Xakep #220

Карманный софт: Remote Bot for Telegram, управляем смартфоном с помощью Телеграма на Android

В маркете можно найти множество приложений для удаленного управления смартфоном и его поиска. Но все они имеют две проблемы: требование довериться непонятному серверу, который будет хранить и обрабатывать информацию с твоего смартфона, и необходимость использовать не всегда удобный веб-интерфейс. Remote Bot for Telegram решает обе проблемы.

Xakep #219

EXPLOIT: выполнение произвольного кода в VMware vCenter <= 6.0 U2a (видео)

Уязвимость существует из-за того, что в vCenter используется устаревшая версия фреймворка Apache Struts 2 с уязвимостью парсера сообщений об ошибках. Злоумышленник может отправить специально сформированный HTTP-запрос, который приведет к выполнению произвольного кода с правами веб-сервера.

HOW-TO: Разбираемся с деревьями в лесу, изучая терминологию Active Directory

Впервые услышав термины «лес», «деревья» и связанные с ними «доверительные отношения», недолго и испугаться. Не меньше пугает и сама Active Directory, недаром слывущая одной из самых сложных технологий Microsoft. Чтобы успешно управлять AD и понимать, что там происходит, следует первым делом изучить базовую терминологию и понять, как компоненты связаны между собой. Об этом я и расскажу.

Xakep #219

HOW-TO: Как искать соседние устройства Cisco при помощи CDP

Cisco Discovery Protocol (CDP) — это проприетарный протокол Cisco, который позволяет сетевым устройствам анонсировать в сеть информацию о себе и о своих возможностях, а также получать информацию о соседних устройствах.

Для подписчиков

Gridcoin: получаем вознаграждение за научные расчеты

Пока одни майнят криптовалюту, другие обрабатывают научные данные. Еще недавно приходилось выбирать между алчностью и альтруизмом, поскольку проекты распределенных вычислений обычно не предусматривают вознаграждения. Теперь появилась сторонняя программа поощрений, и она уже дала заметные результаты. Здесь ты найдешь подробный гайд о том, как к ней присоединиться.

Xakep #219

HOW-TO: Управляем Exchange через PowerShell

Подключаться к серверу Exchange и управлять почтой можно не только через почтовик, но и напрямую из PowerShell. Это позволяет писать самые разные скрипты — например, массово создавать ящики или переносить архивы. Посмотрим, как выглядит этот интерфейс.

Xakep #219

EXPLOIT: анонимный доступ к закрытым страницам в Atlassian Confluence с 6.0.0 до 6.0.6 (видео)

Причина уязвимости — отсутствие проверки прав пользователя для доступа к страницам и блогам. Обратившись к любой записи через специально сформированный запрос к REST API, злоумышленник может получить ее содержимое.

Xakep #220

Атаки на Tomcat. Изучаем способы взлома Apache Tomcat и методы защиты

В последнее время в статьях и пентестерских отчетах все чаще упоминается Apache Tomcat. И неспроста. Он занимает шестую строчку по популярности среди веб-серверов в рейтинге W3Techs, что делает его привлекательной мишенью для злоумышленников. Настройки по умолчанию в Apache Tomcat не позволяют противостоять распространенным методам атак, поэтому предлагаю ознакомиться с основными техниками, используемыми для взлома, а также способами противодействия.

Xakep #219

WWW: Virtual Lorenz — онлайновый симулятор немецкой шифровальной машины времен Второй мировой

Ты наверняка слышал про машину «Энигма» и про то, как английские криптографы из Блетчли-парка под руководством Алана Тьюринга взломали ее шифр. Однако «Энигма» — не единственная шифровальная машина фашистской Германии. Агрегат под названием «Лоренц» (Lorenz SZ), в отличие от нее, не был портативен и требовал присутствия двух операторов. Сайт Virtual Lorenz поможет тебе перенестись назад во времени и попробовать себя в их деле.

Xakep #220

Проект Treble: долгожданное решение проблемы обновления Android. Колонка Евгения Зобнина

Незадолго до начала Google I/O разработчики Android анонсировали инициативу под названием Treble. Ее суть сводится к тому, чтобы разделить Android на две части, которые можно будет обновлять независимо друг от друга и таким образом облегчить портирование новых версий Android на уже выпущенные смартфоны. Попробуем разобраться, что это значит на деле и какую проблему Google все же пытается решить.

