Как пользоваться Wireshark
До того, как мы начнем учиться взламывать другие сети, нужно уметь контролировать свою сеть и понимать, что такое сетевой трафик и как его фильтровать. Wireshark идеально подходит для этого, поскольку мощнее его пока что ничего не придумали, и, как вы уже догадываетесь речь пойдет именно о нем. Wireshark является идеальном оружием для анализа и захвата сетевых пакетов в реальном времени. Но главное - то что он показывает их в очень удобном для чтения формате.
📌 Читать статью
#linux #network #wireshark
До того, как мы начнем учиться взламывать другие сети, нужно уметь контролировать свою сеть и понимать, что такое сетевой трафик и как его фильтровать. Wireshark идеально подходит для этого, поскольку мощнее его пока что ничего не придумали, и, как вы уже догадываетесь речь пойдет именно о нем. Wireshark является идеальном оружием для анализа и захвата сетевых пакетов в реальном времени. Но главное - то что он показывает их в очень удобном для чтения формате.
📌 Читать статью
#linux #network #wireshark
👍22👎3
🗄 Минцифры обсуждает с ФСБ и ФСТЭК возможность аудита безопасности личных данных
Минцифры обсуждает с ФСБ и ФСТЭК возможность проведения добровольного ежегодного аудита для российских операторов персональных данных (ПДн).
Сейчас, в соответствии с законодательством, ФСТЭК и ФСБ контролируют и регламентируют требования для защиты персональных данных. Проблема в том, что эти требования не успевают обновляться для соответствия актуальным киберугрозам, с которыми сталкиваются компании.
Минцифры выступает за то, чтобы компании активнее инвестировали в системы ИБ. Также обсуждается предложение о ежегодном добровольном аудите защищенности данных от аккредитованных государством компаний, занимающихся информационной безопасностью.
Не уточняется, будет ли такой аудит заменять обязательные требования анализа состояния информационной безопасности в компании или он будет производиться на основании обязательных требований ФСБ и ФСТЭК
🗞 Блог Кодебай
#news #russia #data
Минцифры обсуждает с ФСБ и ФСТЭК возможность проведения добровольного ежегодного аудита для российских операторов персональных данных (ПДн).
Сейчас, в соответствии с законодательством, ФСТЭК и ФСБ контролируют и регламентируют требования для защиты персональных данных. Проблема в том, что эти требования не успевают обновляться для соответствия актуальным киберугрозам, с которыми сталкиваются компании.
Минцифры выступает за то, чтобы компании активнее инвестировали в системы ИБ. Также обсуждается предложение о ежегодном добровольном аудите защищенности данных от аккредитованных государством компаний, занимающихся информационной безопасностью.
Не уточняется, будет ли такой аудит заменять обязательные требования анализа состояния информационной безопасности в компании или он будет производиться на основании обязательных требований ФСБ и ФСТЭК
🗞 Блог Кодебай
#news #russia #data
👍8😁7
🖱 Уязвимость в приложении TikTok для Android может привести к взлому аккаунта в один клик
Серьезная уязвимость в приложении TikTok для Android, которое установлено более 1.5 миллиарда раз, позволяет злоумышленникам завладеть учетной записью пользователя в один клик.
Уязвимость, отслеживаемая как CVE-2022-28799, была обнаружена Microsoft и возникает при обработке глубоких ссылок TikTok для Android — особого типа гиперссылок ОС, которые ссылаются на конкретный компонент в приложении.
Ошибка может позволить злоумышленникам изменять чужие профили пользователей TikTok и получать доступ к конфиденциальной информации, например, путем обнародования приватных видео, отправки сообщений и загрузки видео от имени пользователя.
Эксплуатация уязвимости зависит от реализации приложением интерфейсов JavaScript, которые предоставляются компонентом WebView-приложения. WebView позволяет приложениям загружать и отображать веб-страницы.
Проблема с WebView заключается в том, что если кто-то загружает в WebView веб-контент с объектами уровня приложения, доступными через JavaScript, то приложение становится уязвимым для инъекции интерфейса JavaScript. Это может привести к утечке данных, повреждению данных или, в некоторых случаях, к выполнению произвольного кода.
