Инструмент Modlishka может использоваться фишерами для обхода двухфакторной аутентификации
Польский ИБ-специалист опубликовал на GitHub свою разработку Modlishka. Инструмент ориентирован на пентестеров, однако злоум…
Польский ИБ-специалист опубликовал на GitHub свою разработку Modlishka. Инструмент ориентирован на пентестеров, однако злоум…
14 декабря 2018 года будет запущена, новая, двенадцатая по счету лаборатория Test lab — копия реальной корпоративной сети, с…
Успешность тестов на проникновение многом зависит от качества составления профиля жертвы. Какими сервисами и софтом она пользуется? На каких портах и протоколах у нее есть открытые подключения? C кем и как она общается? Большую часть такой информации можно получить из открытых источников. Давай посмотрим, что для этого нужно сделать.
Анонимно посерфить сегодня не такая уж проблема, несмотря на повсеместную слежку, а вот с анонимной работой дела обстоят куда сложнее. При регистрации на фриланс-бирже вся информация будет доступна соответствующим органам по первому запросу. Но исключения бывают: в этой статье мы расскажем об анонимной бирже, которая не требует никакие персональные данные участников.
Поиск веб-уязвимостей и Burp Suite — это практически синонимы. Однако мощь твоего Burp напрямую зависит от выбора присадок к нему. В этой статье я собрал одиннадцать плагинов, которые постоянно использую в работе, и расскажу о том, какой вклад каждый из них вносит в облегчение и ускорение пентестерской деятельности.
В этой статье мы разберем схему функционирования и устройство прошивки UEFI на материнских платах с процессорами и чипсетами Intel, протестируем ее с помощью CHIPSEC Framework и сделаем ряд не очень утешительных выводов.
За десять лет существования Android разработчики приложений и те, кто эти приложения взламывает, обзавелись массой инструментов, направленных друг против друга. О том, какими способами можно защитить свое приложение, мы уже поговорили, а сегодня у нас обзор инструментов для взлома и реверса приложений.
Во время посещения конференции Hack In The Box в августе 2018 года специалист китайской компании Tencent Чжэн Дутао (Zheng D…
Эксперты ESET обнаружили новые инструменты в арсенале кибершпионской группы Turla. Теперь хакеры используют для заражения це…
Какой же пентест без социальной инженерии, верно? Социотехническое тестирование в наше время стало совершенно обычным делом, и мне не раз приходилось заниматься им в рамках работ по анализу защищенности. Я расскажу тебе о техниках, которые идут в ход, и о разнообразных тонкостях, которых в нашем деле — великое множество.
Сегодня в выпуске: десять инструментов пентестера, уязвимости экрана блокировки iOS, взлом защиты от запуска приложения в эмуляторе, способы легально повысить привилегии в Android, методы усложнения жизни взломщика твоего приложения, 15 инструментов, которые наверняка понадобятся тебе как разработчику, полезные клавиатурные комбинации Android Studio, 31 совет по языку Kotlin и очередная пачка полезных Android-библиотек.
Компания Яндекс предложила исследователям изучить сервис каршеринга Яндекс.Драйв на предмет уязвимостей. Состязание будет дл…
Kali Linux теперь доступен в официальном Windows Store, однако Windows Defender считает дистрибутив угрозой.
Прошел почти год с того момента, когда Министерство обороны США учредило специальную программу раскрытия уязвимостей. За это…
Инженеры компании Salesforce выступили на конференции DEF CON с рассказом об инструменте Meatpistol, за что были уволены.
В прошлом материале мы затронули тему Bug Bounty — программ вознаграждения за найденные уязвимости. Они помогают вывести поиск багов из серой зоны деятельности в более легальную, снижая тем самым риски для багхантера. Теперь мы изучим, как для него самого это выглядит с юридической стороны.
Какие риски несет выявление уязвимостей в чужом софте без согласия владельца? Можно ли за такую деятельность влететь на штраф? Светит ли за это административная или уголовная ответственность? Как можно минимизировать риски? Спасет ли программа Bug Bounty? Мы постараемся дать ответы на эти и некоторые другие вопросы.
Специалист Google Project Zero Тевис Орманди (Tavis Ormandy) сообщил, что портировал Windows Defender под Linux.
Лаборатория Test lab от Pentestit предлагает всем желающим взломать тестовые серверы компании Global Data Security.
После успеха инициативы «Взломай Пентагон» американские военные готовятся запустить полноценную bug bounty программу.
Многие из наших читателей наверняка помнят устройство USB Killer 2.0, о котором мы рассказывали в 2015 году. Прототип флешки…
Представители Министерства обороны США рассказали о первых результатах работы специфической bug bounty программы «Взломай П…
RouterSploit предназначен для пентестинга различных встраиваемых устройств, в первую очередь — роутеров. По своей структуре …
Тестирование на проникновение (penetration testing) — метод оценки безопасности компьютерных систем или сетей средствами моделирования атаки злоумышленника. Для кого-то это хобби, для кого-то — работа, для кого-то — стиль жизни. На страницах нашего журнала мы постараемся познакомить тебя с профессией настоящего хакера на службе корпорации, с задачами, которые перед ним ставятся, и решениями этих задач.
