Временная скидка 50% на годовую подписку!
For subscribers

HTB HackNet. Эксплуатируем SSTI во фреймворке Django

В этом райтапе я покажу, как эксплуатировать уязвимость SSTI в шаблонизаторе Django, на примере получения учетки пользователя. Затем, авторизовавшись в системе, мы получим контекст другого пользователя через подмену файлов Django Cache. Для повышения привилегий расшифруем бэкапы и найдем учетные данные.

For subscribers

Белый хакер. Глава 13. Ретро Дейз

«Проблема» в легком оранжевом пуховике деловито сновала по помещению клуба, без спроса хватая расставленные на столах древние компы, перебирая разложенные тут и там стопками дискеты и добавляя еще больше беспорядка в царивший вокруг первозданный хаос. Маша и Иван, тоже решившие прийти в этот ответственный день пораньше, растерянно взирали на происходящее со стороны, не решаясь вмешиваться, а Серёга и вовсе спрятался за стойкой, изо всех сил пытаясь слиться с окружающим пейзажем.

Xakep #321

Будущее хешкрекинга. Как ИИ и квантовые компьютеры изменят перебор паролей

Сегодня разберемся с двумя самыми популярными страшилками журналистских заголовков: квантовые компьютеры вот‑вот взломают всю криптографию и ИИ якобы может взломать твой пароль. Посмотрим, как устроена хеш‑функция, что такое квантовые вычисления, при чем здесь алгоритмы Шора и Гровера, может ли ИИ брутфорсить пароли и как все это поможет нам в хешкрекинге.

For subscribers
ВзломДля начинающих

SSRF с самого начала. Осваиваем мощную технику похищения данных

Сегодня разберем мощную веб‑уязвимость — server-side request forgery (SSRF). Она позволяет злоумышленнику заставить сервер жертвы обратиться к внутреннему ресурсу, который недоступен снаружи. В результате хакер может получить конфиденциальные данные или вовсе захватить всю корпоративную сеть.

For subscribers

Криптосамопал. Исследуем критические баги в самодельном криптоалгоритме и учимся обращать кастомные поточные шифры

Зачем в криптоалгоритмах нужны «магические» константы и что будет, если их поменять? В этой статье мы препарируем программную защиту, использующую кастомный поточный шифр. С помощью x32dbg и IDA Pro мы восстановим алгоритм, найдем его корни в известном GSM-шифре и разберем, как ошибки в тактировании регистров приводят к катастрофическим коллизиям. Ты увидишь, почему попытки «улучшить» классические криптоалгоритмы превращают защиту в тыкву и как подобные баги выявляются в ходе реверса.

Xakep #323

Meshtastic. Разбираем распределенный протокол, его криптографию и баги

Meshtastic — это децентрализованная меш‑сеть, позволяющая передавать короткие сообщения на десятки километров без интернета, через цепь промежуточных узлов — нод. Она основана на протоколе LoRa, созданном для передачи данных на большие расстояния. Сегодня мы узнаем, как устроен Meshtastic изнутри, какие у него есть проблемы и ограничения.

For subscribers

Белый хакер. Глава 12. Перед стартом

Хоть Кирилл и не был силен в юриспруденции, но твердо знал: держать несовершеннолетнего в отделении без серьезных на то оснований дольше трех часов не позволяет закон, после этого с подростком должны находиться либо родители, либо педагог или защитник. За уличную драку, если дело обошлось без серьезных травм или тяжких телесных, обычно и вовсе отпускали с предупреждением. В его родном Подгорске разборки среди молодежи из разных районов считались обычным делом, он и сам не раз попадал в милицию по разным поводам, то один, то за компанию с Санчо. Однако сейчас, если верить словам Маши, кому‑то разбили в потасовке не только нос, но и мобильник, и это могло обернуться уже более серьезными последствиями. Если, конечно, владелец телефона напишет заявление, в чем Кирилл искренне сомневался.

For subscribers

Белый хакер. Глава 11. По правилам и без

Второй удар пришелся в плечо — не такой сильный, но достаточный, чтобы вогнать разум в глухую, животную панику. Кирилл попытался закрыться руками и, отступая, наткнулся спиной на шершавые доски забора. Торчащая меж штакетин ветка чахлого деревца больно ткнула в лопатку, по спине пробежал холодный ток — смесь страха и злости.

For subscribers

Белый хакер. Глава 10. Хьюстон, у нас…

Врачей в районной поликлинике Кирилл прошел быстро: ему померили давление, окулист заставил прочитать мелкие буквы на табличке и назвать цифры, изображенные на листках с цветными кружочками, а лор, стоя за спиной, заговорщицки шептала слова, которые требовалось произнести вслух. Причем пройти всех специалистов удалось без предварительной записи, просто произнеся магическое заклинание «водительская медкомиссия», которым с ним поделились в регистратуре. Сложности начались в районном психоневрологическом диспансере, где внезапно обнаружилась очередь из охранников и охотников, пришедших сюда оформлять справки для разрешения на оружие.

For subscribers

Белый хакер. Глава 9. Лед тронулся

Время от времени Кириллу казалось, что человечество делится не на мужчин и женщин, не на богатых и бедных, а на тех, кто способен понять принцип работы компьютера, и тех, кто смотрит на него, как на икону, ожидая, что чудо произойдет само собой. Причем вторых в процентном соотношении, как оказалось, подавляющее большинство. Запустить на компе вложенного в письмо с обещанием халявы трояна‑шифровальщика ума у них вполне хватило, а вот выполнить несколько простых действий, чтобы вернуть потерянные файлы, — уже нет.

Страница 21 из 1 665В начало...101920212223 304050...
Tbank IT Picnic

Рассылка

Важные события и скидка на подписку:

Форма защищена SmartCaptcha

«Хакер» в соцсетях

Материалы для подписчиков