Pull to refresh
11
0
Send message

Поздравляю!
Вы крутые

НЕ ЗАМЕНИЛ!!1

Никогда не понимал зачем постить решения в паблик. Другим же весь кайф ломается. Респект за решение HTB, но правила хорошего тона предполагают не сливать решения.

P.S. вижу, что машина уже не активна, но всё же)
А где тут python и программирование? Вижу рекламу бота
будто журнал Хакер за 2005 год открыл)
У мака есть одна большая проблема (по крайней мере была по состоянию на прошлый год):
не было дров для одного из самых популярных чипов для wifi среди пентестеров.
Не работает там atheros, хоть ты тресни. Может и есть какой-то вариант кастомный, но такое себе.
сразу видно, что CISSP)

жду с нетерпением вторую часть, там видимо будут зиродеи с burpsuite и импортированным сертификатом
спасибо за статью!
и спасибо, что есть такие мнения, из-за них у нас (пентестеров) всегда будут простые и быстрые проекты.

p.s. сколько раз проникали во внутрянку через сервисы для обмена фотографиями котиков и сосчитать трудно)

p.p.s автор видимо хотел написать статью про оценку рисков, но риски всегда идут бок-о-бок с концепцией безопасности в целом. И заниженные риски должны быть оправданы, обоснованы. И не нужно решать за пользователя важна ли для него фотография котика или её можно отдать хакеру.
Впервые вижу, чтобы три поста выкладывали с разницей в 1 минуту.
Сразу вопросов столько возникает к автору.

Уж простите за оффтоп.
Судя по реакции, Вы угадали
Простите, а в чём смысловая нагрузка данного поста? Дважды перечитал, так и не понял
Ну так вы их подкрутите, чтобы сервис то работал :)
Сейчас открылся. Вчера и сегодня утром не открывался и даже не пинговался. Может у вас там какие-то ультра DDOS-фильтры?)
А что случилось то с сервисом? На хабре удалились, сайт не работает. Всё?
На самом деле, это абсолютно логичный исход, скрипт обнаружил preg_replace*е, и посчитал, что это уязвимость.
Было бы крайне наивно полагать, что скрипт будет анализировать исходный код, а не просто искать вхождения сигнатур.

Надо просто понимать, что скрипт поиска сигнатур не может быть защитой, в том числе превентивной.

Продукт такого плана рассчитан на ленивых владельцев сайтов на joomla, ни больше, ни меньше, да простит меня автор.

Автору «антивируса»:
P.S. если автору интересно мнение человека, немного понимающего в ИБ — бросьте эту затею. Разделите продукт на 2 части:
1) серверный WAF
2) spider-сканер сайтов на паблик уязвимости (предварительно собрав и автоматизировав базу уязвимостей)

И отбросьте всё лишнее, типа этих «антивирусов» бесполезных. Если цель получить 500 рублей от любопытных людей, как комментатор выше, то вы действуете верно. Но, если вы преследуете цель создать продукт, то не выдумывайте велосипедов одноколёсных, а сосредоточьтесь на полезных продуктах.

UPD: под «разделить» я имел в виду не оставить в текущем виде, но располовинить, а переработать и осмыслить.
  • Убедитесь, что директива allow_url_fopen имеет следующее значение: allow_url_fopen=On (или 1).
  • Убедитесь, что пользователь, от имени которого работает PHP имеет права на запись в конрневую папку вашего сайта


Просто умилительно.
Очень милое публичное убийство продукта.

Мне кажется, что ваша ЦА не на Хабре находится.
Никто в здравом уме не будет выполнять ваши рекомендации и закачивать ваш файл к себе на сервер. Имхо, конечно же.
Для апача есть WAF, называется mod_security. Такая-же недозащита как и naxsi)
Спасибо за очень интересный пост, с радостью прочту продолжение.

Возник вопрос, возможно пропустил в тексте (хотя вроде бы читал достаточно внимательно):
На каких условиях подписывался договор тех.поддержки при бесплатной разработке? На какой срок?
Это же отличный повод написать об обучении во Франции.
За 9 лет, думаю, много информации скопилось, и прошла эйфория первых дней.

Многие были бы рады увидеть Вашу статью.

Information

Rating
Does not participate
Registered
Activity