Главная Статьи (страница 30)

Статьи

Xakep #202

Easy Hack: выполняем произвольный код на сервере через уязвимость в XSLT

XSLT, Extensible Stylesheet Language Transformations — это специальный язык для преобразования (в общем случае) документов XML. Это развесистый формат, так что в плане возможностей для атак XSLT — богатая технология, и с ней стоит разобраться подробнее.

Xakep #202

Скрываем смартфон от всевидящих глаз корпораций

Ты выходишь из подъезда, щуришься от не пойми откуда взявшегося солнца, а на телефон уже приходит сообщение. Это компания Google. Она точно знает, куда ты направляешься, и вежливо подсказывает расписание транспорта. Постой, тут еще одно сообщение: «Расписание рейсов в Питер». Действительно, вчера ты искал дешевый билет, Google знает и это. Она знает даже то, что сегодня ты собираешься в кино, именно это ты обсуждал в Hangouts. Интеллект и познания Google о юзерах уже давно никого не удивляют, но стоит ли ее сомнительная забота личной жизни?

Xakep #202

Русский кремний. Кто и зачем делает процессоры в России

Ты наверняка слышал о том, что в России делают процессоры, и даже раздумывал, повод ли это для гордости или только для горькой усмешки. Но интересны ответы на другие вопросы: сколько русского в русских процессорах и на что они годны?

Xakep #202

Кто ворует деньги с твоего смартфона?

Финансовые онлайн-операции упростили нашу жизнь: почти любой товар/услугу можно купить, не выходя из дома. Однако растущая популярность интернет-платежей играет на руку преступникам. Кража финансовой информации с мобильных устройств, а затем и денег с карточек их владельцев — представляют сегодня собой один из наиболее эффективных способов «заработка» разных предприимчивых ребят.

Xakep #202

Easy Hack: Обход SOP через content smuggling с PDF

Эта задача во многом похожа на предыдущую, хоть и касается формата PDF. Для начала представим себе классическую атаку. Существует сервер, на который мы можем загрузить картинку. Есть способ изготовить такой файл, который одновременно будет и валидным изображением, и правильным PDF. После загрузки такого файла мы можем заманить жертву к себе на сайт и заставить открыть нашу картинку как PDF.

Xakep #202

Создаем универсальные приложения под Windows 10

Windows 10 стала единственной программной платформой Microsoft, управляющей различными устройствами: от микроконтроллеров и до больших серверных систем. Только вдумайся: одно ядро для ПК, для миниатюрных девайсов (Internet of Things), консоли (Xbox One), моноблока (Surface Hub), устройств дополненной реальности HoloLens! В этой статье мы в деталях разберемся в платформе UWP и в ее возможностях управления компьютером.

Xakep #202

Shorewall: «бронированный» файрволл. Обзор и настройка

Всем хорош iptables, да только синтаксис правил у него достаточно неочевидный (куча всяческих опций и прочее). Сейчас, конечно, появился его потомок, nftables, но пока что он не очень распространен и поддерживает не все возможности предшественника. Для iptables же за время его существования было создано немало фронтендов и конфигураторов, один из которых, Shorewall, мы и рассмотрим.

Спецпроект

Конференция «Hello, Blogger» о блогах и нишевых социальных сетях 13-14 ноября в Москве

На конференции большое внимание будет уделено продвижению видеоконтента и интеграции коммерческого контента в видео на различных платформах. Мы подробно обсудим продвижение с помощью визуального контента, особенно в Instagram, и новые форматы работы с традиционными блогами, мессенджерами и социальными сетями. На конференции выступят спикеры от Youtube, Coub, Flamp, Aitarget, Brand Analytics, Одноклассники, Google, Aviasales, Smetana, Seedr, LizzzTV и многие другие.

Спецпроект

От гиков гикам: можно ли научиться программировать с помощью онлайн-курсов?

Изучать новый язык программирования с нуля в одиночку непросто, особенно когда за плечами нет большого опыта кодинга. Конечно, у нас есть Stack Overflow, есть «Хакер», есть книги, в конце концов. Но когда только знакомишься с новой технологией, зачастую требуется помощь и совет живого учителя. Одно из решений проблемы — это онлайновые курсы, которые позволяют пройти обучение по интересующей тебя технологии с настоящим преподавателем, и при этом не тратить время на дорогу.

