Производители программного обеспечения недостаточно заботятся о безопасности маршрутизаторов. А ведь именно через роутер злоумышленник может проникнуть во внутреннюю сеть и прослушивать весь проходящий трафик. В данной статье будут рассмотрены баги и уязвимости, которые были найдены мной и товарищем @090h в процессе пентеста завоевавших популярность роутеров ZyXEL Keenetic.

Сегодня мы поговорим о такой важной составляющей ИБ, как укрепление сервера (hardening). Мы рассмотрим базовый подход к укреплению классического Linux сервера и разберем, насколько данный процесс важен и полезен.

Разработка различных устройств на основе микроконтроллеров — занятие, достойное настоящего компьютерного гика. Несомненно, полезной фишкой любого гаджета будет USB-интерфейс для подключения к компьютеру. Но что делать, если в микросхеме AVR не предусмотрена аппаратная поддержка USB?

Все больше, все сложнее и все динамичнее по своему исполнению становятся современные приложения. А с ростом сложности программ возрастает и сложность написания инструментов для их анализа. Чтобы упростить сложный анализ, на помощь приходит так называемая инструментация, о которой сегодня и пойдет разговор.

Когда речь заходит о JetBrains, на ум сразу приходит два факта: то, что JetBrains делает одни из лучших сред разработки в мире, и… то, что о самой JetBrains до последнего времени было известно не так уж и много. Редакция ][ решила заглянуть за кулисы того, что стоит за знаменитыми мастерами IDE, – в обычную будничную жизнь JetBrains

Пожалуй, главным открытием за последнее время для меня стала не какая-то новая технология или новый удобный сервис, а... язык разметки. Казалось бы, что здесь может быть примечательного? Только если речь идет не о Markdown. Простая идея, как можно оформить текст и превратить его в валидный HTML, выстрелила настолько, что использовать его можно практически повсеместно. А благодаря популярности Markdown в хакерских кругах, появился еще и совершенно новый подход (и сервисы) к публикации контента, в основе которого лежат статические файлы.

Локалка стала доставлять много хлопот? Пользователи получают левые айпишники по DHCP? Красноглазые пионеры балуются спуфингом? Всю сеть время от времени штормит? Пора изучать матчасть и настраивать фирменный коммутатор!

Сегодня мы попробуем залезть в реестр Windows с черного хода, без использования штатных WinAPI-функций. Что нам это даст в итоге? Возможность писать и читать из реестра напрямую, в обход ограничений, установленных антивирусами!

Мы арендовали новейший Blackhole (пришлось тряхнуть мошной, но чего не сделаешь ради науки), установили новейшие версии топовых антивирусов и проверили, кто из них чего стоит в деле борьбы с новейшими эксплойтами

Мир SQL-инъекций огромен. В реальной работе сам факт наличия уязвимости — это недостаточное условие для радости, ведь надо еще суметь ей воспользоваться. Инъекции бывают разными, но самые неприятные — это те, которые не возвращают логического результата. Слепые инъекции, особенно в SQLite, — печальная штука. В этом выпуске я расскажу о техниках эксплуатации SQLi в выше упомянутом ПО.

Была такая игра в 90-е – Dungeon Keeper: ты управлял подземельем, устраивал условия быта, а к тебе через портал приходили разного рода монстры. Так вот, Dungeon Keeper и его подземелье очень похожи на то, как развиваются новые интернет-компании.

За успехами 3Q мы следим особенно — приятно, когда компания с производством в том числе и в России делает качественные девайсы. А визитной карточкой 3Q сейчас определенно являются планшеты. Пришло время посмотреть, что 3Q приготовила для MWC 2013.

JetBrains успели заработать прекрасную репутацию. Инвесторы сетуют, что JetBrains не берет денег, конкуренты заимствуют их решения. Но что происходит в самой JetBrains? Подробно об этом и многом другом рассказал нам COO компании Андрей Иванов.

Вообще, даже обычная модель безопасности *nix-систем, при условии правильно выставленных прав доступа, способна защитить от многих проблем. Об этом говорит хотя бы тот факт, что в Android до последнего времени в качестве песочницы использовалась именно она (да впрочем, и сейчас, после внедрения SELinux, основная нагрузка лежит на старой модели) — при том, что Android не является дистрибутивом Linux в общепринятом смысле и Google мог использовать что-то другое. Тем не менее в некоторых случаях данная модель бесполезна.

