Обзор бесплатных инструментов для пентеста web-ресурсов и не только v2

Автор: admin от 24-01-2012, 23:42, посмотрело: 3 085

Как-то давно я уже писал об этом, но немного скудно и сумбурно. После я решил расширить список инструментов в обзоре, добавить статье структуры, учесть критику (большое спасибо Lefty за советы) и отправил ее на конкурс на СекЛаб (и опубликовал ссылку, но по всем понятным причинам ее никто не увидел). Конкурс закончен, результаты объявили и я с чистой совестью ее могу опубликовать на Хабре.

Бесплатные инструменты пентестера веб-приложений

В данной статье я расскажу о наиболее популярных инструментах для пентестинга (тестов на проникновение) «черного ящика» веб-приложений.

Для этого мы рассмотрим утилиты, которые помогут в данном виде тестирования. Рассмотрим следующие категории продуктов:

  • Сетевые сканеры
  • Сканеры брешей в веб-скриптах
  • Эксплойтинг
  • Автомазация инъекций
  • Дебаггеры (снифферы, локальные прокси и т.п.)
  • Категория: Информационная безопасность

     

    Разработчики Ubuntu представили инновационную альтернативу традиционным меню

    Автор: admin от 24-01-2012, 22:47, посмотрело: 782

    Марк Шаттлворт представил новую систему меню 'Head-Up Display' (HUD), которая проповедует кардинально иные методы и может заменить обычную систему вложенных меню, которая существует в компьютерной индустрии уже более 30 лет. Теперь вместо путешествия через многочисленные выпадающие меню для поиска нужного приложения или команды, система HUD предложит пользователям просто напечатать в поисковой строке, что они хотят сделать. В процессе набора команд система будет автоматически подбирать и предлагать наиболее вероятные названия программ из приложений имеющихся в системе или команд, имеющихся в штатном меню текущего приложения.

    Разработчики Ubuntu представили инновационную альтернативу традиционным меню

    Категория: Операционные системы / Ubuntu

     

    Сделаем TCP быстрее

    Автор: admin от 24-01-2012, 18:38, посмотрело: 2 222

    Хабы: Сетевые технологии

    Компания Google опубликовала ряд рекомендаций, как уменьшить задержку (latency) для TCP-соединений между веб-сервером и браузером. В этих рекомендациях обобщаются исследования, которые компания вела в течение нескольких лет.

    1. Увеличьте первоначальный размер congestion window до 10 (IW10). Сейчас в начале TCP-соединения отправляется три пакета данных в три раунда (RTT) для передачи небольшой информации (15 КБ). Наши эксперименты показывают, что IW10 уменьшает сетевую задержку для веб-соединений более чем на 10%.

    2. Уменьшите первоначальный таймаут с 3 секунд до 1 секунды. RTT в 3 секунды был приемлем пару десятилетий назад, но в современном интернете нужен гораздо меньший таймаут. Наше обоснование для этого хорошо задокументировано здесь.

    Категория: Админитстрирование / Сетевые технологии

     

    Усилитель для наушников просто и быстро

    Автор: admin от 24-01-2012, 18:11, посмотрело: 3 735

    Предисловие

    Данная статья рассчитана на начинающих паяльщиков или людей совсем без опыта, так как рассматриваемое устройство довольно простое и не требует какой-то подготовки. Людям более-менее продвинутым тут, пожалуй, ничего интересного не откроется.

    Несмотря на простоту, девайс звучит вполне прилично, а усиливает вообще замечательно, так что если есть желание что-то сделать своими руками, не тратя на это неделю — добро пожаловать. Если же вам просто нужен усилитель для наушников, то сходите и купите. Это будет дешевле и проще.


    Зачем

    Как многие разработчики, я люблю работать в наушниках. Это создает необходимый барьер между мозгом и разговорами/телефоном/пр. шумами офиса. Не так давно я купил себе относительно неплохие наушники AKG 272 HD, и втыкаю я их в SB Audigy 2. Звуковая картина в целом радует и дарит всяческие наслаждения, но обнаружился один момент — при прослушивании не очень современной музыки, музыки, не затронутой войнами громкости, а также композиций, не страдающих болезненной компрессией и перегейном, громкости звучания недостаточно, даже при вывернутых на максимум ползунках. Вероятно, это связано с чувствительностью используемых динамиков.

    Для решения этого вопроса я решил потратить свободный вечер на постройку небольшого усилителя для наушников.

