>
Февраль 2016
Пн Вт Ср Чт Пт Сб Вс
« Янв   Мар »
1234567
891011121314
15161718192021
22232425262728
29  

Выбираем и сравниваем бесплатный антивирус.

бесплатный антивирус

Многие разработчики защитных программ выпускают бесплатные антивирусы. Даже ЗАО «Лаборатория Касперского» представила халявный вариант — Kaspersky Free. Насколько базовых функций достаточно для предотвращения заражения в реальных условиях — например, при веб-серфинге? Чем приходится расплачиваться за бесплатный сыр? Давай выясним это.

[Всего голосов: 6    Средний: 3.8/5] […]

Анонимный чат с поддержкой шифрования – TOX.

анонимный чат TOX

Tox — новый протокол (разработка активно ведется с лета 2013 года) для обмена текстовыми сообщениями, голосовой и видеосвязи, созданный как альтернатива Skype и другим VoIP-сервисам. К слову, Skype с 2011 года находится под присмотром спецслужб разных стран. Как и Skype, Tox предлагает полный набор привычных функций: голосовую и видеосвязь, конференции с несколькими […]

Практика использования сканера уязвимостей NMAP

Nmap — культовый сканер, без которого не может обойтись практически ни один хакер, поэтому тема расширения его возможностей, я думаю, интересует многих. Использовать в паре с Nmap другие инструменты — обычная практика. В статье речь пойдет о том, как легко автоматизировать работу Nmap со своими любимыми инструментами. Удобнее же «нажать одну кнопку» и […]

Отладка приложений в Visual Studio

Отладка – неотъемлемый этап цикла разработки приложений, зачастую более важный, чем написание кода. Именно отладка позволяет устранить проблемные места в коде, которые приводят к разного рода ошибкам. В этой статье речь пойдет о том, как отлаживать приложения в среде Visual Studio и какие механизмы её облегчают. Предполагается, что читатель в общих чертах уже […]

Бесплатный интернет через WIFI и его подводные камни

Сегодня мы поговорим о бесплатном интернет который мы получаем подключаясь к общедоступным точкам доступа WIFI. Таких точек, становится все больше и больше, и подключатся к ним, без соответствующих мер предосторожности, может быть достаточно опасно.

Большинство современных устройств запоминают название Wi-Fi сети, к которой они успешно подключались хотя-бы один […]

Взлом WIFI при помощи MAC OS X

Стандартом де-факто в вардрайвинге обычно считается система Linux (модифицированные драйвера, Kismet в связке с aircrack-ng). Но немногие знают, что в маке есть мощные инструменты для взлома и аудита безопасности беспроводных сетей, ни чуть не уступающие, а во многом и превосходящие по функционалу Linux-аналоги.

Для ознакомления с общими понятиями вардрайвинга рекомендуется […]

Как определить OS клиента через JavaScript

Подходы по детектированию ОС сервера всем давно известны – отправляем n-ое количество сообщений, на основе полученных ответов проводим анализ с некой базой или выявляем ключевые слова, признаки содержания и структуры определенной инфы и уже пытаемся выявить наиболее подходящую ОС. Собственно, примерно так работает и знаменитый Nmap при детекте ОС. Но что если мы […]

XXE атаки на простых примерах.

xxe atack

«Новое – это хорошо забытое старое» мигом вспомнилась мне поговорка, когда при оценке защищенности очередного веб-приложения успешно прошла атака XXE. Немедленно захотелось написать об этом пару слов, ибо: – XML-транспорт занял одно из доминирующих мест по распространенности в распределенных приложениях (в т.ч. клиент-серверных веб-приложениях, кстати); – ни один из 5 запущенных сканеров (специально […]

Взлом роутеров Cisco ASA с помощью XSS уязвимости.

Мы продолжаем рассказывать о уязвимостях активного сетевого оборудования CISCO и сегодня представляем материал о критической уязвимости XSS позволяющей злоумышленнику получить доступ к межсетевым экранам Cisco ASA повсеместно использующихся в корпоративном секторе.

