Безопасность в мобильных приложениях
Информационная безопасность это всегда гонка вооружений. Из чего следует одна простая мысль, что полная безопасность невозможна, особенно в случае с клиентскими приложениями, когда у злоумышленника есть физический доступ к устройству. Но тут как при убегании от медведя: необязательно бежать быстрее...
Памятка и туториал по HTTP-заголовкам, связанным с безопасностью веб-приложений
Доброго времени суток, друзья! В этой статье я хочу поделиться с вами результатами небольшого исследования, посвященного HTTP-заголовкам, которые связаны с безопасностью веб-приложений (далее — просто заголовки). Сначала мы с вами кратко разберем основные виды уязвимостей веб-приложений,...
Закрепление в Linux. Linux Persistence
Получив доступ к системе, важно его не потерять. Выключение узла, завершение процесса - все это разрывает бек-коннект. И приходится начинать сначала. Даже если вы успели получить учетные данные валидного пользователя, смена пароля способна создать массу проблем. В статье я собрала в одном месте...
Update Tuesday: Microsoft выпустила июльские обновления безопасности
Microsoft выпустила плановые обновления безопасности, закрывающие 117 уязвимостей, из них 13 уязвимостей были классифицированы как «Критические» и 103 уязвимости как «Важные». Среди закрытых было 9 уязвимостей нулевого дня (0-day): 5 уязвимостей были обнародованы публично, но не использовались в...
Интеллектуальная защита от DDoS-атак Layer 7
С распределенными атаками типа «отказ в обслуживании» (DDoS) в последние годы сталкивались компании практически из всех отраслей экономики. Они используются хакерами довольно давно, и чрезвычайно эффективно могут остановить работу публичных ресурсов компании. В результате — финансовый ущерб и...
Пишем паническую кнопку под андроид (Часть 2)
Заглядываем под капот, решаем проблемы и баги. Как все устроенно и что используется - ответы тут! С вами Алексей и сегодня речь пойдет именно от этом.. Читать далее...
Пишем паническую кнопку под Android (Часть 1)
В этой части я коротко расскажу о мотивах и с чего начиналась разработка. Меня зовут Алексей и я желаю вам приятного чтения! Идея Тут все произошло более чем спонтанно зимнем вечером — я на тот момент ещё junior java developer с опытом не более двух месяцев листал новости. И без упоминания ужасных...
Финальная статья победы Codeby.net и Nitro Team на The Standoff 2020 — Часть 3
Привет! Извиняюсь за долгий выпуск продолжения нашего "экшн-сериала", после The Standoff 2020 я (@clevergod) и все ребята "ушли в работу с головой", и новость о весеннем марафоне The Standoff 2021 выбила из колеи. Кто пропустил первые 2 части, предварительно ознакомьтесь, чтобы не смотреть кино с...
Развитие механизмов безопасности Android (от версии к версии)
Привет, Хабр! Я занимаюсь безопасностью мобильных приложений и с удовольствием слежу за развитием платформ Android и iOS, которые с каждым новым релизом становятся все привлекательнее для пользователей, «обрастают» новой интересной функциональностью и вместе с тем повышается их защищенность… или...
Чего нам стоит репутация или пользовательский фикс для CVE-2018-18472 от NAS WD
О нашумевшей истории с стиранием данных с NAS от Western Digital можно почитать в посте @ZlodeiBaal: Western Digital стер данные с большинства пользовательских NAS Здесь же будет об исправлении уязвимости, которой, как оказалось, 7 лет (2014), пусть Western Digital 3 дня назад отписались следующим...
[Перевод] Trusted Types API для защиты DOM от XSS-атак
Вы когда-нибудь слышали об XSS-атаках, связанных с внедрением (инъекцией) вредоносного кода в DOM (далее — DOM XSS)? Если не слышали, то DOM XSS — это тип атаки на веб-приложение, когда хакер использует полезную нагрузку (payload), которая выполняется как результат модификации DOM в браузере. Это...
Транспортный агент MS Exchange для защиты от вирусов и нежелательной почты
Exchange довольно мощный и популярный почтовый сервер в мире энтерпрайза. Против угроз малварей и фишинга он имеет как встроенные механизмы защиты, так и возможность использования сторонних продуктов. Но в реальности этих возможностей не всегда достаточно для отлова всех вредоносных писем: малвари...
Update Tuesday: Microsoft выпустила июньские обновления безопасности
Microsoft выпустила плановые обновления безопасности, закрывающие 50 уязвимостей, 5 из которых были классифицированы как «Критические». Среди закрытых уязвимостей 2 были обнародованы публично, а эксплуатация сразу 6 уязвимостей была зафиксирована в реальных атаках (0-day). В данной статье я...
[Перевод] Dockle — Диагностика безопасности контейнеров
В этой статье мы рассмотрим Dockle — инструмент для проверки безопасности образов контейнеров, который можно использовать для поиска уязвимостей. Кроме того, с его помощью можно выполнять проверку на соответствие Best Practice, чтобы убедиться, что образ действительно создается на основе...
OWASP, уязвимости и taint анализ в PVS-Studio C#. Смешать, но не взбалтывать
Мы продолжаем развивать PVS-Studio как SAST решение. Одно из направлений, в котором ведутся работы, – улучшение покрытия OWASP. А какой же OWASP без taint анализа? Вот и мы так подумали и решили прикрутить его к C# анализатору. О том, что получилось, а что не очень, ниже. Читать дальше →...
[Перевод] Почему я считаю Haskell хорошим выбором с точки зрения безопасности ПО?
Команда Typeable понимает ценность безопасности. Мы любим Haskell, но стоит ли его выбирать, если ваша цель – создание защищенного программного обеспечения? Хотелось бы сказать «да», но как и для большинства эмпирических вопросов о разработке ПО, здесь просто нет объективного доказательства,...
XSEC: как изучить Windows Access Control за два часа
Хотите изучить подсистему контроля доступа Windows за два час? Да ещё так знать эту тему, как ни один ваш преподаватель не знает? Хотите знать, как использовать функцию Windows API с самым длинным именем - AccessCheckByTypeResultListAndAuditAlarmByHandle? А увидеть код, создающий...
Модель угроз: как и зачем мы поделили хакеров на категории
Долгое время мы делили киберпреступников на две группы: любителей и профессионалов. Первые бомбили доступным ВПО и баловались мелким хулиганством. Вторые разрабатывали собственные утилиты, целясь в крупный бизнес и госвласть. Подход понятный и простой. Проблема только в том, что сами хакеры уже...