Pull to refresh
102
0
kyprizel @kyprizel

Пользователь

Send message

Всё верно - важно лишь прислать решения до deadline'а.

Ограничений по возрасту для участия в Школе нет.
Оценивается присланная анкета и выполненное задание.

Команда /tool fetch mode=https url="https://yandex[.]ru/Cphzp2XC7Q02VExgJtvysup9dHTCN9A0?init" http-method=get

без import делает просто GET запрос, а не выполняет полученные по этому URL инструкции. При этом у запроса будет характерный User-Agent, а значит, для атаки использоваться не может (легко режется).

Спасибо, недавно обнаружил столь крупные изменения в jemalloc между версиями 4.x и 5.x, а здесь ваша статья. Ждем продолжения.

Здравствуйте, Сергей.
Меня зовут Эльдар, я работаю в команде безопасности Яндекса.

Прошу прощения за то, что не ответили на письмо в «Охоту за ошибками». Мы его разобрали, но на этапе ответа на обращение случился организационный баг — письмо не было отправлено. Проведём работу над ошибкой.

Как вы верно подметили в посте, эту особенность сложно назвать уязвимостью. Мы думали, как сделать настройку более безопасной и не менее удобной для пользователя — самым приемлемым вариантом (в первую очередь, из-за длины ключей и размера шифротекста) показалось использование для обмена сессионными ключами алгоритма ECDH, однако взвесив риски и возможные неудобства, остановились на текущем алгоритме.

Спасибо.
Для нас это первый опыт школы Информационной Безопасности, однако, не первый опыт школ вообще. У Яндекса уже есть Школа разработки интерфейсов, Школа дизайна, КИТ итд. Обучение в них строится не на просмотре лекций, но на непосредственном общении с сотрудниками Компании, экспертами в своей области. Мы считаем такой подход наиболее эффективным.
Да, мы планируем выложить записи лекций. Однако, практические задания не публично доступны не будут.
валидация будет работать даже быстрее, но подпись генерируется значительно дольше

наоборот (даже по тесту видно)
Как вообще можно сравнивать автоматический прогноз с ручным локальным прогнозом, учитывая, что первый не проигрывает.
На самом деле они продолжают поддерживать OpenSSL, часть команды проекта работает в Google.
подробнее:
www.imperialviolet.org/2015/10/17/boringssl.html
Эта копипаста (с лепры) — мнение бывшего сотрудника с подачи его друзей, ныне бывших сотрудников, т.е. весьма субъективно.
To guard against what Chris was
contemplating, many high-end stores require the checkout
clerk to physically type the last four digits from the face of
the credit card; the point-of-sale terminal rejects the card,
or worse, if the digits don’t match what’s on the stripe. A
reprogrammed card was only good at spots where
employees never get to lay their hands on the plastic, like
gas stations or drugstores.


В переводе потерялся смысл.

В дорогих магазинах существуют некоторые меры предосторожности — последние четыре цифры номера карты вводит сотрудник; когда цифры не совпадают с кодом магнитной полосы, некоторые POS терминалы отказывают в операции, или хуже того. Перепрограммированные карточки были полезны только там, где ты сам управляешься со своей карточкой — на автозаправках или в аптеках.

А лучше принимали публичный gpg ключ отправителя, шифровали им бинарник и отправляли на ту же почту.
Т.е. запросы к DNS оно тоже перехватывает и обрабатывает на уровне драйвера?
А что бывает в случаях, когда на ресурсе включен
Content Security Policy в блокирующем режиме?
Резолв ведь происходит за пределами машины? Если да, то атакующий может указать для домена gc.kis.scr.kaspersky-labs.com свой IP и трафик уйдет в сеть
1. нет гарантии, что завтра там не окажется адрес отличный от 127.x.x.x
2. тот кто делает MiTM может направить домен на свой IP
Это из скрина. Спасибо, как-то не обратил внимание, позже заменю на нормальный.
Да ;) На самом деле можно научить AFL делать close, можно сделать как-нибудь умнее завязавшись на persistent mode AFL, цель этой статьи — howto того как можно попробовать использовать фаззер.

Многопоточного режима нет, но можно делать распределенный фаззинг + есть persistent режим, когда стартует один процесс, но тогда нужно в обертке самому чистить все используемые переменные для каждого входа.
1
23 ...

Information

Rating
Does not participate
Location
Санкт-Петербург, Санкт-Петербург и область, Россия
Works in
Registered
Activity