Entries in the ‘Статьи’ Category:
filed in О блоге, Статьи, Юмор, обсуждения on Apr.03, 2013
Пропущу вступление, вполне очевидно и так о чем будет этот пост. Тема стала такой “животрепещущей”, что каждый считает своим долгом высказать субъективную и уникальную – свою точку зрения. Поддавшись воле толпы, напишу и сам. Не претендуя на идеологическую верность позиций, объективность и самое гланое – справедливость. Итак, история повторяется. Хочется провести некую аналогию современной ИБ [...]
filed in Конференции, Методы и техники, Новые уязвимости, Практика, Статьи on Nov.23, 2012
Решил назвать пост именно так, потому что впечатлений было масса, и именно впечатления остались у меня спустя 3 дня. Конференция прошла очень удачно – я пришел туда за докладами и получил их сполна, пришел за общением с живыми людьми, и получил его По вебу было на что посмотреть: “They told me I could be anything, [...]
filed in Статьи, обсуждения on Mar.27, 2012
Навеяно темой и общением в блоге Сергея Гордейчика (http://sgordey.blogspot.com/2012/03/blog-post_24.html) Собственно, сделал следующие выводы, предлагаю потроллить обсудить. 1. Уязвимости есть интеллектуальная собственность. 2. Эксплоиты (программы для проведения атак используя уязвимости) есть обычное ПО (то есть их также можно патентовать) 3. 1 и 2 есть интеллектуальная собственность, то есть актив компании, в случае, если уязвимость обнаружена и [...]
filed in Методы и техники, Практика, Статьи on Nov.29, 2011
По просьбам трудящихся, размещаю свою презентацию на ZeroNights. Можем обсуждать здесь что не понятно/спорно. Замечание Андрея Петухова про прокси сервера для локальных адресов считаю очень стоящим. Скоро насобираю технические примеры обхода этой проблемммы. Smuggling splitting poisoning. ZeroNights. ONsec View more presentations from d0znpp
filed in Практика, Статьи on Sep.22, 2011
Решил написать эту заметку, и немного нарушить традицию писать по технике. Давайте вместе попробуем сравнить две профессии – веб-хакер и веб-аудитор. Почему именно веб, а не шире? Потому что последние два года я занимаюсь исключительно вебом, и компенетциями в других областях не обладаю в требуемой мере. И после сравнения постараемся понять, специалист какой из этих [...]
filed in Chaos Construction, Конкурсы, Методы и техники, Практика, Статьи on Sep.03, 2011
UPD! Добавлен вектор Rdot.org На прошлых выходных прошел культовый фестиваль компьютерного искусства Chaos Constructions 2011. Еще раз поздравдяю победителей: Из безопасности было два конкурса: основной HackQuest и наш WAF bypass, о котором я и хочу рассказать. Прежде всего, соберу все сылки, о мероприятии, которые удалось найти по блогам, их пока мало, так что очень прошу [...]
Tags: WAF, bypass, cc11, challenge, onsec, realtime
filed in Методы и техники, Практика, Статьи, Утилиты on May.21, 2011
Позавчера прослушал интересный доклад Дениса Баранова: http://phdays.ru/program-tech.asp#2 Поразился огромной работе, проделанной для практической реализации инструмента. И еще больше поражает то, что вся техника по-сути документирована. Пришли мысли на тему подключения к telnet устройствам на низких портах, и вот подборочка: http://jsterm.com/ + http://nodejs.org/ Пройдите по первой ссылке и попробуйте сами. Конечно, это совсем не готовый вариант. [...]
Tags: dns, phd2011, pinning, rebinding
filed in Методы и техники, Новые уязвимости, Практика, Статьи on Nov.24, 2010
Ну не могу я пропустить такую вещь, как раскопка Александра Ларсона (Alexander Larsson), о которой узнал через Твиттер (начал к нему привыкать уже) от AMS. Оригинальная статья: http://blogs.gnome.org/alexl/2010/11/23/gtk3-vs-html5/ Что тут долго говорить – смотрите видео. По-моему – это начало конца. CAS будет жить, и мы ему в этом поможем. Вот только Apple ответит Gtk3 vs HTML5 [...]
filed in Методы и техники, Новые уязвимости, Статьи on Nov.11, 2010
Снова спасибо за теплый прием, отдельное спасибо Invent за посещение и полезный диалог. Выкладываю презентацию и передаю эстафетную палочку Дмитрию Евтееву. Надеюсь, было не скучно и всем удалось узнать что-то новое. [ONSEC ]XSS vs waf
filed in Методы и техники, Новые уязвимости, Статьи on Nov.03, 2010
Спасибо Андрею Петухову за теплый прием! [ONSEC] PHP unserialize() _SESSION and Dynamics
Tags: ВМиК, МГУ, метод, обучение, семинар, техника