Информац. безопасность

Некоторые владельцы мобильных телефонов по тем или иным причинам отключают автоматическое обновление ПО. Для них и предназначена очередная статья из серии “ОСТОРОЖНО!”.

Коротко, одной строкой – необходимо срочно обновить приложение WhatsApp до последней версии 2.19.134

Обновили? - дальше можете не читать, но для любознательных расскажу в чем собственно дело: Chrysaor

Facebook исправил критическую уязвимость нулевого дня в WhatsApp, обозначенную как CVE-2019-3568 , которая использовалась для удаленной установки программ-шпионов на телефоны путем вызова целевого устройства.

Уязвимость нулевого дня в WhatsApp - это проблема переполнения буфера, которая влияет на стек VOIP WhatsApp. Удаленный злоумышленник может использовать уязвимость для выполнения произвольного кода, отправляя специально созданные пакеты SRTCP на целевое мобильное устройство.

Facebook исправил проблему с выпуском WhatsApp для Android 2.19.134, WhatsApp Business для...

Социальная инженерия - это своеобразное искусство. И овладевание им означает профит для злоумышленника и потерю денег, личной информации, и много чего ещё для жертвы социального инженера.

Обычно, соц инженерия используется вместе с техническими средствами. Однако, как доказал Кевин Митник, это не всегда так. Кто не слышал про Кевина Митника, тот, видимо, живёт на луне, и для того я объясню. Кевин Дэвид Митник — знаковая фигура в сфере информационной безопасности. Консультант по компьютерной безопасности, писатель, бывший компьютерный хакер. В конце XX века был признан виновным в различных компьютерных и коммуникационных преступлениях. В 12 лет Кевин от одноклассника узнал множество способов мошенничества с телефоном, в частности, о том, что, действуя от имени другого человека, можно выпытать нужную информацию. Кевин научился перенаправлять сигнал домашнего телефона на таксофон, веселясь от того, что владельцев домашних телефонов перед разговором просили опустить 10 центов...

Ссылка скрыта от гостей

Если у вас небольшая сеть, и вы не чувствуете, что можете оправдать расходы, связанные с использованием первоклассного анализатора трафика NetFlow, вам следует рассмотреть бесплатный ( ). Этот инструмент имеет приятный внешний вид, который ничем не уступает платному инструменту SolarWinds, однако он не обладает таким...

SolarWinds ( (NTA)) вполне можно назвать анализатором сетевого трафика, поскольку он обрабатывает не только исходный Cisco NetFlow, но и многие его варианты от других производителей, а также первичную альтернативу NetFlow, sFlow. (Вот почему мы рассмотрели NTA в нашем обзоре )

SolarWinds NTA - это не автономный инструмент, а скорее модуль, который можно добавить В

Содержание:

• установка Apache, БД, CMS WordPress на локальный хост + альтернативный вариант для ленивых
• первоначальная настройка, обзор возможностей админ-панели
• выявление природы основной массы уязвимостей
• downgrade нашего сайта до уязвимой версии
• первый скан с помощью WPScan, заключение

В этом цикле статей я поделюсь с вами опытом настройки собственного локального “поля для экспериментов”, построенного на стеке LAMP+WordPress. Не секрет, что для отрабатывания какого-либо навыка до высокого уровня нужна постоянная практика. Тестирование на проникновение – не исключение, в этой сфере опыт специалиста чрезвычайно важен, а помимо опыта эмпирического, нужна хотя-бы начальная теоретическая база, необходимая для того, чтобы начать углублённое изучение предмета...

В этой статье мы узнаем, как использовать один из инструментов Kali Linux - Commix (Command Injection Exploiter ) с нуля.
На практике используя все основные команды, постепенно переходя к продвинутым.

