Классические дотнетовские приложения хороши тем, что они практически не ограничены в правах и, например, могут работать в трее. Зато универсальные приложения (UWP) более безопасны, и их можно устанавливать/удалять бесчисленное количество раз, не забивая систему/реестр мусором. Платформа UWP постоянно развивается, и, пока пользователи обновляются до Fall Creators Update, который вышел в октябре этого года, мы, разработчики, можем посмотреть на его новые и интересные возможности.

Чемоданчик инструментов — вот что отличает опытного специалиста от новичка. А в вопросах, связанных с администрированием Linux, такой чемоданчик — едва ли не самое важное. В этой статье мы не будем говорить о таких вещах, как Nagios, Puppet, Webmin, или изощренных анализаторах логов Apache — обо всем этом ты должен знать и так. Вместо этого мы поговорим о небольших утилитах, способных сделать твою жизнь намного проще.

Биткойн сегодня обсуждают все кому не лень — от дяденек в костюмах до младших школьников. Даже цыгане начали им торговать. В ногу с криптовалютой идет технология блокчейн (blockchain), представляющая собой непрерывную последовательную цепочку блоков данных, выстроенных по определенным правилам.

В популярнейшем веб- и прокси-сервере nginx была обнаружена занятная уязвимость: специально сформированным запросом можно получить информацию о внутренней структуре приложения. Этот баг томился без малого десять лет, и подвержены ей версии с 0.5.6 и до 1.13.2 включительно — то есть с 2007 года по июль 2017-го. Nginx, как известно, используется на каждом третьем-четвертом сайте, так что изучить эту лазейку не помешает.

Уверен, ты не раз слышал, что в Apple всё решают за пользователя и в macOS ничего нельзя толком настроить. Первое утверждение верно, а вот второе, на мой взгляд, полный бред. В macOS тысячи настроек — как доступных, так и скрытых, а если в системе чего-то не хватает, то наверняка кто-нибудь уже написал хорошую программу для решения проблемы. Я пользуюсь «макосью» уже десять лет и хочу поделиться с тобой накопленным опытом.

Лучший способ понять, как работает операционная система, — это проследить поэтапно ее загрузку. Именно во время загрузки запускаются все те механизмы, что приводят ОС в движение. Процесс этот сложный, многоступенчатый и порой запутанный. Изучать его интересно, а открытия, которые ты сделаешь при этом, могут сильно тебя удивить.

В этой статье мы поговорим о баге в Apache Tomcat, популярнейшем веб-сервере для сайтов на Java. Баг позволяет загружать любые файлы на сервер, так что, загрузив файл JSP, можно добиться выполнения произвольного кода. Разберемся, как работает эта уязвимость.

Сегодня в нашей кунсткамере демонстрируется необычайный организм — двадцатилетний зародыш операционки, который учится делать первые шаги. Пока у него получается только стоять и осторожно шевелиться, но он уже пробует общаться с внешним миром. С виду он похож на Windows Server 2003, просто пока умеет не так много. Знакомься: ReactOS v. 0.4.6, глубокая альфа-версия.

Иногда мы, редакторы и авторы «Хакера», сами читаем «Хакер». Нет, ну то есть мы постоянно его читаем :), но иногда получается так, что, разрабатывая новые темы, гуглим что-нибудь интересненькое, натыкаемся на крутую статью, читаем ее с огромным удовольствием и вдруг понимаем, что... это же мы ее и делали, причем, скажем, всего пару лет назад. И при этом материал по-прежнему остается современным! И действительно, существует определенная классика, и практические кейсы, которые были актуальны, скажем, в 2015-м, будут актуальны еще несколько лет.

Жизнь обычных людей складывается из мелочей. Жизнь линуксоида складывается из множества маленьких полезных трюков, накапливаемых за годы работы в системе. Ценность таких трюков многим выше, если они не только удобны в использовании, но и способны повысить информационную безопасность. Несколько простых хинтов, описанных в статье, могут пополнить закрома даже гиков, не говоря уже о том, чтобы стать хорошим стартом для новичков.

Существует удобный и повсеместно используемый способ передавать двоичные данные в текстовом виде — он называется Base64. Автор утилиты Base? решил развлечься и сделать аналог, который превращает любые данные не в текст, а в эмодзи.

Что нужно, чтобы быстро заглянуть в базу данных и найти там что-нибудь? Можно написать запрос из командной строки, использовать десктопный клиент или на скорую руку добавить страницу к веб-приложению. Разработчики Franchise предлагают еще один способ — воспользоваться их готовым вебовым клиентом.

Вардрайвинг, он же перехват трафика Wi-Fi, всегда начинается с выбора оборудования. Именно этим мы и займемся: в удобном формате вопросов и ответов разберем, какие девайсы существуют в природе, для каких задач они подходят лучше всего и что взять для начала.

