Сегодня мы проанализируем, что может произойти, если программа добавляет в открытый формат свои собственные поля, а также рассмотрим различные уязвимости в популярных CMS и фреймворке.

Перехватить HTTPS-трафик, используя transparent proxy и многое другое

«А есть ли в iOS что-то подобное Tasker?» — зачастую этот вопрос сводит на нет любые споры о мобильных операционных системах. Ни в iOS, ни в Windows Mobile нет инструмента, даже издалека напоминающего это приложение. Для многих продвинутых пользователей Tasker уже давно стал инструментом из разряда must have, способным заменить десятки платных приложений. Ему посвящены целые сайты и форумы, но в нашем журнале о Tasker писали всего один раз.

Тебя никогда не интересовало, как работают fastboot или ADB? Или почему смартфон под управлением Android практически невозможно превратить в кирпич? Или, может быть, ты давно хотел узнать, где кроется магия фреймворка Xposed и зачем нужны загрузочные скрипты /system/etc/init.d? А как насчет консоли восстановления (recovery)? Это часть Android или вещь в себе и почему для установки сторонней прошивки обычный рекавери не подходит? Ответы на все эти и многие другие вопросы ты найдешь в данной статье.

И снова о главном — давай поговорим о хорошо знакомом тебе cmd.exe. Даже в новомодной «восьмерке» консоль никуда не делась, и выполняет все привычные для тебя задачи и даже таит в себе несколько сюрпризов.

Когда в 2001 году Microsoft выпустила XP, мы сомневались, удастся ли поставить ее на комп с 566 МГц и 128 Мб ОЗУ, или все-таки надо 256? А не лучше ли вообще 512 Мб RAM? Но ведь оперативка в те времена была очень дорога! Да и нужна ли наследница WinNT на десктопе? Не проще ли остаться на Win98? :)

В те времена, когда сайты были небольшими, необходимости в отдельной сборке фронтенда не было. Однако объем и сложность CSS и JS все увеличивались, и вид, в котором удобно разрабатывать, стал сильно отличаться от вида, в котором нужно показывать результат пользователю. Появились такие задачи, как конкатенация (склеивание) файлов, минимизация кода и даже предварительная компиляция. Результатом этого стали специализированные системы сборки фронтенда, о которых мы и расскажем.

Как ты помнишь, на заре интернета визуальное представление документов целиком ложилось на плечи браузеров, которые использовали свои собственные встроенные стили для отображения различных HTML-тегов. Поскольку никакими стандартами на тот момент оформление не регламентировалось, производители браузеров в борьбе за неокрепшие умы пользователей украшали странички как могли, и в результате один и тот же документ мог разительно отличаться по внешнему виду в зависимости от ОС и браузера, в котором он отображался.

Многие фирмы тратят огромные деньги на безопасность. Покупаются различные системы, десятки специалистов следят за внешними и внутренними угрозами информационной безопасности. Но при этом физической безопасности отводится лишь малая толика внимания. На коммутационных и серверных шкафах стоят замки, которые открываются двумя скрепками. Трехпиновым замкам доверяют самые сокровенные корпоративные тайны, полностью полагаясь на их безопасность. А зря.

Если есть готовые решения, нет смысла изобретать костыли и велосипеды. С особым цинизмом это утверждение доказали авторы криптолокера, который для своих целей пользовался CryptoAPI :). Справедливо оно и для решения нашей сегодняшней задачи — расшифровки капчи (с образовательными целями, разумеется). Вперед, запускаем Visual Studio!

Не так давно появилась информация, что планировщик BFQ разработчики подготавливают к внесению в основную ветку ядра. В связи с этим я решил сделать обзор планировщиков и провести бенчмарки, чтобы понять, в каких ситуациях выгоднее использовать тот или иной из них.

Отвечаем на вопросы читателей

Современные смартфоны и планшеты гораздо больше напоминают полноценный ПК, чем простое устройство для общения и получения информации. Теперь их оснащают четырехъядерными процессорами с частотой в 2 ГГц, гигабайтами оперативной памяти и Full HD экранами. Проблема только в том, что для питания всех этих мощностей используется не кабель от розетки, а небольшой аккумулятор, емкости которого редко хватает более чем на день. Что ж, давай посмотрим, как это исправить.

