#hackthebox
#htb
#hacking
HackTheBox - Absolute
00:00 - Intro
01:00 - Start of nmap discovering Active Directory (AD)
04:15 - Using wget to mirror the website, then a find command with exec to run exiftool and extract all user names in metadata
06:45 - Using Username Anarchy to build a wordlist of users from our dump and then Kerbrute to enumerate valid ones
13:55 - Building Kerbrute from source to get the latest feature of auto ASREP Roasting
16:20 - Kerbrute pulled the wrong type of hash, using the downgrade to pull etype 18 of the hash
21:30 - Running Bloodhound with D.Klay, using Kerberos authentication
24:50 - Going over the bloodhound data and finding some attack paths
31:13 - Manually parsing the Bloodhound with JQ to show descriptions for all users and finding the SVC_SMB password in the Description
34:45 - EDIT: Don't want to use Blodhound? Showing LdapSearch with Kerberos, and why the FQDN has to be first in the /etc/hosts file
40:30 - End of edit: Using SMBClient with SVC_SMB and Kerberos to download files
46:22 - Sharing my internet connection from Linux to Windows, so I can run test.exe on Windows
53:45 - Running test.exe and getting m.lovegod's password from LDAP
56:30 - Going back to Bloodhound, and now we can perform the attack of adding a member to a group then creating shadow credentials for winrm_user
57:30 - Pulling a version of Impacket that has DACLEDIT and building it
1:01:00 - Running DaclEdit to give m.lovegod permission to add users to a group and then net rpc to add him
1:08:20 - Running Certipy to add shadow credentials to winrm_user so we can login
1:12:00 - Using WinRM to login to the box with our shadow credential
1:15:30 - Start of fumbling around with KRBRelay to privesc
1:18:40 - Using RunasCS to change our LoginType which may allow us to run KRBRelay
1:27:40 - Pulling the CLSID of TrustedInstaller which works and allows us to add ourselves to the administrator group
https://www.youtube.com/watch?v=rfAmMQV_wss
#htb
#hacking
HackTheBox - Absolute
00:00 - Intro
01:00 - Start of nmap discovering Active Directory (AD)
04:15 - Using wget to mirror the website, then a find command with exec to run exiftool and extract all user names in metadata
06:45 - Using Username Anarchy to build a wordlist of users from our dump and then Kerbrute to enumerate valid ones
13:55 - Building Kerbrute from source to get the latest feature of auto ASREP Roasting
16:20 - Kerbrute pulled the wrong type of hash, using the downgrade to pull etype 18 of the hash
21:30 - Running Bloodhound with D.Klay, using Kerberos authentication
24:50 - Going over the bloodhound data and finding some attack paths
31:13 - Manually parsing the Bloodhound with JQ to show descriptions for all users and finding the SVC_SMB password in the Description
34:45 - EDIT: Don't want to use Blodhound? Showing LdapSearch with Kerberos, and why the FQDN has to be first in the /etc/hosts file
40:30 - End of edit: Using SMBClient with SVC_SMB and Kerberos to download files
46:22 - Sharing my internet connection from Linux to Windows, so I can run test.exe on Windows
53:45 - Running test.exe and getting m.lovegod's password from LDAP
56:30 - Going back to Bloodhound, and now we can perform the attack of adding a member to a group then creating shadow credentials for winrm_user
57:30 - Pulling a version of Impacket that has DACLEDIT and building it
1:01:00 - Running DaclEdit to give m.lovegod permission to add users to a group and then net rpc to add him
1:08:20 - Running Certipy to add shadow credentials to winrm_user so we can login
1:12:00 - Using WinRM to login to the box with our shadow credential
1:15:30 - Start of fumbling around with KRBRelay to privesc
1:18:40 - Using RunasCS to change our LoginType which may allow us to run KRBRelay
1:27:40 - Pulling the CLSID of TrustedInstaller which works and allows us to add ourselves to the administrator group
https://www.youtube.com/watch?v=rfAmMQV_wss
YouTube
HackTheBox - Absolute
00:00 - Intro
01:00 - Start of nmap discovering Active Directory (AD)
04:15 - Using wget to mirror the website, then a find command with exec to run exiftool and extract all user names in metadata
06:45 - Using Username Anarchy to build a wordlist of users…
01:00 - Start of nmap discovering Active Directory (AD)
04:15 - Using wget to mirror the website, then a find command with exec to run exiftool and extract all user names in metadata
06:45 - Using Username Anarchy to build a wordlist of users…
Название: JavaScript с нуля до профи.