🗞 Блог Кодебай
#news #android #tiktok
Серьезная уязвимость в приложении TikTok для Android, которое установлено более 1.5 миллиарда раз, позволяет злоумышленникам завладеть учетной записью пользователя в один клик.
Уязвимость, отслеживаемая как CVE-2022-28799, была обнаружена Microsoft и возникает при обработке глубоких ссылок TikTok для Android — особого типа гиперссылок ОС, которые ссылаются на конкретный компонент в приложении.
Ошибка может позволить злоумышленникам изменять чужие профили пользователей TikTok и получать доступ к конфиденциальной информации, например, путем обнародования приватных видео, отправки сообщений и загрузки видео от имени пользователя.
Эксплуатация уязвимости зависит от реализации приложением интерфейсов JavaScript, которые предоставляются компонентом WebView-приложения. WebView позволяет приложениям загружать и отображать веб-страницы.
Проблема с WebView заключается в том, что если кто-то загружает в WebView веб-контент с объектами уровня приложения, доступными через JavaScript, то приложение становится уязвимым для инъекции интерфейса JavaScript. Это может привести к утечке данных, повреждению данных или, в некоторых случаях, к выполнению произвольного кода.
🗞 Блог Кодебай
#news #android #tiktok
👍10🔥2
Вирусы под микроскопом. Собираем утилиты для анализа малвари
В последнее время ты слышишь про огромное количество взломов крупных компаний с использованием вредоносного ПО. В инструментарий для атак входят шифровальщики, программы-вымогатели. Поэтому специалистам по информационной безопасности не редко приходится прибегать к множеству утилит для реверса. Чтобы облегчить такую тяжелую ношу я собрал для тебя целый список программ, которые помогут тебе в реверс-инженерии. Давай перейдем к делу.
📌 Читать статью
#reverse #malware
В последнее время ты слышишь про огромное количество взломов крупных компаний с использованием вредоносного ПО. В инструментарий для атак входят шифровальщики, программы-вымогатели. Поэтому специалистам по информационной безопасности не редко приходится прибегать к множеству утилит для реверса. Чтобы облегчить такую тяжелую ношу я собрал для тебя целый список программ, которые помогут тебе в реверс-инженерии. Давай перейдем к делу.
📌 Читать статью
#reverse #malware
👍11🔥4
🗑 Сотрудников Сбера попросили удалить Telegram
Сотрудников «Cбера» настоятельно попросили удалить Telegram с рабочих компьютеров. Следить за исполнением поручения будет служба безопасности компании.
Соответствующее сообщение, с требованием удалить приложение Telegram с компьютеров на случай возможных проверок, пришло сотрудникам от HR-отдела «Cбера». Незадолго до этого, несколько недель назад, руководители как раз намекнули работникам на необходимость удалить мессенджер.
Сотрудники хранили в Telegram «рабочие чаты». Вероятно, именно это и стало причиной для борьбы с мессенджером — руководство хочет заменить его на корпоративный «Сберчат», в который сотрудники пока не спешат переходить.
Напомним, «СберЧат» запустили 3 года назад на базе платформы dialog. Компания «Диалог» имеет лицензии ФСТЭК и ФСБ, а также зарегистрирована в реестре Минкомсвязи как издатель отечественного ПО.
🗞 Блог Кодебай
#news #messenger #telegram
Сотрудников «Cбера» настоятельно попросили удалить Telegram с рабочих компьютеров. Следить за исполнением поручения будет служба безопасности компании.
Соответствующее сообщение, с требованием удалить приложение Telegram с компьютеров на случай возможных проверок, пришло сотрудникам от HR-отдела «Cбера». Незадолго до этого, несколько недель назад, руководители как раз намекнули работникам на необходимость удалить мессенджер.
Сотрудники хранили в Telegram «рабочие чаты». Вероятно, именно это и стало причиной для борьбы с мессенджером — руководство хочет заменить его на корпоративный «Сберчат», в который сотрудники пока не спешат переходить.