Инженер компании Google Кристиан Бличманн (Christian Blichmann) официально объявил в блоге о том, что инструмент BinDiff, пр…
Сегодня, 2 марта 2016 года, Пентагон объявил о старте собственной bug bounty программы, которая называется «Взломай Пентагон…
Тестирование на проникновение (penetration testing) — метод оценки безопасности компьютерных систем или сетей средствами моделирования атаки злоумышленника. Для кого-то это хобби, для кого-то работа, для кого-то это стиль жизни. На страницах нашего журнала мы постараемся познакомить тебя с профессией настоящего хакера на службе корпорации, с задачами, которые перед ним ставятся, и их решениями.
Тестирование на проникновение (penetration testing) — метод оценки безопасности компьютерных систем или сетей средствами моделирования атаки злоумышленника. Для кого-то это хобби, для кого-то работа, для кого-то это стиль жизни. На страницах нашего журнала мы постараемся познакомить тебя с профессией настоящего хакера на службе корпорации, с задачами, которые перед ним ставятся, и их решениями.
Тестирование на проникновение (penetration testing) — метод оценки безопасности компьютерных систем или сетей средствами моделирования атаки злоумышленника. Для кого-то это хобби, для кого-то работа, для кого-то это стиль жизни. На страницах нашего журнала мы постараемся познакомить тебя с профессией настоящего «этичного хакера», с задачами, которые перед ним ставятся, и их решениями.
Администраторы Google Play Store допустили странную ошибку: заклеймили малварью приложение Cybrary, обучающее пользователей …
Компания Netflix — один из топовых на Западе поставщиков контента на базе потокового мультимедиа (который, к сожалению, не р…
Тестирование на проникновение (penetration testing) — метод оценки безопасности компьютерных систем или сетей средствами моделирования атаки злоумышленника. Для кого-то это хобби, для кого-то работа, для кого-то это стиль жизни. На страницах нашего журнала мы постараемся познакомить тебя с профессией настоящего «этичного хакера», с задачами, которые перед ним ставятся, и их решениями.
Вообрази ситуацию. Ты занимаешь кресло в самолете, а рядом с тобой сидит мужчина средних лет c длинной седой бородой. Самолет еще не выехал на взлетную полосу, а вы уже разговорились: твой попутчик, выяснив, что ты кое-что понимаешь в компьютерах и ИБ, рассказывает, что умеет взламывать самолеты. Ты, конечно, относишься к этому известию скептически, но задумываешься — возможно ли действительно взломать самолет?
В этом выпуске: улучшаем покрытие тестов при пентестинге J2EE-приложений, сканируем на уязвимости dylib-библиотеки на Mac OS X, дизассемблируем бинарные файлы и пишем эксплоиты для них, проверяем сайты на уязвимости и автоматизируем MITM-атаки.
Тестирование на проникновение (penetration testing) — метод оценки безопасности компьютерных систем или сетей средствами моделирования атаки злоумышленника. Для кого-то это хобби, для кого-то работа, для кого-то это стиль жизни. На страницах нашего журнала мы постараемся познакомить тебя с профессией настоящего «этичного хакера», с задачами, которые перед ним ставятся, и их решениями.
Разработчики знаменитого дистрибутива для пентестинга сделали самый значительный релиз с 2013 года. Официально объявлено о в…
Компания Pwnie Express широко известна в узких кругах как изготовитель различных «шпионских» гаджетов для скрытого пентестин…
Атаки с использованием социальной инженерии нынче стали чем-то обыденным и традиционным — как распространение вирусов или SQL-инъекции. Злоумышленники используют их для хищения средств, атак класса Advanced Persistent Threat (APT) и высокоэффективного проникновения в корпоративную сеть, даже когда другие способы преодоления периметра не дают результатов. Пентестеры и этичные хакеры выполняют социотехнические проверки как в виде самостоятельных работ, так и в рамках комплексного тестирования на проникновение.
Со времен древнего человека развивались два способа получить нечто, принадлежащее другому: силой и обманом. Первый подход породил гонку вооружений, а второй — целый класс приемов работы на уровне подсознания. Сегодня они известны как социальная инженерия и успешно используются для НСД в компьютерных сетях любого уровня защиты. Доступные технологии меняются быстро, а люди и их привычки — нет.
Тестирование на проникновение (penetration testing) — метод оценки безопасности компьютерных систем или сетей средствами моделирования атаки злоумышленника. Для кого-то это хобби, для кого-то работа, для кого-то это стиль жизни. На страницах нашего журнала мы постараемся познакомить тебя с профессией настоящего «этичного» хакера.