В начале февраля 2016 года в сеть попала информация о критической уязвимости межсетевых экранов Cisco ASA, которая […]

Как правильно хранить пароли

Каждый из нас проходит несколько стадий паранойи хранения паролей. На первой стадии идет процесс придумывания не простого, но запоминающегося пароля. На второй, появляется второй пароль и один становится личным (какие-либо приватные почтовые ящики), а второй публичным (форумы, соцсети и т.д.). С двумя паролями появляются и дополнительные почтовые ящики — личные и публичные.

Как сформировать ссылку с XSS в POST-параметре

Хочу поделиться неольшой хитростью, которую открыл для себя, когда произошли определенные трудности при попытках эксплуатации найденных Reflected XSS.

Только вид тех найденных багов был даже более неудобный для атакующего, чем обычные reflected или отраженные XSS. Сейчас поясню (только XSS будет самая простейшая, то есть без дополнительных мер по обходу фильтров […]

Как написать вирус для андроид. Часть 2

Начинаем второй мини урок или куда прикрутить наше чудо, которое мы написали. Я не буду описывать как написать админку с нуля или как правильно писать сайты. Тут будет чисто теория и методы. Итак приступим. Первое, что нам потребуется это гейт.

[Всего голосов: 4    Средний: 3.8/5] […]

Защита речевой информации – методы и средства.

Телефонные шифраторы находят все более широкое применение для решения задач безопасности ведения переговоров на каналах связи сети общего пользования. На этапе выбора телефонной аппаратуры засекречивания потребитель, как правило, располагает ограниченной информацией, относящейся к реализованным криптографическим алгоритмам и числу ключевых установок. Такие важные для пользователя характеристики, как время вхождения шифраторов в синхрониза- цию, параметры […]

Передача защищенных данных с разграничением доступа.

Предлагается новый способ рассылки защищенных данных в электронной форме по общедоступным открытым каналам электросвязи, позволяющий точно регулировать моменты доступа получателей рассылаемых данных к отдельным их разделам даже после момента рассылки. При этом достигается защита конкретной порции данных от тех получателей, которым данная порция не предназначена, даже если среди произвольной группы таких получателей данных […]

Взлом NAS Western Digital My Cloud

Western Digital My Cloud (Personal Cloud Storage) представляет собой Network Attached Storage (NAS). Он пригоден как для использования дома, так и в качестве личного облака для небольших команд. К хранящимся данным можно получить доступ не только из личной сети, но и с другого конца света. На фоне нашумевших утечек личной информации такие устройства […]

Методы перехвата HTTP\HTTPS трафика.

Насколько я знаю, сейчас в ходу достаточно известная и простая схема перехватов траффика в браузерах (для модификации и сбора информации). Схема хоть и популярная, но нацеленная исключительно на определенные версии браузеров.

Так, например, для IE используется схема с перехватом функций wininet. Тут, кстати, тоже существует как минимум […]

Как написать вирус для андроид.

Сегодня мы вообразим себя злыми хакерами и займемся написанием настоящего вируса для андроид системы. Мы подробно и с примерами расскажем о основных этапах написания вируса для операционной системы андроид. Не лишним будет напомнить, что эта статья предназначена только для удовлетворения вашего исследовательского интереса. И писать а тем более распространять вирусы не стоит 🙂

[…]

Борьба с утечкой IP через WebRTC

Сегодня я хочу затронуть ныне утихшую тему, а именно WebRTC. Я не буду рассказывать как его заблокировать. Для этого есть много различных плагинов и способов вручную его отключить. Данная статья посвящена людям которым WebRTC нужен во время “работы” или же не хочет злить сайты выключенным плагином. Речь в данной статье пойдет об обмане WebRTC.

[…]

Полная анонимность в интернете и реальной жизни.

анонимность в интернете

В эпоху социальных сетей, есть огромное количество способов которыми наше присутствие “онлайн” может использоваться против нас, разными «противниками». Любая общественная информация которая связана с нашей личностью, может быть использована как на пользу нам так и во вред.

В интересах создания личной информационной безопасности, доступной для большинства людей, я составил список […]

Получение доступа к вебкамерам (часть 2)

После публикации первой части исследования уязвимостей камер видео наблюдения мы получили много вопросов. И поэтому решили немного продолжить и рассказать о других методах получения подобной информации.