Xakep #220

Знакомимся с Endless OS: дистрибутив Linux, в котором нет понятия пакетов

Как выглядит среднестатистический дистрибутив Linux? Обычно это некая система, как конструктор собранная из тысяч пакетов, плюс различные твики рабочего стола, возможно собственный инсталлятор и система конфигурации. В любом случае почти все дистрибутивы похожи и основаны на одной и той же идее: пакет + пакет + пакет = ОС. Endless совершенно другой, здесь вообще нет пакетов как таковых, но есть концепция атомарно обновляемой базовой системы и песочниц Flatpak.

Xakep #219

WWW: Transfer.sh — удобный шейринг файлов для фанатов командной строки

Из удобных средств поделиться файлом шейринговые сервисы нынче превратились в «файлопомойки» — места, заваленные пиратским контентом, владельцы которых идут на любые самые низкие уловки, только чтобы выжать из посетителя копеечку. Тем отраднее видеть, что кто-то отважился сделать чистый, простой и удобный сервис для пересылки файлов.

Xakep #219

EXPLOIT: выполнение произвольного кода в Microsoft Word версий с 2007 по 2016 (видео)

Ошибка связана с некорректной обработкой ответов от сервера в функции Microsoft OLE (Object Linking and Embedding), которая дает возможность встраивать одни документы внутрь других. После открытия зараженного документа приложение офиса делает запрос на удаленный сервер, чтобы получить встроенный в этот документ файл. Сервер возвращает специально сформированный ответ. В нем содержится вредоносный файл HTA, код из которого после загрузки выполняется на целевой системе.

Спецпроект

Университет Иннополис — интеллектуальное ядро первого в России города высоких технологий

Наверняка все слышали о Силиконовой долине в США — это область в штате Калифорния, где сосредоточены высокотехнологичные компании, занимающиеся разработкой и производством всякого рода компьютеров. У нас такой долины нет, зато есть долина знаний — Университет Иннополис. В этой статье мы расскажем о нем, а также ответим на все часто задаваемые вопросы.

Xakep #220

Сенсорные датчики в Android: какие они бывают и как с ними работать

Современный смартфон уже сложно назвать просто компьютером, ведь он умеет гораздо больше своего стационарного предка: и температуру может измерить, и высоту над уровнем моря подсказать, и влажность воздуха определить, а если вдруг забудешь свою ориентацию в пространстве или силу тяжести потеряешь — все исправит. А помогают ему в этом, как ты уже, наверное, догадался, датчики aka сенсоры. Сегодня мы познакомимся с ними поближе, а заодно и проверим, действительно ли мы находимся на Земле. ;)

Xakep #219

WWW: EasyEDA и Circuit Simulator — сервисы, которые помогут тебе с разработкой электронных схем

Если тебя временами тянет изучать электронику, то, помимо учебников и готовых конструкторов, тебе в этом деле немало помогут программы-симуляторы. В них ты сможешь собрать схему и посмотреть, как через нее пойдет ток и как изменятся его характеристики, когда он будет проходить через разные компоненты.

Для подписчиков

EXPLOIT: выполнение произвольного кода в SquirrelMail <= 1.4.23 (видео)

Уязвимость существует из-за недостаточно серьезной фильтрации адреса получателя почты. Если SquirrelMail настроен на работу в связке с sendmail, то злоумышленник, отправив специально сформированное письмо, сможет выполнить произвольный код на целевой системе.

Xakep #219

BOINC к бою! Премудрости распределенных вычислений на личном примере

В 2012 году я скачал программу BOINC, зарегистрировался в паре проектов, и с тех пор свободные вычислительные ресурсы моего компьютера потихоньку приносят пользу обществу. О том, что и как считают распределенно, читай в статье «Вычисления на дому» в этом номере, а здесь я расскажу о своем скромном опыте и о разных тонкостях настройки и работы BOINC.

Страница 3 из 1 32612345 102030...

Еженедельный ][-дайджест

Реклама на «Хакере»

Корпоративная подписка

Для подписчиков

Хочешь годовую подписку в подарок?

Каждую неделю, вместе с дайджестом актуальных хакерских трендов, ты можешь получить один из 1000+ еженедельных кодов на скидку от 10 до 50% или один из 5 промокодов на бесплатную годовую подписку на «Хакер»

Данные участников не передаются третьим лицам