Открыть список
Как стать автором
Обновить
  • по релевантности
  • по времени
  • по рейтингу

Осторожно! Злая тема… для WordPress!

Чулан
Вдогонку к предыдущему посту о темах, взгляд с другой стороны, а если быть точным, то пост для тех самых пользователей, которые все эти темы качают.
Читать дальше →
Всего голосов 11: ↑10 и ↓1 +9
Просмотры275
Комментарии 7

А мужики-то не знают: защита в Wordpress 2.4, дыры и апдейт в 2.3 и подсветка синтаксиса

WordPress
Пока пишутся большие посты и другие программы, сделаю небольшой обзор того, о чём следует знать, если не каждому, то большинству.
Читать дальше →
Всего голосов 24: ↑21 и ↓3 +18
Просмотры1.6K
Комментарии 12

[Безопасность] Список дырявых плагинов WordPress

WordPress
Все уже знают, что очередной релиз Wordpress 2.3.3 в основном призван исправить бреши в безопасности (как обычно русскую версию можно скачать у Кактуса), но гарантирует ли это, что на ваш блог не смогут посягнуть?
Читать дальше →
Всего голосов 10: ↑8 и ↓2 +6
Просмотры1.1K
Комментарии 10

[Безопасность] Список дырявых плагинов WordPress

WordPress
Продолжаем публиковать список плагинов, которые стоит:
а) обновить до безопасной версии
б) отключить, если таковой не имеется.
Читать дальше →
Всего голосов 26: ↑18 и ↓8 +10
Просмотры996
Комментарии 13

Распространенные угрозы безопасности

Информационная безопасность
Все наверное знают, что есть очень много разных способов угрозы безопасности. Их действительно достаточно, сколько их узнаете прочитав под катом.

Читать дальше →
Всего голосов 20: ↑17 и ↓3 +14
Просмотры13.4K
Комментарии 55

Сканирование портов с использованием зомби.

Чулан
     О! Интересную штуку откопал. Все вы наверное знаете, что часто взлом начинается со сканирования портов. Впрочем, часто со сканирования портов начинается не только взлом.
     Для сканирования портов применяется например тул под названием nmap. Это консольная утилита, которая умеет определять открытые порты. А так же догадываться, что за ОС стоит на атакуемой (сканируемой) машине.
     Так вот…
Читать дальше →
Всего голосов 37: ↑31 и ↓6 +25
Просмотры1.2K
Комментарии 7

Почему векторные иконки Haiku такие компактные?

Софт
Перевод
В Haiku векторные иконки такие компактные, как же так? Вы, наверное, ожидаете какой-нибудь хак, но секрет в том, что HVIF (Haiku Vector Icon Format) довольно прост. Самое главное, что этот формат оптимизирован для иконок. Как только вы соглашаетесь с этим простым предположением, сразу же приходят идеи различных способов оптимизации объёма данных.
И что же получилось?
Всего голосов 20: ↑19 и ↓1 +18
Просмотры767
Комментарии 24

Русификации читалки Nook: что получилось (техническая сторона)

Разработка под Android
image

В общем, купил я себе читалку Nook, читал-читал несколько недель, а потом мне захотелось написать что-нибудь под нее и это начинание перешло в русифицированную прошивку, сделанную вместе с хабраюзером nilov и при помощи разных людей с nookdevs.org, включая JesusFreke и poutine.

Читать дальше →
Всего голосов 61: ↑52 и ↓9 +43
Просмотры2.7K
Комментарии 30

Вардрайвинг с HTC Hero

Чулан
Не так давно я решил узнать, где находятся открытые wifi-точки в моём районе. Для этого мне потребовался ноутбук и GPS-приёмник. Ноутбук благо нашёлся довольно быстро. А вот с GPS пришлось помучаться.

Из арсенала моих гаджетов нашёлся только один, умеющий определять местоположение, и это был HTC Hero. Работающих программ, позволяющих превратить свой КПК в приёмник я не нашёл, да и все они хотели, чтобы телефон подключался по Bluetooth, что съедало бы зарядку мобильного за несколько минут.

