Entries in the ‘Статьи’ Category:

Холивар на тему продажи уязвимость и эксплоитов.

Навеяно темой и общением в блоге Сергея Гордейчика (http://sgordey.blogspot.com/2012/03/blog-post_24.html) Собственно, сделал следующие выводы, предлагаю потроллить обсудить. 1. Уязвимости есть интеллектуальная собственность. 2. Эксплоиты (программы для проведения атак используя уязвимости) есть обычное ПО (то есть их также можно патентовать) 3. 1 и 2 есть интеллектуальная собственность, то есть актив компании, в случае, если уязвимость обнаружена и [...]

Comments (21)

Доклад на ZeroNights

По просьбам трудящихся, размещаю свою презентацию на ZeroNights. Можем обсуждать здесь что не понятно/спорно. Замечание Андрея Петухова про прокси сервера для локальных адресов считаю очень стоящим. Скоро насобираю технические примеры обхода этой проблемммы. Smuggling splitting poisoning. ZeroNights. ONsec View more presentations from d0znpp

Leave a Comment

Web-hackers vs Web-auditors and Pentesters

Решил написать эту заметку, и немного нарушить традицию писать по технике. Давайте вместе попробуем сравнить две профессии – веб-хакер и веб-аудитор. Почему именно веб, а не шире? Потому что последние два года я занимаюсь исключительно вебом, и компенетциями в других областях не обладаю в требуемой мере. И после сравнения постараемся понять, специалист какой из этих [...]

Comments (5)

CC11 RealTime WAF bypass

UPD! Добавлен вектор Rdot.org На прошлых выходных прошел культовый фестиваль компьютерного искусства Chaos Constructions 2011. Еще раз поздравдяю победителей: Из безопасности было два конкурса: основной HackQuest и наш WAF bypass, о котором я и хочу рассказать. Прежде всего, соберу все сылки, о мероприятии, которые удалось найти по блогам, их пока мало, так что очень прошу [...]

Tags: , , , , ,

Comments (7)

По мотивам DNS rebinding на PHD2011

Позавчера прослушал интересный доклад Дениса Баранова:  http://phdays.ru/program-tech.asp#2 Поразился огромной работе, проделанной для практической реализации инструмента. И еще больше поражает то, что вся техника по-сути документирована. Пришли мысли на тему подключения к telnet устройствам на низких портах, и вот подборочка: http://jsterm.com/ + http://nodejs.org/ Пройдите по первой ссылке и попробуйте сами. Конечно, это совсем не готовый вариант. [...]

Tags: , , ,

Comments (1)

Gtk3 vs HTML crosspost

Ну не могу я пропустить такую вещь, как раскопка Александра Ларсона (Alexander Larsson), о которой узнал через Твиттер (начал к нему привыкать уже) от AMS. Оригинальная статья: http://blogs.gnome.org/alexl/2010/11/23/gtk3-vs-html5/ Что тут долго говорить – смотрите видео. По-моему – это начало конца. CAS будет жить, и мы ему в этом поможем. Вот только Apple ответит Gtk3 vs HTML5 [...]

Leave a Comment

MSU CMC seminar 11/11/10 (XSS vs WAF)

Снова спасибо за теплый прием, отдельное спасибо Invent за посещение и полезный диалог. Выкладываю презентацию и передаю эстафетную палочку Дмитрию Евтееву. Надеюсь, было не скучно и всем удалось узнать что-то новое. [ONSEC ]XSS vs waf

Comments (2)

MSU CMC seminar 03/11/10 (something of PHP security)

Спасибо Андрею Петухову за теплый прием! [ONSEC] PHP unserialize() _SESSION and Dynamics

Tags: , , , , ,

Comments (4)

SDRF общие сведения.

В свете скорого доклада на СС опубликовал материал, который ляжет в его основу. Оформил в как WhitePaper, кстати, первый, надеюсь вышло не комом… Обсуждения есть в FullDisclusure: seclists.org/fulldisclosure/2010/Aug/236 Оригинал на английском: http://onsec.ru/onsec-whitepaper-01.eng.pdf А теперь кратко о сути:

Tags: , , , , , , , ,

Comments (2)

ONsec на Month of PHP Security

Поздравляю мембера ONsec AMS с почетным четвертым местом на Month of PHP Security. http://php-security.org/2010/06/10/winners-of-the-month-of-php-security/ http://www.0x416d73.name/articles/51 Немного с опозданием поздравления, но все-таки. Краткий обзор из блога AMS: Первое место у Solar Designer – да, и тут дал о себе знать. Статья у него действительно хорошая и полезная – как правильно управлять аутентификационными данными в PHP – [...]

Tags: , ,

Comments (1)

Этот домен продается здесь: telderi.ru, и еще много других