Технологии виртуализации используются не только в ИТ-инфраструктуре крупных корпораций, даже у небольшой компании может быть парочка VPS на Windows. Традиционный подход предполагает покупку антивирусного пакета для каждой машины, но в виртуальных средах это не нужно — специализированные решения позволяют обеспечить безопасность с гораздо меньшими затратами вычислительных и финансовых ресурсов.

Говорят, стоит только прикоснуться к теме SDR (программно-определяемого радио), как проваливаешься в нее с головой и начинаешь скупать разное железо и шаманить с ним. Если тебя не испугало это предупреждение, то сайт WebSDR послужит тебе отличной отправной точкой. Благодаря нему ты можешь поиграться с SDR, ничего не покупая и не настраивая, а также поймать радио, находящееся за половину мира от тебя.

С каждым годом пользователям мобильных устройств становится все сложнее избежать заражения. И хотя в 2017, по сравнению с 2016 годом, статистически особого роста нет, отчетов о мобильных зловредах стало гораздо больше: без использования каких-либо уникальных техник людям удается сколачивать миллионные ботнеты.

Игровой движок — сердце компьютерной игры и центральный инструмент геймдевелопера. Центральный, но не единственный! В этой статье мы с тобой подберем полный комплект бесплатного либо недорогого ПО, которое пригодится тебе в нелегкой работе индивидуального разработчика игр. И нет, это будет не Unity 3D + Visual Studio + Photoshop + Maya.

В мире существуют разные боты. Например, боты, которые бороздят просторы морей, или просто стоят на месте — как, например, буддистские боты (если что, это такая религиозная постройка). Но если ты читаешь ][, то наверняка догадался, что речь пойдет не про вышеописанных ботов и даже не про ископаемые бабушкины чеботы, а про автономно действующие вредоносные программы, способные выполнять поступающие извне команды и объединяться в ботнеты.

Есть небольшая уязвимость в форумном движке IPB. Можно потроллить админа и заодно убить его форум на несколько дней (проверено лично на двух форумах). Разберемся по шагам, как это работает.

Десять лет назад программисты Google выложили в открытый доступ первый SDK Android и первый эмулятор, с помощью которого можно было оценить операционную систему. Тогда мало кто воспринял новую ОС серьезно. Тем интереснее посмотреть на первый Android сегодня. Мы откопали все «альфы» и «беты» Android десятилетней давности, тщательно их протестировали, расковыряли внутренности и теперь готовы рассказать о том, что нашли.

Vim — один из самых противоречивых инструментов из всех видевших свет. Это не просто редактор, это лакмусова бумажка, четко разделяющая программистов, администраторов и юниксоидов на своих и чужих. Пока одни задаются вопросом, зачем нужна эта мертвечина в 21 веке, другие не могут представить себе жизни без Vim. Но чем же он их привлекает? Почему у редактора, который появился на свет более сорока лет назад, столько фанатов в сегодняшнем мире? Попробуем разобраться.

В этом выпуске: разбор принципов работы Face ID и Touch ID, руководство по анализу и взлому приложений для Android и iOS, разработка приложений с использованием нейросетей, методы обхода ограничения фонового исполнения приложений в Android 8, альтернативы SQLIte. А также: новые приложения, инструменты взлома и полезные библиотеки.

Странный заголовок, не правда ли? Автор, должно быть, рехнулся, если решил сравнить безопасность iOS, которую не может взломать даже ФБР, и дырявое ведро под названием Android. Но я серьезен: Android и iOS можно и даже нужно сравнивать. Не затем, чтобы в очередной раз доказать, что iOS намного лучше. А потому, что iOS проигрывает.

Популярнейшая многофункциональная CMS Joomla снова с нами. Несколько месяцев назад мы уже разбирали уязвимость в ней, но тогда это была SQL-инъекция. Теперь на повестке более экзотическая штука — LDAP Injection. Уязвимости такого типа встречаются нечасто.

Производительность — один из ключевых параметров мобильного приложения. Твое детище может быть сколь угодно функциональным, красивым и полезным, но если оно тормозит — провал практически гарантирован. К счастью, многих проблем можно избежать, следуя простым правилам и пользуясь подходящими инструментами.

Сегодня мы вернемся к Apache Struts, популярному веб-фреймворку, который за последнее время натерпелся от исследователей безопасности и явил миру несколько критических уязвимостей. В этой статье я хочу обсудить уязвимость в модуле, отвечающем за REST API. Она приводит к выполнению произвольного кода и открывает широкие возможности (такие, например, как слив личных данных половины населения США).