Xakep #202

Easy Hack: XSS с помощью SVG

Первые несколько атак этого выпуска Easy Hack будут завязаны на формат SVG. Причем хочется взглянуть даже не на сами атаки, а на потенциальные возможности формата.

Xakep #202

10 мифов о джейлбрейке. Развенчиваем заблуждения, связанные со взломом iOS

Джейлбрейк или не джейлбрейк — вечная проблема, волнующая многих пользователей iДевайсов. Может ли джейлбрейк окирпичить смартфон? Замедляет ли он работу системы и не приводит ли к утечкам информации? Станет ли смартфон рассадником вирусов после взлома? Потеряю ли я гарантию? Владельцев устройств терзает масса вопросов, и эта статья — ответ на них.

Xakep #202

Правильный резерв. Ставим систему бэкапа UrBackup

Информационные ресурсы любой компании представляют особую ценность. В сборе, анализе и использовании данных задействованы практически все сотрудники. Но, если нет системы резервирования, данные легко потерять. Нам нужна бесплатная система, позволяющая создавать бэкапы, простая в настройке и работающая в гетерогенной среде. Разберем возможности и настройку UrBackup.

Xakep #202

Криптовымогательство по-русски. Масштабное исследование отечественной рансомвари

В прошлых статьях мы описывали несколько нашумевших в зарубежных СМИ шифровальщиков. Однако в русскоязычном сегменте Паутины сегодня правят бал не CryptoWall и не CTB-Locker — на нашей родине сформировалась «экосистема» из других видов троянов-вымогателей, в большинстве своем не выходящих на мировую арену. Сегодня мы познакомимся с некоторыми из них, а в качестве бонуса пробежимся по модным тенденциям мирового ransomware-строения.

Xakep #201

Easy Hack #201. Часть 4: Эксплуатация уязвимостей через сериализованные объекты Java

Переходим ко второй атаке, которая связана с двоичной сериализацией в Java. Мы, как ты помнишь, были несколько ограничены в возможностях: да, поменять данные объектов можно, а вот отправлять произвольные объекты и получить в итоге RCE (как бывает в случае других языков) можем лишь при определенных условиях.

Xakep #201

Сборка и модификация твиков для iOS в среде OS X

Сборка твиков, их модификация, создание простейших твиков, наряду со знанием Objective-C, — первые шаги в разработке. В этой статье я расскажу, как установить необходимое ПО для разработки и как устроена файловая структура твика, покажу создание наипростейшего твика, а также опишу сборку имеющихся Open Source твиков. Отдельным пунктом вынесено исправление ошибок, которых при разработке ты наверняка встретишь немало.

Xakep #201

Как писать приложения для Андроида с поддержкой прав root

В Android приложения с поддержкой root имеют особый статус. Во-первых, они будут работать только на рутованных смартфонах, то есть у довольно узкого круга пользователей. Во-вторых, возможности root-приложений безграничны. Они могут удалять или устанавливать системные приложения, изменять системные конфиги, прошивать в смартфон кастомные ядра или прошивки, да и вообще без проблем превратят смартфон в кирпич. Думаешь, реализовать все это сложно? Отнюдь!

Xakep #201

Framework7: делаем мобильные приложения в нативном стиле

Известный факт: далеко не всегда надо лезть в дебри нативных технологий, чтобы создать функциональное приложение для популярных мобильных платформ. Проверенный временем PhoneGap давно научился эффективно переносить JavaScript-код в нестандартную среду выполнения. Для полного счастья не хватает только рюшечек в нативном стиле, а ими готов поделиться замечательный фреймворк Framework7.

Xakep #201

Заразные пингвины. История вирусописательства для *nix-систем в цифрах

Для многих пользователей UNIX-систем словосочетание «вирус для Linux или BSD» звучит странно. Мы настолько привыкли к тому, что вирусов в наших системах нет, что уже начали верить, будто их не существует в природе. Между тем первый в истории компьютерный вирус был написан для 4.3BSD, а знаменитый червь Морриса поражал UNIX-системы через уязвимость в sendmail. Так есть вирусы или нет? Попробуем разобраться.

Xakep #201

Проходим FLARE-On Challenge: разбор заданий от FireEye Labs Advanced Reverse Engineering team

С 28 июля по 8 сентября команда FLARE (FireEye Labs Advanced Reverse Engineering team), входящая в состав компании FireEye и занимающаяся разработкой систем защиты от угроз «нулевого дня» и таргетированных атак, проводила свой второй по счету конкурс в формате CTF (capture the flag). Основной темой заданий был реверсивный анализ. Разбору заданий конкурса и будет посвящена эта статья.

