Информационный портал по безопасности » Облако тегов » Информационная безопасность » Страница 4

 

Оптимизация и автоматизация тестирования веб-приложений

Автор: admin от 8-08-2017, 13:55, посмотрело: 307

Оптимизация и автоматизация тестирования веб-приложений



В этой статье я расскажу о том, как оптимизировать и автоматизировать процессы тестирования на проникновение с помощью специализированных утилит и их расширений.

->

Категория: Программирование / Информационная безопасность

 

Вредоносный код в npm-пакетах и борьба с ним

Автор: admin от 8-08-2017, 13:30, посмотрело: 693

В начале августа в нескольких десятках npm-пакетов был обнаружен вредоносный код. Администрация npmjs.com оперативно на это отреагировала и тут же подготовила отчёт о предпринятых мерах. Позже Доминик Кундел из twilio.com поделился советами о том, как найти проекты, «заражённые» подобными пакетами. Представляем вашему вниманию рассказ об этих событиях.



Вредоносный код в npm-пакетах и борьба с ним
->

Категория: Веб-разработка / Информационная безопасность

 

Взлом Wi-Fi

Автор: admin от 6-08-2017, 00:00, посмотрело: 732

Взлом маршрутизаторов WPA/WPA2 Wi-Fi с помощью Airodump-ng и Aircrack-ng/Hashcat



Это краткое пошаговое руководство, которое демонстрирует способ взлома сетей Wi-Fi, защищённых слабыми паролями. Оно не исчерпывающее, но этой информации должно хватить, чтобы вы протестировали свою собственную сетевую безопасность или взломали кого-нибудь поблизости. Изложенная ниже атака полностью пассивна (только прослушивание, ничего не транслируется с вашего компьютера) и о ней невозможно узнать, если вы только реально не воспользуетесь паролем, который взломали. Необязательную активную атаку с деаутентификацией можно применить для ускорения разведывательного процесса. Она описана в конце статьи.
->

Категория: Информационная безопасность

 

Security Week 31: Борец с WannaCry арестован в США, Svpeng получил новую фишку, Cisco патчит 15 дыр

Автор: admin от 5-08-2017, 21:10, посмотрело: 346

Security Week 31: Борец с WannaCry арестован в США, Svpeng получил новую фишку, Cisco патчит 15 дырЧто мы знаем о Маркусе Хатчинсе? На удивление мало. До истории с WannaCry о нем вообще ничего не было слышно, но тут его прославил блестящий ход со стоп-доменом. Парень порылся в коде троянца, нашел механизм самоуничтожения при получении ответа с захардкоденного домена, зарегал домен (затраты составили $10) и сумел существенно затормозить эпидемию Воннакрая.



Живет в Великобритании, работает в некоей компании Malwaretech. Ну, или сам он и есть Malwaretech. Судя по его сайту, Маркус с 2013 года реверсит вредоносный код и публикует неплохие исследования. Недавно запустил публичный ботнет-трекер, где можно посмотреть активность наиболее знаменитых ботнетов. В целом создается впечатление молодой, подающей надежды «белой шляпы».



Юное дарование приехало в Лас-Вегас – там как раз проходят конференции Black Hat и Defcon. И тут выяснилось, что парня заждались в окружном суде восточного Висконсина, причем с достаточно серьезными обвинениями на руках. Обвинительный акт содержит шесть пунктов, вменяемых Маркусу. Все они сводятся к тому, что Маркус Хатчинс, на пару с неназванным лицом ответственен за создание и распространение банковского троянца Kronos.
->

Категория: Информационная безопасность

 

Охота на рыжего демона или пеленгатор помех спутниковой навигации

Автор: admin от 5-08-2017, 09:05, посмотрело: 445

Охота на рыжего демона или пеленгатор помех спутниковой навигации


Не подумайте, что я какой-нибудь преступный элемент, параноик или неверный муж, но как-то раз я решил купить глушилку GPS. Во-первых, был интересен сам процесс. Ведь дело вроде нелегальное, продавец как будто рискует. Хотелось в этом поучаствовать, а не просто послушать или почитать. Во-вторых, чисто технически и чисто экономически было интересно — как сделано и сколько стоит.



