212.3
Karma
266.5
Rating
Лука Сафонов @LukaSafonov

information security, penetration testing

Что-что случится 1 февраля 2020 года?

Tenable обновила свой бесплатный инструмент для анализа уязвимостей

Слепая простота

+3
2019 год:

посещаемость сайта > 3.000.000 ежемесячно
/login?redirect=%250ajavascript:alert(1);  

крупный ритейл:
/no-*****-******?q=%27%22%20autofocus=true%20onfocus=%22alert(document.domain) > 

крупный онлайн магазин:
*********_center/********/******.php?SECTION_ID=******}});};top[%22eval%22](top[%22atob%22](%27************%27));function%20load*******()%20{$.ajax({%20type:%20%27get%27,%20url:%20%27/*******_center/*****/****.php%27,test:{// 

Слепая простота

+4
Любая атака, принесшая результат эффективна. Эта статья именно о blind XSS. Что касается отраженных XSS — тут тоже много интересных векторов, например отрисовка формы фишинга.

В ответ на кибератаку Израиль нанёс авиаудар

В ответ на кибератаку Израиль нанёс авиаудар

+14
Каюсь, это был небольшой сарказм. Думаю большинство читателей поняли правильно.

В ответ на кибератаку Израиль нанёс авиаудар

-5
Это новость, а не статья. Подробности можно прочитать в твиттере ЦАХАЛ, скриншот которого есть в тексте — twitter.com/IDF.

Crew Dragon взорвался

Новый уровень безопасности МФУ: imageRUNNER ADVANCE III

+1
Любой нормальный администратор заблочит доступ в интернет для принтера.
если бы все так делали — пентестеры давно бы остались без работы. К сожалению, мой опыт говорит об обратном.

На Хабре открылся новостной раздел. Раскладываем всё по полкам

Распутывание клубка уязвимостей на сайтах

Распутывание клубка уязвимостей на сайтах

Распутывание клубка уязвимостей на сайтах

+3
Вы путаете offensive и defensive. Издевательства над ИБшниками в компаниях, Вы серьезно?

Вы либо фантазируете, либо прилетели к нам из параллельной вселенной.

Распутывание клубка уязвимостей на сайтах

+8

Если кого-то эта статья вдохновит на поиски уязвимостей без разрешения владельцев ресурса и вымогательство вознаграждения — советую ознакомиться со статьями 272 и 163.

Утечка данных (которая могла произойти, но не произошла) из телемедицинской компании

В России предлагают легализовать встроенные сим-карты

Writing a wasm loader for Ghidra. Part 1: Problem statement and setting up environment

Наказывают ли в России за незаконную торговлю персональными данными?

+1
«Левая симка» тоже никому не принадлежит, но по факту на кого-то оформлена (хотя один раз я видел симкарту МТС с «незарегистрированный абонент» в личном кабинете).

Наказывают ли в России за незаконную торговлю персональными данными?

+2
Удивительно насколько много информации можно получить, тем не менее «посадок» практически нет. Это же не уязвимость, а процедура, запросить контрольный пробив и выявить сливателей информации.

По интересному совпадению как раз сегодня начал эксперимент по пробиву.

Wireshark 3.0.0: обзор нововведений

+11
Давненько хром блочит сайт. Я думаю человек с Вашим ником вполне справится с этим.

Wireshark 3.0.0: обзор нововведений

Wireshark 3.0.0: обзор нововведений

+2
Да, речь именно о loopback, с оговоркой поддержи NIC-драйвера: Npcap brings support for loopback capture and 802.11 WiFi monitor mode capture (if supported by the NIC driver).

OWASP Proactive Controls: cписок обязательных требований для разработчиков ПО

+2
Если бы все соблюдали эти правила — мы бы каждый день не читали про взлом того или иного ресурса или крупную утечку.

Массовый взлом ВКонтакте [XSS-червь]

-12
Уже изменил последний абзац, но как багхантера понимаю Вас. Не применимо к ББ ВК, а в целом, примеры приводить не буду, по чатикам и так все о них знают.

