234 matches found
[seminar] Быстрый динамический анализ программ на примере поиска гонок (data races)
Цитата: 20 мая 2011. Московский офис Яндекса. Семинар Константина Серебряного "Быстрый динамичекский анализ программ на примере поиска гонок data races". --- video= http://video.yandex.ru/users/ya-events/view/285 slide=http://www.slideshare.net/yaevents/fasdynamic-analysis-kostya-serebryany...
Выполнение подзапросов и команд ОС в инъекциях SELECT под MySQL
We would like to open our blog notes on the practical implementation of the SQL-injections. And also we try to focus more attention on the practical aspects of web application security in the future. SQL injections are the most common server-side Web application vulnerabilities and meet almost...
Вышел PHP 5.3.9
Список изменений Первым в списке идет вот такой пункт: Цитата: Added maxinputvars directive to prevent attacks based on hash collisions. ---...
[pdf] XSS vs WAF
Презентация с семинара ВМиК МГУ secsem.ru 2010 года http://onsec.ru/xss-vs-waf.pdf Немного устарела по части фрагментированных атак. Но в целом, весьма и весьма актуальна. Отвечу на вопросы здесь...
Взломан сервер ProFTPD, в исходники внедрен троян
Хакеры взломали главный хостинг, размещающий ProFTPD, при этом оставались незамеченными в течении трех дней. В исходники был внедрен троян и машина каждого, кто скачивал приложение, получала "в нагрузку" закладку, открывающую доступ к системе. Разработчики популярного FTP-сервера ProFTPD сообщили...
PHP include alco-0day
Я слегка трезв, так что не судите строго. Если что Ded mazdai гарант того что в таком состоянии судить меня строго нельзя По мотивам: https://rdot.org/forum/showpost.php?p=9688&postcount=45 Имеем скрипт inc.php: Код: Определение имён папок: 1 Шлём обычный кривой запрос http://localhost/inc.php?a=...
Ошибка на Google Maps привела к вторжению войск Никарагуа в Коста-Рику
Подразделение армии Никарагуа вторглось на территорию Коста-Рики, сориентировавшись по неправильно составленной карте на сервисе Google Maps. Об этом сообщает костариканская газета La Nacion. Командир подразделения объяснил свои действия тем, что руководствовался картой Google Maps, согласно...
Статические анализаторы php. Мини-обзор
С течение времени мы все чаще и чаще можем видеть появление новых систем управления контентом CMS: форумов, блогов, шопов, социальных сетей, и т.д. и т.п. Многие из них, в силу некомпетентности или недостаточного уровня профессионализма их разработчиков, имеют в коде уязвимые места, позволяющие...
Об основателях поисковика Google снимут фильм
Основатели социальной сети Facebook не единственные люди, изменившие интернет и ставшие героями фильма. Пришла очередь Сергея Брина и Ларри Пейджа, придумавших поисковик Google. О них написано немало книг, а теперь еще и будет снято кино. В основе будет находиться одна из многочисленных книг о...
Делимся ссылками на презентации/заметки/посты в блогах и обсуждаем их.
Тема предназначена для выкладывания ссылок по тематике форума на презентации и просто интересные посты в интернете, которые сложно пристроить в другие темы. Предполагаемый формат: Линк - небольшое описание Обсуждение ссылок, показавшихся интересными, приветствуется, и если окажется обширным и...
Стив Джобс умер
Средства массовой информации сообщают о смерти Стива Джобса, бывшего CEO Apple. Можно по-разному относиться к Apple и Стиву, но отрицать то, что это знаковая фигура в IT-индустрии, создавшая множество трендов. Requiescat in pace, Стив. Приведу перевод сообщения на официальном сайте Apple: Apple...
[hack4sec] XSS: Разведка боем.
Автор: Кузьмин Антон [email protected] Команда: Hack4sec [email protected] Дата: 30-05-2011 PDF-вариант: Здравствуйте. В данной статье я хочу привести один не стандартный пример использования XSS-уязвимостей. По крайней мере раньше я ни разу не видел чтоб подобные вещи где-то...
Network Application Firewalls vs. Contemporary Threats
https://docs.google.com/leaf?id=0B0kFVGLVHCsYYzgxYWIyYjAtN2FkMy00NjBlLTk1Z jAtY2JiOWI0ZDA1YmIw&sort=name&layout=list&num=50 Скоро распишу...