Мы не так часто предлагаем тебе нетехнические истории, но история LinguaLeo — хороший повод, чтобы сделать исключение. Ведь даже если ты бог кодинга, то для создания айтишной компании с нуля тебе понадобится изучить еще тысячу разных вещей, от подбора кадров и поиска офиса до организации разработки и построения связей в команде. И кто может научить этому лучше, чем создатели веб-сервиса, которым удалось впятером за полгода сделать не просто рабочий прототип, но и основу всей будущейкомпании?

«Кто мне это сказал?», «Это было в понедельник или во вторник?», «Куда я положил новые носки, когда принес их из магазина?», «Кто еще был с нами в той поездке?» Такие вопросы то и дело возникают у нас в головах...

Этот месяц запомнился сразу несколькими вкусностями: удаленным выполнением кода в MediaWiki — движке, который используется в громадном количестве проектов, в том числе Википедии, и парой простых, но эффективных багов в роутерах Linksys (один из них даже послужил основой для червя TheMoon!). Но обо всем по порядку.

Хотелось бы начать сегодняшний Easy Hack с относительно старой атаки — возможности «обхода» HTTPS в браузере. Если точнее, возможности внедрить свой JavaScript-код в любой сайт, защищенный HTTPS, при условии, что злоумышленник может «вставить» свой прокси в настройках браузера жертвы. Да, эта атака не работает на современных топовых браузерах. Но, во-первых, еще шесть лет назад ей были подвержены все они, а во-вторых, она служит отличным примером основных проблем с HTTPS (SSL). Да и с технологической точки зрения интересна.

Он не прячет свой код под покровом обфускации и шифрования. Он не использует никаких техник антиотладки, детекта виртуальных машин и песочниц. Он не скрывается в недрах оперативной памяти и чудесно виден в диспетчере задач. Он прост, как автомат Калашникова. Но он реально опасен. Ведь это он заставил тысячи незадачливых пользователей платить деньги своим создателям, он ухитрился поставить на бабки сотрудников полиции Массачусетса (им пришлось покупать биткоины, чтобы расшифровать свои данные), он прославился «джентльменским» «снижением» цен в связи с резким ростом курса биткоина!

Цифровая валюта Bitcoin выросла из пеленок. Что ее ждет — триумф или забвение? Здесь мы расскажем о том, как удобно и безопасно работать с Bitcoin и войти в сообщество людей, развивающих валюту будущего. Прошедший 2013 год стал для Bitcoin самым значительным и богатым событиями. Если еще год назад он был только игрушкой для гиков, финансовой пирамидой, средством отмывания преступных денег, …

2009 Первым вирусом, поражающим операционную систему Android, был троян (руткит), ворующий данные пользователя. Его деятельность активировалась с помощью SMS-сообщения. Вреда он никому не причинил, поскольку был создан компанией Trustwave (с 1995 года на рынке компьютерной безопасности) в целях доказательства возможности создания малвари под «неуязвимую операционную систему». Новость об этом обошла ленты IT-новостей по всему миру. Я уверена, что у «доверчивой …

В интернете подчас случаются настолько невероятные события, что мы потихоньку привыкли к их странности и чуть ли не перестали ее замечать. Одна из таких историй — о том, как пятидесятилетняя японка, воспитательница детского сада, сфотографировала свою собаку породы сиба-ину и опубликовала снимок в блоге; через четыре года это изображение стало знаменитым, а затем дало имя одной из криптовалют и помогло …

Когда мощности сервера уже не хватает, встает вопрос, каким путем идти дальше. Апгрейд часто не дает пропорционального прироста и к тому же не обеспечивает требуемой отказоустойчивости. Поэтому самым верным шагом будет установка второго сервера, который возьмет на себя часть нагрузки. Остается выбрать приложение, которое будет обеспечивать балансировку.

Привет, %username%! Думаю, ты наверняка сталкивался с ситуацией, когда нужно было добыть информацию о человеке, имея на руках лишь ник/почту/скайп/etc. Считаешь, это нереально и анонимность онлайн все-таки существует? Тогда смотри, как, не используя специсточники (телефонные справочники, базы сотовых операторов), можно вычислить практически любого индивидуума. Ведь в наше время оставаться анонимным можно только одним способом — уйдя жить в лес.