Flash стремительно уходит в прошлое, а заменить его должны новые веб-стандарты. Что до самого редактора, то ему настоящей замены пока что нет. Разработчик инструмента под названием Wick решил собственноручно исправить эту ситуацию и создал нечто, очень напоминающее Flash, но в духе нашего времени. Wick бесплатен и работает в браузере, а на выходе он создает HTML и JavaScript.

Атака «человек посередине», пожалуй, первое, что приходит на ум, когда возникает задача получить пользовательские данные, такие как логины и пароли к различным сервисам, а также передаваемую информацию: почту, сообщения мессенджеров и прочее. ARP-спуфинг, DNS-спуфинг, ICMP-редирект, Evil twin — про все эти техники ты уже, возможно, слышал. В этой статье я расскажу тебе про еще один способ устроить MITM в Wi-Fi-сети, не самый простой, но работоспособный.

Тесты на проникновение обычно требуют набора специальных утилит, но одна из них доступна каждому и всегда под рукой — это поисковик Google. Нужно только знать, как им пользоваться. Google Dork Queries — это хитрые запросы к поисковикам, которые помогают пролить свет на общедоступные, но скрытые от посторонних глаз данные.

Still Hacking Anyway 2017 — это фестиваль, на котором собрались четыре тысячи хакеров со всего мира и в течение пяти дней развлекались самыми разными способами: от непосредственно взлома до катания на картонных лодках. SHA производит неизгладимое впечатление, которым я попытаюсь здесь поделиться.

Мы уже рассказывали об интересных новшествах iOS 11. В этой статье мы подробнее расскажем, как iOS 11 сохранит твои данные в безопасности и защитит тебя от пограничников и полицейских, желающих покопаться в смартфоне.

Android 8 — едва ли не самое важное обновление Android за последние годы. В Oreo появился модульный дизайн, позволяющий обновлять компоненты ОС независимо, система ограничения фоновой работы приложений, которая должна продлить время работы на одном заряде, а также множество улучшений безопасности, о которых мы и поговорим в этой статье.

Дата-центр на заброшенной нефтяной вышке близ берегов Англии, независимые сервисы связи в Ираке и Афганистане, стартап в легендарном Y Combinator, работа в Cloudflare — от одного только послужного списка Райана Лэки веет духом свободы, хакерством и здоровым авантюризмом.

Новые антивирусы появляются так часто, что тестировать их можно бесконечно. Однако действительно нового в них мало. Обычно это сочетание типового интерфейса с лицензированным у кого-то антивирусным движком. Тем интереснее, когда они демонстрируют очень разные результаты.

Xakep.ru побеседовал с техническим директором Одноклассников, чтобы узнать о том, как работает команда безопасников в социальной сети, как в нее попасть и как она сохраняет баланс между безопасностью и эксплуатацией системы.

Эту идею мы вынашивали долго. Наверное, несколько лет. С одной стороны, ассемблер — это круто. С другой стороны — актуальных руководств по асму, в том числе издания этого века, достаточно. Но все сомнения разрешил успех цикла статей по реверсу малвари: оказалось, что и сейчас, в XXI веке, тру-крякеры все еще не сдали своих позиций!

Производители стремятся сделать клавиатуры тише, а ход кнопок — мягче. Сядешь за старый компьютер и недоумеваешь: как раньше пальцы не отваливались через пять минут работы? Но что-то по ходу прогресса все же потерялось, а именно — звук механической клавиатуры. Разработчик утилиты Bucklespring решил вернуть его, не теряя при этом в комфорте.

На первый взгляд фирма Balabit примечательна двумя вещами: во-первых, там создали популярную систему сбора логов syslog-ng, во-вторых, это успешная компания, которая занимается информационной безопасностью в Венгрии — стране, известной скорее кулинарией, чем ИТ. Однако, помимо syslog-ng, в Balabit делают и другие интересные продукты. На них-то нас и позвали посмотреть.

Консольные клиенты есть практически для всех популярных веб-сервисов. Многие из них не блещут возможностями и тем более удобством в работе. Но их можно заскриптовать и приспособить для совершенно неожиданных целей: превратить Google Calendar в систему удаленного исполнения команд, использовать Telegram для поиска украденного ноутбука, мониторить сервер с помощью Twitter, организовать скрытый стриминг на YouTube. Об этих и других трюках мы расскажем в сегодняшней статье.

Каждый, кто работал с JSON, знает, насколько этот формат проще и удобнее, чем XML, но при этом гибче, чем, например, CSV. Утилита под названием jq — отличный инструмент, который выводит работу JSON на принципиально новый уровень: с ней, чтобы перебрать массив данных, не нужно писать никаких скриптов — хватит запроса наподобие SQL.