Метка «pentest» - 2

в 8:54, , рубрики: pentest, sap, security, Блог компании «Digital Security», информационная безопасность, путешествия, метки: , , ,

Настало время написать про Австралию и мою поездку на конференцию AusCERT. На этом волшебном континенте мне предстояло провести три недели, начав с города Gold Coast. Ожидания, связанные с находящимся там отличным сёрф-спотом, были самыми приятными. В итоге, мой серф так и не изведал этого места, найдя ещё более шикарные австралийские волны, после чего, прямиком оттуда я попал в Сингапур, где выступил на культовой конференции RSA.

Информационная безопасность в Австралии, и почему пентест там уже не торт

Итак, первое, что я увидел в Австралии, это – к-е-н-г-у-р-у, нет, не мёртвое, как дельфин из прошлой истории, и это меня очень обрадовало. «Хороший знак», — подумалось мне. А дальше – провал, вызванный тяжелым перелётом, состоящим из 4-х рейсов общей протяжённостью 36 часов.

Читать полностью »

в 20:29, , рубрики: hackspace, информационная безопасность, психология, социальная инженерия, хакинг, хакспейс, метки: , , , , , ,

После выступления перед деловыми людьми, Кивин Митник любезно принял приглашение прийти на неформальную встречу в московском хакспейсе.

Допрос Митника в Хакспейсе

Данная статья основана на "воспоминаниях" участников, эти воспоминания могут не иметь никакой связи с действительностью, а быть просто актом социальной инженерии.

(при написании данного текста ни один Сноуден не пострадал)
Читать полностью »

в 10:59, , рубрики: diy или сделай сам, Raspberry Pi, Блог компании Журнал Хакер, журнал хакер, информационная безопасность, метки: , , ,

Большой темой майского номера «Хакера» стал Raspberry Pi. Мы пообщались с создателем «малинки», Эбеном Аптоном и узнали, каковы итоги первого года проекта, и что ждет маленький компьютер в следующем. Также мы описали два концепта на основе Raspberry: незаметную закладку, которая в виду размеров может незаметно собирать данные из сети (принимая команды по SMS и скидывая логи в Evernote), а также систему видеонаблюдения, интегрированную с Google Drive. Один из этих концептов мы предлагаем вашему вниманию.

Маленький британский шпион – закладка на Raspberry Pi

Идея дропбокса проста: если миниатюрный компьютер снабдить батареей и 3G-модемом, то можно получить шпионскую коробочку, которая незаметно подключается к исследуемой сети и передает собранные данные. Этот концепт вполне реализуем на Raspberry Pi.

Читать полностью »

в 9:54, , рубрики: security, vk.com, xss, Вконтакте, информационная безопасность, метки: , , ,

Данный пост — небольшой отчет о процессе реверсивного проектирования и анализе работы самой популярной соц. сети в СНГ — vk.com. В основном анализ проводился со стороны безопасности (хотя сама соц. сеть весьма привлекательна как high-load проект, безусловно). Для себя вынес некоторые интересные решения и просто получил удовольствие. Пост получился, возможно, немного сумбурный, так углублялся просто в интересные мне моменты.

Содержание

Общее зрение

Архитектура

  • php 5.2/5.3
  • Периоды нагрузки (отключения автоподгрузки ленты)
  • Врапперы в сообщениях
  • Разный код для мобильной и полной версии

Security

  • Фичи
    • Авторизация
    • Anti-CSRF токены
    • Запрет iframe
    • Отключенный POST на контент-серверах
  • Фиче-баги
    • Узнать возраст через поиск
  • Баги
    • XSS
    • Загрузка документов без имени
    • Подгрузка по ajax фото из закрытых альбомов (?)
    • Не везде anti csrf

Разное

Читать полностью »

в 12:35, , рубрики: arduino, HID, pentest, teensy, информационная безопасность, метки: , , ,

Evil USB HID эмулятор или просто Peensy
Интересным вектором атак является использование USB HID эмуляторов клавиатуры (и мышки) в корпусе стандартной USB флешки. И если autofun.inf на флешке мы уже научились как-то искать и уничтожать, то с HID эмуляторами все пока что плохо.

Для тех, кто не знаком ещё с этой темой, я рекомендую прочитать для начала хабростатью "Боевой HID-эмулятор на Arduino". Тут я не буду касаться вопросов установки и настройки среды программирования Arduino, а лучше чуть-чуть расскажу про продвинутое использование Peensy (Pentest+Teensy).
Читать полностью »

в 12:23, , рубрики: sqlmap, информационная безопасность, метки: , ,

Sqlmap — это программа с открытым исходным кодом, которая может стать отличным инструментом в руках пентестера. Главная задача сканера — автоматизированный поиск и эксплуатация sql уязвимостей. Sqlmap написан на python, а значит превосходно работает на большинстве современных операционных систем.

Программа обладает огромным функционалом, который поможет не только найти уязвимость, но и при совокупности некоторых факторов заполучить полный контроль над целевой машиной. Я постараюсь описать все возможности программы и привести наиболее интересные примеры работы с ней, а детально изучить утилиту вам поможет официальное пользовательское руководство.
Читать полностью »

в 17:59, , рубрики: CodeFest, maxpatrol, nessus, nmap, pentest, skipfish, информационная безопасность, метки: , , , , ,

С данной темой доклада я выступал на CodeFest. А здесь я перескажу словами, что, как и зачем.

Доклад довольно поверхностный и не требует практически никакой квалификации в области ИБ. Был рассчитан на целевую аудиторию (веб-разработчики, тестировщики (не на проникновение), сисадмины и т.д.). Все довольно просто: несколько утилит, запустили, подождали, разбираем отчет.

Видеоприглашение на конференцию:

Читать полностью »

12
Рейтинг@Mail.ru
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js