Временная скидка 60% на годовую подписку!
Главная Статьи (страница 89)

Статьи

Как сдампить хеши паролей от учеток Windows-системы

Эта статья представляет собой полный сборник рецептов, описывающих, как сдампить хеши пользовательских паролей, восстановить исходный пасс путем выполнения брутфорса и получить с помощью извлеченного хеша доступ к защищенным ресурсам, используя недоработки протокола аутентификации NTLM. Минимум теории — только практика. Мы собрали все в одном месте и создали полный мануал.

Защищаем сессию с помощью одноразовых токенов

В ЧЕМ ПРОБЛЕМА Куки используются в HTTP для аутентификации сессий, чтобы распознать конкретного юзера в общей массе. Однако куки не гарантируют совершенно никакой безопасности, потому что создавались не для этого и передаются по Сети в открытом виде. Кто угодно может взять чужие куки и залогиниться под чужим аккаунтом, даже не зная пароля. Существует масса простых утилит для перехвата чужих куки …

Сканнер XSS-уязвимостей, на 100 строчек кода

Внимательный читатель вспомнит, что с полгода назад у нас уже был похожий PoC. Тогда Мирослав Штампар решил доказать, что функционал для поиска SQL-инъекций, которым располагает большинство коммерческих сканеров безопасности, можно воссоздать в небольшом скрипте, уложившись в сто строчек кода. Автор знает, о чем говорит, — он сам является автором sqlmap, которая по праву считается одним из лучших инструментов для поиска …

Эксплуатация уязвимостей в функциях для работы с файлами в PHP

PHP предоставляет богатые возможности для работы с файлами. Любой веб-программист сталкивался с функциями fopen, copy, filegetcontents и т. д. Однако далеко не каждый знает о таких довольно эффективных конструкциях, как фильтры и потоки, в которых совсем недавно обнаружились крайне серьезные баги. СТАНДАРТНЫЕ ФИЛЬТРЫ Прежде чем приступать к описанию новых векторов атак, хочу немного рассказать о фильтрах и потоках, которые появились …

Как быстро разработать прототип приложения

Есть очень мощный фактор, который препятствует развитию многих процессов, — привычка. Самая что ни на есть тупая привычка делать что-то именно так и никак иначе. Что забавно, люди часто противятся изменениям, аргументируя это весьма нелепым образом: «Да мы всегда так делали». Не раз пытаясь разрушить стену недоверия, объясняя, как можно оптимизировать какой-то процесс, сделал для себя важное открытие: нет лучшего способа доказать состоятельность идеи, чем продемонстрировать ее в действии. Идеальный вариант здесь — показать готовое решение. Но мы живем не в идеальном мире, а тратить время на проект, будучи не до конца в нем уверенным, — непозволительная роскошь. Даже прототип создать часто бывает довольно сложно, да и не нужно.

Пробиваем VMware vCenter

Безопасность виртуальных систем сейчас модный тренд, и мы не станем обходить его стороной. Попробуем исследовать самое сердце инфраструктуры VMware — сервер с установленным vCenter.

PHP: старая песня о главном

В наши дни PHP - самый популярный язык для разработки веб-приложений. Вместе с тем он по-прежнему популярен у взломщиков. Но если раньше под прицел попадали уязвимые скрипты, то сейчас все чаще — баги самого PHP

Интервью с техдиром Mail.Ru

Mail.Ru — это не просто почтовая служба. Сейчас это микс из самых разных сервисов. Придя в Mail.Ru UNIX-администратором, Владимир Габриелян сумел стать техническим директором и сейчас рассказывает о том, как проекты компании устроены изнутри.

Цель: выступить на ZeroNights

Не упусти шанс рассказать о своем исследовании и опыте на конференции по информационной безопасности! ZeroNights — конфа без воды и рекламы, только технологии, методики, атаки и исследования

Как раскрутить свой бизнес в интернете?

У вас есть свой сайт? Поздравляем, это один из 15 миллионов ресурсов рунета! Большинство пользователей, скорее всего, даже не догадывается о его существовании. Что нужно сделать, чтобы о вашем сайте узнали?