Отвечаем на вопросы читателей

Подделка адреса отправителя в email, атака на принтеры и многое другое

Собрать информацию по заголовкам email Решение Технологий становится все больше и больше. Они рождаются, меняются, исчезают и перерождаются. Все это создает большой ком, который растет и растет. Зачастую во многих компаниях разобраться с тем, что вообще используется в корпоративной инфраструктуре, — уже большая задача, не говоря о том, чтобы это все безопасно настроить… Это я к тому, что мест, через …

Привет, читатель. Не знаю как ты, а я ну очень ленивый. И я не люблю вновь и вновь повторять какие-то стандартные действия, если можно написать скрипт. В Android для этого можно использовать визуальный инструмент автоматизации Tasker и среду исполнения скриптов SL4A, которые, работая в паре, позволяют сделать смартфон по-настоящему умным девайсом.

Мы живем в прекрасном мире, где программисты не стесняются выкладывать различные вкусности в паблик — нужно лишь знать, где их искать. Достаточно побродить по GitHub и другим площадкам для размещения кода, и ты найдешь решение для любой проблемы. Даже для той, которой у тебя до этого момента и не было.

В этом выпуске мы с тобой поковыряем поисковик Solr от Apache, почтовый сервер Ability Mail Server, а также посмотрим на уязвимость в драйвере NDProxy в Windows XP и Windows Server 2003.

Работали мы как-то с компанией «Яндекс» в соседних бизнес-центрах. Заходили к ним в гости и удивлялись, что в то время, как сотрудники нашей редакции отливают свинцовые литеры для печатных прессов, стоя по пояс в радиоактивных отходах в непроветриваемых помещениях, сотрудники Яндекса сидят в креслах за 800 евро и наслаждаются теплом от обогреваемых стен-перегородок. Хочешь работать так же? Легко! По вопросам трудоустройства в нашу редакцию пиши Степану на step@glc.ru, а по поводу Яндекса… впрочем, дадим им слово.

Начиная с этого выпуска, мы решили поставить эксперимент: в каждом номере рассказывать о каком-нибудь интересном поделии от фанатов Хакера. Если ты или твои друзья пилят какую-нибудь интересную, бесплатную (и желательно опенсорсную) штуку — напиши мне на ilembitov@real.xakep.ru. Возможно, в следующем номере мы расскажем и о твоем детище!

Мы живем в прекрасном мире, где программисты не стесняются выкладывать различные вкусности в паблик, — нужно лишь знать, где их искать. Достаточно побродить по GitHub и другим площадкам для размещения кода, и ты найдешь решение для любой проблемы. Даже для той, которой у тебя до этого момента и не было.

По мере того как будет продолжаться твое путешествие по миру Bitcoin, возможностей полустандартного кошелька Bitcoin-Qt в какой-то момент явно перестанет хватать. Лучшей альтернативой является сравнительно новый кошелек Armory, которому и посвящена эта статья. Это приложение не только упростит проведение многих операций с Bitcoin, но и даст несколько важных инструментов обеспечения безопасности твоего «цифрового золота»

Bitcoin напоминает швейцарские механические часы: снаружи четко выполняет задачу, в понимании которой нет ничего сложного. Но если открыть заднюю крышку, то можно увидеть нетривиальный механизм, состоящий из множества шестеренок и прочих деталей. Однако полностью разобраться в том, как все это работает, технически подкованному человеку вполне реально.

Bitcoin был задуман своим создателем (или создателями) как деньги будущего — валюта совершенно нового типа. Свободная от государственного контроля, не подверженная обесцениванию из-за неограниченной эмиссии, количество и оборот которой открыты для всех.

Если ты думаешь, что социальная инженерия по-настоящему рулила только во времена Митника, а нынче, чтобы похекать подружку, твоей ОС непременно должна быть Metaspolit Burp Suite edition, то спешу тебя обрадовать: современные технологии позволяют совершать крутые взломы куда более элегантными способами. Нужно лишь внимательно следить за новыми фичами, проявлять смекалку и направлять мозги в нужное русло :). HTML5 развивается невиданными темпами. …

Мы бы не доверили какому-нибудь одному нашему автору подводить итоги года в номинации «программирование», хоть он дерись. А вот целой организованной группе авторов, да еще и вместе со сторонними экспертами из разных компаний — почему бы и нет? Как говорил Мао Цзэдун: пусть расцветают сто цветов, пусть соперничают сто школ.

Ассемблер в стиле JIT, Crash monitor for OS X, Linux keylogger и многое другое

Основанный на ядре Linux и полностью открытый Android как будто создан для разных хаков и модификаций. За все время существования ОС на ее основе были созданы сотни кастомных прошивок, найдены десятки способов изменения ее внешнего вида и поведения, появилась функциональность, не предусмотренная Google