Публикации по теме security

Публикации по теме 'security'

Действительное понимание CSRF

Краткое введение Одна из самых популярных атак, о которой в какой-то момент слышало большинство инженеров-программистов, — это CSRF или подделка межсайтовых запросов (не волнуйтесь, название звучит сложнее, чем есть на самом деле). Прочитав об этом, я обнаружил, что очень интересно, как люди находят хитрые способы обойти защиту. Я подумал, что было бы интересно обсудить, как это работает, как это предотвратить, и немного о другой похожей атаке. Печенье Прежде чем мы сможем..

Получение root-прав с помощью инъекций подстановочных знаков в Linux

Повышение привилегий Linux с помощью инъекции подстановочных знаков Добро пожаловать в серию статей о безопасности Linux! В этой серии статей мы обсудим проблемы безопасности, которые влияют на системы Linux, и часто приводящие к ним неправильные конфигурации. Давайте начнем! Повышение привилегий - это способ, которым злоумышленники могут повысить свои привилегии в системе. Например, предположим, что злоумышленник получил доступ к вашему веб-серверу, но только как пользователь с..

Безопасный протокол удаленного пароля

Secure Remote Password Protocol (SRP) - это протокол аутентификации паролей и обмена ключами, подходящий для аутентификации пользователей и обмена ключами в ненадежной сети. Еще в 1998 году браузер JavaScript был недостаточно эффективной платформой для обмена криптографическими ключами. В 2014 году, когда впервые появились Thinbus-SRP и Android KitKat 4.4, новые смартфоны оказались на высоте. Перенесемся в 2018 год, и более 90% телефонов Android работают под управлением Android как..

Решение проблем со строками MalwareTech с помощью магии Radare2!

MalwareTech опубликовал в своем блоге некоторые задачи , с которыми действительно весело играть. Цель состоит в том, чтобы взломать эти двоичные файлы и найти правильный флаг, используя только статический анализ! Давайте прыгать прямо в! Строки1 Извлечение строк с помощью rabin2 выдает ОГРОМНОЕ количество возможных флагов. 4196, если быть точным. Посмотрим, сколько точек входа: Хорошая новость: есть только один. Тогда давайте начнем наш анализ с этого. Если мы откроем..

Сохраненный XSS в поддомене Red Hat®

Сохраненный XSS в поддомене Red Hat® Итак, в один прекрасный день я наткнулся на сообщение в Facebook о коллеге-хакере, который попал в Зал славы Red Hat за обнаружение уязвимости в системе безопасности. И поскольку Red Hat была одной из компаний моей мечты, я тоже решил запрыгнуть в вагон. А в этой истории рассказывается о том, как я нашел хитрый сохраненный XSS в одном из поддоменов Red Hat. Что такое хранимый XSS? Итак, давайте сначала начнем с вопроса «Что такое хранимый..

Безопасность: межсайтовая подделка запросов

Безопасность: межсайтовая подделка запросов Сегодня мы собираемся углубиться в тему атак Cross-Site Request Forgery (CSRF), которые представляют собой еще один тип уязвимости безопасности веб-приложений, представляющий серьезную угрозу для веб-пользователей. Подобно XSS , атаки CSRF используют доверительные отношения между пользователем и веб-приложением, но вместо внедрения вредоносного кода они манипулируют законными запросами, отправленными пользователем, для выполнения..

Как взломать друзей

Мои друзья часто оставляют свои компьютеры открытыми и разблокированными. Я говорю им, что им, вероятно, следует иметь привычку блокировать свои компьютеры, но они меня не слушают. Итак, я создал простой проект, чтобы взломать своих друзей и показать им важность компьютерной безопасности. Все, что мне нужно сделать, это подождать, пока они оставят свой компьютер разблокированным на несколько секунд, открыть свой терминал и ввести одну короткую команду. Вот и все! Их компьютер..