D0znpp blog

Как наверное многие в курсе, сейчас идет финал выбора самых крутых техник атак на веб-приложения за год. Все это организует Гроссман, результаты доступны тут: http://blog.whitehatsec.com/top-ten-web-hacking-techniques-of-2012/ Здесь я решил потроллить финалистов, вот они: Final 15 List (In no particular order) Chrome addon hacking (2, 3, 4, 5) Browser Event Hijacking (2, 3) Attacking OData: HTTP Verb Tunneling, Navigation Properties for Additional Data [...]

Сегодня первый раз за всю свою практику участия в reward программе пообщался лично с обратной стороной силы. С теми людьми, которые уязвимости разбирают, проверяют, и, собственно, выписывают счастливые письма и чеки с вознаграждениями – я был в Яндексе. Конечно, бывал там пару раз и раньше и общался с ребятами в разных неформальных обстановках, но сейчас [...]

30-31 мая в Москве прошел международный форум по практической безопасности PHDays. Хочу поделиться впечатлениями, пока они еще свежи в моей несвежей голове… Прежде всего, для меня PHDays – это общение с людьми, многих из которых видел ровно год назад. 29го прилетел Артур Геркис и небольшая культ-программа этого дня стала для меня, фактически, первым днем форума. [...]

Выкладываю презентацию. Можем обсуждать, но все было тупо – XXE и вперед. Коммент для людей, которые возмущались регистрации: На тему регистрации – все было просто. В хакспейсе банально не хватило бы стульев на всех участников. Хотели рассчитать количество и из этого исходить. В хакспейсе ВСЕГДА есть регистрация на семинары. Если Вы зотите прийти лично – [...]

Вернулся домой с ZeroNights и спешу поделиться впечатлениями, пока они свежи. Начну с организации – место, пафос и транспорт – это все не очень про ZN. Может избалован СС, конечно, но казалось, в Питере все конференц-залы должны быть рядом с метро. Сам Катовски очень напомнил Молодую Гвардию – большой зал и гостиница рядом. Очень удобно [...]

UPD 23/11/11: пока только описание WEB270 The Kirovsky Plant, CRYPTO170/190 METRO1/2, WEB100 The State Hermitage Museum Совсем скоро откроет двери долгожданная конференция ZeroNights, где впервые в России в одном зале соберутся западные и отечественные эксперты ИБ. Именно эксперты, а не маркетологи, менеждеры, руководители и прочие важые люди. В рамках анонса этой конференции мы провели конкурс [...]

UPD! Добавлен вектор Rdot.org На прошлых выходных прошел культовый фестиваль компьютерного искусства Chaos Constructions 2011. Еще раз поздравдяю победителей: Из безопасности было два конкурса: основной HackQuest и наш WAF bypass, о котором я и хочу рассказать. Прежде всего, соберу все сылки, о мероприятии, которые удалось найти по блогам, их пока мало, так что очень прошу [...]

Очень-очень скоро состоится ежегодный фест. Хотя вру, в 2007м году СС проводился два раза, но это уже история. Долго не писал в блог во многом из-за него. Активно готовлю доклад и веселые задания для участников HackQuest. Именно веселые, а не слишком сложные, хотя это относительно. Могу сказать, что проявить придется не только знание предметной области, [...]

Поздравляю мембера ONsec AMS с почетным четвертым местом на Month of PHP Security. http://php-security.org/2010/06/10/winners-of-the-month-of-php-security/ http://www.0x416d73.name/articles/51 Немного с опозданием поздравления, но все-таки. Краткий обзор из блога AMS: Первое место у Solar Designer – да, и тут дал о себе знать. Статья у него действительно хорошая и полезная – как правильно управлять аутентификационными данными в PHP – [...]