Делаем Firefox сексуальным / Make Firefox sexy
UPDATE: Новая тема Делаем Firefox сексуальным. Патч призван устранить кодирование одинарной кавычки в GET-запросах. Начиная с версии 3.0 коммит, Firefox стал урл-кодировать одинарную кавычку ' в %27. Данное поведение нередко может помешать обнаружить SQL инъекцию в веб-приложениях, например, при...
Атака XXE (XML eXternal Entity)
«Новое – это хорошо забытое старое» мигом вспомнилась мне поговорка, когда при оценке защищенности очередного веб-приложения успешно прошла атака XXE. Немедленно захотелось написать об этом пару слов, ибо: - XML-транспорт занял одно из доминирующих мест по распространенности в распределенных...
Магические методы, сериализация, инъекции в сессию и все-все-все
==-1== Введение Изначально писал для себя, как небольшой сборник полезных идей, в итоге вылилось вот в такую статью. Особого опыта в написании публикаций у меня нет, так что ногами не пинать, я старался Перед переходом к практическим примерам рассмотрим теоретически основы используемых функций...
Новая уязвимость позволяет повысить привилегии в Win7/Vista в обход UAC
Новая уязвимость позволяет повысить привилегии в Win7/Vista в обход UAC Интересная уязвимость для повышения локальных привилегий до уровня системы, появилась 24 ноября в виде статьи на ресурсе The Code Project http://www.codeproject.com/KB/vista-security/uac.aspx. Буквально через несколько часов...
Ученые назвали самый безопасный для зрения компьютерный шрифт
Исследователи из Лаборатории зрительной эргономики США назвали компьютерный шрифт Verdana самым безопасным для зрения. Как полагают ученые, при чтении текстов, набранных шрифтом Verdana, глазные мышцы испытывают наименьшее напряжение. Это помогает избежать близорукости и синдрома компьютерного...
Обзор схем обеспечения анонимности.
Обращение к модераторам: прошу данную тему перенести в соответствующий раздел, так как материал не является статьей. Введение: зачем это нужно? Компьютеризация населения сделала заметный вклад в повседневную деятельность среднестатистического человека. Для кого-то информационные технологии стали...
MySQL 3 Error Based SQLi
Ну, собственно, как я уже писал в теме "Шпаргалка", помимо запросов, предложенных Qwazar Код: union select 1,count,concatselect pass from users limit 1,0x3a,floorrand02 x from users group by x and row1,1select+count,concatselect pass from users limit 1,0x3a,floorrand02 x from users group by x lim...
Иинформация о 100 миллионах пользователей Facebook
Некий Ron Bowes сграбил всю инфу и выложил на пиратской бухте, которая не была закрыта настройками приватности. Пост на его бложеке: http://www.skullsecurity.org/blog/?p=887 BBC быстренько подсуетились раскрутили это как громадную новость Линк на торрент:...
RDot Menu (FireFox Extension)
FireFox RDot Menu v.1.0 Менюшка к ФФ для удобной и быстрой работы с сайтом и форумом rdot.org Предложения по дизу, добавлению ссылок и юзабилити приветствуются...
Gosbook.ru — социальная сеть для российских чиновников
У российских чиновников появилась собственная социальная сеть «Госбук» gosbook.ru. Проект обошелся в 1 млн рублей, полученный в виде гранта. Эксперты уверены, что такой проект нужен, но, чтобы он был реальным инструментом, необходима поддержка государства. А с учетом того что проект разрабатывалс...
ZeroNights 2012, Москва 19-20 ноября
Привет всем, Попросили запостить от defcon-group. Цитата: Заявка на участие в конференции в качестве докладчика ZeroNights — международная конференция, посвященная техническим аспектам информационной безопасности. Главная цель конференции — распространение информации о новых методах атак, угрозах...
[ppt] Zeronights. Пачка презентаций с конференции.
Целая пачка презентаций: http://www.slideshare.net/DefconRuss...eronights-2011 Особо советую: Don’t touch it, unless it falls in pieces business applications hack in extreme conditions Root via XSS How to hack a telecom and stay alive Splitting, smuggling and cache poisoning come back Ну и видео ...
