Метка «security» - 4

в 8:21, , рубрики: asa, Cisco, fpm, isr, security, teamviewer, wireshark, Сетевое оборудование, Сетевые технологии, метки: , , , , , ,

Немного теории

Теории на эту тему хватает, но все же еще раз, ну на всякий случай. Для тех кому лень читать, и нужно тупо заблокировать TeamViewer – готовый конфиг в конце статьи.

FPM (Flexible Packet Matching) — реализованная в IOS технология, позволяющая идентифицировать трафик по содержанию полей в заголовках и payload пакетов. По сути своей – аналогична ACL, но не имеет ограничений по тому, какую часть пакета можно матчить. В случае с ACL — это три поля в заголовке IP: Source IP Address, Destination IP address, Protocol + 2 поля в заголовке TCP/UDP: Source Port, Destination Port (ну или type/code для ICMP). В случае с FPM матчить можно по любому биту пакета.

Нужно обратить внимание, что FPM ну совсем никак не statefull, не анализирует всю сессию, не анализирует фрагменты, не анализирует пакеты с IP Options. Излишние детали по ограничениям опущу, они все описаны на cisco.com.

FPM для анализа нужен один пакет со всеми заголовками, поскольку, опираясь на эти заголовки и смещения относительно них, и строятся правила. ИМХО – аналогично Atomic IP engine в Cisco IPS, но с большими возможностями.
Читать полностью »

в 0:41, , рубрики: management, qa, security, информационная безопасность, метки: ,
Данная статья отвечает на вопрос, чем он и как должен заниматься, со всеми интимными подробностями. Подразумевается, что есть проект (стартап) с веб-частью, который работал некоторое время без тестирования безопасности, но по каким-либо причинам решили его внедрить. Последние 2 года я работал security в одном стартапе, и я уверен, мне есть что сказать по этой теме (естественно, вся информация ниже — лишь мои идеи, подходы и размышления, а не гайд howto и ни шагу в сторону). Статья посвящается заинтересованному начальству, PM'ам, а так же человеку, который будет именоваться как Security Testing Team Lead и создавать подобный отдел с нуля.

И так, вы решили создать security отдел…
И так, вы решили создать security отдел…
Читать полностью »

в 21:47, , рубрики: drupal, security, метки: ,

Несанкционированный доступ к персональным данным пользователей обнаружен на сайтах drupal.org и groups.drupal.org.
Эти данные включают в себя юзернеймы, почтовые ящики, информацию о стране и хешированные пароли.
Детали в данный момент уточняются, всем пользователям сбросили пароль.

Доступ был осуществлен с помощью уязвимости в стороннем программном обеспечении, использущемся в инфраструктуре drupal.org, а не в самом Drupal.
Если вы использовали похожий пароль на других сайтах, рекомендуется его поменять, несмотря на то что пароли в drupal.org были захешированы с солью.
Читать полностью »

в 14:30, , рубрики: microsoft, security, skype, информационная безопасность, метки: , ,

В продолжении этой статьи.
Как было подтверждено ранее, ссылки, передаваемые через Skype посещаются с серверов Microsoft. Сегодня стало известно немного более, пишет H-Security, однако новая информация лишь породила больше вопросов, чем ответов.

Напомним, что опытным путем был подтвержден факт посещения только HTTPS ссылок чуть позже после передачи их через Skype. Это наблюдение позволило сделать вывод, что Microsoft использует всю переданную информацию, включая идентификаторы сессии и пользователя. Данный факт сегодня подтвержден несколькими независимыми экспертами. Необходимо заметить, что вопреки обещаниям Microsoft, обычный HTTP ни разу не затронут.Читать полностью »

в 6:45, , рубрики: php, security, web-разработка, защита, изображения, метки: , , , ,

Как показывает практика — загрузка файлов (и в частности изображений) без надлежащего контроля приводит к образованию уязвимостей. В этой публикации рассмотрим практическую реализацию одного из вариантов безопасной загрузки изображений на сервер. Исходная постановка задачи предполагает возможность загрузки пользователем изображения на сервер и возможность дальнейшего его просмотра.

Для начала кратко основные шаги:
— производим отправку изображения с использованием XMLHttpRequest;
— проводим проверку загруженных данных на сервере на предмет «действительно ли это изображение»;
— проводим принудительное преобразование изображения в jpeg
Читать полностью »

в 11:53, , рубрики: microsoft, security, skype, информационная безопасность, метки: , ,
Вольный перевод статьи на тему приватности переписки в Skype.

Все, кто использует Skype, обязан согласится с пунктом, что компания может читать все, что там пишут (смотри Положение о конфиденциальности в Skype). Компания Heis, совместно с немецкими коллегами, выяснила путем простейшего эксперимента, что Microsoft активно использует эту возможность, но очень странным образом.

Практически сразу после отправки сообщения в Skype, в котором содержалась ссылка на некий https ресурс, данный ресурс был посещен с IP, принадлежащего Microsoft HQ в Редмонде, США.Читать полностью »

в 9:40, , рубрики: android development, security, Разработка под android, метки: ,

В данной статье мы кратко расскажем о том, как можно защитить свою программу от взлома, не интегрируя стандартное решение от Google и предоставим пример рабочего кода. Интересно? Просим под кат!

Читать полностью »

в 14:39, , рубрики: Amazon Web Services, AWS, IAM, security, Блог компании EPAM Systems, метки: , ,

Привет всем!image

Сегодня я хотел бы рассказать про мультифакторную аутентификацию пользователей IAM в ваш Amazon аккаунт. Как вы помните, в этой статье я рассказал, как создать и задать пароль новому пользователю. Сегодня же мы прикрутим к юзеру девайс для авторизации.

Использовать мы будем обычный телефон с Android. Сначала установим на него Amazon Appstore по этой инструкции. Ничего сложного для среднего юзера Android. Далее в поиске введём «mfa»:
image
Читать полностью »

в 22:35, , рубрики: java, lambda, oracle, security, метки: , , ,

Главный архитектор платформы Java Марк Рейнхольд сегодня объявил в своём блоге, что выпуск Java 8 переехал с сентября этого года на март следующего. В последнее время много сил инженеров Oracle было брошено на борьбу с уязвимостями в Java, и поэтому сроки поехали.

Читать полностью »

в 21:18, , рубрики: android, iOS, ipsec, l2tp, linux, security, vpn, windows, информационная безопасность, системное администрирование, метки: , , , , , , ,

Добрых дел, уважаемые читатели!

В данной статье я хотел бы увлечь вас рассказом о моих приключениях в поисках надежных и безопасных связей IPSec, где поджидает множество удивительных открытий и разочарований, загадок и ответов, историй верной службы и вероломных предательств. Итак, мой дорогой читатель, приготовься, начинаем повествование.

Читателю, которому требуется срочная помощь, а не рассказы о моих несчастьях, приведших к написанию данного топика, рекомендую пролистать до заголовка «Собственно сабж»

Где-то с полгода назад мне понадобилось поднять сервер для платежных терминалов с подключением к платежной системе по IPSec. Мой выбор пал на Debian Squeeze и KAME ipsec-tools, в простонародье racoon. Ох, и не знаю, почему моя душа прикипела к данному приложению. Сначала, поверхностно изучив теорию IPSec, я взялся за практику:

apt-get install racoon

Читать полностью »

1...345...9
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js