Идея



К сожалению, Android не позволяет телефонам с официальной прошивкой работать с USB, зато он разрешает посылать логи через кабель в debugger. Я решил воспользоваться именно этим.

Реализация



Первым делом я прикрутил к своей уже написанной программе на Дройд ведение логов ( Log.i(«DroidGPS», (NMEA + "\n"));), важно было посылать логи именно в NMEA-строке. Для её формирования я вытянул класс из нерабочей программы, найденной на просторах Интернета.
Читать дальше →
Всего голосов 12: ↑10 и ↓2 +8
Просмотры490
Комментарии 13

Hack Quest 2010 Online

Я пиарюсь
С 15 декабря стартовало online-соревнование по защите информации — Hack
Quest 2010, представляющий из себя урезанную игровую инфраструктуру Hack
Quest, который проводился в конце августа на площадке фестиваля Chaos
Constructions 2010. В рамках конкурса участники могут попробовать свои
навыки в области оценки защищенности, поиска и эксплуатации уязвимостей,
реверс-инжиниринга. Игровая инфраструктура содержит уязвимости «живой
природы». Таким образом участник может почувствовать себя настоящим
взломщиком :)

Всего игровая инфраструктура Hack Quest 2010 Online содержит 17 ключей
(флагов) общей стоимостью 100 очков (баллов). Принять участие в соревновании
может любой желающий. Подробности по следующей ссылке: www.securitylab.ru/hq2010
Читать дальше →
Всего голосов 30: ↑27 и ↓3 +24
Просмотры837
Комментарии 5

Небольшой квест на тему WEB 2.0

Я пиарюсь
Вашему вниманию предлагается интересный двухуровневый квест по тематике информационной безопасности в сфере технологий WEB 2.0.

Сервер: http://46.4.187.243:8080/
Задача:

Минимум – получить часть исходного кода серверной части приложения.
Максимум – добиться выполнения своего кода на стороне сервера.

Задание не типичное и довольно сложное. Успехов в прохождении!

Примечание: сервер слабенький, поэтому использовать автоматизированные средства не рекомендуется. Более того, для решения задания автоматизация не поможет :)

Автор задачи Qwazar. Подробности по ссылке: http://qwazar.ru/?p=68
Всего голосов 8: ↑5 и ↓3 +2
Просмотры501
Комментарии 1

Петр Митричев — победитель Facebook Hacker Cup

Социальные сети и сообщества
imageПодведены итоги Facebook Hacker Cup. Соревнование, в котором приняли участие 11768 человек со всего мира, проходит в формате решения сложных алгоритмических задач в три раунда «на вылет». Двадцать пять финалистов были приглашены в штаб-квартиру Facebook в Пало-Альто для последнего состязания.

В финал попали 7 представителей Польши, 6 — из России, 4 — из США, 2 — из Японии и по одному из Китая, Германии, Нидерландов, Сингапура, Швейцарии и Украины. Все они смогли провести 2 дня в офисе Facebook: встретиться с разработчиками, пообедать в Cafe X, поиграть Catan и попытаться прокатиться на RipStik.

Участники имели возможность выбора машины (Mac или PC), после чего начался финальный раунд. От финалистов требовалось решить три алгоритмические задачи: Party Time, Safest Place и Alien Game — как можно быстрее.

Результаты представляются на суд по мере готовности решения для каждой из задач, и по окончании двухчасового раунда подсчитвается итоговое количество баллов для каждого участника.

Условия задач можно посмотреть в блоге Facebook Engineering (впрочем, если будет спрос — я могу попробовать перевести их позже).

В итоге «золото» досталось нашему соотечественнику Петру Митричеву (участнику и призеру многих аналогичных соревнований).

UPD #1 — интересные подробности от Skiminok:
Добавлю ещё, что там была потрясающая интрига касательно победителя.
Главный соперник Митричева — Lou Tian Cheng, также известный как ACRush.
Принцип этого соревнования таков, что каждая из трех задач оценивается в 1 очко, и в турнирной таблице выше тот, у кого больше сдано задач, а при равенстве выше тот, у кого суммарное время, потраченное на каждую задачу с начала раунда, ниже. При этом финальная проверка ответов происходит только после того, как раунд закончится.

