• Хорошая статья, в которой перечислены различные инструменты мониторинга системы Linux. Описаны 30 тулз, с помощью которых ваш сервер будет под полным контролем:
➡ Читать статью [13 min].
• Кстати, у этого автора есть хорошая статья, в которой перечислены 40 практических советов по усилению безопасности Linux.
➡ Шифрование передаваемых данных;
➡ Минимизация установленного ПО;
➡ Обновление ядра и программного обеспечения Linux;
➡ Используем Linux Security Extensions;
➡ Учетные записи пользователей Linux и строгая парольная политика;
➡ Оценка физической безопасности серверов Linux;
➡ Отключение избыточных служб Linux;
➡ Настройка сетевого экрана на базе Iptables и TCPWrappers;
➡ Харденинг ядра Linux /etc/sysctl.conf и многое другое...
➡ Читать статью [15 min].
S.E. ▪️ infosec.work ▪️ VT
• Кстати, у этого автора есть хорошая статья, в которой перечислены 40 практических советов по усилению безопасности Linux.
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
• Большинство знает, что в начале 2000-х провайдеры предоставляли доступ в интернет с оплатой по карточкам. Тарифы операторов были разными и отличались друг от друга, но у провайдера РОЛ была безлимитка! Безлимитка эта была только ночная, но по тем временам это было пределом фантастики. Покупка карточки доступа за 300 рублей давала целых 20 часов интернета и безлимитку с 2-х ночи до 9 утра по выходным, а карточка стоимостью 500 рублей несла в себе 50 часов интернета и безлимитку с 2-х ночи до 9-ти утра каждый день. Естественно, многие этим пользовались. Сидеть за компом по ночам – конечно, можно, но не для всех подходит.
• Многие шли на хитрость. Силами "Планировщика Windows" и стороннего софта, система конфигурировалась так, чтобы в 2 часа ночи компьютер "просыпался" и начинал дозвон на модемный пул провайдера. У провайдера было 3 номера дозвона, и, естественно, приходилось довольно долгое время дозваниваться, потому что, как правило, по ночам линии были забиты полностью. В итоге рано или поздно соединение устанавливалось, а дальше начиналось скачивание. Например, можно было надобавлять разного софта или mp3 файлов в download manager.
• При хороших условиях за ночь можно было скачать около 100 мегабайт. Также были популярны так называемые offline-браузеры, которым можно было скормить URL, а они "грабили" веб-сервер, переходя по всем ресурсам и ссылкам с заданной глубиной вложенности, в результате чего на жестком диске получалась практически полная локальная копия страниц сайта.
• Как-то раз случилась забавная история. После переустановки Windows необходимо было заново настроить софт, который автоматически дозванивался до оператора. Пару дней всё было неплохо, пока не начались выходные. В один из дней раздался телефонный звонок. Разъяренный мужик на другом конце провода в очень грубых выражениях допытывался – на кой хрен мы звоним ему на мобилу по ночам и молчим в трубку?!
• А соль была в том, что настраивая заново софт для дозвона, была сделана опечатка в одном из номеров, и в итоге вместо провайдера модем звонил на другой номер, который по счастливой случайности оказался прямым городским номером мобильного телефона этого мужика. Модем начинал попытки дозвона, перебирая номера, которые были заняты, дозванивался до мужика, мужик брал трубку, модем через какое-то время рвал соединение, потом снова пытался дозвониться до провайдера, было занято, потом снова подходила очередь мужика... Такое вот было интересное время...
S.E. ▪️ infosec.work ▪️ VT
• Многие шли на хитрость. Силами "Планировщика Windows" и стороннего софта, система конфигурировалась так, чтобы в 2 часа ночи компьютер "просыпался" и начинал дозвон на модемный пул провайдера. У провайдера было 3 номера дозвона, и, естественно, приходилось довольно долгое время дозваниваться, потому что, как правило, по ночам линии были забиты полностью. В итоге рано или поздно соединение устанавливалось, а дальше начиналось скачивание. Например, можно было надобавлять разного софта или mp3 файлов в download manager.
• При хороших условиях за ночь можно было скачать около 100 мегабайт. Также были популярны так называемые offline-браузеры, которым можно было скормить URL, а они "грабили" веб-сервер, переходя по всем ресурсам и ссылкам с заданной глубиной вложенности, в результате чего на жестком диске получалась практически полная локальная копия страниц сайта.
• Как-то раз случилась забавная история. После переустановки Windows необходимо было заново настроить софт, который автоматически дозванивался до оператора. Пару дней всё было неплохо, пока не начались выходные. В один из дней раздался телефонный звонок. Разъяренный мужик на другом конце провода в очень грубых выражениях допытывался – на кой хрен мы звоним ему на мобилу по ночам и молчим в трубку?!
• А соль была в том, что настраивая заново софт для дозвона, была сделана опечатка в одном из номеров, и в итоге вместо провайдера модем звонил на другой номер, который по счастливой случайности оказался прямым городским номером мобильного телефона этого мужика. Модем начинал попытки дозвона, перебирая номера, которые были заняты, дозванивался до мужика, мужик брал трубку, модем через какое-то время рвал соединение, потом снова пытался дозвониться до провайдера, было занято, потом снова подходила очередь мужика... Такое вот было интересное время...
