Главная Выбор редактора (страница 5)

Выбор редактора

В этой рубрике находятся все статьи, которые редакция журнала выпускает на платной основе и включает в состав ежемесячных выпусков. Другими словами, это раздел, статьи в котором полностью доступны только онлайн-подписчикам журнала «Хакер».

Xakep #228

Атлас мира криптовалют. Разбираемся с ICO и ориентируемся в новых криптопроектах

За последний год от криптовалют стало буквально некуда деваться: лихорадка майнинга захватила умы, Bitcoin рос как на дрожжах и был дважды форкнут, а новые альткойны появлялись чуть ли не каждый день. Все это сопровождалось метаниями правительств и новостями о действиях мошенников. Среди всего этого безумия одна тенденция кажется наиболее интересной — это Initial Coin Offering, или ICO.

Xakep #229

Системный изолятор. Изолируем процессы в Windows средствами Less Privileged App Container (LPAC)

Начиная с восьмой версии в Windows появился встроенный механизм контейнеров, которые позволяют изолировать процессы путем значительного усечения их прав. Этому системному механизму дали название Less Privileged App Container (LPAC), он поддерживается некоторыми приложениями, например браузером Chrome. В этой статье я покажу, как использовать его в своих программах.

Xakep #228

Как подчинить белку. Учимся эксплуатировать новую уязвимость в почтовике SquirrelMail

В почтовом сервере SquirrelMail найдена очередная уязвимость, и, хоть баг довольно прост, импакт от него крайне неприятный: любой пользователь может читать или удалять произвольные файлы в системе. Но досаднее всего для владельцев SquirrelMail, что прошел год с момента находки уязвимости, а разработчики так ее и не запатчили. Давай посмотрим, откуда она берется и как ее эксплуатировать.

Xakep #229

Небезопасность WebApp. 10 горячих докладов с ИБ-конференций

Каждый безопасник должен держать руку на пульсе и быть в курсе значимых публикаций и презентаций по нашему с тобой профилю. Не всем удается постоянно путешествовать по миру и посещать хакерские конференции, но с некоторых пор для наших подписчиков это перестало быть проблемой. В этом выпуске — самые интересные публикации, посвященные безопасности WebApp.

Xakep #228

Инъекция для андроида. Внедряем код в чужие приложения с помощью Frida

Когда мы говорим о взломе и модификации чужих приложений, то чаще всего подразумеваем использование декомпилятора, дизассемблера и отладчика. Но есть инструмент, который работает совершенно иначе. Это Frida, тулкит, позволяющий внедриться в процесс и переписать его части на языке JavaScript.

Гасим файрвол. Учимся эксплуатировать критическую уязвимость в ОС Palo Alto Networks

Palo Alto Networks — один из крупнейших секьюрити-провайдеров. Файрволы этой компании работают на собственной ОС с приятным русскому уху названием PAN-OS. В ней-то недавно и нашли уязвимости, которые приводят к удаленному исполнению кода от имени суперпользователя без какой-либо авторизации. Хочешь узнать, как такие серьезные ребята смогли так облажаться? Давай разберемся!

Xakep #228

][-детектив: целевая атака на Сбербанк. Раскрываем подробности АРТ «Зловредный Санта-Клаус»

Накануне праздников мы все с головой погружаемся в задачи, которые нужно успеть завершить, бдительность офисных работников притупляется, и это на руку хакерам. Недавно мы столкнулись с серией кибератак на компании финансового сектора России, в том числе и Сбербанк. На первый взгляд, это были привычные фишинговые рассылки на адреса банковских сотрудников. Но детальный разбор и анализ выявили постоянно эволюционирующую целенаправленную атаку.

Xakep #228

Прятки по хардкору. Как сделать свой драйвер режима ядра Windows и скрывать процессы

Все мало-мальски серьезные защитные приложения используют собственные модули режима ядра, через которые работает большинство их функций. Если у программы есть такой драйвер, то пробовать скрываться от нее из режима пользователя бессмысленно. Так же бесполезно пытаться на нее как-то воздействовать. Решение — написать собственный драйвер. В этой статье я покажу, как это делается.

Xakep #228

Новая броня Android. Как Android 9 будет защищать приватность и безопасность пользователей

Восьмого марта Google представила предварительный выпуск Android P, который почти со стопроцентной вероятностью вскоре сменит имя на Android 9. В новой версии в очередной раз изменился интерфейс, появились новые функции панели уведомлений, поддержка HDR, двух камер, но наше внимание, как всегда, привлекает нечто гораздо более интересное: безопасность и новые механизмы ограничений.