Массовый взлом ВКонтакте [XSS-червь]

Перестану-ка я добро на помойку выкидывать

+2
Также раздал кучу инвайтов в пустоту. Но среди приглашенных нашлись настоящие брильянты, пусть статей немного, но они ого-го.

Подмена поисковой выдачи Google

Конференция DEFCON 18. Вы потратили все эти деньги, но вас продолжают «иметь». Часть 2

Кто продает ваши аккаунты?

0
вы слишком преувеличиваете их способности и приуменьшаете недостатки.

Фишинг — работает. Хроника кражи iPhone XS с последующим хищением данных iCloud

+1
Вы не поверите (с). В оригинальной акладуе нужно дополнительно ввести этот логопас, уже после основной авторизации.

Кто продает ваши аккаунты?

+14
Жил был один менеджер по продажам. Пошел устраиваться на работу. Долго
ли коротко ли резюме рассылал, а как-то пришел в одну контору на
собеседование с генеральным директором. И шло у них собеседование шесть
часов. Уже и директор взмок, и менеджер три раза воды просил. А все
никак не могут договориться. Начинали с двухсот баксов в месяц — а уже
за два с половиной килобакса спорят, и проценты, и бонусы, и какие-то
еще там спортзалы, мобильные связи, обеды, подъемные, страховки, отпуск,
командировочные, машину служебную, ноутбук, кучу всякого менеджер себе
выбил. Сдался в итоге генеральный директор, все условия выполнил. Все,
что менеджер просил — дал.

Приступил менеджер к работе, и за первый месяц увеличил продажи втрое,
потом вдесятеро, потом в сто раз, потом вообще все в конторе продал,
включая мебель, канцтовары, секретаршу — мужикам в баню, базу данных
клиентов — конкурентам, а самого шефа — налоговой.

Потому что это был очень хороший менеджер по продажам.

Кто продает ваши аккаунты?

Кто продает ваши аккаунты?

+1
Первоисточник указан, он вправе это сделать, если считает себя невиновным.

Сравнение скриптов для сбора информации о поддоменах

Песни космических зомби

Be a security ninja: начни свой путь к вершинам ИБ

Be a security ninja: начни свой путь к вершинам ИБ

0
Для всех тех, кто зарегистрировался на третий вебинар «Требования информационной безопасности», ссылка для подключения: pruffme.com/landing/u676793/tmp1539106882

Если у вас возникнут вопросы по подключению к вебинару, вы можете писать в группу в Telegram: t.me/joinchat/GYsymRHmgUjbx3MrqsF-dA
После мероприятия мы выложим запись вебинара, и сделаем рассылку по всем зарегистрированным участникам.

По всем остальным вопросам вы можете писать на security@jet.su

Be a security ninja: начни свой путь к вершинам ИБ

0
Для всех тех, кто зарегистрировался на второй вебинар «Стандарты информационной безопасности», ссылка для подключения: pruffme.com/landing/u676793/tmp1538752970

Если у вас возникнут вопросы по подключению к вебинару, вы можете писать в группу в Telegram: t.me/joinchat/GYsymRHmgUjbx3MrqsF-dA
После мероприятия мы выложим запись вебинара, и сделаем рассылку по всем зарегистрированным участникам.

По всем остальным вопросам вы можете писать на security@jet.su

Be a security ninja: начни свой путь к вершинам ИБ

0
Для всех тех, кто зарегистрировался на первый вебинар «Основные термины ИБ», ссылка для подключения: pruffme.com/landing/u676793/tmp1538559161

Если у вас возникнут вопросы по подключению к вебинару, вы можете писать в группу в Telegram: t.me/joinchat/GYsymRHmgUjbx3MrqsF-dA

После мероприятия мы выложим запись вебинара, и сделаем рассылку по всем зарегистрированным участникам.

По всем остальным вопросам вы можете писать на security@jet.su

Be a security ninja: начни свой путь к вершинам ИБ

1 There