Авторы: Свекис Лоренс Ларс, Путтен Майке ван, Персиваль Роб
Год: 2023
Книга демонстрирует возможности JavaScript для разработки веб-приложений, сочетая теорию с упражнениями и интересными проектами. Она показывает, как простые методы JavaScript могут применяться для создания веб-приложений, начиная от динамических веб-сайтов и заканчивая простыми браузерными играми.
Скачать.
Авторы: Свекис Лоренс Ларс, Путтен Майке ван, Персиваль Роб
Год: 2023
Книга демонстрирует возможности JavaScript для разработки веб-приложений, сочетая теорию с упражнениями и интересными проектами. Она показывает, как простые методы JavaScript могут применяться для создания веб-приложений, начиная от динамических веб-сайтов и заканчивая простыми браузерными играми.
Скачать.
#books
#kubernetes
Название: Kubernetes изнутри
Авторы: Вьяс Дж., Лав К.
Год: 2023
В этой книге подробно рассказывается о настройке и управлении платформой Kubernetes, а также о том, как быстро и эффективно устранять неполадки. Исследуется внутреннее устройство Kubernetes – от управления iptables до настройки динамически масштабируемых кластеров, реагирующих на изменение нагрузки. Советы профессионалов помогут вам поддерживать работоспособность ваших приложений. Особое внимание уделяется теме безопасности.
Книга адресована разработчикам и администраторам Kubernetes со средним уровнем подготовки.
Скачать.
#kubernetes
Название: Kubernetes изнутри
Авторы: Вьяс Дж., Лав К.
Год: 2023
В этой книге подробно рассказывается о настройке и управлении платформой Kubernetes, а также о том, как быстро и эффективно устранять неполадки. Исследуется внутреннее устройство Kubernetes – от управления iptables до настройки динамически масштабируемых кластеров, реагирующих на изменение нагрузки. Советы профессионалов помогут вам поддерживать работоспособность ваших приложений. Особое внимание уделяется теме безопасности.
Книга адресована разработчикам и администраторам Kubernetes со средним уровнем подготовки.
Скачать.
#video
#programming
Как я не стал программистом за 8 лет | ALEK OS
00:00 Введение
03:13 Яндекс Практикум
04:54 Мой путь
https://www.youtube.com/watch?v=xnWyak3ZHoE
#programming
Как я не стал программистом за 8 лет | ALEK OS
00:00 Введение
03:13 Яндекс Практикум
04:54 Мой путь
https://www.youtube.com/watch?v=xnWyak3ZHoE
YouTube
КАК Я НЕ СТАЛ ПРОГРАММИСТОМ ЗА 8 ЛЕТ | ALEK OS
https://ya.cc/t/v8JH-_wj4JULCu — Попробуйте себя в роли «Инженера по тестированию» в Яндекс Практикуме
Соц. сети:
Телеграм - https://t.me/Alek_OS
ВК - https://vk.com/alekos1
❤️ Поддержка канала:
Бусти - https://boosty.to/alekos
Юмани - https://yoomoney…
Соц. сети:
Телеграм - https://t.me/Alek_OS
ВК - https://vk.com/alekos1
❤️ Поддержка канала:
Бусти - https://boosty.to/alekos
Юмани - https://yoomoney…
#books
#bash
Название: Идиомы bash.
Авторы: Олбинг Карл, Фоссен Джей Пи
Год: 2023
Сценарии на языке командной оболочки получили самое широкое распространение, особенно
написанные на языках, совместимых с bash. Но эти сценарии часто сложны и непонятны.
Сложность — враг безопасности и причина неудобочитаемости кода. Эта книга на практических примерах покажет, как расшифровывать старые сценарии и писать новый код, максимально понятный и легко читаемый.