Напомним, «СберЧат» запустили 3 года назад на базе платформы dialog. Компания «Диалог» имеет лицензии ФСТЭК и ФСБ, а также зарегистрирована в реестре Минкомсвязи как издатель отечественного ПО.
🗞 Блог Кодебай
#news #messenger #telegram
😁16👍8😱5🔥1
Ретрансляция NTLM. Часть 1
NTLM-relay - это техника позволяет находиться между клиентом и сервером для выполнения определенных действий на сервере при этом, выдавая себя за клиента. Техника может быть очень мощной и может использоваться для получения контроля над доменом Active Directory из контекста black box (без учетных данных). Целью этой статьи является разъяснение NTLM relay, а также представление ее пределов.
📌 Читать статью
#network #ntlm
NTLM-relay - это техника позволяет находиться между клиентом и сервером для выполнения определенных действий на сервере при этом, выдавая себя за клиента. Техника может быть очень мощной и может использоваться для получения контроля над доменом Active Directory из контекста black box (без учетных данных). Целью этой статьи является разъяснение NTLM relay, а также представление ее пределов.
📌 Читать статью
#network #ntlm
👍10
👨🦰 Минцифры предлагает создать реестр согласий на обработку персональных данных
Минцифры предложило создать реестр согласий на обработку ПД и дать гражданам возможность отзывать их через Госуслуги. Как считают в ведомстве, это сделает управление информацией более централизованным.
В случае реализации проекта, пользователи смогут видеть все разрешения на обработку своих ПД, получать информацию о том, кому и когда они были представлены, просматривать состав персональных данных, хранящихся в организациях, и контролировать их удаление.
В министерстве считают, что в тот момент, когда эти функции станут доступны в личном кабинете пользователя на портале «Госуслуги», то гражданам будет просто следить за тем, у кого именно есть право обрабатывать их персональные данные.
По словам главы Минцифры, человек практически никогда точно не помнит, кому он дал свои персональные данные. «И у него нет возможности, которая предусмотрена законом, отозвать такое согласие».
🗞 Блог Кодебай
#news #russia #data
Минцифры предложило создать реестр согласий на обработку ПД и дать гражданам возможность отзывать их через Госуслуги. Как считают в ведомстве, это сделает управление информацией более централизованным.
В случае реализации проекта, пользователи смогут видеть все разрешения на обработку своих ПД, получать информацию о том, кому и когда они были представлены, просматривать состав персональных данных, хранящихся в организациях, и контролировать их удаление.
В министерстве считают, что в тот момент, когда эти функции станут доступны в личном кабинете пользователя на портале «Госуслуги», то гражданам будет просто следить за тем, у кого именно есть право обрабатывать их персональные данные.
По словам главы Минцифры, человек практически никогда точно не помнит, кому он дал свои персональные данные. «И у него нет возможности, которая предусмотрена законом, отозвать такое согласие».
🗞 Блог Кодебай
#news #russia #data
👍31🔥7❤1👎1😁1
Неисповедимые пути GitHub: применение самой безнадёги и на капельку выше
Весточку издалека шлем мы вам, друзья дорогие, всех приветствую и вкратце по сути пробежимся: данная писанина будет отличаться от последних и более походить на сперва изданные мной. “Так вот, как уже можно было понять, речь заведем мы о нейронных сетях”. На этом моменте половина народа, что принялась за прочтение, прошла сквозь решето темы раздела, и ушла, ибо этой штукой умудрились просверлить мозг всех, кто когда-либо был увлечен интересом этим.
📌 Читать статью
#github #apache #vulnerability
Весточку издалека шлем мы вам, друзья дорогие, всех приветствую и вкратце по сути пробежимся: данная писанина будет отличаться от последних и более походить на сперва изданные мной. “Так вот, как уже можно было понять, речь заведем мы о нейронных сетях”. На этом моменте половина народа, что принялась за прочтение, прошла сквозь решето темы раздела, и ушла, ибо этой штукой умудрились просверлить мозг всех, кто когда-либо был увлечен интересом этим.
