Рубрика «информационная безопасность» - 79

в 5:07, , рубрики: интернет-маркетинг, информационная безопасность, платежные системы, привязка карты, Тестирование мобильных приложений

В последнее время многие сервисы стараются запоминать данные банковской карты при оплате, чтобы в следующий раз пользователю было удобнее платить, и не нужно было заполнять данные карты снова. Почти уверен, что во всех учебниках по маркетингу написано, что в случае привязки карты вероятность покупки возрастает на 146%.

Яндекс автоматически привязывает карту к другому аккаунту - 1

Из способов привязки можно выделить 3 самых основных:

  • Предлагать ненавязчиво — кому нужно сам поставит галочку;
  • Предлагать активно — галочка у привязки стоит по умолчанию, кто забыл её убрать — сам виноват;
  • Привязывать без какого-то уведомления — сервис сам знает, как пользователю будет лучше.

Во всех этих вариантах есть одно общее: привязка происходит к тому аккаунту, где выполняется оплата. Сегодня я хочу рассказать Вам о том, что Яндекс изобрел 4-й вариант привязки: в некоторых случаях карта может быть привязана к (почти) чужому аккаунту.
Читать полностью »

в 13:55, , рубрики: hobby, Ilfak, reverse engineering, информационная безопасность, отладка, реверс-инжиниринг, хобби

О новой IDA Home (обзор) - 1

Приветствую,

На днях товарищи из Hex-Rays анонсировали новую IDA Home, которая как IDA Starter, только под одну конкретную платформу (против более чем 20-ти), с локальным отладчиком и поддержкой x64, скриптингом на Python и стоит 365$ в год (против $979). Далее был запущен конкурс на лучший рисунок логотип для новой IDA, за который автор лучшей работы получит Home-версию бесплатно.

В данном "обзоре" я хотел бы пристальнее рассмотреть, что же из себя представляет новая версия продукта, постараюсь разобраться на кого же она была ориентирована (центральная аудитория), и сделать некоторые выводы.Читать полностью »

в 10:32, , рубрики: bug bounty, Bugcrowd, hackerone, miran, NDA, Synack, аренда серверов, Блог компании Дата-центр «Миран», дата-центр "Миран", Законодательство в IT, информационная безопасность, Кэти Муссури, неразглашение, плата за молчание, серверы, Управление сообществом

Фирмы используют баг-баунти, чтобы купить молчание хакеров - 1

Платформы баг-баунти — HackerOne, Bugcrowd и Synack — служат посредниками между белыми хакерами и компаниями, которые хотят улучшить безопасность своих продуктов. При правильном использовании логика простая:

  1. Хакер сообщает о найденной уязвимости.
  2. Компания-разработчик исправляет баг и перечисляет хакеру вознаграждение в качестве благодарности за то, что он поступил правильно.

Но в реальности всё работает иначе. Как показало расследование CSO, компании и платформы баг-баунти настолько перевернули раскрытие уязвимостей с ног на голову, что многие эксперты, включая бывшего директора по политике HackerOne Кэти Муссури, называют это «извращением».
Читать полностью »

в 17:00, , рубрики: asn.1, python, библиотека, информационная безопасность, Программирование

Продолжаю прошлую статью о PyDERASN — свободном ASN.1 DER/CER/BER кодеке на Python. За прошедший год, с момента её написания, кроме всяких мелочей, небольших исправлений, ещё более строгой проверки данных (хотя и прежде он был уже самым строгим из известных мне свободных кодеков), в этой библиотеке появился функционал для работы с большими объёмами данных — не влезающих в оперативную память. Об этом и хочу рассказать в данной статье.

ASN.1 browser

Читать полностью »

в 12:16, , рубрики: captcha, Блог компании RUVDS.com, информационная безопасность, разработка, Разработка веб-сайтов

Переход с reCAPTCHA на hCaptcha в Cloudflare - 1

Компания Cloudflare сообщила о том, что она недавно перешла с использования сервиса reCAPTCHA, предоставляемого Google, на сервис hCaptcha, который поддерживает компания Intuition Machines. В Cloudflare очень рады тому, что им удалось совершить этот переход, так как он способствует решению проблем со сбором конфиденциальной информации, актуальных в то время, когда компания полагалась на сервисы Google. Это, кроме того, способствует более гибкой настройке CAPTCHA-задач, предлагаемых посетителям сайтов. Данное изменение, в принципе, затрагивает всех пользователей Cloudflare. Поэтому компания решила поделиться подробностями о переходе на reCaptcha и подготовила материал, перевод которого мы сегодня публикуем.Читать полностью »

в 17:11, , рубрики: аутентификация, информационная безопасность, криптография, шифрование

