Информационная безопасность → Обзор бесплатных инструментов для пентеста web-ресурсов и не только v2
Как-то давно я уже писал об этом, но немного скудно и сумбурно. После я решил расширить список инструментов в обзоре, добавить статье структуры, учесть критику (большое спасибо Lefty за советы) и отправил ее на конкурс на СекЛаб (и опубликовал ссылку, но по всем понятным причинам ее никто не увидел). Конкурс закончен, результаты объявили и я с чистой совестью могу ее (статью) опубликовать на Хабре.
В данной статье я расскажу о наиболее популярных инструментах для пентестинга (тестов на проникновение) веб-приложений по стратегии «черного ящика».
Для этого мы рассмотрим утилиты, которые помогут в данном виде тестирования. Рассмотрим следующие категории продуктов:
Бесплатные инструменты пентестера веб-приложений
В данной статье я расскажу о наиболее популярных инструментах для пентестинга (тестов на проникновение) веб-приложений по стратегии «черного ящика».
Для этого мы рассмотрим утилиты, которые помогут в данном виде тестирования. Рассмотрим следующие категории продуктов:
- Сетевые сканеры
- Сканеры брешей в веб-скриптах
- Эксплойтинг
- Автомазация инъекций
- Дебаггеры (снифферы, локальные прокси и т.п.)
Блог компании Клуб Инноваторов → Hard Startup! | Проекты по Жести!
7 декабря в 18.30 | Биржевая линия д.14 (ИТЦ НИУ ИТМО)
Hard Start-up! | Стартапы по Жести!
Уже совсем скоро, завтра (в среду вечером) пройдёт тематическое мероприятие для людей, увлечённых «железными» проектами. Для тех, кому надоело смотреть только презентации, а хочется, как говорится, «пощупать стартап своими руками». Приглашаются
Программа мероприятия будет включать:
Apple → Как обойти защитный код на ipad2 с помощью smart cover
Гурман Марк учит нас, как обойти защитный код на ipad2 при помощи Smart Cover.
Делай раз, как говорится!
1) поставьте защитный код
2) удерживайте кнопку выключения питания до тех пор, пока не появится слайдер
3) закройте Smart Cover
4) откройте Smart Cover
5) нажмите кнопку Cancel внизу экрана
Здравствуй, ипад!
краткое видео по теме
Делай раз, как говорится!
1) поставьте защитный код
2) удерживайте кнопку выключения питания до тех пор, пока не появится слайдер
3) закройте Smart Cover
4) откройте Smart Cover
5) нажмите кнопку Cancel внизу экрана
Здравствуй, ипад!
краткое видео по теме
Блог компании Амперка → Обратная связь от сервопривода или «забиваем гвозди»
Всем хабраконструкторам, привет!
Пришла мне как-то в голову дурацкая мысль: собрать девайс, который бы молотком забивал гвозди. Просто ради демонстрации работы сервопривода. Алгоритм простой: даём команду на поднятие молотка, ждём пока он поднимется, отпускаем молоток; и так пока гвоздь не будет забит. Но как узнать, что молоток поднялся и что гвоздь забит, не пользуясь дополнительными датчиками? Спросить у «глупого» сервопривода! Как именно это сделать — об этом и пойдёт речь в статье.
Информационная безопасность → Кто такие Anonymous
В последнее время на Хабре все чаще проскакивает название Anonymous. Однако, практически во всех случаях наблюдается неправильное понимание идеологии, структуры и методов работы «Анонимусов». Я попытаюсь разъяснить некоторые элементарные вещи.
Информационная безопасность → Серверы EVE Online, Minecraft'а и журнала The Escapist были атакованы
Чуть менее двух часов назад небезызвестная группа хакеров LulzSec, уже отличившаяся атаками на ресурсы компании Sony, организовала DDoS-атаку на ряд служб: серверы мультиплеерной игры EVE Online (в это время онлайн обычно бывает до 50 000 — 60 000 человек одновременно), серверы игры Minecraft, сайт журнала The Escapist Magazine и прочие. Команда утверждает, что они уничтожили сервер входа EVE Online. CCP, разработчик игры, подтвердила атаку и сообщила об отключении служб от интернета в целях предосторожности. Маркус Перссон, создатель игры Minecraft, так же подтвердил наличие проблем.