Так вот, ACRush опережал Митричева на протяжении всего раунда. Митричев сдавал те же задачи, по количеству они всегда были одинаковы — но ACRush сдавал их быстрее, мы уже и не надеялись на победу Пети. И тут раунд заканчивается, происходит финальная проверка, и у ACRush падает одна из задач с неправильным ответом, и он оказывается с двумя очками, и опускается на два места, пропуская вперед Петю с тремя решенными медленнее, но правильно.

UPD #2 — перевод собственно задач (опять же спасибо Skiminok)
Читать дальше →
Всего голосов 111: ↑106 и ↓5 +101
Просмотры4.5K
Комментарии 43

Очередная атака на Sony

Информационная безопасность
Перевод
image

В этот раз атаке подвергся сайт Sony BMG Greece, была украдена база данных, содержащая логины, e-mail`ы и реальные имена зарегистрированных пользователей.
Читать дальше →
Всего голосов 45: ↑39 и ↓6 +33
Просмотры485
Комментарии 44

Перехват нажатий клавиш смартфона при помощи акселерометра

Информационная безопасность
Перевод
Двое исследователей из Калифорнийского университета в Дэвисе (UC Davis), Хао Чэнь (Hao Chen) и Лянь Цай (Lian Cai) нашли способ определять, какие клавиши были нажаты на экранной клавиатуре ОС Android путем измерения смещений, покачиваний и вибрации устройства, измеренных встроенным акселерометром [Прим. перев.: и гироскопом]. Это важно, поскольку данные от акселерометров не рассматривались как потенциальный вектор атаки, и, таким образом, свободно доступны любому приложению на любом смартфоне или планшете.
Читать дальше →
Всего голосов 52: ↑50 и ↓2 +48
Просмотры10.5K
Комментарии 70

Повстанцы дефейснули главную страницу регистратуры .LY

Администрирование доменных имен
.LYНаверное все в курсе последних ливийских происшествий где сейчас на улицах Триполи ведутся бои между повстанцами и силами лояльными полковнику Кадаффи. На сегодня в городе нет даже телефонной связи. Но все ливийские домены различных сервисов как bit.ly и brief.ly продолжают работать.

Читать дальше →
Всего голосов 27: ↑26 и ↓1 +25
Просмотры605
Комментарии 43

Канал Microsoft на Youtube был взломан

Информационная безопасность
Канал Microsoft на Youtube был взломан 23.10.11 18:48 по Москве. Все видео из него были удалены и залиты несколько новых, первые залитые были с названиями «We Are Sponsoring !» и «Make us a Background to Get Subbox !!!». Кроме того в шапке недолго висел логотип компании Apple. За вечер внешность и содержание канала несколько раз менялось. В данный момент на нём находится видео записи тематики MS. За вечер в канале прибавилось более 700 комментариев. До этого, за всё существование канала их набралось всего порядка 1450. Сам канал www.youtube.com/user/Microsoft



Пока единственный официальный комментарий происшедшего от Microsoft гласит «Мы вернули себе контроль над учетной записью Microsoft на YouTube и работаем над восстановлением оригинального контента. Мы продолжим работать совместно с YouTube, чтобы обеспечить защиту от повтора подобных инцидентов в дальнейшем»
Хронология событий под катом.
Всего голосов 58: ↑43 и ↓15 +28
Просмотры1.2K
Комментарии 36

Взлом одного Android приложения

Разработка под Android
Недавно я усиленно разрабатывал свое приложение под Android, и в процессе защиты платной версии понял, что довольно сложно обезопасить приложение от взлома. Ради спортивного интереса решил попробовать убрать рекламу из одного бесплатного приложения, в котором баннер предлагается скрыть, если заплатить денежку через In-App Purchase.


В этой статье я опишу, как мне удалось убрать рекламу бесплатно и в конце — несколько слов о том, как усложнить задачу взломщикам.