[pdf] Skype Vulnerabilities
How to find 0days in Skype techniques & methods HITB Malaysia 2011 http://vulnerability-lab.com/resourc...uments/293.pdf ресёрч о скрытых звонках и определении IP...
[webinar] Анализ защищенности сетевой инфраструктуры
Запись: Вводный семинар об атаках на сетевую инфраструктуру, полезно и интересно тем, кто плохо понимает, куда двигаться после получения рут доступа к серверу на периметре. Анонс: Цитата: сканирование сетевых устройств с целью получения списка доступных служб, определение их версий и подбора...
Увели базу Sony Pictures
1,000,000 пользователей с открытыми данными, недавно, вот...
Портирование эксплойта ACPI custom_method.
Наткнулся недавно на упоминание декабрьского эксплойта Jon Oberheide. В качестве челленджа задался идеей портировать этот эксплойт. Первоначальный эксплойт работает только на ноутбуках где есть LID ACPI девайс состояния крышки и исключительно на 64-битных системах. Задача: портировать эксплойт на...
Погружение в матрицу: анализ структуры и методы распознавания QR-кода
В современном мире информация может представляться в самых причудливых формах. Причины на это могут быть разные и не всегда имеют стеганографическую подоплеку. У «человека разумного» буквально появился «третий глаз»: мобильный телефон стал неотъемлемым атрибутом каждого из нас. А что именно с его...
Доменная зона .рф откровется для всех желающих 11 ноября
На проходящей в Москве конференции RIPE NCC накануне вечером было объявлено о том, что открытая доменная регистрация в российской зоне .рф стартует 11 ноября в полдень по московскому времени. Напомним, что до сих пор домены .рф могли регистрировать только госучреждения, госпредприятия,...
Один тип уязвимостей Питон программ
Один тип уязвимостей Питон программ. Авторы: prusle и djp. Неустойчивость к ошибкам библиотечных функций языка Си таких как stscpy, sprintf, strcat и многих других позволяет получать полный контроль над ОС, написанными на Си. Изобретательность хакеров проявилась в изобретении методов эксплуатации...
Особенности реализации PHP include.
Особенности реализации PHP Include. Введение. В данной заметке, я попытался объединить в одном месте все фичи, найденные в последнее время и позволяющие повысить эффективность атаки на основе PHP Include. Основы. Внедрение PHP-кода PHP Include — это уязвимость, заключающаяся в возможности внедрен...
Опубликован приказ РФ №420 про модерирование комментов
Сегодня был опубликован приказ и четкие правила того как государство будет модерировать комменты на сайтах: Цитата: Должностное лицо структурного подразделения при помощи стандартных средств операционной системы Windows, Интернет-браузера Internet Explorer производит сохранение снимка экрана...
Создатель ботнета из 70 тысяч компьютеров сел на 2.5 года
Дата добавления: 07.09.12 Взято с: lеntа.ru Окружной судья округа Колумбия Ройс Ламберт Royce C. Lamberth приговорил 6 сентября 30- летнего жителя штата Аризона Джошуа Шихтеля Joshua Schichtel к двум с половиной годам тюремного заключения за использование сети зараженных компьютеров ботнета. Об...
[webinar] Web Hacking
Лекции по веб-хакингу. две части, примерно по полтора часа Видео, слайды, список рекомендуемой литературы, домашнее задание...
Альтернативный LIMIT
Затравка. Приведу альтернативу LIMIT, когда в url нельзя использовать символы: пробел,,',/,% Из-за ограничений отпадают альтернативные пробелы %09,%0A,... и //. Остается альтернативный синтаксис с использованием скобок. Но синтаксис limit не позволяет даже их: Код: ... limit1,100 -- error...
Утечка кодов Касперского (KAV 2008) теперь в паблике
Ранее на хабр уже выплывало сообщение от том, что в Сети появилась информация об утечке исходного кода продуктов «Лаборатории Касперского». Ну пошумели, ну пообсуждали — и будет. Совершенно недавно в Твиттере появилась шумиха вокруг появления в паблике этих же самых исходников. Исходники всплыли ...
Эквадор становится убежищем для интернет-преступников
http://www.securitylab.ru/news/399845.php Цитата: Глава МИД Эквадора Кинтто Лукас заявил, что страна готова предоставить убежище создателю сайта WikiLeaks Джулиану Ассанджу. "Мы готовы предоставить ему возможность проживания в Эквадоре безо всяких проблем и не предъявляя никаких условий", - сказа...
