межсайтовый скриптинг
-
Хабрахабр
[Перевод] Ладья на XSS: как я хакнул chess.com детским эксплойтом
Шахматы – это одно из многих моих хобби, за которыми я провожу свободное время, когда не ковыряюсь с какой-нибудь электроникой. При этом играю я так себе, и когда мне изрядно надоело проигрывать, я решил заняться тем, что у меня получается гораздо лучше… хакнуть систему! В этой статье я расскажу о том, как использовал свои знания по кибербезопасности для обнаружения XSS-уязвимости…
Читать далее » -
Хабрахабр
GitHub запустил статический анализ кода на уязвимости
После обширного тестирования GitHub открыл в открытом доступе функцию сканирования кода на уязвимости. Любой желающий может запустить сканер на собственном репозитории и найти уязвимости до того, как они пойдут в продакшн. Сканер действует для репозиториев на C, C++, C#, JavaScript, TypeScript, Python и Go.Сканер основан на технологии CodeQL, которую разработала компания Semmle, купленная GitHub в прошлом году. CodeQL считается первым…
Читать далее » -
Хабрахабр
[Перевод] Конференция BLACK HAT USA. Разбогатеть или умереть: зарабатываем в Интернете методами Black Hat. Часть 2
Конференция BLACK HAT USA. Разбогатеть или умереть: зарабатываем в Интернете методами Black Hat. Часть 1 Здесь стоимость услуги начинается от $150. Существует сайт под названием Hire2Hack, который тоже принимает заявки на «восстановление» паролей. Для регистрации требуется указать имя пользователя, email, пароль и так далее. Я не знаю об остальном, но вы должны предоставить им информацию о себе, потому что собираетесь…
Читать далее » -
Хабрахабр
[Перевод] Конференция BLACK HAT USA. Разбогатеть или умереть: зарабатываем в Интернете методами Black Hat. Часть 1
Ведущий: леди и джентльмены, это выступление очень забавное и очень интересное, сегодня мы собираемся поговорить о реальных вещах, которые наблюдаются в интернете. Этот разговор немного отличается от тех, к которым мы привыкли на конференциях Black Hat, потому что мы собираемся поговорить о том, как атакующие зарабатывают деньги на своих атаках. Это было весело, но когда мы немного протрезвели, то поговорили…
Читать далее » -
Хабрахабр
[Перевод] Государственный университет Адамс. Как взламывать веб-сайты. Часть 2
Государственный университет Адамс. Как взламывать веб-сайты. Часть 1 Расскажу, как серверы вас идентифицируют. Давайте поговорим о нашей следующей атаке. Поэтому сервер вас забывает, как только установлена связь, и при следующем сеансе уже не помнит, кто вы такой. Для этого между браузером и сервером используется протокол HTTP без сохранения состояния, когда общение с сервером происходит независимыми парами «запрос-ответ». Реализация «запоминания» происходит…
Читать далее » -
Хабрахабр
[Перевод] Конференция DEFCON 18. Вы потратили все эти деньги, но вас продолжают «иметь». Часть 2
Конференция DEFCON 18. Вы потратили все эти деньги, но вас продолжают «иметь». Часть 1 Вы знаете, что мои инструменты должны писаться исключительно на Python, поэтому мы перевели это на Python. Я использую интересную вещь авторства Гэри О’Лири-Стил под названием Unicod-fun, которая довольно неплоха для утилиты, написанной на Ruby. Теперь мы можем применять различную кодировку для инструментов, которые предназначены для атак…
Читать далее » -
Хабрахабр
[Перевод] Конференция DEFCON 18. Вы потратили все эти деньги, но вас продолжают «иметь». Часть 1
Как обычно, как и в прошлом году, я не могу поверить, что люди действительно приходят на мои презентации послушать, что я рассказываю. В прошлом году это было в воскресенье, в 10 утра, я был в состоянии похмелья и думал, что никто не придёт на меня посмотреть. Сегодня снова воскресенье, 4 часа дня, сегодня я хотел лететь домой, но, не смотря…
Читать далее » -
Хабрахабр
[Перевод] Курс MIT «Безопасность компьютерных систем». Лекция 11: «Язык программирования Ur/Web», часть 3
Массачусетский Технологический институт. Курс лекций #6.858. «Безопасность компьютерных систем». Николай Зельдович, Джеймс Микенс. 2014 год Computer Systems Security — это курс о разработке и внедрении защищенных компьютерных систем. Лекции охватывают модели угроз, атаки, которые ставят под угрозу безопасность, и методы обеспечения безопасности на основе последних научных работ. Темы включают в себя безопасность операционной системы (ОС), возможности, управление потоками информации, языковую…
Читать далее » -
Хабрахабр
[Перевод] Курс MIT «Безопасность компьютерных систем». Лекция 11: «Язык программирования Ur/Web», часть 2
Массачусетский Технологический институт. Курс лекций #6.858. «Безопасность компьютерных систем». Николай Зельдович, Джеймс Микенс. 2014 год Computer Systems Security — это курс о разработке и внедрении защищенных компьютерных систем. Лекции охватывают модели угроз, атаки, которые ставят под угрозу безопасность, и методы обеспечения безопасности на основе последних научных работ. Темы включают в себя безопасность операционной системы (ОС), возможности, управление потоками информации, языковую…
Читать далее »