Жизнь обычных людей складывается из мелочей. Жизнь линуксоида складывается из множества маленьких полезных трюков, накапливаемых за годы работы в системе. Ценность таких трюков многим выше, если они не только удобны в использовании, но и способны повысить информационную безопасность. Несколько простых хинтов, описанных в статье, могут пополнить закрома даже гиков, не говоря уже о том, чтобы стать хорошим стартом для новичков.

Существует удобный и повсеместно используемый способ передавать двоичные данные в текстовом виде — он называется Base64. Автор утилиты Base? решил развлечься и сделать аналог, который превращает любые данные не в текст, а в эмодзи.

Что нужно, чтобы быстро заглянуть в базу данных и найти там что-нибудь? Можно написать запрос из командной строки, использовать десктопный клиент или на скорую руку добавить страницу к веб-приложению. Разработчики Franchise предлагают еще один способ — воспользоваться их готовым вебовым клиентом.

Вардрайвинг, он же перехват трафика Wi-Fi, всегда начинается с выбора оборудования. Именно этим мы и займемся: в удобном формате вопросов и ответов разберем, какие девайсы существуют в природе, для каких задач они подходят лучше всего и что взять для начала.

Технологии виртуализации используются не только в ИТ-инфраструктуре крупных корпораций, даже у небольшой компании может быть парочка VPS на Windows. Традиционный подход предполагает покупку антивирусного пакета для каждой машины, но в виртуальных средах это не нужно — специализированные решения позволяют обеспечить безопасность с гораздо меньшими затратами вычислительных и финансовых ресурсов.

Говорят, стоит только прикоснуться к теме SDR (программно-определяемого радио), как проваливаешься в нее с головой и начинаешь скупать разное железо и шаманить с ним. Если тебя не испугало это предупреждение, то сайт WebSDR послужит тебе отличной отправной точкой. Благодаря нему ты можешь поиграться с SDR, ничего не покупая и не настраивая, а также поймать радио, находящееся за половину мира от тебя.

С каждым годом пользователям мобильных устройств становится все сложнее избежать заражения. И хотя в 2017, по сравнению с 2016 годом, статистически особого роста нет, отчетов о мобильных зловредах стало гораздо больше: без использования каких-либо уникальных техник людям удается сколачивать миллионные ботнеты.

Игровой движок — сердце компьютерной игры и центральный инструмент геймдевелопера. Центральный, но не единственный! В этой статье мы с тобой подберем полный комплект бесплатного либо недорогого ПО, которое пригодится тебе в нелегкой работе индивидуального разработчика игр. И нет, это будет не Unity 3D + Visual Studio + Photoshop + Maya.

В мире существуют разные боты. Например, боты, которые бороздят просторы морей, или просто стоят на месте — как, например, буддистские боты (если что, это такая религиозная постройка). Но если ты читаешь ][, то наверняка догадался, что речь пойдет не про вышеописанных ботов и даже не про ископаемые бабушкины чеботы, а про автономно действующие вредоносные программы, способные выполнять поступающие извне команды и объединяться в ботнеты.

Есть небольшая уязвимость в форумном движке IPB. Можно потроллить админа и заодно убить его форум на несколько дней (проверено лично на двух форумах). Разберемся по шагам, как это работает.

Десять лет назад программисты Google выложили в открытый доступ первый SDK Android и первый эмулятор, с помощью которого можно было оценить операционную систему. Тогда мало кто воспринял новую ОС серьезно. Тем интереснее посмотреть на первый Android сегодня. Мы откопали все «альфы» и «беты» Android десятилетней давности, тщательно их протестировали, расковыряли внутренности и теперь готовы рассказать о том, что нашли.

Vim — один из самых противоречивых инструментов из всех видевших свет. Это не просто редактор, это лакмусова бумажка, четко разделяющая программистов, администраторов и юниксоидов на своих и чужих. Пока одни задаются вопросом, зачем нужна эта мертвечина в 21 веке, другие не могут представить себе жизни без Vim. Но чем же он их привлекает? Почему у редактора, который появился на свет более сорока лет назад, столько фанатов в сегодняшнем мире? Попробуем разобраться.

В этом выпуске: разбор принципов работы Face ID и Touch ID, руководство по анализу и взлому приложений для Android и iOS, разработка приложений с использованием нейросетей, методы обхода ограничения фонового исполнения приложений в Android 8, альтернативы SQLIte. А также: новые приложения, инструменты взлома и полезные библиотеки.