Xakep #228

Надзирай и властвуй. Как узнать все, что происходит с твоей Linux-машиной

Ты уверен, что в курсе всего происходящего у тебя в системе? Возможно, ты даже пользуешься какой-то системой мониторинга наподобие Prometheus или Zabbix, но знаешь ли ты, как самому получить подробные отчеты о работе системы и железа? В этой статье мы расскажем, как, используя командную строку Linux и стандартные утилиты, доступные в любом дистрибутиве, выжать максимум информации о работе системы.

Xakep #228

WWW: QB64 — наследник QuickBASIC, который почти не выглядит устаревшим

Если ты успел провести достаточно времени за синим экраном, на котором заглавными буквами возводились зиккураты из циклов FOR..NEXT, значит, тебе будет приятно (или как минимум забавно) услышать о том, что легендарный QuickBASIC жив по сей день.

Xakep #228

WWW: Front-End Checklist — список всего, что нужно сделать перед запуском сайта

Если попытаться записать всё, что нужно добавить, подключить и проконтролировать перед тем, как открывать сайт, то выйдет внушительный список. Именно его составлением и занялся куратор документа под названием Front-End Checklist и опубликовал свою подборку на Github во имя всеобщего блага.

Xakep #228

WWW: fish shell — замена для bash с упором на комфорт и юзабилити

Все давно свыклись с тем, что командная строка не менялась с семидесятых-восьмидесятых годов, и понимают, что лучше уже вряд ли станет. Однако попытки изменить ситуацию всё же нет-нет да предпринимаются. Разработчик шелла под названием fish решил вытянуть UX командной строки хотя бы еще на десять лет в будущее. Слоган на главной странице проекта иронично гласит: «Наконец-то шелл, достойный девяностых годов!»

Xakep #228

Грандиозный факап. Разбираем уязвимости проверки сертификатов SSL и TLS в небраузерном софте

Первоначально разработанный для браузеров, SSL/TLS-протокол стал стандартом де-факто вообще для всех защищенных интернет-коммуникаций. Список ситуаций, когда обмен информацией требует максимальной безопасности, довольно внушителен. В этой статье мы рассмотрим, как безопасность этих коммуникаций обеспечивается на практике.

Xakep #228

Задачи на собеседованиях. От хакеров — хакерам: задачи от HackerU

Сегодня квесты представляют наши в некотором роде коллеги — Высшая школа информационной безопасности. Занимаются они, как нетрудно догадаться, профессиональной подготовкой частных лиц и компаний, стремящихся приобрести необходимые навыки и опыт в области ИТ и ИБ.

Xakep #228

Android: отслеживание смартфона без GPS, взлом упаковщика Qihoo и модификация приложений в рантайме

Сегодня в выпуске: отслеживание смартфона с выключенным GPS, взлом продвинутого упаковщика Qihoo, восстановление истории переписки и удаленных сообщений WhatsApp, модификация приложений в рантайме. А также: советы по использованию шифрования в своих приложений, обзор библиотеки Android-ktx, способы распознавания отпечатков, лица и голоса, и конечно же подборка свежих библиотек.

Xakep #228

Одна «Альфа» хорошо, а две — лучше! Готовимся к продвинутым техникам взлома Wi-Fi

В прошлых статьях о пентестах точек доступа Wi-Fi мы разобрали базовые техники, а сейчас примемся за более продвинутые. Рассмотрим особенности адаптеров и добавим мощности нашему донглу. Это необходимо, чтобы использовать ускоренные способы взлома, принудительно отключать беспроводные клиенты, атаковать скрытые сети и обходить фильтрацию по MAC-адресам.

Xakep #228

Прыжок в облако. Строим бюджетное решение для интернета вещей на NodeMCU + Azure IoT Hub

Самое популярное назначение IoT-устройств — это сбор телеметрии. На сегодняшний день цены на облачные IoT-сервисы снизились буквально до одного доллара в месяц, который, согласись, не жалко отдать даже просто ради эксперимента. :) В этой статье я расскажу, как отправить данные в облако с платы NodeMCU, используя язык Lua.

Xakep #228

Android для юниксоида. Используем смартфон в связке с Linux

Android и дистрибутивы Linux не просто родственные ОС — они основаны на одном ядре и на низком уровне очень похожи. В Android работает большинство команд Linux, сюда можно установить bash, писать скрипты и даже запускать серверы. Установив на смартфон SSH, ты можешь ходить на него с компа и даже использовать rsync для синхронизации файлов. Обо всем этом мы и поговорим сегодня.

