Главная » Архив меток: security

Архив меток: security

[Перевод] Web Security: введение в HTTP

HTTP — вещь прекрасная: протокол, который просуществовал более 20 лет без особых изменений. Это вторая часть серии по веб-безопасности: первая часть была «Как работают браузеры». Если пользователи введут данные своей кредитной карты на веб-сайте, а злоумышленник сможет перехватить данные до того, как они попадут на сервер, у нас наверняка будут проблемы. Как мы видели в предыдущей статье, браузеры взаимодействуют с ...

Читать далее »

[Перевод] Как работают браузеры — введение в безопасность веб-приложений

Давайте начнем серию статей по безопасности веб-приложений с объяснением того, что делают браузеры и как именно они это делают. Поскольку большинство ваших клиентов будут взаимодействовать с вашим веб-приложением через браузеры, необходимо понимать основы функционирования этих замечательных программ. Chrome и lynx Его работа заключается в том, чтобы загрузить веб-страницу и представить её в понятном для человека виде. Браузер — это движок ...

Читать далее »

Клонируем бесконтактную карту с помощью мобильного приложения

Всегда было интересно посмотреть, что происходит у банковской карточки под «капотом». Как реализуется протокол общения банковской карточки и POS-терминала, как это работает и насколько это безопасно. Такая возможность предстала передо мной, когда я проходил стажировку в компании Digital Security. В результате при разборе одной известной уязвимости EMV карт в MagStripe-режиме, было решено реализовать мобильное приложение, которые способно общаться с терминалом ...

Читать далее »

[Перевод] Курс MIT «Безопасность компьютерных систем». Лекция 12: «Сетевая безопасность», часть 3

Массачусетский Технологический институт. Курс лекций #6.858. «Безопасность компьютерных систем». Николай Зельдович, Джеймс Микенс. 2014 год Computer Systems Security — это курс о разработке и внедрении защищенных компьютерных систем. Лекции охватывают модели угроз, атаки, которые ставят под угрозу безопасность, и методы обеспечения безопасности на основе последних научных работ. Темы включают в себя безопасность операционной системы (ОС), возможности, управление потоками информации, языковую ...

Читать далее »

[Перевод] Курс MIT «Безопасность компьютерных систем». Лекция 12: «Сетевая безопасность», часть 2

Массачусетский Технологический институт. Курс лекций #6.858. «Безопасность компьютерных систем». Николай Зельдович, Джеймс Микенс. 2014 год Computer Systems Security — это курс о разработке и внедрении защищенных компьютерных систем. Лекции охватывают модели угроз, атаки, которые ставят под угрозу безопасность, и методы обеспечения безопасности на основе последних научных работ. Темы включают в себя безопасность операционной системы (ОС), возможности, управление потоками информации, языковую ...

Читать далее »

Как STACKLEAK улучшает безопасность ядра Linux

STACKLEAK — это функция безопасности ядра Linux, изначально разработанная создателями Grsecurity/PaX. Я решил довести STACKLEAK до официального ванильного ядра (Linux kernel mainline). В этой статье будет рассказано о внутреннем устройстве, свойствах данной функции безопасности и ее очень долгом непростом пути в mainline. STACKLEAK защищает от нескольких классов уязвимостей в ядре Linux, а именно: сокращает полезную для атакующего информацию, которую могут ...

Читать далее »

[Из песочницы] Как обойти SMS идентификацию при подключении к публичным Wi-Fi сетям?

В 2014 году начали свое действие постановления правительства РФ №758 №801, обязывающие владельцев публичных WiFi сетей настроить на роутерах идентификацию пользователей через паспортные данные, sms или портал гос. услуг. Нежелание владельцев кафе тратиться за Captive portal'ы поспособствовало некоторым провайдерам в распространении своих точек доступа с платной sms-авторизацией. У меня возникло желание проверить, можно ли подобную sms-авторизацию обойти. Дисклеймер Данная статья ...

Читать далее »

Опубликован эксплоит для незакрытой уязвимости в планировщике задач Windows (перевод)

Одним из исследователей безопасности была опубликована в Twitter информация об уязвимости в ОС Windows. Уязвимость заключается в эскалации привилегий на локальной системе, которая позволяет злоумышленнику повысить уровень доступа вредоносного кода, запущенного из-под учетной записи рядового пользователя до уровня учетной записи SYSTEM, обладающей полным доступом.→ Оригинал статьи Уилл Дорманн, инженер CERT/CC, подтвердил эту уязвимость и вчера опубликовал официальное предупреждение CERT/CC. Дорманн ...

Читать далее »

[Из песочницы] Тяжелая терапия: лекарство от палева для MacOS

Вы скажете, что тут и из коробки все отлично и вроде все гениально, вплоть до автогенерации такого пароля для web-сайтов, который даже зрительно не воспринимается с пятой попытки, однако, представим себе, что для нас важно защититься не только от повседневных хакеров, но и от самих разработчиков системы.Исследования мои этих моментов начались еще с момента выхода OS X Lion 10.7 и ...

Читать далее »

[Перевод] 10 самых распространенных ошибок безопасности в Python и как их избежать

Всем привет! Исправляем нашу оплошность и надеемся, что он вам понравится. Наша очередная группа по Python успешно запустилась в понедельник, но у нас остался ещё один материальчик, который мы не успели разместить до старта. Поехали! Когда вы изучаете язык, модуль или фреймворк, вы узнаете, как это предполагается использовать. Писать защищенный код сложно. Python не является исключением, даже в документации стандартной ...

Читать далее »