К 2015 году в зоне покрытия сетей 4G будут проживать свыше 60% населения планеты
В аналитической компании ABI Research прогнозируют, что к 2015 году в зоне покрытия сетей 4G будут проживать свыше 60% населения планеты. В отчете компании говорится, что в течение следующих пяти лет потенциальная зона охвата сетей LTE, WiMax и иных 4G-стандартов составит 4,4 млрд человек. Данная...
rsaSearchDuplicatesFiles - программа для поиска дубликатов файлов
Снимок: Автор: rsaReliableS Проект: rsaSearchDuplicatesFiles Версия: 3.0 Язык: .Net C 2.0 Основные особенности программы: • Очень маленький размер по сравнению с конкурентами: 44 кб • Высокая скорость сканирования • Мгновенное отображение найденных дубликатов до 2000 файлов в секунду • Рекурсивны...
rsaBasePlums[my.mail.ru] 0.1
Снимок: Проект: rsaBasePlumsmy.mail.ru Автор: rsaReliableS Версия: 0.1 Язык: .Net C 2.0 Краткое описание: rsaBasePlumsmy.mail.ru 0.1 – программа, позволяющая автоматизировать процесс сбора баз e-mail адресов для массовых рассылок, etc. Особенности: маленький размер: меньше 50 кб поддержка...
Число новых компьютерных вирусов в 2010 году приближается к 2 миллионам
12:30 17.09.2010 По данным Nielsen Online, 51 % европейцев пользуются социальными сетями, такими как Facebook или Xing. Популярность социальных сетей привлекает кибер-преступников, которые используют их с целью нападения на пользователей. Преступники создают компьютерные вирусы для получения...
Оружие инсайдера: ядовитый USB.
Лирическое отступление. Угрозы Inside. Идеи "на поверхности". В настоящее время бизнес представляет собой «гонку вооружений»: кто быстрее и качественнее может предложить свои услуги, тот занимает ведущие позиции. «Вооружения» в этой области отличаются своей специфичностью, однако предмет «гонки» ...
Видео и голосовой чат Gmail работают теперь и в Linux
Google сделал наконец так, что бы важные возможности Gmail - видео и голосовой чат - работали под Linux. Ubuntu и другие основанные на Debian дистрибутивы Linux могут работать с этим уже сейчас, поддержка RPM появиться в самом ближайшем времени. Для тестирования вы можете попробовать загрузить...
Украинские студенты разработали технологию для управления компьютером с помощью глаз
Студенты донецкого филиала Компьютерной академии "ШАГ" разработали программу CrossView, которая позволит полностью парализованным людям полноценно пользоваться компьютером. Управление при этом осуществляется только с помощью глаз, посредством веб-камеры. Программное обеспечение отслеживает...
Бесплатный интернет в Мобильных картах - для абонентов МТС
В июне мы объявили о начале программы сотрудничества Яндекс.Карт с операторами мобильной связи.Сегодня к программе присоединилась компания «Мобильные Телесистемы», то есть МТС. Абоненты МТС из всех регионов России, от Калининграда до Дальнего Востока, могут скачать специальную версию Яндекс.Карт ...
Microsoft исследует информацию о новой бреши в Windows 2000 и XP
Датская мониторинговая компания Secunia опубликовала предупреждение о наличии в операционных системах Windows XP и Windows 2000 “умеренно критической” уязвимости. Согласно выпущенному фирмой руководству, уязвимость присутствует из-за граничной ошибки в классе CFrameWnd в файле mfc42.dll. Ее...
Канадские ученые доказали уязвимость USB-периферии
В то время как одни флэш-драйвы предназначены для переноса и хранения информации, другие совершенно без проблем могут, что называется, взламывать компьютер, к которому подключаются, и считывать личные данные пользователя. Группа исследователей из канадского Королевского Военного Колледжа...
Каждый десятый британский компьютер скомпрометирован хакерами
Один из каждых десяти ПК в Великобритании может стать участником кибератаки. Такие данные приводит фирма SecureWorks, работающая в области разработки решений для обеспечения компьютерной безопасности. По результатам последнего общемирового исследования этой компании Великобритания заняла общее...