Xakep #228

Детект песочницы. Учимся определять, работает ли приложение в sandbox-изоляции

Определение факта изоляции программы — полезный навык, который помогает и разработчикам защит, и вирмейкерам: если программа работает в изолированной среде, это может означать, что она изолирована защитными средствами либо ее поведение хотят исследовать реверсеры или вирусные аналитики. Из этой статьи ты узнаешь, как распознавать sandbox-изоляцию и запуск под гипервизорами разных типов.

Xakep #228

Mining Pool на Java. Кодим распределенный биткойн-майнер

Падение курса Bitcoin привело к тому, что даже в нашей холодной стране с дешевым электричеством майнить стало значительно менее выгодно. Что остается делать энтузиастам криптовалют? Особо предприимчивые стали привлекать к расчетам чужие компьютеры и, так сказать, переходить к распределенным вычислениям.

Xakep #228

Кавычкой по «Джумле». Учимся проводить SQL-инъекцию второго порядка на примере уязвимости в Joomla

Joomla — вторая по популярности система управления сайтами после WordPress. Уязвимость, о которой мы поговорим в этой статье, позволяет атакующему без особых проблем одним запросом поднять свои привилегии в CMS до суперпользователя, от которого до выполнения кода один шаг.

Xakep #228

Критичный процесс. Учимся создавать и принудительно завершать критичные процессы в Windows

Часть процессов операционной системы считаются «критичными» — если завершить один из них, Windows выпадет в синий экран смерти и перезагрузится. Этим активно пользуются вирусописатели: если сделать свой процесс критичным, то его нельзя будет завершить просто так. В этой статье я покажу, как создавать такие процессы и как прибивать их без падения системы.

Xakep #228

Как крадут деньги при ICO. Разбираем типовые сценарии похищения средств и самих ICO

В 2017 году киберпреступникам удалось украсть 10% всех средств, инвестированных в ICO через Ethereum. Общий ущерб составил почти 225 миллионов долларов, 30 тысяч инвесторов лишились в среднем по 7500 долларов. Разберемся, как именно крадут деньги при ICO. Тут может быть замешан весь хакерский арсенал, а могут использоваться и самые примитивные методы.

Xakep #228

Android: взлом с помощью дебаггера, обфускация приложений и асинхронная магия Kotlin

Сегодня в выпуске: взлом приложений с нативным кодом с помощью дебаггера, большое исследование использования обфускации в приложениях, магия асинхронного программирования на Kotlin, большой гайд по Material Design и теням в интерфейсе, рассказ о структуре файлов DEX, защита приложений от взлома и, конечно же, большая подборка свежих библиотек.

Xakep #227

Предсказание случайности. Изучаем ASLR в Linux и GNU libc, обходим защиту адресного пространства и stack canary

За время существования в ядре Linux появилось множество различных механизмов защиты от эксплуатации уязвимостей: в частности, это ASLR и stack canary, противодействующие эксплуатации уязвимостей в приложениях. В данной статье мы внимательно рассмотрим реализацию ASLR в ядре текущей версии (4.15-rc1) и проблемы, позволяющие частично или полностью обойти эту защиту.

Xakep #227

Контролируемый пуск. Автоматизируем macOS при помощи Python и launchctl

Launchctl — это утилита, которая знакома каждому опытному маководу, но при этом многие избегают связываться с ней лишний раз. А зря! Этот универсальный лаунчер — один из важнейших компонентов системы. Изучив его настройки, ты сможешь делать массу интересных и полезных вещей. Я покажу три примера того, как launchctl может пригодиться в жизни.

Xakep #227

Sysmon для безопасника. Расширяем возможности аудита событий в Windows

Технические специалисты, которые, расследуя ИБ-инциденты или устраняя неполадки при траблшутинге, хоть раз пытались найти в логах операционных систем семейства Microsoft Windows реально важную для них информацию, знают, что в журналы аудита событий попадает далеко не все, что нужно. Можно ли исправить эту ситуацию без дополнительных финансовых вложений с использованием инструментов, гарантированно совместимых с Windows-средой? Разумеется, можно!

Xakep #227

X-Tools #227. Подборка хак-тулз для ресерчера и пентестера

Сегодня в X-Tools: отличный фронтенд для GDB / LLDB / WinDBG, проверенная тулза для спуфа портов и реверсивных атак, несколько крайне удачных расширений для Burp и просто мастхев-утилиты в копилку любого ресерчера. Читай, ставь, советуй свое!