    Категория: Железо / Сделай Сам

     

    Пиктографический пароль. Эксперимент

    Автор: admin от 24-01-2012, 17:26, посмотрело: 2 405

    Пиктографический пароль. Эксперимент

    Текстовые пароли распространены давно, и проблемы их не новы. С ростом вычислительных способностей компьютеров требования к длине и частоте смены паролей только усиливаются, а человеческая способность к запоминанию бессмысленных наборов символов растёт не столь впечатляющими темпами. Биометрические методы не вызывают пока доверия, да и чем биоотпечатки лучше текстовых паролей, кроме того что их нельзя изменить и то что они не допускают анонимности? Но не о текстовых паролях пойдет речь и не о недостатках биометрии, рассмотрим один из альтернативных способов задания и ввода пароля ставший особенно интересным с распространением сенсорных устройств. Основа метода в том, что человек с легкостью распознаёт визуальные образы, в то время как для машины это мучительно. Такой образ-пароль может хранится и передаваться между людьми, но между компьютерами никак или слишком дорого. →

    Категория: Информационная безопасность

     

    Идеи по увеличению безопасности авторизации

    Автор: admin от 24-01-2012, 14:32, посмотрело: 2 712

    Похоже, эта неделя пройдет под лозунгом «сделай авторизацию безопаснее». Уже было предложено много идей, но большинство из них в итоге оказалось неудачными. По тем или иным причинам я сейчас так же задумываюсь, как повысить безопасность авторизации на сайте. Тут — мои идеи, выкладки. Ничего более. Я замечательно понимаю, что для того, чтобы добиться хороших результатов, нужно проработать в этой области большой срок, заниматься криптографией и прочим. Тут же я хочу поделиться своими наработками, услышать их, надеюсь, конструктивную критику, возможно поддержку некоторых идей.

    Постановка задачи:

    Необходимо обеспечить безопасную авторизацию для пользователя, однако при этом не заставлять его делать лишние движения либо вычисления. При этом основная задача — не позволить злоумышленнику зайти на сайт под каким-нибудь определенным логином. Так же ставится задача возможности записи какого-нибудь текста, который будет храниться в бд в шифрованном виде, и открыть его нельзя, не зная пароля.

    Категория: Информационная безопасность

     

    О возможностях антивирусов. Часть 2

    Автор: admin от 24-01-2012, 08:41, посмотрело: 1 576

    Сегодня мы продолжим тестировать качество антивирусных продуктов, а именно займемся исследованием такой технологии как анализ поведения программы во время её исполнения (HIPS). Поскольку многие посчитали тестирование возможностей лишь одной проактивной защиты слишком субъективным (О возможностях антивирусов. Часть 1), то самое время проверить, на что же способны антивирусы в полевых условиях на самом деле.

    Категория: Информационная безопасность / Вирусы и антивирусы

     

    IT-букет

    Автор: admin от 24-01-2012, 05:48, посмотрело: 2 641

    Когда я увидел название блога, то подумал, что в первую очередь это призыв к действию – сделаЙ сам!

    Но, став читать, обнаружил, что большинство топиков содержат утверждение – сделаЛ сам!

    Повторяют конструкции другие люди или нет, науке не известно.

    Предлагаю многолетнюю идею со статусом “не реализована”, но теоретически имеющую полное право на жизнь. А главное, она соответствует девизу — сделай сам!

    Наиболее активные люди и денег смогут заработать при ее внедрении.

    Категория: Железо / Сделай Сам

     

    Обзор ЛанчПада MSP430 и тестовый проект

    Автор: admin от 24-01-2012, 01:26, посмотрело: 2 571

    Недавно, благодаря юзеру Dooez, я заказал себе на TI недорогой набор для поиграться холодными зимними вечерами.

    Буквально через несколько дней постучался ко мне «с толстой сумкой на ремне...» и замечательной коробочкой ФедЭкса курьер:

    Обзор ЛанчПада MSP430 и тестовый проект

    Категория: Железо / Сделай Сам

     

    Обзор ЛаунчПада MSP430 и тестовый проект

    Автор: admin от 24-01-2012, 01:26, посмотрело: 10 138

    Недавно, благодаря юзеру Dooez, я заказал себе на TI недорогой набор для поиграться холодными зимними вечерами.

    Буквально через несколько дней постучался ко мне «с толстой сумкой на ремне...» и замечательной коробочкой ФедЭкса курьер:

    Обзор ЛаунчПада MSP430 и тестовый проект

    Категория: Железо / Сделай Сам