S.E. ▪️ infosec.work ▪️ VT
1
• Интересная статья на хабре, автор которой создал систему на базе свежего ядра с конфигурацией
➡ Читать статью [13 min].
• Дополнительно:
• LinuxCard - интересный проект, где автор смог собрать устройство для запуска linux размером с визитную карточку. По ссылке ниже можно найти всю необходимую информацию и повторить процесс создания.
S.E. ▪️ infosec.work ▪️ VT
tinyconfig. Задача: упаковать весь Linux в один файл с прямой загрузкой через UEFI, достигнув минимально возможного размера без потери способности к загрузке. В итоге получаем рабочую систему, на которой уже можно изучать базовые команды Linux. Она занимает очень мало места, быстро загружается и не требует установки.• Дополнительно:
• LinuxCard - интересный проект, где автор смог собрать устройство для запуска linux размером с визитную карточку. По ссылке ниже можно найти всю необходимую информацию и повторить процесс создания.
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Газпромбанк
На одной площадке встретятся представители ИТ, инноваций, науки и обсудят, как сегодня запускать и масштабировать сложные решения в финтехе.
Что ждет участников конференции?
Два трека программы:
Реальные кейсы:
А еще нетворкинг по делу: возможность пообщаться с командами акселератора и экспертами банка и презентовать свои проекты.
Когда: 14 мая 2026 в 12:00
Где: Москва, Конгресс-центр Connect
Регистрация уже открыта
Please open Telegram to view this post
VIEW IN TELEGRAM
• Sara: крутая тулза от автора книги "Сети глазами хакера", которая является мощнейшим анализатором безопасности MikroTik RouterOS. Благодаря тулзе мы можем осуществить продвинутый анализ конфигураций и выявить артефакты компрометации маршрутизаторов MikroTik. Кроме того, автор оснастил тулзу механизмом проверки наличия уязвимостей, который анализирует номер версии RouterOS и сопоставляет его с базой CVE MITRE для поиска уязвимостей.
• В общем и целом, инструмент пригодится тем, кто заботится о безопасности сетей. Все подробности работы Sara доступны в репозитории:
➡ https://github.com/caster0x00/Sara
S.E. ▪️ infosec.work ▪️ VT
• В общем и целом, инструмент пригодится тем, кто заботится о безопасности сетей. Все подробности работы Sara доступны в репозитории:
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
1
• Если любите ковырять Arduino и создавать различные проекты (неважно какие), то у меня для вас есть очень хороший ресурс, который называется Wokwi. Если в двух словах, то это максимально крутой симулятор для отладки собственных проектов. В виртуальной среде можно затестить всевозможные идеи и посмотреть, как все будет работать.
• Ко всему прочему следует добавить удобный интерфейс, автокомплит, работающий лучше чем в Arduino IDE, возможность делиться проектами и достаточно полную документацию. Ну и разумеется всё бесплатно, так что добавляем в закладки:
➡ https://wokwi.com
• Кстати, еще обратите внимание на один очень известный в узких кругах блог, который ведет AlexGyver - тут можно найти огромное количество мануалов, заметок, проектов, видео и вообще все, что связано с Arduino: https://alexgyver.ru
S.E. ▪️ infosec.work ▪️ VT
• Ко всему прочему следует добавить удобный интерфейс, автокомплит, работающий лучше чем в Arduino IDE, возможность делиться проектами и достаточно полную документацию. Ну и разумеется всё бесплатно, так что добавляем в закладки:
• Кстати, еще обратите внимание на один очень известный в узких кругах блог, который ведет AlexGyver - тут можно найти огромное количество мануалов, заметок, проектов, видео и вообще все, что связано с Arduino: https://alexgyver.ru
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Kaspersky
Эксперты Kaspersky GReAT обнаружили кибератаку в начале апреля 2026 года. Вредонос содержится в известной программе для работы с образами дисков.
На данный момент зафиксировано свыше 2 тысяч заражений более чем в 100 странах. Причём 20% пострадавших устройств находится в России, а порядка 10% из всех затронутых систем в мире — корпоративные.
Злоумышленники скомпрометировали DAEMON Tools начиная с версии 12.5.0.2421 и вплоть до текущей.
При запуске заражённых файлов (что обычно происходит во время включения компьютера или ноутбука) активируется бэкдор. Вредонос инициирует соединение с C2-сервером и выполнение shell-команд. Они, в свою очередь, развёртывают вредоносные нагрузки. Самой распространённой из них является сборщик информации, который способен «узнать» о заражённом устройстве его MAC-адрес, имя хоста, доменное имя DNS, списки запущенных процессов и установленного ПО, язык системы.
В редких случаях злоумышленники развёртывают ранее неизвестный минималистичный бэкдор, используемый для загрузки файлов и выполнения шелл-кода.
Кстати, упомянутые выше файлы имеют цифровую подпись разработчика DAEMON Tools — компании AVB Disc Soft.
Подробный разбор кибератаки на DAEMON Tools и индикатор компрометации ПО — в нашем материале на Securelist. А более простым языком — рассказываем в статье на Kaspersky Daily.
