Безопасность DHCP в Windows 10: разбираем критическую уязвимость CVE-2019-0726

Автор: admin от 16-04-2019, 22:25, посмотрело: 58

Безопасность DHCP в Windows 10: разбираем критическую уязвимость CVE-2019-0726



Изображение: Pexels




С выходом январских обновлений для Windows новость о критически опасной уязвимости CVE-2019-0547 в DHCP-клиентах всколыхнула общественность. Подогревали интерес высокий рейтинг CVSS и тот факт, что Microsoft не сразу опубликовал оценку эксплуатабельности, усложнив тем самым пользователям решение о неотложном обновлении систем. Некоторые издания даже предположили, что отсутствие индекса можно интерпретировать как свидетельство о том, что уже в ближайшее время появится рабочий эксплойт.

Категория: Информационная безопасность, Windows

 

Выпуск Rust 1.34

Автор: admin от 16-04-2019, 17:50, посмотрело: 36

Привет, Хабр! Представляю вашему вниманию перевод статьи "The Rust Release Team "Announcing Rust 1.34.0".



Команда разработчиков Rust рада сообщить о выпуске новой версии Rust, 1.34.0. Rust — это язык программирования, который даёт возможность каждому создавать надёжное и эффективное программное обеспечение.



Если у вас установлена предыдущая версия Rust с помощью rustup, то для обновления Rust до версии 1.34.0 вам достаточно выполнить:



$ rustup update stable


Если у вас ещё не установлен rustup, вы можете установить его с соответствующей страницы нашего веб-сайта.



Что вошло в стабильную версию 1.34.0



Основное улучшение этого выпуска это поддержка альтернативных cargo-реестров. Релиз также включает поддержку ? в документационных тестах, некоторые улучшения в #[attribute(...)] и стабилизацию TryFrom. Читайте далее о ключевых вещах или можете посмотреть подробные примечания к выпуску для дополнительной информации.

Категория: Программирование

 

GraphQL Voyager как инструмент для поиска уязвимостей

Автор: admin от 16-04-2019, 17:15, посмотрело: 51

GraphQL Voyager как инструмент для поиска уязвимостей


В настоящее время все больше компаний начинают использовать GraphQL. Это относительно новая технология (если быть более точным, то это язык запросов), которая призвана решить существующие проблемы REST.



Если вы еще не знакомы с GraphQL, то рекомендую начать с ресурсов:




  • https://www.howtographql.com/ — интерактивное обучение с заданиями и контрольными точками. Обучение начинается с нуля и заканчивается разработкой GraphQL-приложения.


  • https://graphql.org/learn/ и https://graphql.github.io/graphql-spec/June2018 — обучение в формате документации. Подходит, если вы хотите изучить конкретную тему.




В этой статье я хочу поделиться одним из инструментов для поиска уязвимостей в GraphQL API. Если вы искали уязвимости в GraphQL API, то наверняка сталкивались с такими проблемами:




  • Вместо документации у вас огромный нечитаемый JSON (GraphQL schema).


  • Веб-приложение использует только часть GraphQL API, поэтому вы не видите все данные и эндпойнты.




В решении этих проблем хорошим помощником является GraphQL Voyager, который визуализирует GraphQL schema. Визуализация значительно облегчает понимание GraphQL API и помогает быстрее найти уязвимости.

Категория: Информационная безопасность

 

Модульное хранение и степени свободы JBOD

Автор: admin от 16-04-2019, 16:00, посмотрело: 33

Когда бизнес оперирует объемными данными, единицей хранения становится не отдельный диск, а набор дисков, их совокупность, агрегат нужного объема. И управлять им надо как цельной сущностью. Логика масштабирования хранения крупноблочными агрегатами хорошо описывается на примере JBOD — как формата объединения дисков и как физического устройства.



Масштабировать дисковую инфраструктуру можно не только «вверх», каскадируя JBOD, но и «внутрь», используя различные сценарии заполнения. Как это работает, рассмотрим на примере Western Digital Ultastar Data60.

Категория: Программирование

 

Радиация: война с невидимым убийцей или еще немного о радоне

Автор: admin от 16-04-2019, 16:00, посмотрело: 52

И снова здравствуйте. В комментариях к предыдущей статье я обещал написать о защите от радона и его ДПР. Что ж, выполняю это обещание.

Радиация: война с невидимым убийцей или еще немного о радоне
Как я уже говорил в предыдущей статье, радон представляет для людей довольно серьезную опасность. Особенно она велика в некоторых регионах Земли, где радон с больших глубин выносится на поверхности по тектоническим разломам. И в этих местах жизненно необходимы меры по снижению его концентрации в человеческом жилье.

Категория: Программирование

 

What happens behind the scenes C#: the basics of working with the stack

Автор: admin от 16-04-2019, 16:00, посмотрело: 28

I propose to look at the internals that are behind the simple lines of initializing of the objects, calling methods, and passing parameters. And, of course, we will use this information in practice — we will subtract the stack of the calling method.



