Natas Web. Прохождение CTF площадки, направленной на эксплуатацию Web-уязвимостей. Часть 5
В данной статье мы разберемся с эксплуатацией некоторых WEB-узвимостей на примере прохождения варгейма Natas. Каждый уровень имеет доступ к паролю следующего уровня. Все пароли также хранятся в файлах /etc/natas_webpass/. Например, пароль для natas5 хранится в файле /etc/natas_webpass/natas5 и...
Лето почти закончилось. Не утекших данных почти не осталось
Пока одни наслаждались летними отпусками, другие наслаждались уловом конфиденциальных данных. Cloud4Y подготовил краткий обзор нашумевших утечек данных за это лето. Читать дальше →...
Как мы писали фронтенд собственной панели управления хостингом: фреймворк и бекдоры
В прошлой статье мы рассказывали, как пришли к идее написать собственную панель управления хостингом и об общей структуре готовой панели. Сегодня наш фронтенд разработчик Артыш расскажет, как писал фронтенд этой панели: какой выбрали фреймворк, какой антипаттерн считаем хорошим тоном и как...
Хакеры воруют и отмывают деньги через сервисы доставки еды и бронирования отелей
По долгу работы приходится копаться на андеграунд форумах в поиске свежей информации об уязвимостях, утечках паролей и другим интересным вещам. Иногда консультируем представителей силовых структур на тему новых уязвимостей, атак и схем нападения, случаются ситуации, когда “новинками” делятся...
[Перевод] 33+ инструмента для безопасности Kubernetes
Прим. перев.: Если вы задаётесь вопросами безопасности в инфраструктуре, основанной на Kubernetes, этот замечательный обзор от компании Sysdig станет отличной отправной точкой для беглого знакомства с актуальными на сегодняшний день решениями. В него включены и комплексные системы от известных...
Как из бумажной безопасности сделать практическую, или зачем нам соблюдение 152-ФЗ и PCI DSS в одном облаке
Наша IaaS-платформа Cloud-152 одновременно сертифицирована по требованиям PCI DSS и имеет аттестат соответствия 152-ФЗ по УЗ-2 (без актуальных угроз 1-го и 2-го типа). Эта же платформа входит еще и в область действия нашей системы управления информационной безопасностью (СУИБ), которую мы...
Acronis True Image 2020: Новые схемы реплицирования и улучшенная защита
Вышла новая версия Acronis True Image — системы защиты данных для персональных пользователей. И мы хотим рассказать о том, чем True Image 2020 отличается от True Image 2019. Всех, кому интересно, милости просим под кат. Читать дальше →...
Узнаем паспортные данные физического лица по ФИО (если есть залоговое имущество)
А так же узнаем ФИО и паспортные данные по номеру автомобиля если он взят в кредит. Без регистрации и СМС. Читать дальше →...
Приложения для электронных книг на операционной системе Android (часть 3)
В этой (третьей) части статьи о приложениях для электронных книг на операционной системе Android будут рассмотрены следующие две группы приложений: 1. Альтернативные словари 2. Заметки, дневники, планировщики Краткое содержание предыдущих двух частей статьи: В 1-ой части были подробно рассмотрены...
OSINT на платформе Telegram часть 2-я, или «в Telegram появился бот, который парсит нашу личную жизнь»
Посвящается широким лбам, которые считают себя богами OSINT-а. Сразу хочу донести свою простую мысль до некоторых вспыльчивых людей: я не делаю рекламу нижеописанному боту, его разработчику или площадке Telegram или другим ресурсам, используемым в данной статье. Предоставленный материал — это...
Новые стандарты видеонаблюдения: цвет ночью, антишум, ePoE
Выпустив 23 года назад первую IP-камеру, компания Axis совершила революцию на медленно эволюционирующем рынке видеонаблюдения. Axis Neteye 200 не смогла заменить традиционные аналоговые системы, записывая один кадр в секунду в формате CIF или каждые 17 секунд в формате 4CIF с разрешением 0.1 Мп, но...
3D принтинг: удивительные кейсы и еще немного интересного
На написание данной статьи меня вдохновил внутренний митап по 3D печати, который относительно недавно прошел в нашей компании. На митапе, мой коллега рассказывал много интересного по этой теме, и даже доставил в офис свой принтер, с помощью которого наглядно продемонстрировал процесс создания...
DECT-телефония в зданиях
В 2007 году компания Apple выпустила свой iPhone, и с этого момента бизнес-пользователи всерьез заинтересовались возможностями применения мобильных устройств связи. Сотрудники IT-отделов изо всех сил пытались подстроиться под меняющиеся модели работы: требовалось как-то увязать новые устройства,...
Kali Linux NetHunter на Android: зачем и как установить
Здравствуй, мой любознательный друг! Наверняка тебя посещали мысли о том, как хакать все вокруг, не привлекая лишнего внимания санитаров службы безопасности и окружающих, быть похожим на героев фильмов, взламывающих системы просто с мобильного устройства, или как прокачать свою мобильность с...
От Homo sapiens sapiens через Homo vulnerable к Homo science, или Security Awareness по-взрослому
Современный рынок ИБ наполнен всевозможными продвинутыми решениями с приставками в названии Next generation, Unified, AntiAPT ну или хотя бы 2.0. Производители обещают новый уровень автоматизации, автореспонса, распознования зеродея и прочие чудеса. Любой безопасник знает: нужно усиленно защищать...
Назад в будущее мобильных телефонов
«Семнадцатилетний Марти МакФлай пришел вчера домой пораньше. На 30 лет раньше.» У меня есть несколько увлечений — фильм «Назад в будущее», старые телефоны и рисование. Предлагаю отправиться в путешествие и вспомнить культовые мобильники. Читать дальше →...
Комфортный DevOpsSec: Nemesida WAF Free для NGINX с API и личным кабинетом
Nemesida WAF Free — бесплатная версия Nemesida WAF, обеспечивающая базовую защиту веб-приложения от атак класса OWASP на основе сигнатурного анализа. Nemesida WAF Free имеет собственную базу сигнатур, выявляет атаки на веб-приложения при минимальном количестве ложных срабатываний, обновляется из...
Чеклист для борьбы с фишингом
Начну с некоторых цифр: 80% успешных атак начинается с фишинга (а кто-то считает, что и вовсе 95%) 10% сигналов тревоги в большинстве SOC связано с фишинговыми атаками Рейтинг успешных кликов на фишинговые ссылки — 21% Рейтинг загрузки/запуска вредоносных вложений – 11% Все это говорит о том, что...