Странный заголовок, не правда ли? Автор, должно быть, рехнулся, если решил сравнить безопасность iOS, которую не может взломать даже ФБР, и дырявое ведро под названием Android. Но я серьезен: Android и iOS можно и даже нужно сравнивать. Не затем, чтобы в очередной раз доказать, что iOS намного лучше. А потому, что iOS проигрывает.

Популярнейшая многофункциональная CMS Joomla снова с нами. Несколько месяцев назад мы уже разбирали уязвимость в ней, но тогда это была SQL-инъекция. Теперь на повестке более экзотическая штука — LDAP Injection. Уязвимости такого типа встречаются нечасто.

Производительность — один из ключевых параметров мобильного приложения. Твое детище может быть сколь угодно функциональным, красивым и полезным, но если оно тормозит — провал практически гарантирован. К счастью, многих проблем можно избежать, следуя простым правилам и пользуясь подходящими инструментами.

Сегодня мы вернемся к Apache Struts, популярному веб-фреймворку, который за последнее время натерпелся от исследователей безопасности и явил миру несколько критических уязвимостей. В этой статье я хочу обсудить уязвимость в модуле, отвечающем за REST API. Она приводит к выполнению произвольного кода и открывает широкие возможности (такие, например, как слив личных данных половины населения США).

Flash стремительно уходит в прошлое, а заменить его должны новые веб-стандарты. Что до самого редактора, то ему настоящей замены пока что нет. Разработчик инструмента под названием Wick решил собственноручно исправить эту ситуацию и создал нечто, очень напоминающее Flash, но в духе нашего времени. Wick бесплатен и работает в браузере, а на выходе он создает HTML и JavaScript.

Атака «человек посередине», пожалуй, первое, что приходит на ум, когда возникает задача получить пользовательские данные, такие как логины и пароли к различным сервисам, а также передаваемую информацию: почту, сообщения мессенджеров и прочее. ARP-спуфинг, DNS-спуфинг, ICMP-редирект, Evil twin — про все эти техники ты уже, возможно, слышал. В этой статье я расскажу тебе про еще один способ устроить MITM в Wi-Fi-сети, не самый простой, но работоспособный.

Тесты на проникновение обычно требуют набора специальных утилит, но одна из них доступна каждому и всегда под рукой — это поисковик Google. Нужно только знать, как им пользоваться. Google Dork Queries — это хитрые запросы к поисковикам, которые помогают пролить свет на общедоступные, но скрытые от посторонних глаз данные.

Still Hacking Anyway 2017 — это фестиваль, на котором собрались четыре тысячи хакеров со всего мира и в течение пяти дней развлекались самыми разными способами: от непосредственно взлома до катания на картонных лодках. SHA производит неизгладимое впечатление, которым я попытаюсь здесь поделиться.

Мы уже рассказывали об интересных новшествах iOS 11. В этой статье мы подробнее расскажем, как iOS 11 сохранит твои данные в безопасности и защитит тебя от пограничников и полицейских, желающих покопаться в смартфоне.

Android 8 — едва ли не самое важное обновление Android за последние годы. В Oreo появился модульный дизайн, позволяющий обновлять компоненты ОС независимо, система ограничения фоновой работы приложений, которая должна продлить время работы на одном заряде, а также множество улучшений безопасности, о которых мы и поговорим в этой статье.

Дата-центр на заброшенной нефтяной вышке близ берегов Англии, независимые сервисы связи в Ираке и Афганистане, стартап в легендарном Y Combinator, работа в Cloudflare — от одного только послужного списка Райана Лэки веет духом свободы, хакерством и здоровым авантюризмом.

Новые антивирусы появляются так часто, что тестировать их можно бесконечно. Однако действительно нового в них мало. Обычно это сочетание типового интерфейса с лицензированным у кого-то антивирусным движком. Тем интереснее, когда они демонстрируют очень разные результаты.

Xakep.ru побеседовал с техническим директором Одноклассников, чтобы узнать о том, как работает команда безопасников в социальной сети, как в нее попасть и как она сохраняет баланс между безопасностью и эксплуатацией системы.

Эту идею мы вынашивали долго. Наверное, несколько лет. С одной стороны, ассемблер — это круто. С другой стороны — актуальных руководств по асму, в том числе издания этого века, достаточно. Но все сомнения разрешил успех цикла статей по реверсу малвари: оказалось, что и сейчас, в XXI веке, тру-крякеры все еще не сдали своих позиций!

Производители стремятся сделать клавиатуры тише, а ход кнопок — мягче. Сядешь за старый компьютер и недоумеваешь: как раньше пальцы не отваливались через пять минут работы? Но что-то по ходу прогресса все же потерялось, а именно — звук механической клавиатуры. Разработчик утилиты Bucklespring решил вернуть его, не теряя при этом в комфорте.

