Рубрика «security» - 4

в 6:51, , рубрики: bugbounty, google drive, security, информационная безопасность

Недавно я нашел странную особенность в Google Drive. Определенная последовательность действий в Google Drive веб интерфейсе приводит к тому, что каждый может загрузить файлы любого объема в свою учетную запись и при этом не потратить ни одного байта на их хранение.

Конечно, я сразу решил сообщить об этом в Google через программу bughunter.withgoogle.com. Но, к моему сожалению, потратив неделю на общение со специалистами Google мне так и не удалось убедить их, что это баг. Сотрудник не смог воспроизвести этот баг и я получил ответ, что «это не баг, а фича» и меня отправили в RTFM. В конце концов Google просто закрыл тикет и перестал отвечать на мои письма.

Так как переписка с Google зашла в тупик, я решил публично рассказать о этой «фиче» и, возможно, наконец привлечь внимание сотрудников Google к этой проблеме или хотя-бы понять, что я делаю не так. Ниже под катом история переписки с Google и proof of concept.
Читать полностью »

в 16:09, , рубрики: gravatar, hashing, md5, security, stackoverflow, webdev, информационная безопасность

image

Я разрабатываю «Google Alerts» для сервиса GitSpo. Я не понял, что это точно такое, но сервис развивается быстро и людям он нравится. Большой частью GitSpo является сбор данных с различных социальных сетей: Twitter, LinkedIn и Stack Overflow. Я обратил внимание на одну вещь: Stack Overflow использует сервис Gravatar для аватарок в пользовательских профилях.
Читать полностью »

в 19:59, , рубрики: fail, isp, security, информационная безопасность

Здравствуйте. Казалось бы, в современном мире есть довольно очевидные (даже для среднестатистического человека не связанного напрямую с IT) понятия. Например, что хранить пароли плейнтекстом в txt на рабочем столе — это плохо. Но, хостинг ukraine, к сожалению, понял это только в январе 2020. Ссылку не оставляю, дабы не нарушать правила, но гуглится быстро. А что же с другими провайдерами? Например, с интернет-провайдерами. Я решил провести небольшой эксперимент, и поделиться им с вами. Скажу сразу: у меня не было никакого злого умысла, как и не было цели навредить кому-либо. Зато есть цель донести до людей что стоит более ответственно относиться к пользовательским данным и личным кабинетам, в особенности, если в них есть возможность беспрепятственно менять настройки. Возможно, если эту ситуацию придать огласке что-то изменится. А может и нет. Кто знает… Я все же попробую.
Читать полностью »

в 0:06, , рубрики: collaboration, infosec, learning, open source, security, threat defense, информационная безопасность

Гитхабификация Информационной Безопасности

На пути к открытой, независимой от производителя и приветствующей вклад сообщества модели для ускорения обучения в сфере Информационной Безопасности

8 декабря 2019 года

Джон Ламберт (John Lambert), JohnLaTwC, Distinguished Engineer, Microsoft Threat Intelligence Center

Аннотация

Объединение специалистов по Информационной Безопасности в рамках глобального сообщества позволяет ускорить обучение в предметной области.

Знания об атаках, собираемые в рамках MITRE ATT&CK, совместно с логикой обнаружения угроз, описанной правилами Sigma и воспроизводимым анализом, описанным в Jupyter Notebooks, образуют упорядоченный набор практик. Эти практики связывают знания с аналитикой и анализом.

Если бы организации вносили свой вклад и делились своим уникальным опытом, а также опирались на опыт других членов сообщества, используя вышеперечисленные инструменты, то специалисты ИБ в каждой организации могли бы воспользоваться преимуществами лучших методов защиты.

alt text

Читать полностью »

в 8:02, , рубрики: java, jks, security, Блог компании Технологический Центр Дойче Банка, информационная безопасность

Введение во взаимную аутентификацию сервисов на Java c TLS-SSL - 1

Вопросы авторизации и аутентификации и в целом аспектов защиты информации все чаще возникают в процессе разработки приложений, и каждый с разной степенью фанатизма подходит к решению данных вопросов. С учетом того, что последние несколько лет сферой моей деятельности является разработка ПО в финансовом секторе, в частности, систем расчета рисков, я не мог пройти мимо этого, особенно учитывая соответствующее образование. Поэтому в рамках данной статьи решил осветить эту тему и рассказать, с чем мне пришлось столкнуться в процессе настройки наших приложений.