Итак, начнем.

[Всего голосов: 4    Средний: 3.8/5] […]

MSFVENOM – инструмент для создания payload в metasploit

Данный инструмент представляет собой быстрый путь для генерации различных базовых полезных нагрузок Meterpreter через msfvenom (часть Metasploit framework).

Если сказать проще, то Msfvenom Payload Creator (MPC) — это обертка для генерации различных типов полезных нагрузок на основании пользовательского выбора. «Простота — залог успеха» — вот девиз инструмента. […]

Как вернуть Telnet клиент в разных версиях Windows.

Да, Telnet небезопасен. Он ничего не знает о шифровании и проверке подлинности данных, да и все данные по сети передаются в открытом виде и могут быть легко перехвачены злоумышленником. По этой причине он почти не иcпользуется для управления удаленными машинами или устройствами. Но при диагностике сети, когда срочно нужно проверить, не закрыт […]

Взлом и получение доступа к камерам наблюдения.

Всем привет, хочу донести до Вас информацию, может и есть в открытом доступе но она не расписана и не разжёванная. Сейчас очень много приходит информации о взломанных камерах наблюдениях, в банках, в учреждениях, даже на Украине на донбасе в последние время начали в мелькать подобные сообщения.

[Всего голосов: 14   […]

Как собрать собственную базу для фаззинга с помощью FuzzDB

Fuzzing — это технология тестирования ПО, при которой программе передаются случайные данные, обычно специально сформированные некорректно. Такой тест помогает проверить систему на прочность.

Для фаззинга нужны базы — списки строк или других данных, которые исследователи скармливают приложению, чтобы найти уязвимости. Чаще всего они сами составляют базы и […]

Атаки на протокол TACACS+ в CISCO

TacoTaco — это набор из двух Python-скриптов для проведения атак на протокол централизованного управления доступом (Authentication, Authorization, Accounting) TACACS+ от Cisco.

Обе атаки требуют возможности проведения MITM-атак на сетевое устройство и сервер TACACS+.Первый скрипт позволяет получить MD5-хеш ключа (PSK), используемого для шифрования трафика между сетевым девайсом и сервером […]

SEE фреймворк для автоматизации тестов в безопасном окружении

Sandboxed Execution Environment (SEE) — это фреймворк для автоматизации тестов в безопасном окружении от антивирусной компании F-Secure на языке программирования Python. Песочница предоставляется с помощью libvirt и благодаря настройкам дает большую гибкость.

Различные типы гипервизоров (QEMU, VirtualBox, LXC) могут быть использованы для запуска тестового окружения. Сам фреймворк […]

Хостинг в сети I2P – все необходимое для организации.

Наша задачка на сегодня — анонимно разместить сайт в интернете. Есть не так много технологий, которые нам в этом деле смогут помочь. Но одним из самых технологичных решений, которое предоставляет возможность анонимного хостинга, практически исключая возможность определения, где на самом деле находится сервер с файлами, является I2P.

[…]

Обзор дистрибутивов для тестирования безопасности.

Существует несколько популярных securty дистрибутивов, содержащих большинство популярных утилит и приложений для проведения тестирования на проникновение. Обычно они основаны на существующих Linux-дистрибутивах и представляют из себя их переработанные версии. В этой статье будут представлены наиболее известные из них.

[Всего голосов: 7    Средний: 4/5] […]

Взлом роутеров TP-LINK с помощью пароля по умолчанию

Об очередной уязвимости «нулевого дня» стало известно сегодня от специалиста по информационной безопасности по имени Марк. Он обнаружил интереснейший факт — в некоторых моделях роутеров TP-Link в качестве пароля используются последние символы MAC-адреса этого устройства. Прежде, чем заявить об этом в Сети, Марк написал в компанию, но там не отреагировали.

[…]

Как получить RCE через сериализацию XML в Java

«Проблемы» с нативной двоичной сериализацией в Java (да и не только) стали, наверное, одним из главных трендов этого года. На основе этой технологии были найдены критические уязвимости не просто в какомто ПО, а в протоколах; зацепило и Android. Но технологии не ограничиваются только бинарной сериализацией (кроме нативной, есть еще целый пучок сторонних […]