АНБ и Кремниевую долину. Часть 4: взлом военных баз и знакомство с ФБР
В прошлой статье мы рассказали о том, как провалились попытки Кевина Митника стать законопослушным гражданином, корпоративным айтишником и даже хорошим мужем. Грехи юности и слава опасного хакера и фрикера стали преследовать его буквально по пятам — а затем к преследователям присоединились и...
Манюня, мой сакральный мультитул из 2000-х
Мне очень понравилась работа команды, создавшей Flipper Zero. Став обладателем этого устройства, в процессе эксплуатации я пришёл к выводу, что оно очень полезно, но, на мой взгляд, недостаточно удобно в эксплуатации ввиду наличия только джойстика для управления этим устройством. Да, можно...
Кейген ForitNAC, «заражающий» лицензионные ключи исполняемым на сервере кодом (CVE-2023-22637)
В этом исследовании я изучил приложение FortiNAC — популярную в мире кровавого энтерпрайза систему контроля сетевого доступа (Network Access Control, NAC) от известного разработчика решений в информационной безопасности. Основная задача подобных продуктов — обнаруживать и профилировать любые...
Вы кто такие, я вас не знаю, или Как мы делаем JWT-аутентификацию
Привет! Меня зовут Данил, я backend-разработчик в Doubletapp. Почти во всех наших проектах есть пользователи, которые могут войти в систему. А значит, нам почти всегда нужна авторизация. Мы используем авторизацию, построенную на JSON Web Token. Она отлично сочетает в себе простоту реализации и...
Методы хэширования паролей. Долгий путь после bcrypt
Шифровальная машина M-209, на основе которой создана первая в истории функция хэширования crypt в Unix Прошло 25 лет с момента изобретения алгоритма хэширования bcrypt (1997), но он до сих пор считается одним из самых стойких к брутфорсу хэшей. Вот уже несколько десятилетий некоторые специалисты...
.NET+Safeguard: Реверсинг без ассемблера
Сегодняшняя статья будет посвящена реверсингу приложений, написанных с использованием фреймворка .NET. Сначала мы немного поговорим о том, что такое .NET, чем код на нем отличается от других сред разработки и затем разберем один обфусцированный Crackme, попутно рассмотрев ряд полезных инструментов...
Назад