Xakep #227

От киберпанка до DevSecOps. 7 книг, ради которых DevSecOps-инженеру стоит выучить английский

Помнишь «весь спектр радуги» лучших книг из легендарного фильма «Хакеры»? Пересмотрев фильм еще раз, мы задались вопросом: а что бы сегодня читали киберпанки прошлого, ставшие в наше время DevSecOps’ами? И вот что у нас получилось...

Хранить вечно. Разбираем и эксплуатируем ошибку в интерпретаторе PHP

В самом конце января в багтрекере PHP появилось описание интересного бага: некоторые сайты можно вывести из строя, забив все свободное место временными файлами. Уязвимость до сих пор не устранена. Давай посмотрим, как ее эксплуатировать.

Xakep #227

WWW: nEXT — минималистичный браузер в стиле Emacs

Собери достаточно большую команду гиков, и среди них обязательно найдутся ценители старинных текстовых редакторов. Они наверняка есть и среди наших читателей — уж не говоря про саму редакцию. Поэтому пройти мимо новейших попыток использовать проверенные временем идеи Vim и Emacs мы не можем никак.

Xakep #227

WWW: nginxconfig.io — сайт, который поможет настроить веб-сервер nginx

Nginx — это прекрасный быстрый веб-сервер, на котором работает что-то около половины интернета. Увы, достоинство, которым nginx не обладает, — это простота настройки. К тому же установка веб-сервера — это обычно вещь, которую делаешь один раз и не повторяешь годами. Как в таких условиях запомнить все хитросплетения конфигов?

Xakep #227

Эксплуатируй, GoAhead! Выполняем произвольный код в веб-сервере GoAhead

GoAhead — это популярный встраиваемый веб-сервер компании Embedthis, который используется в продуктах Oracle, IBM, HP и других известных производителей. Я думаю, не нужно говорить, какие перспективы открывает возможность исполнять произвольный код на сотнях тысяч устройств, где они работают. Давай разберемся, как это делается.

Xakep #227

Вторая жизнь старого планшета. Как превратить его во второй монитор, медиацентр и другие полезные вещи

Старые устройства на Android уже не справляются с современными играми и ресурсоемкими приложениями, но отдавать или выкидывать их жалко, а покупать их никто не хочет. На примере Nexus 7 в этой статье я покажу, как можно не совсем стандартно использовать старый планшет в различных сценариях. Не будем останавливаться на банальных читалках и книгах рецептов для повара. Перейдем на уровень выше.

Xakep #227

Всемогущество взломщика. Оцениваем реальную степень угрозы хакерских атак

В каждую эпоху были свои сказания о рыцарях и драконах, героях и злодеях. Сегодня их место заняли хакеры в белом и черном. О них слагают легенды, им посвящают книги и называют новыми властителями техногенного мира. Давай вместе разберемся, какие из страхов перед хакерами оправданны, а для каких пока нет подтверждений.

Xakep #227

Java против утечек. Боремся с memory leaks в веб-службе

В прошлой статье мы рассмотрели утечки памяти, которые возникают при остановках и переустановках веб-приложений, написанных на Java. Речь шла о выводе логов Spring через Log4j2. Сейчас я расскажу, как можно легко и просто получить утечки памяти, используя Log4j2 в веб-службах, и на этот раз конец истории будет не таким радужным.

Xakep #227

Десктоп под контролем. Управляем графическим софтом из консоли и скриптов

Linux-системы обладают очень широкими возможностями для автоматизации рутинных действий. В других статьях мы уже показали массу самых разнообразных и странных примеров, включая возможность управления машиной с помощью календаря Google. Однако мы почти никогда не говорили об автоматизации и скриптовании графического софта. А ведь во многих случаях им тоже можно управлять из консоли и скриптов.

Xakep #227

ИБ-презентации, которые стоит посмотреть. 10 интересных докладов с хакерских конференций

Мы тут подумали, что нельзя быть самым громким рупором хакерского дела в Рунете и не освещать при этом события с международных конференций. Причем не просто в общем обзоре, которые мы неоднократно раньше готовили, а рассказывать о самых интересных докладах. И начнем мы с третьего квартала прошлого года, который традиционно богат на интересные презентации.

Страница 5 из 31В начало...34567 102030...

«Хакер» в соцсетях

Telegram ВКонтакте Twitter Facebook
«ХАКЕР» ДОСТУПЕН ТОЛЬКО В ЭЛЕКТРОННОЙ ВЕРСИИ
Оформи подписку — получи:
  • доступ к платным материалам сайта
  • доступ ко всем номерам PDF
7190 р.
на год
720 р.
на месяц
90 р.
за 1 статью

Еженедельный дайджест

Статьи для подписчиков