📌 Читать статью
#github #apache #vulnerability
👍7👎1
Пентест веб-приложений: Исследование исходного кода веб-страниц. Определение точек входа. Карта приложения.
При тестировании веб-приложений методом BlackBox у нас, как правило, не будет доступа ко всем исходным кодам приложения. Однако нам всегда доступен исходный код веб-страниц. Его необходимо тщательно изучить на предмет утечек информации. Программисты, в том числе и разработчики веб-приложений, стараются комментировать свой код. Комментарии в коде полезны как во время разработки, так и после, особенно если разработчиков, работающих с данным кодом, много. Но комментарии в коде могут быть полезны и злоумышленникам, если они сожержат конфиденциальную информацию.
📌 Читать статью
#learning #pentest
При тестировании веб-приложений методом BlackBox у нас, как правило, не будет доступа ко всем исходным кодам приложения. Однако нам всегда доступен исходный код веб-страниц. Его необходимо тщательно изучить на предмет утечек информации. Программисты, в том числе и разработчики веб-приложений, стараются комментировать свой код. Комментарии в коде полезны как во время разработки, так и после, особенно если разработчиков, работающих с данным кодом, много. Но комментарии в коде могут быть полезны и злоумышленникам, если они сожержат конфиденциальную информацию.
📌 Читать статью
#learning #pentest
👍15❤1
⏰ Стартовал курс WAPT. Ещё есть возможность записаться!
10 сентября закрываем запись в осенний поток курса "Тестирование Веб-Приложений на проникновение". Поторопись!
После прохождения 4-месячного онлайн-курса WAPT вы сможете:
✔️ Находить уязвимости в веб-приложениях без использования сканеров;
✔️ Повышать привилегии на скомпрометированном сервере;
✔️ Выстраивать защиту веб-сервисов от популярных видов атак;
✔️ Закрепите основы работы клиент-серверных веб-приложений;
✔️ Сможете участвовать в Bug Bounty и зарабатывать деньги!
Курс от Codeby School будет полезен специалистам, которые уже знают основы работы TCP/IP и HTTP, а также умеют пользоваться командной строкой OS Linux.
Преимущества курса «Тестирование WEB-приложений на проникновение»:
✱ Максимум практики – выполнение заданий на тестовом стенде и проверка ДЗ;
✱ Обучение в любое время благодаря методичкам и видеоурокам в записи;
✱ Обратная связь от учеников и преподавателя в чате Telegram;
➡️ На курс можно записаться до 10 сентября включительно по ссылке: https://web-pentest.codeby.school/
10 сентября закрываем запись в осенний поток курса "Тестирование Веб-Приложений на проникновение". Поторопись!
После прохождения 4-месячного онлайн-курса WAPT вы сможете:
✔️ Находить уязвимости в веб-приложениях без использования сканеров;
✔️ Повышать привилегии на скомпрометированном сервере;
✔️ Выстраивать защиту веб-сервисов от популярных видов атак;
✔️ Закрепите основы работы клиент-серверных веб-приложений;
✔️ Сможете участвовать в Bug Bounty и зарабатывать деньги!
Курс от Codeby School будет полезен специалистам, которые уже знают основы работы TCP/IP и HTTP, а также умеют пользоваться командной строкой OS Linux.
Преимущества курса «Тестирование WEB-приложений на проникновение»:
✱ Максимум практики – выполнение заданий на тестовом стенде и проверка ДЗ;
✱ Обучение в любое время благодаря методичкам и видеоурокам в записи;
✱ Обратная связь от учеников и преподавателя в чате Telegram;
➡️ На курс можно записаться до 10 сентября включительно по ссылке: https://web-pentest.codeby.school/
👍12🤩2😢1
🔥 Стрим-интервью с Магамой Базаровым (in9uz)
Привет всем! В это воскресенье, 4 сентября, пройдёт стрим-интервью. Специальный гость - Магама Базаров!