К чему это привело читайте дальше.
->

Категория: Веб-разработка / Информационная безопасность

 

Охота на рыжего демона или пеленгатор помех спутниковой навигации

Автор: admin от 5-08-2017, 09:05, посмотрело: 445

Охота на рыжего демона или пеленгатор помех спутниковой навигации


Не подумайте, что я какой-нибудь преступный элемент, параноик или неверный муж, но как-то раз я решил купить глушилку GPS. Во-первых, был интересен сам процесс. Ведь дело вроде нелегальное, продавец как будто рискует. Хотелось в этом поучаствовать, а не просто послушать или почитать. Во-вторых, чисто технически и чисто экономически было интересно — как сделано и сколько стоит.



К чему это привело читайте дальше.
->

Категория: Веб-разработка / Информационная безопасность

 

Pwnie Awards 2017: достижения, ошибки и глупости в сфере информационной безопасности

Автор: admin от 4-08-2017, 19:15, посмотрело: 304

В конце июля, на конференции Black Hat в Лас-Вегасе, вручали премию Pwnie Awards. Дают эту награду либо тем, кто сделал невероятную глупость в области информационной безопасности, отличился некомпетентностью, либо тем, кто что-то красиво, громко и весело взломал, или обнаружил что-то очень интересное. Учитывая специфику премии, вполне ожидаемо то, что далеко не все лауреаты поспешили подняться на сцену за ярко раскрашенной статуэткой пони. Государственные чиновники, представители разведывательных организаций и производители программного обеспечения обычно не склонны признавать свои ошибки.



Pwnie Awards 2017: достижения, ошибки и глупости в сфере информационной безопасности




Премия разделена на несколько номинаций. Победителей выбирают, путём голосования, представители сообщества хакеров.
->

Категория: Информационная безопасность

 

Конец CSRF близок?

Автор: admin от 4-08-2017, 09:55, посмотрело: 248

Конец CSRF близок?



Пер. Под катом вас ждет перевод смешноватой и несложной статьи о CSRF и новомодном способе защиты от него.

->

Категория: Информационная безопасность

 

Microsoft не изолировала Windows Defender в песочнице, так что это сделал я

Автор: admin от 3-08-2017, 15:30, посмотрело: 269

Microsoft подвергла своих пользователей немалому риску, когда выпустила Windows Defender вне песочницы. Меня это удивило. Песочница — одна из самых эффективных техник усиления безопасности. Почему Microsoft изолировала в песочнице другие высоковероятные цели атаки, вроде кода JIT в Microsoft Edge, но оставила Windows Defender без защиты?



В качестве PoC (proof-of-concept) я изолировал Windows Defender, а сейчас выкладываю свой код в открытый доступ как Flying Sandbox Monster. Основа Flying Sandbox Monster — это AppJailLauncher-rs, фреймворк на Rust для помещения ненадёжных приложений в AppContainers. Он также позволяет вынести I/O приложения за TCP-сервер, чтобы приложение в песочнице работало на полностью другой машине. Это дополнительный уровень изоляции.



В статье я опишу процесс и результаты создания этого инструмента, а также выскажу свои мысли о Rust на Windows.
->

Категория: Веб-разработка / Информационная безопасность / Windows

 

Практические примеры атак внутри GSM сети

Автор: admin от 3-08-2017, 13:55, посмотрело: 663

Практические примеры атак внутри GSM сети


В данной статье цикла про Osmocom мы рассмотрим практическую реализацию атак на абонентов GSM сетей. Будут рассмотрены атаки как с помощью голосовых вызовов и СМС так и атаки во время работы абонента с GPRS.
->

Категория: Информационная безопасность