192,8
Карма
220,1
Рейтинг
253
Подписчики
Лука Сафонов @LukaSafonov

information security, penetration testing

Подмена поисковой выдачи Google

Конференция DEFCON 18. Вы потратили все эти деньги, но вас продолжают «иметь». Часть 2

Кто продает ваши аккаунты?

0
вы слишком преувеличиваете их способности и приуменьшаете недостатки.

Фишинг — работает. Хроника кражи iPhone XS с последующим хищением данных iCloud

+1
Вы не поверите (с). В оригинальной акладуе нужно дополнительно ввести этот логопас, уже после основной авторизации.

Кто продает ваши аккаунты?

+14
Жил был один менеджер по продажам. Пошел устраиваться на работу. Долго
ли коротко ли резюме рассылал, а как-то пришел в одну контору на
собеседование с генеральным директором. И шло у них собеседование шесть
часов. Уже и директор взмок, и менеджер три раза воды просил. А все
никак не могут договориться. Начинали с двухсот баксов в месяц — а уже
за два с половиной килобакса спорят, и проценты, и бонусы, и какие-то
еще там спортзалы, мобильные связи, обеды, подъемные, страховки, отпуск,
командировочные, машину служебную, ноутбук, кучу всякого менеджер себе
выбил. Сдался в итоге генеральный директор, все условия выполнил. Все,
что менеджер просил — дал.

Приступил менеджер к работе, и за первый месяц увеличил продажи втрое,
потом вдесятеро, потом в сто раз, потом вообще все в конторе продал,
включая мебель, канцтовары, секретаршу — мужикам в баню, базу данных
клиентов — конкурентам, а самого шефа — налоговой.

Потому что это был очень хороший менеджер по продажам.

Кто продает ваши аккаунты?

Кто продает ваши аккаунты?

+1
Первоисточник указан, он вправе это сделать, если считает себя невиновным.

Сравнение скриптов для сбора информации о поддоменах

Песни космических зомби

Be a security ninja: начни свой путь к вершинам ИБ

Be a security ninja: начни свой путь к вершинам ИБ

0
Для всех тех, кто зарегистрировался на третий вебинар «Требования информационной безопасности», ссылка для подключения: pruffme.com/landing/u676793/tmp1539106882

Если у вас возникнут вопросы по подключению к вебинару, вы можете писать в группу в Telegram: t.me/joinchat/GYsymRHmgUjbx3MrqsF-dA
После мероприятия мы выложим запись вебинара, и сделаем рассылку по всем зарегистрированным участникам.

По всем остальным вопросам вы можете писать на security@jet.su

Be a security ninja: начни свой путь к вершинам ИБ

0
Для всех тех, кто зарегистрировался на второй вебинар «Стандарты информационной безопасности», ссылка для подключения: pruffme.com/landing/u676793/tmp1538752970

Если у вас возникнут вопросы по подключению к вебинару, вы можете писать в группу в Telegram: t.me/joinchat/GYsymRHmgUjbx3MrqsF-dA
После мероприятия мы выложим запись вебинара, и сделаем рассылку по всем зарегистрированным участникам.

По всем остальным вопросам вы можете писать на security@jet.su

Be a security ninja: начни свой путь к вершинам ИБ

0
Для всех тех, кто зарегистрировался на первый вебинар «Основные термины ИБ», ссылка для подключения: pruffme.com/landing/u676793/tmp1538559161

Если у вас возникнут вопросы по подключению к вебинару, вы можете писать в группу в Telegram: t.me/joinchat/GYsymRHmgUjbx3MrqsF-dA

После мероприятия мы выложим запись вебинара, и сделаем рассылку по всем зарегистрированным участникам.