10 грехов seo-оптимизатора

Чем сегодня грешат SEO-оптимизаторы? Как учиться на чужих ошибках? Об этом расскажет новое интернет-издание «10 грехов seo-оптимизатора»

Разоблачение мифа о безопасности NoSQL СУБД

Redis, MongoDB, memcached — все эти программные продукты относятся к классу нереляционных СУБД, противоположному популярным MySQL, Oracle Database и MSSQL. Так как интерес к перечисленным базам данных в последнее время значительно возрос, хакеры всех мастей просто не могли пройти мимо них. Давай же окунемся в увлекательный мир NoSQL-инъекций!

Создаем высокопроизводительный сайт с использованием nginx и Django

При обсуждении высокой производительности веб-приложений на ум невольно приходят такие названия, как nginx, memcached, eaccelerator, hiphop и им подобные. Фактически это стандартный набор для любого высоконагруженного сайта, написанного с использованием PHP. Но что если мы хотим выжать все соки из сайта на Django?

FAQ

Отвечаем на вопросы читателей

Опенсорсные решения для централизованного управления доступом к ресурсам

В современной сети нередко организованы сотни пользовательских аккаунтов, работают десятки служб и сервисов. Чтобы большое количество точек управления не вызывало несогласованности, нужна единая база учетных записей и приложений. В последнее время появился целый ряд интересных опенсорсных проектов, расширяющих стандартные возможности LDAP и вполне способных заменить Active Directory.

FAQ

Отвечаем на вопросы читателей

Интервью с Юрием Гольцевым: взлом как образ мысли

Интервью с человеком, который, как оказалось, является не только талантливым пентестером в одной из крупных ИБ-компании, но и хакером-ветераном, который уверенными шагами вышел на свет и прикоснулся к истории российской хак-сцены.

Знакомимся с Windows Server 8

Работа над «восьмеркой», начавшаяся еще в 2009 году, велась параллельно с разработкой Win2k8, однако официальной информации о новой серверной ОС было совсем мало. Разработчики обещали, что ядро будет написано с нуля, важную роль в системе возьмет на себя гипервизор, а кластерные службы станут эффективнее. Как только появилась версия Developer Preview, мы решили проверить правдивость этих слов.

FAQ

Q: Как бы ты зашифровал некоторые данные для передачи на удаленном Linux-сервере? A: Я бы сделал это через OpenSSL! Да-да, этот демон есть практически в любой Linux-системе, но при этом его возможности далеко не ограничиваются поддержанием SSL-соединения. Хочу поделиться с тобой несколькими полезными трюками, которые наверняка тебе не раз пригодятся. Так, с помощью OpenSSL ты можешь шифровать и дешифровать данные, проверять целостность файла, определять, какие протоколы шифрования и шифры …

Интервью с Виктором Яблоковым, директором «ЛК» по разработке для мобильных устройств

Если у вас устройство Android, но нет антивируса, следуйте трём советам от Виктора Яблокова: 1) не пользуйтесь интернетом; 2) отключите все средства коммуникации; 3) не устанавливайте никаких программ.

Как бесплатно получить 8 Гб в Dropbox с помощью AdWords

Можно долго ругать сервис Dropbox за проблемы и фейлы с безопасностью, но миллионы людей, включая почти всю команду ][акера, использует этот сервис самым активным образом. В рамках обычного аккаунта пользователю выделяется всего 2 Гб для хранения файлов, но объем можно легко увеличить до 50 Гб, если приобрести платный аккаунт. Стоит он не так уж и дешево — $99,00 в год. …

Итоги конкурса Group-IB

Настало время подведения итогов нашего конкурса, который мы проводили совместно с компанией Group-IB, специализирующейся на расследовании инцидентов информационной безопасности.

Фильтруй эфир! Проводим аудит сетевого трафика с помощью tcpdump

Для UNIX-систем есть множество самых разнообразных снифферов и анализаторов трафика с удобным графическим интерфейсом и богатым набором функций. Но ни один из них не может сравниться в гибкости, универсальности и распространенности со старым как мир tcpdump. Эта утилита входит в состав многих дистрибутивов Linux и всех BSD-систем из коробки и сможет выручить тебя, когда другие средства будут недоступны.