Классическими задачами, которые решаются криптографическими методами, являются обеспечение конфиденциальности и обеспечение аутентичности/имитостойкости хранимых и передаваемых данных. Ранее (примерно до середины 2000-х годов) для решения подобных задач использовались шифрование (конфиденциальность) и функции выработки имитовставки/кодов аутентификации (имитостойоксть). При этом шифрование и функция выработки имитовставки реализовывались отдельными криптографическими механизмами, что вызывало много проблем. В первую очередь, это связано с управлением ключевой информацией: при использовании одного ключа для шифрования и имитозащиты ряд схем, например, AES-CBC + AES-CBC-MAC являются полностью нестойкими. Для того, чтобы сделать такие конструкции безопасности приходится вырабатывать дополнительные ключи используя, например, функции выработки производных ключей (KDF). Это, в свою очередь, зачастую приводит к сильному усложнению криптографических протоколов, использующих подобные схемы. Кроме этого, последовательное использование двух механизмов не всегда является самым быстрым решением с точки зрения производительности.

С начала XXI века начались попытки создать механизмы шифрования с имитозащитой (иногда можно встретить термин «аутентифицированное шифрование» — от английского Authenticated Encryption), которые бы решали сразу обе указанные задачи.
Читать полностью »

в 16:52, , рубрики: ctf, HTB, nosql, pentest, python, ralf_rt, red team, информационная безопасность
image

Продолжаю публикацию решений отправленных на дорешивание машин с площадки HackTheBox.

В данной статье эксплуатируем NoSQL инъекцию в форме авторизации, а также повышаем привилегии через JJS.

Подключение к лаборатории осуществляется через VPN. Рекомендуется не подключаться с рабочего компьютера или с хоста, где имеются важные для вас данные, так как Вы попадаете в частную сеть с людьми, которые что-то да умеют в области ИБ :)

Организационная информация

Чтобы вы могли узнавать о новых статьях, программном обеспечении и другой информации, я создал канал в Telegram и группу для обсуждения любых вопросов в области ИиКБ. Также ваши личные просьбы, вопросы, предложения и рекомендации рассмотрю лично и отвечу всем.
Читать полностью »

в 15:34, , рубрики: безопасность, информационная безопасность, личные данные, ржа, транспорт

РЖД присылает мне чужие билеты - 1

Коллега по работе сегодня столкнулась с интересной ситуацией вокруг персональных данных. На ее почту и в личный кабинет РЖД стали сыпаться билеты, купленные другими людьми. Естественно, со всеми данными пассажиров и прочими вещами. Далее — с ее слов.
Читать полностью »

в 11:44, , рубрики: Блог компании RUVDS.com, голосование, интернет-маркетинг, информационная безопасность, конкурс, накрутка голосов, Офисы IT-компаний, рабочее место программиста, удалёнка
Don't panic, всего 160Кб

Те, кто на Хабре не первый день, наверняка знают, как мы в RUVDS любим устраивать всякие активности. Что мы уже только не делали. Запускали сервер в облака, делали коллаб с создателем Дюк Нюкема, даже варили свое админское пиво и готовили хабрабургеры, всего и не упомнить. Все эти проекты рождаются из малого — простой идеи. Так и здесь, все началось с того, что захотелось посмотреть как наши читатели мигрировали на удаленку, и как они там удобно устроились. От простой идеи «а давайте сделаем пост, где будем в комменты постить фотки», затея выросла в полноценный конкурс, со специально написанным для него телеграм ботом, лендингом и даже призовым фондом. В этом посте мы подведем итоги конкурса, объявим победителя и расскажем, с какой войной накруток нам пришлось столкнуться и как мы из этого выбирались.Читать полностью »

в 7:36, , рубрики: computer security, criminalistics, cybersecurity, hack, hacking, penetration testing, pentest, pentesting, информационная безопасность, кибербезопасность, компьютерная безопасность, компьютерная криминалистика, тест на проникновение, Тестирование IT-систем, Тестирование веб-сервисов
Однажды на пентесте, или Как все сломать при помощи уролога и Роскомнадзора - 1

Эта статья написана по мотивам очень удачного пентеста, который пару лет назад провели специалисты Group-IB: случилась история, претендующая на экранизацию в Болливуде. Сейчас, наверное, последует реакция читателя: «О, очередная пиар-статья, опять эти рисуются, какие они хорошие, еще не забудьте купить пентест». Ну с одной стороны, так и есть. Однако есть еще ряд мотивов, почему появилась эта статья. Хотелось показать, чем именно занимаются пентестеры, насколько эта работа может быть интересной и нетривиальной, какие забавные обстоятельства могут складываться на проектах и самое главное — показать живой материал с реальными примерами. Читать полностью »

1...1020...787980...90100...934
Рейтинг@Mail.ru
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js