Рубрика «взлом» - 49

Как воровать бензин с помощью Ассемблера (основано на реальных событиях)

Приветствую тебя, хабрачитатель!

Под катом ты найдешь увлекательную историю, которую рассказчик поведает нам от первого лица. Я лишь с гордостью публикую впервые эту историю здесь, с разрешения и по просьбе автора, который пожелал остаться неизвестным.

Читать полностью »

В данной статье приведены простые рекомендации по безопасности PHP прежде всего для начинающих программистов.
Читать полностью »

Вчера на форуме по подбору хэшей forum.insidepro.com пользователь под ником dwdm попросил помощи в подборе паролей к базе с SHA1 хэшами:
http://forum.insidepro.com/viewtopic.php?p=96122 (На текущий момент ссылка не работает)

Зато работает ссылка с теми самими хэшами. В базе около 6.5 миллионов SHA1 хэшей без соли.
Читать полностью »

Так как я абитуриент в этом году, мне пришлось просмотреть несколько сайтов российских ВУЗов и определиться, куда поступать.

Примечание: ВУЗ, о котором пойдет речь, я упоминать не буду, ибо ошибки пока не устранены, хотя письма администраторам информирующие их об уязвимостях разосланы.

Через некоторое время, когда сайты были осмотрены, тексты с зазываниями по типу «какой у нас классный ВУЗ» прочитаны, и решение было принято, я решил проверить, как у выбранного университета с безопасностью.

Полазив по сайту, получив порцию информации, по разглядывая фотографии, я заметил, что все ссылки имеют одинаковый формат: xxx.ru/?id=46&group=xxxx. По старой привычке подставив кавычку в параметры я ничего толком не обнаружил, новость/статья/контент как выводились, так и выводятся. Никакой SQL инъекции в радиусе сайта не наблюдалось. Очень неплохо.

И тут я уже было хотел покинуть сие чудо дизайнерской мысли, как вдруг мне стало интересно, а что же с другими сайтами университета?

Все ли так хорошо у них? Я предполагал всего-лишь небольшой аудит безопасности, а вышло нечто большее.

Читать полностью »

Хроника событий:

В ходе конкурса NUllcon CTF который проходил в январе этого года, участниками была обнаружена новая уязвимость в PHP, связанная с работой интерпретатора в режиме CGI. Explot-db пополнился эксплойтом к данной уязвимости 5 мая. Уязвимость позоляет атакующему, выполнить произвольный код на стороне сервера, тем самым получив полный контроль на ним.

Читать полностью »

Со времен введения стандарта SIP (Session Initiation Protocol) разработанногo Хенингом Шулзри и Марком Хэндли в 1996 году, инфраструктура SIP разрослась и опутала весь мир своей сетью. SIP — один из протоколов, лежащих в основе VOIP.
SIP используется для передачи как голоса так и видео. Основные клиенты это физические, юридические лица и корпорации, которые испоьзуют SIP как для звонков по миру так и для внутренней связи. Синхронизация элементов SIP сети происходит на 5060 порту, либо на 5061 с использованием шифрования. SIP хост работает как прокси сервер, он принимает запросы от клиентов, обрабатывает и выполняет соответствующие действия. Для авторизации на SIP сервере используется пара логин/пароль, которые обычно имеют цифровое значение. А сам SIP хост выглядит как IP:5060
Чтобы воспользоватся прелестями этого протокола, вам необходимо обнаружить и хакнуть парочку шлюзов. Для этого вам понадобится пакет SIPVicious и интерпретатор Python. Либо дистрибутив Backrack в котором эти утилиты уже установлены.
Читать полностью »

В своем последнем послании, Anonymous утверждают, что взломали статистическую базу данных Министерства Юстиции США включающий в себя дамп базы данных и личные переписки. United States Bureau of Justice Statistics занимается сбором и анализом преступлений. Пока рано говорить какие интересные факты там могут быть обнаружены.

Ссылка на торрент

Заявление Anonymous:

<iframe width="640" height="360" src="http://www.youtube.com/embed/2oEo3OC75yY" frameborder="0" allowfullscreen></iframe>

«Today we are releaseing 1.7GB of data that used to belong to the United States Bureau of Justice [Statistics], until now.
Читать полностью »

Яндекс.Почта. Предотвращение хакострофы В ноябре прошлого года компания «Яндекс» провела конкурс на тему поиска уязвимостей в своем сервисе. Мне посчастливилось найти там пару дырочек и получить за это второе место. Так как за эти полгода я так и не опубликовал деталей (кроме как на встрече Defcon-Russia, но это было в устной форме для узкого круга посетителей), я решил восполнить этот пробел сейчас. Так что тут будет рассказ об одной из дырок, которая была обнаружена в рамках конкурса и оперативно закрыта компанией «Яндекс». Считаю, что конкурс полностью оправдал себя и позволил предотвратить страшные последствия, так что идея явно удачна, одни плюсы. Собственно рассказ будет о банальном отсутствии проверки авторизации в одном из скриптов, что могло привести к частичной компрометации более миллиарда писем лишь на одной ноде…

Читать полностью »

Еще не так давно казалось, что беспроводная сеть, защищенная с помощью технологии WPA2, вполне безопасна. Подобрать простой ключ для подключения действительно возможно. Но если установить по-настоящему длинный ключ, то сбрутить его не помогут ни радужные таблицы, ни даже ускорения за счет GPU. Но, как оказалось, подключиться к беспроводной сети можно и без этого — воспользовавшись недавно найденной уязвимостью в протоколе WPS.

Взломать Wi Fi за 10 часов
Читать полностью »

Сервис Bitcoinica снова взломали

Сегодня появилась новость о том, что сервис Bitcoinica снова взломан, при этом взломщикам удалось увести 87 тысяч долларов (т.е. биткоинов на эту сумму). Представители компании уже сообщили о том, что все потери буду возмещены пользователям. Все вроде бы хорошо, однако снова всплывает вопрос о степени защиты сервисов, работающими с Bitcoin.

Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js