ℹ️ Немного фактов о Магаме:
✔️ Специалист по анализу защищенности сетевой инфраструктуры и охотник за багами сетевого оборудования;
✔️ Автор нескольких статей в журнале Xakep в рубрике "Взлом", цикла статей "Nightmare" про сетевую безопасность и нескольких статей на Habr (GLBP Nightmare, Cisco Post-Exploitation, FHRP Nightmare);
✔️ В его арсенале есть собственный инструментарий для эксплуатации сетевых уязвимостей.
Его первое выступление состоялось на The Standoff Talks 2022 с докладом "Cisco Nightmare", но помимо этого он также присутствовал на OFFZONE 2022 с темой "FHRP Nightmare".
⏰ Стрим-интервью пройдёт 4 сентября, в 18:00 по мск. Ждём всех на нашем YouTube-канале!
Будет запись 🤫
#stream
Привет всем! В это воскресенье, 4 сентября, пройдёт стрим-интервью. Специальный гость - Магама Базаров!
ℹ️ Немного фактов о Магаме:
✔️ Специалист по анализу защищенности сетевой инфраструктуры и охотник за багами сетевого оборудования;
✔️ Автор нескольких статей в журнале Xakep в рубрике "Взлом", цикла статей "Nightmare" про сетевую безопасность и нескольких статей на Habr (GLBP Nightmare, Cisco Post-Exploitation, FHRP Nightmare);
✔️ В его арсенале есть собственный инструментарий для эксплуатации сетевых уязвимостей.
Его первое выступление состоялось на The Standoff Talks 2022 с докладом "Cisco Nightmare", но помимо этого он также присутствовал на OFFZONE 2022 с темой "FHRP Nightmare".
⏰ Стрим-интервью пройдёт 4 сентября, в 18:00 по мск. Ждём всех на нашем YouTube-канале!
🔥18👍14
📑 Хакеры устроили DDoS на электронный документооборот
Сайты некоторых российских сервисов электронного документооборота (ЭДО) подверглись DDoS-атакам, в результате которых у производителей остановилась отгрузка товара.
С атакой столкнулся крупный разработчик онлайн-сервисов для бухгалтерии и бизнеса «СКБ Контур». Также, представитель компании рассказал, что подобные атаки на сайты периодически происходят в течении года. Клиентам направили уведомление, в котором указали контактные данные для срочной помощи.
Сервисы ИT-компании «Такском» также подверглись атаке. «Технические специалисты «Такскома» заблокировали подозрительный трафик. Данные клиентов не пострадали и находятся в безопасности», — сообщили в компании.
DDoS-атаки на инфраструктуру операторов ЭДО подтвердила пресс-служба Минпромторга.
🗞 Блог Кодебай
#news #russia #ddos
Сайты некоторых российских сервисов электронного документооборота (ЭДО) подверглись DDoS-атакам, в результате которых у производителей остановилась отгрузка товара.
С атакой столкнулся крупный разработчик онлайн-сервисов для бухгалтерии и бизнеса «СКБ Контур». Также, представитель компании рассказал, что подобные атаки на сайты периодически происходят в течении года. Клиентам направили уведомление, в котором указали контактные данные для срочной помощи.
Сервисы ИT-компании «Такском» также подверглись атаке. «Технические специалисты «Такскома» заблокировали подозрительный трафик. Данные клиентов не пострадали и находятся в безопасности», — сообщили в компании.
DDoS-атаки на инфраструктуру операторов ЭДО подтвердила пресс-служба Минпромторга.
🗞 Блог Кодебай
#news #russia #ddos
👍8👎4
Переполнение буфера и перезапись переменных к конкретному значению - Изучение методов эксплуатации на примерах, часть 2
Доброго времени суток, посетители портала Codeby =) В предыдущей статье мы научились перезаписывать значение переменной используя уязвимость переполнения буфера. Ну чтож скажу я, продолжим изучать эту уязвимость. Описание ExploitMe: на этом уровне рассматривается концепция изменения переменных к конкретным значениям в программе и то, как переменные располагаются в памяти. Этот уровень находится в / opt / protostar / bin / stack1. Переходить в каталог не нужно, так как мы сделали это в прошлый раз.