Трюки с phpinfo

Совсем недавно в паблике появилась информация о новом интересном подходе к эксплуатации уязвимостей класса LFI с помощью бесполезной на первый взгляд функции phpinfo() и временных загрузочных файлов. Берем на вооружение этот полезный прием.

Интервью с создателем NGINX Игорем Сысоевым

Легкий веб-сервер NGINX буквально только что вышел на 2 место по популярности в интернете. А незадолго до этого создатель NGINX привлек 3 млн. долларов инвестиций и основал одноименную компанию. В общем, поводов для общения с Игорем Сысоевым у нас была масса.

IPv6: здесь и сейчас

Большинству пользователей нет никакого дела, как там обстоят дела со свободными IPv4-адресами и когда провайдеры перейдут на IPv6. Скажу больше: последнее в ближайшее время не случится. Однако IPv6 можно использовать уже сейчас и получить от этого не только ощущение гиковости, но и вполне осязаемую выгоду

Китайские закладки: непридуманная история о виртуализации, безопасности и шпионах

Я не профессионал в области информационной безопасности, моя область интересов — это высокопроизводительные вычислительные комплексы. В тему ИБ я пришел совершенно случайно, и именно об этом дальше пойдет речь. Думаю, эта невыдуманная история гораздо лучше осветит проблемы, связанные с аппаратурой виртуализации, нежели сухое изложение фактов.

WWW2

Ни одно другое мобильное приложение так не впечатляет людей, как Shazam или его аналог SoundHound. Все просто: они умеют определять исполнителя и композицию «на слух». Каждый из нас задавался вопросом, что это сейчас играет (например, по радио), а подобные инструменты быстро дают ответ

10 наиболее важных Open Source проектов 2011

Вот и подошел к концу еще один год. Настало время оглянуться и оценить все, что произошло за этот период. Оказывается, что 2011 год стал образцовым в плане поддержки open source проектов. Поэтому выбрать 10 проектов было достаточно сложным делом.

5 наиболее ожидаемых тенденций в сфере аутентификации в 2012 году

Confident Technologies представляет свой список 5 прогнозируемых тенденций в сфере аутентификации на 2012 год. Компания включила в него тенденции, усиления которых ожидается в будущем году, а также прогнозы некоторых ожидаемых атак.

Чертовски хороший LAMP: Пошаговое руководство по установке стека (L)AMP на FreeBSD

Говоря об Apache, MySQL и PHP, большинство админов имеют в виду стек LAMP, подразумевающий установку этого набора софта в один из многочисленных дистрибутивов Linux. Между тем выбор FreeBSD в этом случае может оказаться более подходящим.

Sqlmap: SQL-инъекции — это просто

Разработкой сканера занимаются два человека. Мирослав Штампар (@stamparm), профессиональный разработчик софта из Хорватии, и Бернардо Дамеле (@inquisb), консультант по ИБ из Италии, сейчас проживающий и работающий в Великобритании

Ударь копирайтом по работодателю: возвращаем финансы, честно заработанные на служебных произведениях

Даже шелл-скрипт из пяти строчек — это де-юре программа для ЭВМ и объект интеллектуальной собственности (ст. 1225 и 1259 ГК). А тот, кто его написал — автор (ст. 1257). С монопольным правом распоряжаться произведением и карающим мечом копирайта в ножнах

Страница 89 из 294В начало...6070808788899091 100110120...

Еженедельный дайджест

Спасибо за подписку! Мы будем присылать важные новости ИБ в еженедельном дайджесте
Ошибка при подписке Случилась ошибка при создании подписки на наш дайджест. Пожалуйста, попробуйте позднее
Важные события и скидка на подписку:
«ХАКЕР» ДОСТУПЕН ТОЛЬКО В ЭЛЕКТРОННОЙ ВЕРСИИ
Оформи подписку — получи:
  • доступ к платным материалам сайта
  • доступ ко всем номерам PDF
4000 р.
на год
920 р.
на месяц

«Хакер» в соцсетях

Материалы для подписчиков