Судя по сообщениям в твиттере LulzSec, ребята просто развлекаются. Но исключать вероятность компрометации информации о кредитных картах, хранящейся на серверах онлайн-игр, тоже рановато.
UPD. Появилась официальная информация от CCP.
Судя по сообщениям в твиттере LulzSec, ребята просто развлекаются. Но исключать вероятность компрометации информации о кредитных картах, хранящейся на серверах онлайн-игр, тоже рановато.
UPD. Появилась официальная информация от CCP.
Информационная безопасность → LastPass: «Xmarks не пострадал»
В четверг LastPass сообщили, что хакерам не удалось получить пароли, связанные с сервисом XMarks, который компания приобрела в декабре прошлого года.
Чуть ранее LastPass были вынуждены просить пользователей сменить свой мастер-пароль после обнаружения аномального трафика, который в компании связали с результатом взлома базы данных.
Но пароли Xmarks не были затронуты этой атакой, поэтому пользователям сервиса не требуется менять пароль.
Информационная безопасность → Возможно, был взломан LastPass
В LastPass, мультиплатформенном онлайн-менеджере паролей, был зафиксирован аномальный сетевой трафик, возможно, это стало следствием хакерской атаки. Так что, лучше бы пользователям сервиса сменить свои пароли.
LastPass, позиционирующий себя как «единственный пароль, который Вам нужно запомнить», является расширением для всех популярных браузеров. Он автоматически заполняет формы сохранёнными ранее данными и одним нажатием кнопки синхронизирует личные данные на разных компьютерах, которые Вы используете.
В блоге компании говорится, что аномальный трафик был зафиксирован на некритическом сервере. Сотрудники исследовали эту аномалию, но так и не смогли установить её причину. Затем был замечен поток исходящего трафика от одной из закрытых баз данных. «Так как мы не можем объяснить причину произошедшего, можете считать нас параноиками, но мы предполагаем худшее — к данным, хранящимся в этой базе, кто-то сумел получить доступ»
Информационная безопасность → Sony призналась, что личные данные пользователей PlayStation Network были украдены
Компания Sony призналась, что в период с 17 по 19 апреля из базы данных PlayStation Network были украдены следующие данные пользователей:
Также возможно было украдена информация о покупках, секретные вопросы (и ответы) для доступа в PlayStation Network/Qriocity.
Пока нет подтверждения, но не исключается, что также в руки злоумышленников попали номер и дата окончания кредитных карт которыми пользовались в системе (кроме секретного кода).
Более подробно в блоге Sony
- Имя
- Почтовый адрес (с индексом)
- Страна проживания
- Адрес электронной почты
- Дата рождения
- Логин и пароль доступа в PlayStation Network/Qriocity
- Handle/PSN online ID
Также возможно было украдена информация о покупках, секретные вопросы (и ответы) для доступа в PlayStation Network/Qriocity.
Пока нет подтверждения, но не исключается, что также в руки злоумышленников попали номер и дата окончания кредитных карт которыми пользовались в системе (кроме секретного кода).
Более подробно в блоге Sony
Программирование → Runtime-модификация элементов таблицы виртуальных методов из песочницы
Начну пожалуй с повода для холивара.
Мне очень нравится Object Pascal, точнее его реализация от Borland. Да, да… Delphi. Не новомодные реализации, ничем не блещущие на фоне конкурентов, а тот самый, ТруЪ, до седьмой версии включительно.
Не буду расписывать о шикарностях классов в сабже, а тем более о том насколько бледно выглядел на его фоне c++, топик сегодня не о том.
Рассказать же хочу о технике, которая в свое время неплохо помогла мне со товарищи в нелегком деле оптимизации проекта.
Мне очень нравится Object Pascal, точнее его реализация от Borland. Да, да… Delphi. Не новомодные реализации, ничем не блещущие на фоне конкурентов, а тот самый, ТруЪ, до седьмой версии включительно.
Не буду расписывать о шикарностях классов в сабже, а тем более о том насколько бледно выглядел на его фоне c++, топик сегодня не о том.
Рассказать же хочу о технике, которая в свое время неплохо помогла мне со товарищи в нелегком деле оптимизации проекта.