Читать полностью »

в 6:02, , рубрики: fortianalyzer, Fortigate, fortinet, fortinet security fabric, fortiservice, ips, ngfw, security, utm, Блог компании TS Solution, информационная безопасность, Сетевые технологии, системное администрирование

8. Fortinet Getting Started v6.0. Работа с пользователями - 1

Приветствую! Добро пожаловать на восьмой урок курса Fortinet Getting Started. На шестом и седьмом уроках мы познакомились с основными профилями безопасности, теперь мы можем выпускать пользователей в Интернет, защищая их от вирусов, разграничивая доступ к веб ресурсам и приложениям. Теперь встает вопрос об администрировании пользовательских записей. Как обеспечить доступ в Интернет только определенной группе пользователей? Как одной группе пользователей запретить посещать определенные веб сайты, а другой разрешить? Как синтегрировать существующие решения по контролю пользовательских записей с межсетевым экраном FortiGate? Сегодня мы обсудим эти вопросы и постараемся проделать все на практике.
Читать полностью »

в 8:58, , рубрики: bugs, findbugs, java, SAST, security, sonarqube, Блог компании Одноклассники, информационная безопасность, одноклассники, ок.tech, статический анализ кода, Тестирование IT-систем, Тестирование веб-сервисов

Статическое тестирование безопасности опенсорсными инструментами - 1

Уязвимости в своём коде хочется находить как можно быстрее, а значит нужно автоматизировать этот процесс. Как именно автоматизировать поиск уязвимостей? Существует динамическое тестирование безопасности, существует статическое — и у обоих свои преимущества и недостатки. Сегодня подробно разберёмся со статическим на опыте его применения в Одноклассниках.

По каким принципам можно выбирать инструмент для статического тестирования? С какими сложностями сталкиваешься, когда уже выбрал? Как писать собственные правила анализа, расширяющие стандартную функциональность? Я занималась всеми этими вопросами — и теперь делюсь с Хабром тем, что узнала.

Речь пойдёт о Java, веб-приложениях, SonarQube и Find Security Bugs, но рассказанное применимо также для других языков и технологий.

Читать полностью »

в 9:05, , рубрики: ctf, ctfzone, security, Блог компании BI.ZONE, информационная безопасность

Это райтап об одном из заданий, которое мы приготовили для отборочного этапа CTFZone, прошедшего в конце ноября. О процессе подготовки к квалификации можно прочитать здесь.

Вы начинаете с двумя файлами: decrypt_flag.py и ntfs_volume.raw. Давайте взглянем на скрипт. Он открывает файл c именем key.bin, а затем при помощи цикла пробует взять из каждого смещения внутри файла бинарную строку размером 34 байта, которая затем используется в качестве входных данных для функции PBKDF2. Каждый возвращенный ключ используется в качестве XOR-ключа для расшифровывания вшитой в код зашифрованной строки. Если в расшифрованной форме ее хеш MD5 совпадает с заранее определенным значением, скрипт использует полученные данные, чтобы сформировать и напечатать флаг.
Читать полностью »

в 5:56, , рубрики: fortianalyzer, Fortigate, fortinet, fortinet security fabric, fortiservice, ngfw, security, utm, Блог компании TS Solution, информационная безопасность, Сетевое оборудование, Сетевые технологии, системное администрирование

6. Fortinet Getting Started v6.0. Web Filtering и Application Control - 1

Приветствую! Добро пожаловать на шестой урок курса Fortinet Getting Started. На прошлом уроке мы освоили основы работы с технологией NAT на FortiGate, а также выпустили нашего тестового пользователя в Интернет. Теперь пришло время позаботиться о безопасности пользователя на его просторах. В данном уроке мы рассмотрим следующие профили безопасности: Web Filtering, Application Control, а также HTTPS инспекцию.Читать полностью »

в 8:02, , рубрики: OSWE, penetration testing, security, websec, безопасность, веб-приложений, информационная безопасность, Карьера в IT-индустрии, сертификация, Тестирование веб-сервисов

OSWE — сертификация продвинутого уровня, идеально подходящая для пентестера и аудитора веб-систем. Это был один из самых сложных экзаменов в моей жизни: куча оставленного здоровья, из 48 часов удалось поспать часов 12, и я даже не знал, что могу так “выражаться”. Состояние было “быстрее бы сдохнуть”. Но обо всем по порядку.Читать полностью »

1...345...1020...42
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js