Xakep #201

Что отпугивает на собеседованиях: 20 практических советов от работодателей

Для большинства из нас рано или поздно встает вопрос поиска работы. Опытные соискатели знают, как правильно вести себя на собеседовании, что можно и чего нельзя делать, и что приведет будущего работодателя в недоумение при приеме на техническую должность. Ну а как быть, если у тебя за плечами нет большого опыта поиска работы? Мы кинули клич нашим друзьям из крупных технологических компаний РФ и попросили рассказать, что отпугнет их в соискателе на должность программиста при приеме на работу.

Xakep #201

Easy Hack #201. Часть 3: подмена данных в сериализованных объектах Java

В качестве большой темы в этот раз я решил выбрать двоичную сериализацию в Java и две связанные с ней атаки. Идея тут проста: с сериализацией мы можем сохранить значения сложных типов данных, например — массив объектов произвольного класса. Фактически формат может быть любой. Мы же рассмотрим нативную двоичную сериализацию в Java.

Xakep #201

PXE — грузим всё! Осваиваем мультизагрузку по локальной сети

Сегодня мы научимся устанавливать Windows и Linux по сети, грузить небольшие ISO-образы, полезный софт (всяких там Касперских, Акронис, WinPE, мемтесты), разворачивать тонкие клиенты и рулить ими. В достижении наших коварных целей нам поможет сервер, предоставляющий загрузку по сети (PXE).

Xakep #201

Свой циферблат для Android Wear. С иконками, циферками, подкидным дураком и танцовщицами!

Раньше ты мог десятками лет наблюдать один и тот же экран старых аналоговых часов. То ли дело сейчас — распаковав коробку со своими первыми часами на Андроиде, ты начинаешь постоянно экспериментировать с циферблатами в надежде найти «тот самый». А если не отыщется нужный, то можно написать свой собственный и вывести на экран какую хочешь информацию. И мы тебе в этом сегодня поможем!

Xakep #201

Win 10 для программиста: полный гайд по новым фичам

Пока не появился финальный релиз Windows 10 и Visual Studio 2015, мы старались по максимуму подготовить читателя к тем фичам, которые были обещаны Майкрософтом нашему брату-программисту. И вот десятая винда вышла в свет, и ее уже установили миллионы пользователей, среди которых, как мне доподлинно известно, есть программисты :). А это значит, что пора сравнить ожидания и реальность и посмотреть на те возможности, которые нам теперь доступны: Xamarin, Apache Cordova, UWP, поддержка Python, .NET Native, DirectX 12, VS Code, Windows IoT и многое другое. Вперед!

Xakep #201

Easy Hack #201. Часть 2: захват контроля над Windows через WSUS

Вообразим ситуацию: в большой организации есть парк машин с Windows, и все их надо обновлять. Понятно, что заставлять каждый из хостов ходить в интернет за обновлениями накладно и неудобно, а потому внутри корпоративной сети поднимают сервер WSUS (Windows Server Update Services), который и используется для управления обновлениями: их выгрузкой, распространением и распределением...

Xakep #201

Конструктор ботов. Обзор ZennoPoster 5 — средства автоматизации для веба

Большое количество задач, связанных со взломом, требуют автоматизированной обработки данных, но программировать для этого вовсе не обязательно. В этой статье я расскажу тебе, как пользоваться мощнейшим инструментом — программой ZennoPoster. В первую очередь она предназначена для SEO, но применений ей — великое множество.

Xakep #201

Карманный софт. Выпуск #12: в обход Google Play

Сегодня в выпуске мы поговорим о софте, который по тем или иным причинам невозможно найти в Google Play. Нет, это не приложения для просмотра порно и не пиратский софт — это качественный софт, который просто нарушает одно или несколько дурацких правил Google. В журнале мы уже говорили о некоторых из этих приложений (например, LMT Launcher, AdAway или магазин открытого софта f-droid). Сегодня же поговорим о Kodi, MiXplorer, OG Youtube и Market Helper.

Xakep #201

Домашняя имплантация. Как зашить в руку проездной на метро и стать киборгом

Я подхожу к валидатору в метро и прикладываю к нему левую руку. «Пи-и-к!» — говорит валидатор и показывает на экране, что у меня осталось еще восемнадцать поездок. Выйдя из метро и подойдя к двери офиса, я касаюсь рукой считывателя около двери. Дверь щелкает и впускает меня внутрь. Отрывок фантастического романа? Нет. Реальность!