Please open Telegram to view this post
VIEW IN TELEGRAM
• Нашел интересный проект, который называется Nerdlog - это быстрый TUI-просмотрщик логов с удаленных хостов, с таймлайном, без сервера! Из интересного есть следующее:
➡ Как уже было сказано выше, тут нет необходимости в использовании централизованного сервера. Взаимодействие с удалёнными тачками происходит по SSH.
➡ Логи не скачиваются с удалённых машин целиком, обработка происходит на самих машинах, а в nerdlog попадает уже готовый результат.
➡ Для удобства отрисовывается таймлайн и гистограмма, по которым можно ориентироваться при просмотре логов.
➡ У разработчика есть хорошая статья с подробным описанием его проекта;
➡ GitHub проекта.
S.E. ▪️ infosec.work ▪️ VT
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
Каждый раз, когда сотрудник подносит карту к считывателю, запускается процесс, который снаружи выглядит достаточно банально — считыватель у двери или целый турникет сигнализирует вам о разрешении доступа и вы проходите.
Может показаться, что в этот момент происходит достаточно простой процесс, однако за этой простотой скрыта сложная система: генерация поля, питание карты, установление связи, аутентификация и передача данных.
В обычной эксплуатации этот процесс незаметен. Всё должно происходить быстро и надежно. Но чтобы обеспечить такую незаметность и легкость, за десятки лет инженерам пришлось решить множество задач на уровне физики, протоколов и архитектуры устройств.
• Максимально объемный и понятный лонгрид про работу RFID-карт и считывателей: от физики процессов до обмена данными и механизмов защиты. Статья поможет не только разобраться в теме, но и просто заглянуть под капот привычных технологий. Думаю, что многим будет интересно:
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
• Нашел очень крутой материал по безопасности веб-приложений. Автор потратил около 6 месяцев на подготовку этого руководства и выкатил всю информацию совершенно бесплатно. Сам материал разделен на 3 части: для абсолютных новичков, для опытных специалистов и для экспертов.
• Для абсолютных новичков рекомендуется начать изучение с серверных тем. Эти уязвимости, как правило, легче освоить, поскольку вам нужно понимать только то, что происходит на сервере. Данный материал и лабораторные работы помогут вам развить основные знания и навыки, которые будут полезны вам снова и снова.
➡ SQL-инъекции;
➡ Уязвимости аутентификации;
➡ Обход пути (path traversal);
➡ Инъекция команд ОС;
➡ Уязвимости бизнес-логики;
➡ Уязвимости, связанные с раскрытием информации;
➡ Уязвимости контроля доступа и эскалация привилегий;
➡ Уязвимости загрузки файлов;
➡ Состояния гонки (race conditions);
➡ Подделка запросов на стороне сервера (SSRF);
➡ Внедрение внешних сущностей XML (XXE);
➡ Инъекция NoSQL;
➡ Тестирование API;
➡ Обман веб-кэша (web cache deception).
• Уязвимости на стороне клиента вносят дополнительный уровень сложности, что делает их немного более сложными для понимания. Этот материал и лабораторные работы помогут вам развить навыки, которые вы уже освоили ранее, и научат вас выявлять и эксплуатировать также некоторые сложные клиентские векторы атак.
➡ Межсайтовый скриптинг (XSS);
➡ Межсайтовая подделка запросов (CSRF);
➡ Совместное использование ресурсов между источниками (CORS);
➡ Кликджекинг (UI redressing);
➡ Уязвимости на основе DOM (DOM-based vulnerabilities);
➡ Тестирование уязвимостей безопасности WebSockets.
• Темы, которые перечислены ниже, как правило, требуют более глубокого понимания и более широких знаний. Рекомендуется сначала разобраться с основами, прежде чем приступать к этим лабораторным работам. Некоторые из них основаны на новаторских методиках, разработанных исследовательской командой мирового уровня.
➡ Небезопасная десериализация;
➡ Атаки на веб-LLM;
➡ Уязвимости GraphQL API;
➡ (SSTI) Инъекция шаблона на стороне сервера;
➡ Отравление веб-кэша (web cache poisoning);
➡ Атаки через HTTP заголовок Host;
➡ Контрабанда HTTP-запросов (HTTP request smuggling);
➡ Уязвимости аутентификации OAuth 2.0;
➡ Атаки на JWT;
➡ Что такое загрязнение прототипов (prototype pollution);
➡ Ключевые навыки.
S.E. ▪️ infosec.work ▪️ VT
• Для абсолютных новичков рекомендуется начать изучение с серверных тем. Эти уязвимости, как правило, легче освоить, поскольку вам нужно понимать только то, что происходит на сервере. Данный материал и лабораторные работы помогут вам развить основные знания и навыки, которые будут полезны вам снова и снова.
• Уязвимости на стороне клиента вносят дополнительный уровень сложности, что делает их немного более сложными для понимания. Этот материал и лабораторные работы помогут вам развить навыки, которые вы уже освоили ранее, и научат вас выявлять и эксплуатировать также некоторые сложные клиентские векторы атак.
• Темы, которые перечислены ниже, как правило, требуют более глубокого понимания и более широких знаний. Рекомендуется сначала разобраться с основами, прежде чем приступать к этим лабораторным работам. Некоторые из них основаны на новаторских методиках, разработанных исследовательской командой мирового уровня.