Введение в Commix

Инструмент Commix предназначен для использования уязвимости внедрения команд в веб-приложениях. Этот инструмент написан на python, что означает, что он совместим с Linux, Windows и Mac. Он поставляется предварительно установленным в Kali Linux, BlackArch и Parrot OS. Этот инструмент позволяет легко находить уязвимости, связанные с внедрением команд, а затем использовать их. Commix удобен для веб-разработчиков, тестеров на проникновение и исследователей безопасности. Он предоставляет пользователю множество опций, таких как возможность указать параметры, которые необходимо подключить к хосту, перечисление жертвы, доступ к файлам и их изменение, а также автономный режим. Словом, это довольно полезный актив для...

1. Введение.
2. Я зыки программирования для хакера
3. Топовые инструменты
4. Заключение


На дворе 21 век. Век войны за информацию и вычислительные ресурсы. И с каждым годом мир it-технологий все динамичнее. Становится очень сложно следить за самыми трендовыми новациями. Каждый день выходят новые технологии, устройства, не говоря уже о разработках.

Если смотреть со стороны хакера (как бы СМИ не испортило это слово, я все же придерживаюсь его исторического значения), особенно начинающего, то тут появляется неопределенность: какое направление для развития выбрать? Что читать, учить и практиковать, чтобы эта область знаний не потеряла актуальность через 2-3 года?

Я постарался...

Отойдем от темы сбора информации, получения несанкционированного доступа к различным устройствам и способам защиты от этого. Захотелось написать что-то простое, но на тематику информационной безопасности.

Речь пойдет о гугл картах. Что в них не так? Эти угодники наполнены различными багами с ног до головы. Допустим, я - владелец какого-нибудь ресторана, в стране, в которой основную часть экономики составляет третий сектор, а именно - туризм. Большинство туристов пользуются картами для того, чтобы добраться до моего заведения, где, в теории, оставят свои деньги мне.

Я заинтересован в добавлении моего заведения на карты, и естественно, это элементарно, но мы не о этом. Поскольку подтверждение бизнеса не проходит в электронном формате, некоторые владельцы ждут письма Google очень долго, а некоторые и вовсе забивают на это, что открывает нам лазейку. Доступ к ПК не получить, но бизнес загнуть - вполне возможный вариант. Информация дальше представлена только в ознакомительных целях...

Я решил попробовать что-то новое (сколько уже можно «теребить» Wi-Fi?!) и в качестве этого нового выбрал SDR и HackRF, то есть радио (FM, рации, сигналы от беспроводных клавиатур и мышей и прочее). Саму железяку (HackRF) я ещё не купил, но решил заранее подготовиться в плане документации. Я в плане SDR абсолютный новичок (у меня был давно Behold тюнер с FM и TV, но не думаю, что этот опыт мне пригодится в данной ситуации). То есть в этой теме я буду разбираться с самого-самого начала — если вам также это интересно и вы тоже начинаете с абсолютного нуля, то эта заметка должна стать для вас интересной.

Что такое SDR — Software-defined radio

Если коротко (как я себе это представляю): SDR (программно определяемая радиосистема) это когда все характеристики будущей радиоволны (например, её частота) создаются в компьютере, и затем такая «нарисованная» в компьютере волна отправляется на внешнюю железяку, чтобы быть отправленной как настоящая радиоволна. Благодаря такому подходу...

Как используют наши фото на популярных фотообменниках?

Давайте откинем в сторону анализ самых частоиспользуемых эксплоитов такого прекрасного Framework'a как Metasploit и поговорим о ваших файлах, о материалах, которые вы доверяете на сохранение Всемирной Паутине на свой страх и риск.

По традиции, в мои обязанности входит вставить сюда авторский дисклеймер, который по общепринятым суждениям должен избавить автора от ответственности, но мы прекрасно пониманием, что даже если представленная информация будет использована с зловредными целями и даже, если, кто-то пострадает, то вина исключительно на ваших плечах, точнее на ключице злоумышленника, ну и на моих, конечно. Никакой дисклеймер и тому подобная чушь не избавит меня от мучений совести, ведь какие-то моральные качества сохранить, всё же, удалось. Занимаясь написанием этой статьи, преследованным мной только хорошие побуждения, ведь это не есть инструкцией, как хакнуть пару...