Читать дальше →
Всего голосов 76: ↑70 и ↓6 +64
Просмотры130.9K
Комментарии 42

За кулисами Android: что-то, чего вы можете не знать

Информационная безопасностьКриптография
Из песочницы
Tutorial


0. Оглавление


  • 1. Предисловие
  • 2. Хак eMMC памяти HTC Desire HD с целью изменения идентификационной информации телефона
  • 3. Создание телефона-оборотня с использованием криптографии
  • 4. Ложная безопасность: обзор угроз несанкционированного доступа к данным
  • 5. Заключение


1. Предисловие


Мобильные гаджеты стали неотъемлемой частью нашей повседневной жизни, мы доверяем им свои самые сокровенные тайны, а утрата такого устройства может привести к серьезным последствиям. Сегодня много внимания уделяется освещению вопросов мобильной безопасности: проводятся конференции, встречи, крупные игроки выпускают комплексные продукты для персональной и корпоративной защиты мобильных устройств. Но насколько такие средства эффективны, когда устройство уже утрачено? Насколько комфортны они в повседневном использовании – постоянные неудобства с дополнительным ПО, повышенный расход батареи, увеличенный риск системных ошибок. Какие советы можно дать беспокоящимся за сохранность своих мобильных данных? Не хранить ничего важного на смартфоне? Тогда зачем он такой нужен – не птичек же в космос отправлять, в самом деле?
Сегодня я хочу поговорить с вами об устройствах под управлением ОС Android, созданной глубокоуважаемой мною компанией Google. В качестве примера я использую неплохой смартфон прошлых лет от компании HTC – Desire HD. Почему его? Во-первых, именно с него мы начали свою исследовательскую деятельность в области безопасности Android-устройств, во-вторых – это все еще актуальный смартфон с полным набором функций среднестатистического гуглофона. Он поддерживает все версии Android, в нем стандартный взгляд HTC на организацию файловой системы и стандартная же раскладка разделов внутренней памяти. В общем, идеальный тренажер для защиты и нападения.
С этим докладом я выступил на вот-вот только прошедшей конференции ZeroNights 2012 и теперь хочу презентовать его хабрасообществу. Надеюсь он будет вам интересен и даже немного полезен.
Читать дальше →
Всего голосов 108: ↑102 и ↓6 +96
Просмотры148.2K
Комментарии 33

На пути к созданию безопасного (веб)ресурса. Часть 3 — офис, сотрудники

Информационная безопасность

Типичная работа сотрудника глазами самого сотрудника и глазами отдела безопасности

Первые две части данной темы были посвящены преимущественно веб-ресурсам. Эта часть более общая и не имеет как таковой привязки к профилю проекта (все же за исключением пары пунктов). Она освещает возможные, популярные векторы атак на сотрудников и на техническое обеспечение офиса компании (p.s. изначально хотел написать про security-тестирование, но решил «перепрыгнуть» эту тему в силу разных причин).

Автор не несет никакой ответственности за незаконное использование описанных методик и/или инструментов.
Читать дальше →
Всего голосов 39: ↑35 и ↓4 +31
Просмотры20.7K
Комментарии 12

Хак синтаксиса PHP

PHPПрограммированиеC
Перевод
Tutorial
Вы когда-нибудь задумывались о том, как расширить ядро PHP? Что нужно для того, чтобы создать новое ключевое слово или даже разработать новый синтаксис? Если у вас есть базовые знания языка C, то проблем с созданием небольших изменений возникнуть не должно. Да, я понимаю, что это может быть немного бессмысленно, но неважно — забавно ведь.

Давайте создадим альтернативный способ определения класса. Самый простой способ определения, разрешённый в PHP, выглядит следующим образом:

<?php
class ClassName {}

Мы можем упростить синтаксис и заменить фигурные скобки на точку с запятой.

<?php
class ClassName;

Если вы попытаетесь выполнить этот код, то он, очевидно, выдаст ошибку. Не проблема, мы можем это исправить.
Читать дальше →
Всего голосов 131: ↑93 и ↓38 +55
Просмотры28K
Комментарии 45