D0znpp blog

Пропущу вступление, вполне очевидно и так о чем будет этот пост. Тема стала такой “животрепещущей”, что каждый считает своим долгом высказать субъективную и уникальную – свою точку зрения. Поддавшись воле толпы, напишу и сам. Не претендуя на идеологическую верность позиций, объективность и самое гланое – справедливость. Итак, история повторяется. Хочется провести некую аналогию современной ИБ [...]

Решил назвать пост именно так, потому что впечатлений было масса, и именно впечатления остались у меня спустя 3 дня. Конференция прошла очень удачно – я пришел туда за докладами и получил их сполна, пришел за общением с живыми людьми, и получил его По вебу было на что посмотреть: “They told me I could be anything, [...]

Навеяно темой и общением в блоге Сергея Гордейчика (http://sgordey.blogspot.com/2012/03/blog-post_24.html) Собственно, сделал следующие выводы, предлагаю потроллить обсудить. 1. Уязвимости есть интеллектуальная собственность. 2. Эксплоиты (программы для проведения атак используя уязвимости) есть обычное ПО (то есть их также можно патентовать) 3. 1 и 2 есть интеллектуальная собственность, то есть актив компании, в случае, если уязвимость обнаружена и [...]

По просьбам трудящихся, размещаю свою презентацию на ZeroNights. Можем обсуждать здесь что не понятно/спорно. Замечание Андрея Петухова про прокси сервера для локальных адресов считаю очень стоящим. Скоро насобираю технические примеры обхода этой проблемммы. Smuggling splitting poisoning. ZeroNights. ONsec View more presentations from d0znpp

Решил написать эту заметку, и немного нарушить традицию писать по технике. Давайте вместе попробуем сравнить две профессии – веб-хакер и веб-аудитор. Почему именно веб, а не шире? Потому что последние два года я занимаюсь исключительно вебом, и компенетциями в других областях не обладаю в требуемой мере. И после сравнения постараемся понять, специалист какой из этих [...]

UPD! Добавлен вектор Rdot.org На прошлых выходных прошел культовый фестиваль компьютерного искусства Chaos Constructions 2011. Еще раз поздравдяю победителей: Из безопасности было два конкурса: основной HackQuest и наш WAF bypass, о котором я и хочу рассказать. Прежде всего, соберу все сылки, о мероприятии, которые удалось найти по блогам, их пока мало, так что очень прошу [...]

Позавчера прослушал интересный доклад Дениса Баранова:  http://phdays.ru/program-tech.asp#2 Поразился огромной работе, проделанной для практической реализации инструмента. И еще больше поражает то, что вся техника по-сути документирована. Пришли мысли на тему подключения к telnet устройствам на низких портах, и вот подборочка: http://jsterm.com/ + http://nodejs.org/ Пройдите по первой ссылке и попробуйте сами. Конечно, это совсем не готовый вариант. [...]

Ну не могу я пропустить такую вещь, как раскопка Александра Ларсона (Alexander Larsson), о которой узнал через Твиттер (начал к нему привыкать уже) от AMS. Оригинальная статья: http://blogs.gnome.org/alexl/2010/11/23/gtk3-vs-html5/ Что тут долго говорить – смотрите видео. По-моему – это начало конца. CAS будет жить, и мы ему в этом поможем. Вот только Apple ответит Gtk3 vs HTML5 [...]

Снова спасибо за теплый прием, отдельное спасибо Invent за посещение и полезный диалог. Выкладываю презентацию и передаю эстафетную палочку Дмитрию Евтееву. Надеюсь, было не скучно и всем удалось узнать что-то новое. [ONSEC ]XSS vs waf

Спасибо Андрею Петухову за теплый прием! [ONSEC] PHP unserialize() _SESSION and Dynamics