На первый взгляд фирма Balabit примечательна двумя вещами: во-первых, там создали популярную систему сбора логов syslog-ng, во-вторых, это успешная компания, которая занимается информационной безопасностью в Венгрии — стране, известной скорее кулинарией, чем ИТ. Однако, помимо syslog-ng, в Balabit делают и другие интересные продукты. На них-то нас и позвали посмотреть.

Консольные клиенты есть практически для всех популярных веб-сервисов. Многие из них не блещут возможностями и тем более удобством в работе. Но их можно заскриптовать и приспособить для совершенно неожиданных целей: превратить Google Calendar в систему удаленного исполнения команд, использовать Telegram для поиска украденного ноутбука, мониторить сервер с помощью Twitter, организовать скрытый стриминг на YouTube. Об этих и других трюках мы расскажем в сегодняшней статье.

Каждый, кто работал с JSON, знает, насколько этот формат проще и удобнее, чем XML, но при этом гибче, чем, например, CSV. Утилита под названием jq — отличный инструмент, который выводит работу JSON на принципиально новый уровень: с ней, чтобы перебрать массив данных, не нужно писать никаких скриптов — хватит запроса наподобие SQL.

Сегодня в нашей кунсткамере любопытный образчик — операционная система, написанная на чистом ассемблере. Вместе с драйверами, графической оболочкой, десятками предустановленных программ и игр она занимает меньше полутора мегабайт. Знакомься — исключительно быстрая и преимущественно российская ОС «Колибри».

Сегодня в выпуске: эволюция ransomware от простейших локеров до продвинутых криптошифровальщиков, большое исследование безопасности загрузчиков Android-смартфонов, гайд по криминалистическому анализу iOS, инструменты исследования безопасности Android и приложений для него. А также: плагины для продуктивной Android-разработки, рассказ о DSL в Kotlin, несколько статей о реализации анимации и свежая подборка библиотек.

Виртуализация уже давно стала частью инфраструктуры практически каждого предприятия. Любой администратор использует или хотя бы пробовал сервер виртуализации. Мы уже рассматривали, как развернуть сервер виртуализации, поэтому в сегодняшней статье речь пойдет о другом: об Open vSwitch для объединения физических и виртуальных сетевых узлов и его преимуществах.

Каждый, кто пользовался Windows, хорошо знает, что такое ярлык. Однако этот значок со стрелкой далеко не так прост, как может показаться, и при определенных условиях он открывает широкие возможности для атакующего. Я расскажу, как сделать «ядовитый» ярлык и как с помощью флешки выполнять произвольный код на целевой системе.

В Google Play и Apple App Store можно найти множество браузеров со встроенным блокировщиком рекламы и защитой от отслеживания. Их разработчики обещают нам приватность, молниеносную скорость загрузки веб-страниц и, конечно же, рассказывают об уникальных технологиях, заложенных в их продукт. Но выполняют ли браузеры свои функции на самом деле и что, в конце концов, означает термин «защита от отслеживания»?

С выходом каждого нового поколения смартфонов процессоры становятся всё быстрее, разрешение экрана — всё выше, приложения — всё прожорливее, а аккумуляторы... Аккумуляторы всё те же. Чтобы хоть как-то компенсировать этот недостаток, производители используют технологии быстрой зарядки. Но, кроме преимуществ, они могут принести владельцу смартфона массу проблем — от банальной несовместимости и снижения срока службы аккумулятора до сожженных смартфонов и блоков питания.

Долгие годы джейлбрейк был необходимой и естественной процедурой для большинства продвинутых «яблочников». Однако сегодня даже создатель Cydia Джей Фриман (saurik) констатирует смерть джейлбрейка. Новые утилиты для взлома выходят крайне редко, твики не обновляются, а многие из тех, кто не мог представить своей жизни без взломанного iPhone, теперь спокойно обходятся без него. Как же все это стало реальностью?

Читал новость о Cloak and Dagger? Да-да, «новая уязвимость, которая представляет опасность для всех устройств на базе Android, вплоть до новейшей версии 7.1.2» и прочие страшные слова и их комбинации? Отлично, стало быть, проблема есть, а вот исходников в публичном доступе особо не просматривается. А это значит, что в этой статье тебя ждет самый настоящий 0day!

ProcessMaker 3 — это популярная система управления бизнес-процессами, которая используется в крупных компаниях. Возможность несанкционированного доступа к ней может обернуться большими проблемами, тем более что захватить можно не только базу данных, но и сервер, на котором стоит ProcessMaker. Сейчас я расскажу, как это сделать, а заодно это послужит показательным примером поиска уязвимостей в коде на PHP.