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
2
• А вы знали, что Microsoft добавили в Windows 11 один из самых старых инструментов в своей истории - текстовый редактор Edit, которому 45 лет? Он появился еще в 80-х как часть MS-DOS и долгие годы оставался незаменимым в командной строке.
• Но зачем и почему тулзу добавили в Win 11? Дело в том, что в первые годы персональных компьютеров ПО было простым, а ресурсы - ограниченными. Редактор Edit появился как часть MS-DOS и служил для одной задачи: быстро редактировать текстовые файлы прямо в командной строке. Никаких украшений, автосохранений, подсветки и всего прочего - только минимальный набор функций, зато работал он быстро и надежно. Для разработчиков и системных администраторов тех лет это был удобный инструмент, который позволял править конфиги и скрипты без перехода в другие программы. Со временем именно такие простые утилиты сформировали основу будущей экосистемы Windows.
• С годами, по мере того как ОС эволюционировала от консольного MS-DOS к графическому интерфейсу Windows 3.1, а потом и к более продвинутым версиям вроде 95-й, Edit постепенно отходил на второй план, уступая место более удобным аналогам. Классический "Блокнот" взял на себя роль универсального инструмента для повседневных задач. Ну а Edit, будучи 16-битным приложением, стал конфликтовать с переходом на 64-битные архитектуры.
• Начиная с Windows XP 64-bit и всех последующих версий, включая Windows 11, Microsoft убрала поддержку 16-битных приложений - вместе с ней исчез и легендарный Edit. Пользователи оказались в неловком положении: как теперь быстро подправить батник или конфиг прямо из терминала, не открывая сторонние программы?
• Возрождение Edit произошло весной 2025 года. В тестовых сборках Windows 11 (Canary, build 27965) пользователи неожиданно обнаружили знакомый по старым временам exe-файл. Microsoft не стала устраивать громких анонсов: просто выложила исходники на GitHub под открытой лицензией и подтвердила, что обновленный Edit будет встроен в систему по умолчанию и удалить его нельзя.
• На первый взгляд это выглядело как жест ностальгии, но на деле шаг оказался куда практичнее. Компания отреагировала на давние просьбы разработчиков, которым не хватало легкого терминального редактора. "Блокнот" давно утратил простоту, превратившись в перегруженное приложение с ИИ-подсказками, а после удаления WordPad в 2024 году пользователи окончательно лишились минималистичного инструмента для быстрой правки текста.
• Новая версия Edit написана с нуля, но сохранила дух оригинала - минималистичный интерфейс, максимум скорости. Зато теперь редактор поддерживает работу мышью и горячие клавиши, что делает его не музейным реликтом, а удобным инструментом на каждый день.
• Что касается работы редактора, то все устроено максимально просто: в командной строке или PowerShell достаточно ввести edit, и открывается быстрый текстовый редактор, причем прямо в терминале. Он не блокирует другие процессы и запускается мгновенно, ведь его размер не превышает 250 килобайт.
• Редактор поддерживает лишь базовые функции: прокрутку стрелками или колесом мыши, сохранение через
• Он работает в Windows Terminal, поддерживает Unicode и даже кросс-платформенные порты (есть эксперименты для Linux через WSL), что расширяет его аудиторию за пределы чистых юзеров окошек.
• Возвращение Edit в Windows - не дань ностальгии, а прагматичное решение. Microsoft закрыла гештальт, добавив в систему простой консольный редактор, которого годами не хватало пользователям. Причем Edit не претендует на роль полноценного IDE и не конкурирует с Notepad++ или VS Code - его задача сугубо утилитарная: быстро внести правку и вернуться к работе.
➡ https://devblogs.microsoft.com/edit
S.E. ▪️ infosec.work ▪️ VT
• Но зачем и почему тулзу добавили в Win 11? Дело в том, что в первые годы персональных компьютеров ПО было простым, а ресурсы - ограниченными. Редактор Edit появился как часть MS-DOS и служил для одной задачи: быстро редактировать текстовые файлы прямо в командной строке. Никаких украшений, автосохранений, подсветки и всего прочего - только минимальный набор функций, зато работал он быстро и надежно. Для разработчиков и системных администраторов тех лет это был удобный инструмент, который позволял править конфиги и скрипты без перехода в другие программы. Со временем именно такие простые утилиты сформировали основу будущей экосистемы Windows.
• С годами, по мере того как ОС эволюционировала от консольного MS-DOS к графическому интерфейсу Windows 3.1, а потом и к более продвинутым версиям вроде 95-й, Edit постепенно отходил на второй план, уступая место более удобным аналогам. Классический "Блокнот" взял на себя роль универсального инструмента для повседневных задач. Ну а Edit, будучи 16-битным приложением, стал конфликтовать с переходом на 64-битные архитектуры.
• Начиная с Windows XP 64-bit и всех последующих версий, включая Windows 11, Microsoft убрала поддержку 16-битных приложений - вместе с ней исчез и легендарный Edit. Пользователи оказались в неловком положении: как теперь быстро подправить батник или конфиг прямо из терминала, не открывая сторонние программы?