📌 Читать статью
#learning #reverse
Доброго времени суток, посетители портала Codeby =) В предыдущей статье мы научились перезаписывать значение переменной используя уязвимость переполнения буфера. Ну чтож скажу я, продолжим изучать эту уязвимость. Описание ExploitMe: на этом уровне рассматривается концепция изменения переменных к конкретным значениям в программе и то, как переменные располагаются в памяти. Этот уровень находится в / opt / protostar / bin / stack1. Переходить в каталог не нужно, так как мы сделали это в прошлый раз.
📌 Читать статью
#learning #reverse
👍9
📲 Данные клиентов Samsung украдены в результате утечки
Компания Samsung подтвердила факт утечки данных, которая затронула личную информацию клиентов.
В конце июля 2022 года «неавторизованная третья сторона» получила информацию из некоторых систем Samsung. В ходе проводимого расследования было установлено, что личные данные клиентов были скомпрометированы 4 августа. Samsung привлекла ведущую компанию по кибербезопасности и координирует свои действия с правоохранительными органами.
«Информация, затрагиваемая для каждого соответствующего клиента, может различаться. Мы уведомляем клиентов, чтобы они знали об этом», — сообщили в Samsung. Также заявили, что номера социального страхования и кредитных карт не были затронуты, но была взята информация о клиентах — имя, контактная информация, дата рождения и регистрационная информация о продуктах.
🗞 Блог Кодебай
#news #samsung #data
Компания Samsung подтвердила факт утечки данных, которая затронула личную информацию клиентов.
В конце июля 2022 года «неавторизованная третья сторона» получила информацию из некоторых систем Samsung. В ходе проводимого расследования было установлено, что личные данные клиентов были скомпрометированы 4 августа. Samsung привлекла ведущую компанию по кибербезопасности и координирует свои действия с правоохранительными органами.
«Информация, затрагиваемая для каждого соответствующего клиента, может различаться. Мы уведомляем клиентов, чтобы они знали об этом», — сообщили в Samsung. Также заявили, что номера социального страхования и кредитных карт не были затронуты, но была взята информация о клиентах — имя, контактная информация, дата рождения и регистрационная информация о продуктах.
🗞 Блог Кодебай
#news #samsung #data
😱7😁6👍3
CTF Inclusiveness - Offensive Security
Приветствую! Стоило мне в предыдущем своем посте написать от том, что мне не попадаются коробки о которых хотелось бы написать, как сразу же мне встречается сказочный зверек в лице Inclusiveness от OffSec. Эта машина сразу же начала давать отпор и я постоянно сталкивался с вещами которые мне не знакомы, а соответственно было чему учиться
📌 Читать статью
#beginner #ctf
Приветствую! Стоило мне в предыдущем своем посте написать от том, что мне не попадаются коробки о которых хотелось бы написать, как сразу же мне встречается сказочный зверек в лице Inclusiveness от OffSec. Эта машина сразу же начала давать отпор и я постоянно сталкивался с вещами которые мне не знакомы, а соответственно было чему учиться
📌 Читать статью
#beginner #ctf
🔥12👍2
👾 Codeby на OFFZONE 2022
Этим летом прошла международная конференция OFFZONE 2022. Команда Codeby выступила со своим крутым стендом, а так же приготовила для вас обзор этого мероприятия.
🍿 Приятного просмотра!
Этим летом прошла международная конференция OFFZONE 2022. Команда Codeby выступила со своим крутым стендом, а так же приготовила для вас обзор этого мероприятия.
🍿 Приятного просмотра!
YouTube
👾 Codeby на OFFZONE 2022
Этим летом прошла международная конференция OFFZONE 2022. Команда Codeby выступила со своим крутым стендом, а так же приготовила для вас обзор этого мероприятия!
🍿 Приятного просмотра!
