Вскоре после публикации новости про обвинительный приговор в Томске, вынесенный за использование защищённого мессенджера VIPole, стало известно об ещё одном «свежем» деле с обвинением по ч.2 ст. 273 УК РФ. Житель Ахтубинска Сосин П.В. был осуждён за производство и распространение некой вредоносной программы WASP 1.0. Информационная служба Хабра нашла родственников осуждённого, которые согласились предоставить все документы и подробности по этому делу. Как выяснилось, программа состоит из трёх опенсорсных элементов: SQLmap, Apache HTTP-сервер и сканер Arachni. Как рассказали родственники, Сосина приговорили к штрафу и реальному заключению именно за использование SQLmap, поскольку утилита считается вредоносной на территории РФ, что в суде подтвердили представители ФСБ России.
Обзор бесплатных инструментов для пентеста web-ресурсов и не только v2
Бесплатные инструменты пентестера веб-приложений
В данной статье я расскажу о наиболее популярных инструментах для пентестинга (тестов на проникновение) веб-приложений по стратегии «черного ящика».
Для этого мы рассмотрим утилиты, которые помогут в данном виде тестирования. Рассмотрим следующие категории продуктов:
- Сетевые сканеры
- Сканеры брешей в веб-скриптах
- Эксплойтинг
- Автомазация инъекций
- Дебаггеры (снифферы, локальные прокси и т.п.)
СУБД Caché. Деревообработка — SQL доступ к многомерным структурам данных
Технологический справочник Caché
«Глобалы (глобальные хранимые переменные) – абстракция B-tree структур, используемых в MUMPS для хранения больших объемов данных.»
A Universal NoSQL Engine, Using a Tried and Tested Technology
В статье — пара примеров создания SQL проекций на различные структуры глобалов.
SQL Injection для eBay
Хронометраж событий:
- Дата обнаружения 19/05/2014
- Дата баг-репорта eBay: 19/05/2014
- Дата баг-фикса: 24/05/2014
Фанаты хакерского сериала «Мистер Робот» ломают официальный сайт
Как сказано в описании, «Мистер Робот» — история молодого программиста Эллиота, страдающего диссоциальным расстройством личности, попросту говоря, социопатией. Он выбрал профессию хакера и быстро оказывается в том самом месте, где пересекаются интересы его работодателя — фирмы, занимающейся кибербезопасностью, — и подпольных организаций, которые пытаются его завербовать.
Вокруг фильма с таким сюжетом сформировалось весьма специфическое сообщество фанатов. И вот 10 мая телекомпания USA Network анонсировала второй сезон сериала и открыла новый сайт в виде текстовой консоли на JavaScript, которая имитирует Linux с сообщением загрузчика GRUB.
Тысячи фанатов сериала сразу расчехлили свои инструменты для пентестинга и принялись искать уязвимости. Найти баг стало делом чести.
Web Security SQL Injection 2020
Статья расскажет, как использовать SQLmap и похожих инструментов для автоматизации решений заданий по sql injection на одном из популярных CTF ресурсов. В статье зайдем немного дальше, чем просто модификация risk-level «if you know what i mean». Задания не будут полностью разобраны для решения, флаги необходимо найти самостоятельно.
Также будет продемонстрировано, как можно самостоятельно изменять инструменты для покрытия большего количества уязвимостей в веб.
SQL-инъекции' union select null,null,null --
Согласно OWASP Top-10, SQL-инъекции считаются наиболее опасными уязвимостями. Успешная атака с их использованием может не только привести к компрометации данных, таких, как: пароли, данные кредитной карты или личная информация пользователя, но и, при определенных условиях, самого сервера. В этой статье мы рассмотрим предпосылки к появлению SQL-инъекций, ознакомимся с их видами и составим список рекомендаций для защиты веб-приложений от подобных недостатков.
Zero Security: A — этичный хакинг для начинающих
Zero Security: A - уникальные курсы этичного хакинга и тестирования на проникновение от компании Pentestit. Разработаны специально для начинающих специалистов в области информационной безопасности, которые хотят связать свою дальнейшую деятельность с ИТ-технологиями и развиваться в этом направлении в качестве профессионалов.
За время обучения рассмотриваются такие темы как: правовые аспекты информационной безопасности; методы социальной инженерии, которыми пользуются хакеры во время своих атак; инструментарий, используемый для тестирования на проникновение, а также различные виды уязвимостей (SQLi, XSS, LFI/RFI) и способы их поиска и эксплуатации.