• Возрождение Edit произошло весной 2025 года. В тестовых сборках Windows 11 (Canary, build 27965) пользователи неожиданно обнаружили знакомый по старым временам exe-файл. Microsoft не стала устраивать громких анонсов: просто выложила исходники на GitHub под открытой лицензией и подтвердила, что обновленный Edit будет встроен в систему по умолчанию и удалить его нельзя.
• На первый взгляд это выглядело как жест ностальгии, но на деле шаг оказался куда практичнее. Компания отреагировала на давние просьбы разработчиков, которым не хватало легкого терминального редактора. "Блокнот" давно утратил простоту, превратившись в перегруженное приложение с ИИ-подсказками, а после удаления WordPad в 2024 году пользователи окончательно лишились минималистичного инструмента для быстрой правки текста.
• Новая версия Edit написана с нуля, но сохранила дух оригинала - минималистичный интерфейс, максимум скорости. Зато теперь редактор поддерживает работу мышью и горячие клавиши, что делает его не музейным реликтом, а удобным инструментом на каждый день.
• Что касается работы редактора, то все устроено максимально просто: в командной строке или PowerShell достаточно ввести edit, и открывается быстрый текстовый редактор, причем прямо в терминале. Он не блокирует другие процессы и запускается мгновенно, ведь его размер не превышает 250 килобайт.
• Редактор поддерживает лишь базовые функции: прокрутку стрелками или колесом мыши, сохранение через
Ctrl + S, поиск по тексту с помощью F3. Здесь нет тем, плагинов и интеграций с Git - только чистый минимализм. Это инструмент для быстрых правок: открыл, исправил, закрыл. Оптимальное решение для тех, кому важно просто и без лишних движений отредактировать конфигурацию или скрипт прямо в терминале.• Он работает в Windows Terminal, поддерживает Unicode и даже кросс-платформенные порты (есть эксперименты для Linux через WSL), что расширяет его аудиторию за пределы чистых юзеров окошек.
• Возвращение Edit в Windows - не дань ностальгии, а прагматичное решение. Microsoft закрыла гештальт, добавив в систему простой консольный редактор, которого годами не хватало пользователям. Причем Edit не претендует на роль полноценного IDE и не конкурирует с Notepad++ или VS Code - его задача сугубо утилитарная: быстро внести правку и вернуться к работе.
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
• cURL - это инструмент командной строки на основе библиотеки
• Так вот, у ведущего разработчика curl Даниэля Стенберга есть очень крутое видео «curl from start to end», где он подробно рассказывает, что происходит, когда вы вызываете curl!
• Основные этапы:
➡ Загрузка curl, библиотеки libcurl и других зависимостей.
➡ Разбор аргументов командной строки.
➡ Разбор URL.
➡ Разрешение доменного имени в URL с помощью DNS.
➡ Установка соединения TCP.
➡ Установка защищенного соединения TLS.
➡ Отправка запроса HTTP.
➡ Получение ответа HTTP.
➡ Сохранение данных из ответа HTTP.
➡ Разрыв защищённого соединения TLS.
➡ Разрыв соединения TCP.
➡ https://youtu.be/WmMa1GVPWZ0
• В качестве дополнения: Everything curl - очень объемное руководство (550 стр.) по работе с curl'ом, которое актуализируют еще с начала 2015 года и по сей день. Книга является бесплатной, а вклад в её развитие внесли десятки авторов: https://curl.haxx.se/book.html. Скачать книгу можно по этим ссылкам: [PDF] \ [ePUB].
S.E. ▪️ infosec.work ▪️ VT
libcurl для передачи данных с сервера и на сервер при помощи различных протоколов, в том числе HTTP, HTTPS, FTP, FTPS, IMAP, IMAPS, POP3, POP3S, SMTP и SMTPS. Он очень популярен в сфере автоматизации и скриптов благодаря широкому диапазону функций и поддерживаемых протоколов.• Так вот, у ведущего разработчика curl Даниэля Стенберга есть очень крутое видео «curl from start to end», где он подробно рассказывает, что происходит, когда вы вызываете curl!
• Основные этапы:
• В качестве дополнения: Everything curl - очень объемное руководство (550 стр.) по работе с curl'ом, которое актуализируют еще с начала 2015 года и по сей день. Книга является бесплатной, а вклад в её развитие внесли десятки авторов: https://curl.haxx.se/book.html. Скачать книгу можно по этим ссылкам: [PDF] \ [ePUB].
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from infosec
• Друзья, пришло время провести очередной конкурс. На этот раз мы разыгрываем бумажную версию книги "Linux для администраторов", которая поступила в продажу 2 недели назад. Помимо основных тем для изучения Linux в книге есть глава по написанию сценариев командной оболочки, содержащая структурированные рекомендации для базовой автоматизации задач.
• Итоги подведём 16 Мая в 10:00, при помощи бота, который рандомно выберет 8 победителей. Доставка для победителей бесплатная в зоне действия СДЭК. Удачи❤
Для участия нужно:
1. Быть подписанным на наш канал: Infosec.
2. Подписаться на канал наших друзей: Мир Linux.
3. Нажать на кнопку «Участвовать»;
4. Ждать результат.
