Рубрика «Блог компании Positive Technologies» - 39

Внимание! Данная статья рассчитана на людей, имеющих представление о том, что такое инспекции кода, и желающих внедрить эту методику в своей компании.

Внедрение инспекций кода в процесс разработки
Когда мы начинали заниматься процессом внедрения инспекций кода (code review) в своих проектах, то были неприятно удивлены отсутствием толковых материалов по организации этого процесса с нуля. Еще один крайне скудно освещенный аспект — это масштабирование процесса инспекций.

Восполняя этот пробел, мы хотим поделиться опытом внедрения этой замечательной практики в нашей команде. Конструктивная критика в комментариях приветствуется.

Итак, начнем.Читать полностью »

Тариф «Бесплатный». Взлом таксофона на PHDaysПоскольку Positive Hack Days — это форум, посвященный практическим вопросам информационной безопасности, в конкурсной программе присутствовали в высшей степени практические соревнования (например, конкурс по взлому хэшей и по поиску скрытой в Интернете информации).

Одним из соревнований, где можно было поработать не только головой, но и руками, был конкурс «2600», в ходе которого участники должны были продемонстрировать свои навыки фрикинга и взломать таксофон. Принять участие мог любой посетитель форума Positive Hack Days. Конкурсанты должны были осуществить звонок с таксофона на заранее определенный номер и при этом возвратить жетон организаторам.Читать полностью »

Сыграть в ящикКонкурсная программа форума Positive Hack Days 2012 была богата не только сражениями хакеров, которые пытались взломать все и вся через Интернет, но и «прикладными» соревнованиями. Одним из таких состязаний стала «Игра в ящик», в ходе которой проверялись знания и навыки конкурсантов в области систем радиочастотной идентификации.

Желающих принять участие в конкурсе оказалось не очень много, однако те, кто все-таки рискнул, — точно не пожалели об этом.Читать полностью »

Конкурентная разведка на PHDays 2012Мы продолжаем свой рассказ о соревнованиях, прошедших в рамках форума по информационной безопасности Positive Hack Days 2012. Сегодня речь пойдет об одном из самых популярных онлайн-конкурсов форума — о «Конкурентной разведке», в ходе которой проверялись навыки поиска скрытой информации в сети Интернет.

Для участия в соревновании зарегистрировались 150 участников, 60 из них смогли успешно справиться как минимум с одним заданием. Пользователь mchumichev захватил лидерство в первый день и смог удержать его до конца конкурса, а вот за второе и третье место шла напряженная борьба. В итоге многие участники набрали одинаковое количество баллов, но победителями были признаны только самые быстрые.Читать полностью »

«Занимательный XenAPI», или «Новые приключения Citrix XenServer»Привет, коллеги!
Сегодня я хотел бы продолжить свое повествование о Citrix XenServer 5.6 и о разных аспектах работы с ним. В этот раз мне пришлось решать довольно простую (казалось бы!) проблему: исполнение команд в dom0 без применения SSH. Изучение возможностей для реализации привело к обнаружению некоторых забавных нюансов HTTP API данной ОС: способов получения /etc/passwd, удаленного выполнения rsync и набросков XenSource thin CLI protocol. Сейчас я расскажу вам, что называется, историю одного ресёрча…

Читать полностью »

Социальная инженерия на PHDays 2012В этом году на PHDays 2012 была продолжена традиция организации интеллектуальных конкурсов. Гостей форума ожидала насыщенная конкурсная программа — PHDays CTF, Online HackQuest, HashRunner, Большой Ку$h и масса других соревнований, в которых хакеры демонстрировали свои навыки взлома и защиты различных систем.

Однако вне всяких сомнений одним из самых интересных, оригинальных и веселых состязаний стал конкурс Big Shot, в ходе которого участники должны были продемонстрировать свои навыки социальных инженеров.Читать полностью »

Несколько месяцев назад исследовательский центр Positive Research проводил анализ безопасности системы Citrix XenServer. Помимо прочего, мы изучали безопасность интерфейсов администрирования, и в частности веб-интерфейсов различных компонентов системы. В результате нам удалось обнаружить несколько критических уязвимостей, которые позволяют получить контроль не только над этими компонентами, но и над мастер-сервером, а значит над всей облачной инфраструктурой. О найденных уязвимостях мы незамедлительно сообщили компании Citrix. После того как бреши были закрыты ([1], [2], [3]), результаты были представлены на форуме Positive Hack Days в рамках секции FastTrack.
Читать полностью »

Взлом хэшей на PHDays 2012: конкурс Hash Runner
На PHDays 2012 было много сугубо технических, интересных, зрелищных конкурсов, но один из них прошел практически незаметно для посетителей форума: это был Hash Runner, участники которого занимались взломом хэшей.

На подобных соревнованиях сохраняется, как правило, господства ряда отдельных команд: Hashcat, Inside Pro, john-users… И не удивительно, поскольку это сообщества разработчиков, тестировщиков и пользователей, использующих наиболее популярные инструменты для взлома хэшей. Секрет успеха — не только в огромном опыте, хорошо подготовленных командах и доступе к внушительным вычислительным ресурсам, но и в возможности «на лету» модифицировать инструментарий — в зависимости от текущих потребностей.

Вышеперечисленные команды приняли активное участие в конкурсе Hash Runner на PHDays 2012. Два дня участники сражались за главный приз — видеокарту AMD Radeon HD 7970 (конкурс стартовал в 10:00 30 мая и закончился в 18:00 31 мая).Читать полностью »

Покажи мне деньги! Конкурс «Большой Ку$h» на PHDays 2012

Посетители форума Positive Hack Days 2012, который состоялся недавно в техноцентре Digital October, не только могли послушать доклады профессионалов мира ИБ и наблюдать за эпичной битвой хакеров CTF, но и приняли участие в обсуждении важных проблем индустрии безопасности в рамках специализированных секций.

Одной из таких дискуссионных площадок стала секция «Как защищают деньги?», модератором которой выступил Артем Сычев (начальник управления информационной безопасности Россельхозбанка). Помимо теории — обсуждения насущных вопросов, стоящих перед индустрией банковской безопасности, — на секции была и практическая часть — конкурс «Большой Ку$h». Участники должны были продемонстрировать свои навыки в области эксплуатации типовых уязвимостей в службах систем ДБО — главным образом логических, а не веб-уязвимостей.Читать полностью »

Сетевая недокроссплатформенность

Здравствуйте! В этой статье я хотел бы поделиться своим опытом с начинающими разработчиками, которые учатся писать мобильные приложения, но еще не очень далеко продвинулись на этом поприще. Если быть точным — я бы хотел рассказать, как писать переносимый код и проектировать приложения, которые будут работать как на «родных» .NET-платформах (Windows Phone 7 и настольные приложения Windows), так и на портированных версиях .NET для мобильных платформ, таких как Monotouch и Monodroid.Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js