Xakep #201

Спрос на подручный DDoS. Колонка Юрия Гольцева

Тестирование на проникновение (penetration testing) — метод оценки безопасности компьютерных систем или сетей средствами моделирования атаки злоумышленника. Для кого-то это хобби, для кого-то работа, для кого-то это стиль жизни. На страницах нашего журнала мы постараемся познакомить тебя с профессией настоящего «этичного хакера», с задачами, которые перед ним ставятся, и их решениями.

Xakep #201

Погружение в «Хаос». Отчет с Chaos Constructions 2015

В то время, когда все нормальные технические журналисты ехали в Берлин на IFA 2015 смотреть на новые смартфоны с Android (скучные и совершенно одинаковые!), я отправился туда, где показывают компьютеры, каждому из которых минимум двадцать лет, зато на каждом втором — экзотическая операционка. Питерский фестиваль Chaos Constructions уже который год собирает любителей ретрокомпьютеров и демосцены, рыцарей паяльника и ассемблера.

Xakep #201

Почему так медленно, брат? Колонка Евгения Зобнина

Шумиха вокруг того, почему ребята с форумов XDA Developers и команды типа CyanogenMod и AOKP выпускают обновления до новых версий Android быстрее самих компаний — производителей смартфонов, все не утихает. Попробую разобраться, как на самом деле происходит обновление смартфонов, и ответить уже наконец на интересующий многих вопрос.

Xakep #201

Easy Hack #201. Часть 1: эксплуатация directory traversal в архивах

Давай представим себе ситуацию: у нас есть какое-то веб-приложение и в нем функция, позволяющая загружать архивы. Приложение разархивирует получаемые файлы во временную директорию для работы с ними. Согласен, ситуация не из повседневных, но здесь есть интересная возможность для атаки.

Xakep #201

WWW2 #201. Highly, Codecademy, Vectr и Fake Update

В этом выпуске — плагин для Хрома, умеющий работать с текстом веб-страниц, новые интерактивные курсы по программированию на Codecademy, векторный редактор, который работает в браузере, и сайт для довольно-таки злых компьютерных розыгрышей. Наслаждайся!

Xakep #201

Фитнес по-китайски. Тест фитнес-браслетов Xiaomi Mi Band и Huawei TalkBand B2

Новые фитнес-трекеры и умные часы повалили как из рога изобилия. Мы протестировали два продукта известных китайских компаний: один из них интересен исключительной дешевизной, второй — возможностью из браслета превращаться в Bluetooth-гарнитуру.

Xakep #201

Точка зрения на Hacker Halted 2015. Колонка Дениса Макрушина

«Сэр, пройдемте со мной», - говорит один из офицеров и указывает пальцем на коридор с множеством маленьких комнат для допроса. «Цель визита? – Выступление на конференции Hacker Halted 2015. Конечный пункт назначения? – Атланта, Штат Джорджия…» Через полчаса содержательной беседы нам возвращают багаж, и мы выходим из аэропорта, где нас встречает раскаленный воздух и джетлаг. Добро пожаловать в США.

Xakep #201

Война против рекламы: как Adblock Plus помогает отстоять права пользователей

В последнее время вопрос о блокировании рекламы в интернете встал очень остро — печатные издания повально переходят в онлайн, и для большинства из них реклама — это основной, если не единственный способ дохода. Но когда рекламщики перегибают палку, пользователи не выдерживают и ставят блокировщик.

Xakep #201

Решение задач на собеседованиях от Pay-Me и прославление победителей

Товарищи из сервиса мобильного эквайринга Pay-Me определились с победителями задач, опубликованных в прошлом номере. Да мы и не сомневались — наши читатели порвут какие хочешь задачи! Правильные ответы мы тоже сегодня опубликуем.

Страница 30 из 256В начало...10202829303132 405060...

«Хакер» в соцсетях

Telegram ВКонтакте Twitter Facebook
«ХАКЕР» ДОСТУПЕН ТОЛЬКО В ЭЛЕКТРОННОЙ ВЕРСИИ
Оформи подписку — получи:
  • доступ к платным материалам сайта
  • доступ ко всем номерам PDF
7190 р.
на год
720 р.
на месяц
90 р.
за 1 статью

Еженедельный дайджест

Статьи для подписчиков