Бот может немного подвиснуть — не переживайте! В таком случае просто нажмите еще раз на кнопку «Участвовать».
#Конкурс
• Итоги подведём 16 Мая в 10:00, при помощи бота, который рандомно выберет 8 победителей. Доставка для победителей бесплатная в зоне действия СДЭК. Удачи
Для участия нужно:
1. Быть подписанным на наш канал: Infosec.
2. Подписаться на канал наших друзей: Мир Linux.
3. Нажать на кнопку «Участвовать»;
4. Ждать результат.
#Конкурс
Please open Telegram to view this post
VIEW IN TELEGRAM
• Еще одно хорошее и бесплатное руководство от автора гайда по безопасности веб-приложений, которым я делился на этой неделе. На этот раз материал посвящен безопасности фронтенда. Вы подробно познакомитесь с тем, как работают Same-Site, Cross-Site, Cross-Origin, Prototype Pollution, DOM Clobbering, CSS Injection, XSLeaks, а также узнаете о многих видах XSS. А еще узнаете, как можно комбинировать уязвимости друг с другом, и поймете, почему клиентские уязвимости остаются актуальными по сей день...
• Содержание следующее:
➡ Глава 1: Начало работы с XSS;
➡ Глава 2: Защита и обход XSS;
➡ Глава 3: Атаки без JavaScript;
➡ Глава 4: Межсайтовые атаки;
➡ Глава 5: Другие интересные темы.
➡ https://gitbook.io/client-side-fundamental
S.E. ▪️ infosec.work ▪️ VT
• Содержание следующее:
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
1
• В 1924 году в Женеве собрались представители крупнейших производителей лампочек и основали картель Phoebus. Его цель звучала просто: сократить срок службы ламп ради уверенных объемов продаж. В итоге, инженеры, чья профессия заключалась в улучшении продукции, внезапно получили задачу делать её хуже - но контролируемо хуже. Они разрабатывали стандарты, тесты и даже штрафы за слишком долгую работу ламп.
• Теперь представьте, на дворе 1920-й год (4 года до основания Phoebus). Время, когда электричество перестало быть диковинкой. Лампочки Эдисона, некогда горевшие жалкие 40 часов, теперь, благодаря вольфрамовой нити, достигали 2500-3000 часов свечения. Отдельные экземпляры работали годами: так в парижском отеле "Ritz" люстры светили без замены 8 лет, а на заводах рабочие хвастались лампами, пережившими трех владельцев.
• А вот производители страдали от непредсказуемых продаж. Дело в том, что на рынке существовали тысячи мелких фирм, и выбор покупателя был совершенно непредсказуем. Тот же Osram, продавший в Германии в 1922 году 63 миллиона лампочек, в 1923-м обвалился до 28 миллионов. Глава Osram Уильям Мейнхардт был первым, кто предложил "навести порядок" в индустрии.
• В Phoebus вошли: немецкая Osram, голландская Philips, французская Compagnie des Lampes, американская General Electric, венгерская Tungsram, британская Associated Electrical Industries и японская Tokyo Electric. Официально картель назывался "Конвенция по развитию и прогрессу международной индустрии ламп накаливания". И в этом была заложена огромная ирония, так как настоящая цель была другой - разделить мировой рынок между участниками и установить единый стандарт долговечности в ~1000 часов, т.е. около года горения по 3-4 часа в день.
• Чтобы обеспечить выполнение этого требования, каждая фабрика-участник была обязана регулярно отправлять образцы ламп в центральную лабораторию в Швейцарии. Если лампочки горели сильно дольше или меньше установленного срока - производитель получал штраф.
• Самое интересное - это была не просто халтура, любой дурак мог бы сделать плохую лампочку. Задача стояла сложнее: нужно было создать такой товар, который надежно откажет через заданное время. Для достижения этой цели участники картеля активно экспериментировали и обменивались патентами.
• Результаты не заставили себя ждать. К 1933-34 году средний срок службы лампочек упал до 1205 часов. Продажи наоборот - выросли с 335,7 миллионов лампочек в 1926-27 году до 420,8 миллиона четыре года спустя. При этом цены держались стабильными, несмотря на снижение производственных затрат.
• Но хорошие времена для производителей длились относительно недолго. Высокие цены привлекли конкурентов, особенно из Японии. Мелкие мастерские начали штамповать дешевые лампы почти вручную и продавали их за границу в несколько раз дешевле продукции картеля. Да, качество было хуже, но цена покрывала все недостатки.
• Картель Phoebus распался во время Второй мировой войны, но его дух живет до сих пор, в том числе и в IT. Наиболее известный кейс с устареванием, это, конечно же, программная деградация аккумулятора, в которой обвиняли Apple (ситуация даже получила свое собственное название Batterygate).
• Также был еще скандал с HP, которые просто встроили дату "отказа" в картридж, позже которой он переставал работать. Даже если лежал запечатанный.
• Еще одним любопытным случаем стала так называемая конденсаторная чума - массовый выход из строя электролитических конденсаторов на материнских платах, блоках питания и другой электронике. Это приводило к массовым поломкам серверов и рабочих станций, сокращая срок службы оборудования и стимулируя его преждевременную замену.