  Автоматизация обхода проверки подписи в XML (XML Signature Wrapping) Решение: В прошлый раз я расписал большую задачку про то, что такое XML Digital Signature и что за атака XML Signature wrapping (XSW). Сегодня мы продолжим ее, но чисто в практическом ключе. Кратко напомню о технологии. XML DSig позволяет нам создать электронную подпись части или «целого» XML-документа. При подписи XML-документа …

Крис всегда стоял особняком в любой компании: ни на кого не похож, называет себя мыщъхом, глубоко и неординарно мыслит, пишет книги и явно идет по совершенно особенному жизненному пути. То ли программист, то ли исследователь, то ли астроном, то ли писатель. Последние четыре года слышно о нем было немногое, и в общем немудрено, что при первом же удобном случае я отправился в маленький зеленый городок под Вашингтоном поболтать за жизнь и выяснить, чем же Крис занимается и что он делал последнее время.

Марк Цукерберг, по духу истинный хакер (в самом хорошем смысле этого слова) мог бы стать отличным героем нашего интервью. Увы, уловить его хотя бы не полчасика для разговора не удалось — ничего, получится в следующий раз. Зато с Марком в Москву высадился целый десант сотрудников Facebook, включая самую интересную для нас категорию людей — разработчиков. Жизнерадостные парни, сияющие от причастности к разработке сервиса, который в буквальном смысле меняет мир, с упоением рассказывали много интересных вещей.

Борьба с DDoS-атаками — работа не только сложная, но и увлекательная. Неудивительно, что каждый сисадмин первым делом пытается организовать оборону своими силами — тем более что пока еще это возможно.

В какой-то момент неожиданно о DDoS стали говорить все. Перегрузка чужих серверов перестала быть чисто технической темой и стала восприниматься как политический инструмент, форма протеста, орудие возмездия сетевых маргиналов. Однако, как выясняется, львиная доля ддосеров, оказавшихся в заголовках крупных СМИ и на устах «гражданских», берут совсем не умением, а числом и примитивными, но действенными инструментами. Все это не только работает, но и обнажает разнообразные глупости в защите и архитектуре даже самых популярных ресурсов — и это весомый повод, чтобы все-таки поговорить об этой теме и на страницах ][.

DDoS-атака в 40 Гбит/с? Редкий ботнет способен сгенерировать такой объем трафика. Однако мощность атаки может быть увеличена в десятки раз за счет сетевых аномалий. И при таком раскладе подобные цифры уже не кажутся фантастикой. Сегодня мы попробуем разобрать несколько примеров сетевых аномалий и рассмотрим их влияние на доступность конечных ресурсов.

Каждый день мы пропускаем через себя мегабайты полезного контента, разгребая в Google Reader многочисленные подписки на любимые сайты и блоги. Протокол RSS вкупе с мощнейшим агрегатором в лице Google Reader здорово выручают, но в современных реалиях их возможностей, увы, не хватает. Хочется получать свежую информацию и при этом не думать, есть ли у тебя подписка на соответствующий поток. Решением этой проблемы уже давно озадачились многочисленные разработчики, и сегодня мы можем сравнить и протестировать автоматизированных кулинаров экзотической кухни с именем «Контент».

При стандартных настройках Linux ноутбук способен проработать от аккумуляторной батареи всего несколько часов. И дело тут даже не в оптимальности настроек, а в желании разработчиков дистрибутива сохранить максимум функциональности ОС, хотя такие вещи, как встроенная веб-камера или Bluetooth, нужны далеко не всегда и далеко не всем. В этой статье я расскажу, как урезать функциональность машины до такой степени, чтобы продлить время ее работы настолько, насколько это возможно.

В прошлых уроках мы говорили о том, как писать программы так, чтобы их можно было запустить в нескольких экземплярах и тем самым выдерживать большую нагрузку. В этом уроке мы поговорим о еще более интересных вещах — как использовать для построения технической архитектуры знания о бизнес-логике продукта и как обрабатывать данные тогда, когда это нужно, максимально эффективно используя аппаратную инфраструктуру.

Когда речь заходит об OpenBSD, на ум приходят межсетевые экраны, IPSec-туннели и агентство национальной безопасности США. Тем не менее опенок может быть отличным десктопом, в котором нет простоты установки Ubuntu, но есть логичность и проработанность каждого компонента, а также солидный набор первоклассных инструментов администрирования прямо из коробки.

Девушка по имени LiLith Автор: Michael Hendrickx. URL: michaelhendrickx.com/lilith. Система: *nix/win. LiLith — это Perl'овый скрипт, предназначенный для аудита веб-приложений. Точнее, это сканер и инжектор HTTP-форм. Тулза анализирует веб-страницу на наличие тегов <form> , а затем тестит их на SQL-инъекции. LiLith работает почти так же, как обыкновенный поисковый паук, только с небольшим хакерским уклоном: она инжектирует в формы различные спецсимволы …