Disclaimer



Before proceeding with the story, I strongly recommend you to read the first post about StructLayout, there is an example that will be used in this article.



All code behind the high-level one is presented for the debug mode, because it shows the conceptual basis. JIT optimization is a separate big topic that will not be covered here.



I would also like to warn that this article does not contain material that should be used in real projects.



First — theory



Any code eventually becomes a set of machine commands. Most understandable is their representation in the form of Assembly language instructions that directly correspond to one (or several) machine instructions.



What happens behind the scenes C#: the basics of working with the stack

Категория: Программирование

 

Изменение настроек программ с сохранением персональных параметров

Автор: admin от 16-04-2019, 16:00, посмотрело: 53

Предыстория



В одной медицинской организации внедряли решения на базе PACS-серверов Orthanc и DICOM-клиента Radiant. В ходе настройки выяснили, что каждый DICOM-клиент должен быть описан в PACS-серверах следующим образом:




  • Имя клиента

  • AE-имя (должно быть уникально)

  • TCP-порт, который автоматически открывается на стороне клиента и принимает DICOM-обследования от PACS-сервера (т.е. сервер как бы толкает их в сторону клиента – инициируя соединение первым)

  • IP-адрес



После настройки Radiant клиентов получили следующую информацию к размышлению – у каждого клиента настройка ПО с указанными выше параметрами приводила к заполнению файла pacs.xml, который располагался в профиле пользователя (путь: %APPDATA%RadiantViewerpacs.xml). При этом конфиг одного клиента от другого отличался минимум двумя параметрами (AE-имя у всех разное, а порт в основном одинаковый, кроме терминальных клиентов, работающих на одном и том же сервере – там порты тоже приходилось назначать разными).



Пример файла pacs.xml по ссылке:



Примерно полгода все было хорошо, система заработала…и тут до нас дошли «подводные камни»:




  • Нам нужно ввести в строй несколько новых PACS-серверов, которые подменят старые (где стало заканчиваться место на дисках). PACS сервера в виртуальных машинах, но речь не об этом;

  • Нам нужно как-то централизованно изменить уникальные конфигурации (двумя отличающимися параметрами) на 200 машинах (их количество регулярно увеличивалось);

  • Учитывая темпы роста объемов обследований, решение нужно не разовое, а тиражируемое и регулярное (например, 1 раз в 3-5 месяцев).



Решение ниже.

Категория: Microsoft

 

Обновление инструментов Web и Azure в Visual Studio 2019

Автор: admin от 16-04-2019, 16:00, посмотрело: 64

Скорее всего вы уже видели, что состоялся релиз Visual Studio 2019. Как и следовало ожидать, мы добавили улучшения для веб-разработки и разработки с Azure. В качестве отправной точки Visual Studio 2019 предоставляет новые фичи для начала работы с вашим кодом, и также мы обновили опыт создания проектов ASP.NET и ASP.NET Core, чтобы они соответствовали следующим требованиям:



Обновление инструментов Web и Azure в Visual Studio 2019

Категория: Microsoft

 

Когда чья-то продуктивность вызывает интерес

Автор: admin от 16-04-2019, 15:55, посмотрело: 38

Наверняка каждый из нас когда-нибудь задумывался о том, а какая она, эта самая команда мечты? Команда крутых друзей Оушена? Или команда сборной Франции по футболу? А может быть команда разработчиков из Google?



Во всяком случае мы бы хотели оказаться в такой команде или даже создать ее. Ну и на фоне всего этого хочу поделиться с вами небольшим опытом и видением той самой команды мечты.



Когда чья-то продуктивность вызывает интерес


Звезды так сошлись, что моя команда мечты орудует методологией agile, поэтому все, что я здесь пишу, больше относится к agile командам. Но кто знает, может эта статья поможет ребятам с хорошей фантазией, которым и не нужен сий agile.

Категория: Информационная безопасность

 

Случайные числа и децентрализованные сети: практическое применение

Автор: admin от 16-04-2019, 15:55, посмотрело: 27

Введение



«Генерация случайных чисел слишком важна, чтобы оставлять её на волю случая»

Роберт Кавью, 1970



Эта статья посвящена практическому применению решений, использующих коллективную генерацию случайных чисел в недоверенной среде. Если кратко — как и для чего используется рандом в блокчейнах, и немного про то, как отличить “хороший” рандом от “плохого”. Генерация действительно случайного числа является крайне непростой проблемой даже на отдельном компьютере, и давно изучается криптографами. Ну а в децентрализованных сетях генерация случайных чисел еще более сложна и важна.



Именно в сетях, где участники не доверяют друг другу, возможность сгенерировать неоспоримое случайное число позволяет эффективно решать множество важнейших задач и значительно улучшить уже существующие схемы. Причем азартные игры и лотереи тут вовсе не являются целью номер один, как сначала может показаться неискушенному читателю.

Категория: Информационная безопасность

 
Назад Вперед