Шестой апдейт по стажировке Positive Technologies

На шестом вебинаре нас познакомили с довольно громкой и весьма крутой атакой под названием XML External Entity или кратко — XXE. Признаться, до вебинара я так и не успел на практике ознакомиться с атакой даже в совсем уж сферических лабораторных условиях, тем интереснее было ковыряться. Суть атаки подробно расписывать не стану, ознакомиться можно на сайте OWASP. В самой простой форме выглядит так:

Читать далее Шестой апдейт по стажировке Positive Technologies

Пятый апдейт по стажировке Positive Technologies

Пятый вебинар был посвящён уязвимостям в бизнес-логике приложений. На вебинаре всех посвятили в «Секту Свидетелей Драматического Отличия Авторизации От Аутентификации И Их Обоих От Идентификации«.

Читать далее Пятый апдейт по стажировке Positive Technologies

Четвёртый апдейт по стажировке Positive Technologies

Четвёртый вебинар, посвящённый уязвимостям мобильных приложений, был категорически интересным. Но интереснее вебинара было домашнее задание, которого пришлось ждать больше двух недель, но оно того стоило. Впрочем, обо всём по порядку.

Читать далее Четвёртый апдейт по стажировке Positive Technologies

Третий апдейт по стажировке Positive Technologies

Время очередного апдейта по стажировке. Третий блок был посвящён атакам на стороне клиента. Лекция содержала в себе брифинг по XSS, CSRF и прочим Session Fixation, которыми обычно атакуют клиентов веб-приложений.

Читать далее Третий апдейт по стажировке Positive Technologies

Второй апдейт по стажировке Positive Technologies

Второй учебный блок и, соответственно, домашнее задание, были посвящены внедрению операторов SQL. Кратко разберу каждую из 7 инъекций домашнего задания.

Читать далее Второй апдейт по стажировке Positive Technologies

Первый апдейт по стажировке Positive Technologies

Вчера оказалось, что первая домашняя работа была ошибкой, потому что индексирование директории должно было быть выключено. Задание слегка изменили, индексирование выключили и запустили задание заново. В этот раз флаги любезно сгенерировали в виде FLAG_NUM_MD5HASH.

Читать далее Первый апдейт по стажировке Positive Technologies

Летняя стажировка в Positive Technologies

Сегодня прошёл первый вебинар летней стажировки Positive Technologies, посвящённой безопасности веб-приложений. Пост о наборе, насколько я понимаю, размещался только на Хабре, но даже этого хватило, чтобы заявки подали 952 человека! По мне, так это довольно много.

Читать далее Летняя стажировка в Positive Technologies

Приехал с Positive Hack Days VI

Как обычно, пока свежи впечатления, стоит высказаться в воздух по поводу состоявшейся поездки на Positive Hack Days VI. Впечатления, в целом, остались крайне положительные, но возникает всего один вопрос — откуда стооолько людей? Очередь на вход в этот раз выстроилась на улице массивной змейкой, а регистрацию отменили перед открытием, потому что люди всё не кончались (потом, впрочем, нужно было вернуться за бейджем). Увеличение аудитории было заметно и в залах, особенно маленьких — «А» и «Б», куда и раньше было не протолкнуться на интересные воркшопы, а в этот раз и вообще можно было встретить нелепую смерть в коридорной давке. Стоя слушать доклад можно было и в относительно вместительном пресс-зале и в огромном «Селигере». В общем, в первый день народу было просто несметное количество, во второй уже не напрягало. В остальном организация, как обычно, была замечательной. В этом году серьёзно проапгрейдили игровую зону, что связано с изменённым форматом традиционного для форума CTF, теперь включающим не только хакеров, но ещё и защитников и мониторинг.

Читать далее Приехал с Positive Hack Days VI

Еду на Positive Hack Days VI

Позади ещё полгода с осенней поездки на ZeroNights 2015. Снова наступило время Positive Hack Days.

Решил посвятить целый абзац сакральному значению PHD для меня. Всё дело в том, что именно статья о конкурсе «конкурентная разведка» с Positive Hack Days III побудила меня прийти в информационную безопасность и остаться здесь навсегда. Думаю, это именно то, чего добивается Positive Technologies, организуя каждый год событие подобного масштаба. Когда-то обыкновенная статья с описанием применения довольно скромного набора навыков сподвигла студента наполовину технической специальности с головой уйти в относительно редкую и навыкоёмкую техническую область. С тех пор я скрипт-кидди. Positive Hack Days IV был обидно пропущен из-за классического написания выпускной квалификационной работы бакалавра в последние три недели. Positive Hack Days V стал моей первой конференцией в этой сфере.

По этой причине я предвзято отношусь к PHD, хотя и у ZN есть множество плюсов и особенностей. Думаю, что эти два мероприятия здорово сосуществуют на российский сцене практической информационной безопасности.

Как обычно, отчёт будет в отдельном посте.

Взял на заметку киберприступников

Дисклеймер гласит, что вся информация представлена исключительно в образовательных целях, все запросы выполняются к имитациям систем, все данные выдуманы, все совпадения случайны.

Такое бывает. Сидишь и пытаешься читать книжку, необходимую для того, чтобы начать, наконец, писать магистерскую диссертацию. Полная концентрация. И тут приходит СМС с предложением обменяться с доплатой, а детали предложено узнать, перейдя по ссылке mms24(тчк)net/t. Это ли не наглость? На Avito активных объявлений нет, но ноги точно растут оттуда.

Читать далее Взял на заметку киберприступников