__________________________________________________________________________…
🍿 Приятного просмотра!
__________________________________________________________________________…
🔥25👍2❤1
♻️ Удаляем аккаунт в любом сервисе
Зарегистрироваться в любом сервисе можно без каких-либо проблем. Но часто мы можем создавать аккаунт на сайте только ради того, чтобы разово получить нужную информацию и больше не посещать этот ресурс, Оставлять в будущем бесполезный аккаунт, вероятно, с персональными данными, не самая лучшая затея.
Разумеется, сервисы не хотят, чтобы от них уходили пользователя и удаляли свои аккаунты. Поэтому кнопка "Удалить аккаунт" обычно спрятана среди множества настроек и найти её не так просто, как создать аккаунт.
При помощи онлайн-сервиса JustDeleteMe (на котором, кстати, нет регистрации) можно найти прямые ссылки на страницу для удаления своего аккаунта практически с каждого популярного сайта.
#useful #privacy
Зарегистрироваться в любом сервисе можно без каких-либо проблем. Но часто мы можем создавать аккаунт на сайте только ради того, чтобы разово получить нужную информацию и больше не посещать этот ресурс, Оставлять в будущем бесполезный аккаунт, вероятно, с персональными данными, не самая лучшая затея.
Разумеется, сервисы не хотят, чтобы от них уходили пользователя и удаляли свои аккаунты. Поэтому кнопка "Удалить аккаунт" обычно спрятана среди множества настроек и найти её не так просто, как создать аккаунт.
При помощи онлайн-сервиса JustDeleteMe (на котором, кстати, нет регистрации) можно найти прямые ссылки на страницу для удаления своего аккаунта практически с каждого популярного сайта.
#useful #privacy
👍19
Ретрансляция NTLM, Часть 2
Подпись сеанса: принцип. Подпись является методом проверки подлинности и гарантирует, что информация не была подделана между отправкой и получением. Например, если пользователь jdoe посылает текст, I love hackndo, и подписывает этот документ в цифровом виде, то любой, кто получит этот документ и его подпись. Также, можно проверить, что редактировал его jdoe, и jdoe написал это предложение, а никто другой. Подпись гарантирует, что документ не был изменен. Но тогда, какой смысл подписывать пакеты?
📌 Читать статью
#network #mitm #ntlm
Подпись сеанса: принцип. Подпись является методом проверки подлинности и гарантирует, что информация не была подделана между отправкой и получением. Например, если пользователь jdoe посылает текст, I love hackndo, и подписывает этот документ в цифровом виде, то любой, кто получит этот документ и его подпись. Также, можно проверить, что редактировал его jdoe, и jdoe написал это предложение, а никто другой. Подпись гарантирует, что документ не был изменен. Но тогда, какой смысл подписывать пакеты?
📌 Читать статью
#network #mitm #ntlm
👍9
Что такое SS7 и почему это опасно
За последние несколько десятков лет сети мобильной связи претерпели значительные изменения, где каждое новое поколение наследовало инфраструктурные решения своих предшественников. Стоит отметить, что хотя в новых сетях 4G используется другая сигнальная система, именуемая Diameter, вопросы безопасности SS7 имеют всё тот же острый характер, так как операторы мобильной связи должны обеспечить поддержку 2G и 3G сетей, а также взаимодействие между сетями разных поколений. Одной из самых крупных проблем систем 2G/3G является использование протокола сигнализации SS7
📌 Читать статью
#network #smartphone
За последние несколько десятков лет сети мобильной связи претерпели значительные изменения, где каждое новое поколение наследовало инфраструктурные решения своих предшественников. Стоит отметить, что хотя в новых сетях 4G используется другая сигнальная система, именуемая Diameter, вопросы безопасности SS7 имеют всё тот же острый характер, так как операторы мобильной связи должны обеспечить поддержку 2G и 3G сетей, а также взаимодействие между сетями разных поколений. Одной из самых крупных проблем систем 2G/3G является использование протокола сигнализации SS7
📌 Читать статью
#network #smartphone
👍11😱1