• В общем и целом, несмотря на то, что картель Phoebus давно канул в лету, его подход живёт и здравствует, ведь срок службы купленной техники в ряде случаев определяют не законы физики, а скорее бизнес-план и KPI.
S.E. ▪️ infosec.work ▪️ VT
• Теперь представьте, на дворе 1920-й год (4 года до основания Phoebus). Время, когда электричество перестало быть диковинкой. Лампочки Эдисона, некогда горевшие жалкие 40 часов, теперь, благодаря вольфрамовой нити, достигали 2500-3000 часов свечения. Отдельные экземпляры работали годами: так в парижском отеле "Ritz" люстры светили без замены 8 лет, а на заводах рабочие хвастались лампами, пережившими трех владельцев.
• А вот производители страдали от непредсказуемых продаж. Дело в том, что на рынке существовали тысячи мелких фирм, и выбор покупателя был совершенно непредсказуем. Тот же Osram, продавший в Германии в 1922 году 63 миллиона лампочек, в 1923-м обвалился до 28 миллионов. Глава Osram Уильям Мейнхардт был первым, кто предложил "навести порядок" в индустрии.
• В Phoebus вошли: немецкая Osram, голландская Philips, французская Compagnie des Lampes, американская General Electric, венгерская Tungsram, британская Associated Electrical Industries и японская Tokyo Electric. Официально картель назывался "Конвенция по развитию и прогрессу международной индустрии ламп накаливания". И в этом была заложена огромная ирония, так как настоящая цель была другой - разделить мировой рынок между участниками и установить единый стандарт долговечности в ~1000 часов, т.е. около года горения по 3-4 часа в день.
• Чтобы обеспечить выполнение этого требования, каждая фабрика-участник была обязана регулярно отправлять образцы ламп в центральную лабораторию в Швейцарии. Если лампочки горели сильно дольше или меньше установленного срока - производитель получал штраф.
• Самое интересное - это была не просто халтура, любой дурак мог бы сделать плохую лампочку. Задача стояла сложнее: нужно было создать такой товар, который надежно откажет через заданное время. Для достижения этой цели участники картеля активно экспериментировали и обменивались патентами.
• Результаты не заставили себя ждать. К 1933-34 году средний срок службы лампочек упал до 1205 часов. Продажи наоборот - выросли с 335,7 миллионов лампочек в 1926-27 году до 420,8 миллиона четыре года спустя. При этом цены держались стабильными, несмотря на снижение производственных затрат.
• Но хорошие времена для производителей длились относительно недолго. Высокие цены привлекли конкурентов, особенно из Японии. Мелкие мастерские начали штамповать дешевые лампы почти вручную и продавали их за границу в несколько раз дешевле продукции картеля. Да, качество было хуже, но цена покрывала все недостатки.
• Картель Phoebus распался во время Второй мировой войны, но его дух живет до сих пор, в том числе и в IT. Наиболее известный кейс с устареванием, это, конечно же, программная деградация аккумулятора, в которой обвиняли Apple (ситуация даже получила свое собственное название Batterygate).
• Также был еще скандал с HP, которые просто встроили дату "отказа" в картридж, позже которой он переставал работать. Даже если лежал запечатанный.
• Еще одним любопытным случаем стала так называемая конденсаторная чума - массовый выход из строя электролитических конденсаторов на материнских платах, блоках питания и другой электронике. Это приводило к массовым поломкам серверов и рабочих станций, сокращая срок службы оборудования и стимулируя его преждевременную замену.
• В общем и целом, несмотря на то, что картель Phoebus давно канул в лету, его подход живёт и здравствует, ведь срок службы купленной техники в ряде случаев определяют не законы физики, а скорее бизнес-план и KPI.
S.E. ▪️ infosec.work ▪️ VT
• Уверен, что многие из вас знают и использовали тулзы SysInternals (Winternals) для администрирования и диагностики Windows! Эти инструменты известны с незапамятных времён. Но не каждый в курсе, что эти незаменимые инструменты написаны вовсе не компанией Microsoft. Скорее наоборот, они написаны вопреки её желанию.
• Все эти инструменты, количество которых составляет более 60, написал Марк Руссинович. Он доказал, что в одиночку способен интеллектуально продавить мегакорпорацию. И той придётся заплатить ему огромные деньги, и даже взять на работу. Потому что повторить его программы Microsoft не сумела…
• Началось всё в 1996 году Марк вместе с Брайсом Когсвеллом соучредили компанию Winternals Software, где Руссинович занимал должность главного архитектора программного обеспечения. Одновременно был запущен сайт sysinternals.com, на котором напарники написали и опубликовали десятки популярных утилит. Все программы поначалу были бесплатными.
• Можно сказать, что утилиты Winternals выставили Microsoft в невыгодном свете. Все ясно увидели, какой функциональности сильно не хватает в операционной системе, каких настроек там нет, что сделано коряво по дефолту. И удивительно, что все эти косяки продемонстрировал по сути один программист. Фактически, Марк знал ядро Windows и умел программировать лучше, чем тысячи разработчиков редмондской корпорации.
• Большинство утилит в базовой версии распространялись бесплатно, но компания продавала профессиональные версии этих инструментов, а также отдельный коммерческий софт для восстановления данных.
