Рубрика «информационная безопасность» - 29

При  проведении тестов на проникновение мы часто встречаемся с пренебрежением и халатным отношением к сайту компании. Для многих руководителей сайт является галочкой в репутационом портфолио. По мнению руководства и системных администраторов, сайт не приносит дохода и его взлом не несет больших репутационных рисков для компании, что является фатальной ошибкой. Самым ценным активом для любой компании является доступ во внутреннюю (локальную) сеть, в которой хранится вся ИТ инфраструктура предприятия.

Цель статьиЧитать полностью »

0923_SVG_XXE_ru/image1.png

Вы решили сделать приложение, работающее с SVG. Набрали библиотек, запаслись энтузиазмом, и в итоге всё удалось. Но вот незадача! Внезапно вы обнаруживаете, что приложение отправляет странные сетевые запросы. Кроме того, с хост-машины утекают данные. Как же так?

Читать полностью »

Telegram позволяет узнавать координаты людей с точностью до метра - 1

Привет, %username%!
В телеге давно есть опциональная фича find people nearby, которая показывает точное расстояние до людей поблизости. Если использовать GPS спуфинг и трилатерацию (не путать с триангуляцией), то можно узнавать координатыЧитать полностью »

Что вообще значит «прослушивать порт»? - 1

В углу здания студенческого клуба есть кофейня, и в углу этой кофейни сидят два студента. Лиз стучит по клавиатуре потрёпанного древнего MacBook, который ей подарил брат перед отъездом в колледж. Слева от неё на диване Тим пишет уравнения в пружинном блокноте. Между ними стоит наполовину пустая кружка с кофе комнатной температуры, из которой Лиз время от времени потягивает напиток, чтобы не заснуть.

На другом конце кофейни бариста оторвался от своего телефона, чтобы окинуть взглядом помещение. Один наушник вставлен в ухо, второй висит, телефон воспроизводит видео с заданием, выданным на лекции по кинематографии. В кофейне, где работают студенты, есть неписанное правило: в ночную смену сотрудники могут пользоваться длинными промежутками между клиентами, чтобы выполнять домашние задания. Кроме Тима и Лиз в помещении по одиночке сидит ещё пара студентов, уже много часов сосредоточенно смотрящих в свои ноутбуки. Вся остальная часть кофейни пуста.

Тим останавливается на половине строки, вырывает лист из блокнота, комкает его и кладёт рядом с небольшой горкой других скомканных листов.
Читать полностью »

Интриговать людей заявлением «Я работаю хакером», защищать данные, деньги и репутацию компаний в сети — звучит как интересная профессия нового времени. Но о ней мало говорят открыто. Если труд разработчиков заметен окружающим, то существование пентестеров и их методы обеспечения защиты компаний обычно не афишируют.

Статья впервые была опубликована на Tproger.

Читать полностью »

Привет! Мы в CTI 20 лет строим и тестируем беспроводные сети. Время от времени сталкиваемся с забавными ситуациями, которые показывают серьёзную
уязвимость в клиентском Wi-Fi. Причём о некоторых вещах мы узнали только в
процессе работы. Всё это совершенно неочевидные мелочи, которые влияют на
защиту сети наравне с технологиями.

В этой статье мы делимся историями из практики:

●      как бабушка предотвратила MITM-атаку;

●      как точка доступа, любезно висящая на одном кабеле, могла стать вектором для атаки;

●      как топ-менеджеры своими руками сделали сеть небезопасной;

Читать полностью »

Только на этой неделе бахнули два громких скандала, связанных с отмыванием денег: досталось и швейцарцам из Credit Suisse, и незадачливому крипто-хакеру из России, закрысившему $4,5 миллиарда. В этой статье разбираем нюансы превращения грязных денег в чистые, а также кекаем над теми, у кого это получилось не очень!

Эволюция отмывания денег: от болгарского рестлера с чемоданом бабла до крипто-рэперши - 1

Читать полностью »

Обзор Linux-телефона PinePhone. Часть 1 — распаковка и первые впечатления - 1

Об этом телефоне мы писали несколько раз. Сначала опубликовали информацию о спецификациях и возможностях девайса, а потом — перевод с описанием впечатлений одного из зарубежных журналистов. Но все же хотелось опробовать девайс и самостоятельно, так что решили — надо брать.

Приобрели у компании-производителя (а еще мы рассказывали об их паяльнике, детальный разбор которого тоже вскоре опубликуем), и вот на днях телефон пришел. В этой части — распаковка и личные впечатления от первых часов работы с устройством. Во второй части будет обзор впечатлений после использования девайса в качестве рабочей станции (это, на мой взгляд, самая полезная его функция). Что же, если вам интересен этот модульный, защищенный от прослушивания и сервисов Google девайс — прошу под кат.
Читать полностью »

Появилась вчера на Хабре такая вот статья . Когда компания, занимающаяся ИТ-безопасностью заявляет, что spf/dkim/dmarc не работают и существует минимум 18 способов подменить адрес на (вашем!) почтовом сервере, это вызывает озабоченность и желание разобраться в вопросе. Я прочитал оригинальную статью и кратко изложил свое понимание вопроса. Если тема для вас актуальна рекомендую непременно прочитать оригинал.


Читать полностью »

Pineapple Nano своими руками Часть 1. Сборка платформы - 1

Pineapple Nano - это хакерское устройство от команды Hak5 для атак на беспроводные сети. Купить его не так просто, поэтому я решил собрать его сам. И эта статья будет как раз о том, как я прошел сквозь огонь и воду, чтобы воссоздать точную копию (ну почти) этого устройства. Поехали!

Описание устройства

Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js