По всем остальным вопросам вы можете писать на security@jet.su

Be a security ninja: начни свой путь к вершинам ИБ

Be a security ninja: начни свой путь к вершинам ИБ

Как выжить охотнику за багами: ежедневная борьба за доход

Топ-10 инструментов Python для машинного обучения и data-science

Pentest или Red Team? Пираты против ниндзя

+5
Довольно странный выбор для перевода, полезной информации 0. Да и некоторые тезисы из параллельной реальности:
Кому нужен пентест? Некоторые госорганы требуют его, но организации, которые уже проводят регулярные внутренние проверки, тренинги и мониторинг безопасности, обычно готовы к такому испытанию.

Где Голливуд изображает хакеров правильно, а где — ошибочно

Где Голливуд изображает хакеров правильно, а где — ошибочно

Новая техника атаки WPA2, не требующая наличия клиента на AP

0
Почему тогда это такая редкость «из коробки»? Что мешает вендорам ее включить в дефолтную поставку?

Новая техника атаки WPA2, не требующая наличия клиента на AP

+1
Контрибьюторы hashcat рекомендуют использовать опции для более эффективного брута:

$ ./hcxpcaptool -E essidlist -I identitylist -U usernamelist -z test.16800 test.pcapng

Note: While not required it is recommended to use options -E -I and -U with hcxpcaptool. We can use these files to feed hashcat. They typically produce good results.
-E retrieve possible passwords from WiFi-traffic (additional, this list will include ESSIDs)
-I retrieve identities from WiFi-traffic
-U retrieve usernames from WiFi-traffic

но в целом мало что изменилось, от брута пока никуда не уйти.

Новая техника атаки WPA2, не требующая наличия клиента на AP

0
SOHO решения обычно сильно ограничены в плане ресурсов, поэтому разместить RADIUS может быть довольно проблематично. Также не стоит исключать кучу технических проблем совместимости такого размещения и принципа «хранения яиц в одной корзине».

Уязвимость в ICQ позволяла присоединиться абсолютно к любому чату

+15
Редко пишу коментарии, но сейчас даже кармы не жалко.
И решил немного припугнуть ребят из команды ICQ.

Они обосрались прям.
Вы не адекватный?

Отличное начало диалога.
Буду юзать для не хороших всего доброго.

Статья 163 УК РФ.
Я подтвердил исправление, и на следующий день получил награду за уязвимость в размере $1000.

Еще и ЧСВ на хабре почешу.

кг/ам

Вредоносом VPNFilter заражено более 500 000 устройств по всему миру

Вредоносом VPNFilter заражено более 500 000 устройств по всему миру

Безопасный SOCKS5 прокси для Telegram за 1 Евро и 10 минут

0
Простой VPN за 3 секунды:

sshuttle -r user@XXX.XXX.XXX.XXX 0.0.0.0/0

где XXX.XXX.XXX.XXX ваш сервер.

Drupalgeddon2: началась эксплуатация SA-CORE-2018-002

Массовая атака на оборудование Cisco

Манипуляция поисковой выдачей Google

0
Найти опенредирект и добавить эти сайты гораздо проще, чем найти такой баг у Google.

Осторожнее с копипастом: фингерпринтинг текста непечатаемыми символами

+7
Схожие методы использовались на «околохакерских» форумах для идентификации каналов утечки информации.

Патч от Meltdown привел к более критичной уязвимости Windows 7x64/2008R2

Критическая уязвимость в ядре Drupal версий 6, 7 и 8

Патч от Meltdown привел к более критичной уязвимости Windows 7x64/2008R2

Kali Linux теперь доступен в Microsoft Store

Знаковый символ: iOS denial of service

Знаковый символ: iOS denial of service

Знаковый символ: iOS denial of service

0
На скриншоте полный символьный набор. В статье — защита «от дурака» + есть символьная последовательность.

Знаковый символ: iOS denial of service

The Browser Exploitation Framework Project: от XSS до полного контроля

0
На чужой сайт не советую ставить — ст. 272 УК РФ.

Это фреймворк пост-эксплуатации, необходима XSS на веб-приложении.
1 туда