• В общей сложности Марк с Брайсом написали более 65 утилит. Судя по всему, даже после основания компании и найма джуниоров они работали ведущими программистами и писали часть кода.
• Сейчас Microsoft продолжает поддержку и обновление многих из этих инструментов, и даже выпускает версии под Linux.
• В июле 2006 года Microsoft купила Winternals Software и все её активы. Марк объявил эту новость в своём блоге и пояснил, что продолжает распространение утилит из комплекта Sysinternals до тех пор, пока Microsoft против этого не возражает.
• Однако не всё пошло гладко. Сразу после сделки с Microsoft с сайта была удалена утилита NT Locksmith для восстановления "забытых" паролей Windows. Вероятно, юристы посчитали, что её можно использовать для взлома, то есть для несанкционированного доступа к компьютерной информации, за что предусмотрена статья в УК.
• Первоначально Марк Руссинович получил должность технического специалиста в подразделении платформ и сервисов Microsoft, в сферу которого входит разработка ядра Windows. Со временем его таланты проявились более очевидно - и к 2014 году он дорос до технического директора в Microsoft Azure.
• Эта история показывает, что большой успех может начинаться с очень маленького дела - одной или простой утилитки, написанной буквально за вечер. Так было и с Winamp, хотя о гениальности Франкеля не идёт и речи, потому что достаточно было набросать GUI и портировать под Windows готовый плеер. Однако с Марком Руссиновичем совершенно другая история. Он действительно проявил себя как высококлассный системный программист, заработал уважение миллионов системных администраторов, которые до сих пор используют его утилиты каждый день. Подобное уважение миллионов людей и собственный талант всегда легко конвертировать в деньги, если есть такое желание.
• Кстати, Брайс Когсвелл уволился в 2010-м, а Марк Руссинович до сих пор работает в Microsoft. Что касается инструментов, то скачать их можно по этой ссылке: https://learn.microsoft.com/en-us/sysinternals/downloads
S.E. ▪️ infosec.work ▪️ VT
• Все эти инструменты, количество которых составляет более 60, написал Марк Руссинович. Он доказал, что в одиночку способен интеллектуально продавить мегакорпорацию. И той придётся заплатить ему огромные деньги, и даже взять на работу. Потому что повторить его программы Microsoft не сумела…
• Началось всё в 1996 году Марк вместе с Брайсом Когсвеллом соучредили компанию Winternals Software, где Руссинович занимал должность главного архитектора программного обеспечения. Одновременно был запущен сайт sysinternals.com, на котором напарники написали и опубликовали десятки популярных утилит. Все программы поначалу были бесплатными.
• Можно сказать, что утилиты Winternals выставили Microsoft в невыгодном свете. Все ясно увидели, какой функциональности сильно не хватает в операционной системе, каких настроек там нет, что сделано коряво по дефолту. И удивительно, что все эти косяки продемонстрировал по сути один программист. Фактически, Марк знал ядро Windows и умел программировать лучше, чем тысячи разработчиков редмондской корпорации.
• Большинство утилит в базовой версии распространялись бесплатно, но компания продавала профессиональные версии этих инструментов, а также отдельный коммерческий софт для восстановления данных.
• В общей сложности Марк с Брайсом написали более 65 утилит. Судя по всему, даже после основания компании и найма джуниоров они работали ведущими программистами и писали часть кода.
• Сейчас Microsoft продолжает поддержку и обновление многих из этих инструментов, и даже выпускает версии под Linux.
• В июле 2006 года Microsoft купила Winternals Software и все её активы. Марк объявил эту новость в своём блоге и пояснил, что продолжает распространение утилит из комплекта Sysinternals до тех пор, пока Microsoft против этого не возражает.
• Однако не всё пошло гладко. Сразу после сделки с Microsoft с сайта была удалена утилита NT Locksmith для восстановления "забытых" паролей Windows. Вероятно, юристы посчитали, что её можно использовать для взлома, то есть для несанкционированного доступа к компьютерной информации, за что предусмотрена статья в УК.
• Первоначально Марк Руссинович получил должность технического специалиста в подразделении платформ и сервисов Microsoft, в сферу которого входит разработка ядра Windows. Со временем его таланты проявились более очевидно - и к 2014 году он дорос до технического директора в Microsoft Azure.
• Эта история показывает, что большой успех может начинаться с очень маленького дела - одной или простой утилитки, написанной буквально за вечер. Так было и с Winamp, хотя о гениальности Франкеля не идёт и речи, потому что достаточно было набросать GUI и портировать под Windows готовый плеер. Однако с Марком Руссиновичем совершенно другая история. Он действительно проявил себя как высококлассный системный программист, заработал уважение миллионов системных администраторов, которые до сих пор используют его утилиты каждый день. Подобное уважение миллионов людей и собственный талант всегда легко конвертировать в деньги, если есть такое желание.
• Кстати, Брайс Когсвелл уволился в 2010-м, а Марк Руссинович до сих пор работает в Microsoft. Что касается инструментов, то скачать их можно по этой ссылке: https://learn.microsoft.com/en-us/sysinternals/downloads
S.E. ▪️ infosec.work ▪️ VT
1