Авторы покажут, как использовать мощь и гибкость командной оболочки. Даже если вы умеете писать сценарии на bash, эта книга поможет расширить ваши знания и навыки. Независимо от используемой ОС — Linux, Unix, Windows или Mac — к концу книги вы научитесь понимать и писать сценарии на экспертном уровне. Это вам обязательно пригодится. Вы познакомитесь с идиомами, которые следует использовать, и такими, которых следует
избегать.
Скачать.
#bash
Название: Идиомы bash.
Авторы: Олбинг Карл, Фоссен Джей Пи
Год: 2023
Сценарии на языке командной оболочки получили самое широкое распространение, особенно
написанные на языках, совместимых с bash. Но эти сценарии часто сложны и непонятны.
Сложность — враг безопасности и причина неудобочитаемости кода. Эта книга на практических примерах покажет, как расшифровывать старые сценарии и писать новый код, максимально понятный и легко читаемый.
Авторы покажут, как использовать мощь и гибкость командной оболочки. Даже если вы умеете писать сценарии на bash, эта книга поможет расширить ваши знания и навыки. Независимо от используемой ОС — Linux, Unix, Windows или Mac — к концу книги вы научитесь понимать и писать сценарии на экспертном уровне. Это вам обязательно пригодится. Вы познакомитесь с идиомами, которые следует использовать, и такими, которых следует
избегать.
Скачать.
Media is too big
VIEW IN TELEGRAM
Прохождение машины Chronos: 1 [VulnHub]
Уровень сложности: средний.
Ссылка на скачивание машины: https://www.vulnhub.com/entry/chronos-1,735/
Уровень сложности: средний.
Ссылка на скачивание машины: https://www.vulnhub.com/entry/chronos-1,735/
Здравствуйте, дорогие друзья.
Внимание, акция!!! Продлится 5 дней, с 3-го июля, до 7-го июля включительно.
Комплект из 4-х книг за 1770 рублей.
Две книги по цене одной:
1. «Хакинг bWAPP (buggy web application). Эксплуатация 100+ уязвимостей.»
В книге:
- Разбор и эксплуатация каждой уязвимости пошагово и максимально подробно, со цветными иллюстрациями.
- По каждой уязвимости даны рекомендации по защите.
Подробнее по ссылке: https://vk.com/uslugi-44038255?screen=group&w=product-44038255_8337216%2Fquery
2. «Уязвимости DVWA. Полное прохождение».
В книге:
- Исчерпывающее описание всех заложенных в приложение уязвимостей, на всех уровнях сложности,
включая: «low», «medium», «high».
Подробнее по ссылке: https://vk.com/uslugi-44038255?screen=group&w=product-44038255_7367979%2Fquery
Плюс 2 бонусные книги:
1. «Уязвимость SQL-инъекция. Практическое руководство для хакеров.»
2. «Уязвимость Cross-Site Scripting XSS. Практическое руководство для хакеров.»
Цена: 1770 рублей.
Для приобретения пишите: @timcore1
Внимание, акция!!! Продлится 5 дней, с 3-го июля, до 7-го июля включительно.
Комплект из 4-х книг за 1770 рублей.
Две книги по цене одной:
1. «Хакинг bWAPP (buggy web application). Эксплуатация 100+ уязвимостей.»
В книге:
- Разбор и эксплуатация каждой уязвимости пошагово и максимально подробно, со цветными иллюстрациями.
- По каждой уязвимости даны рекомендации по защите.
Подробнее по ссылке: https://vk.com/uslugi-44038255?screen=group&w=product-44038255_8337216%2Fquery
2. «Уязвимости DVWA. Полное прохождение».
В книге:
- Исчерпывающее описание всех заложенных в приложение уязвимостей, на всех уровнях сложности,
включая: «low», «medium», «high».
Подробнее по ссылке: https://vk.com/uslugi-44038255?screen=group&w=product-44038255_7367979%2Fquery
Плюс 2 бонусные книги:
1. «Уязвимость SQL-инъекция. Практическое руководство для хакеров.»
2. «Уязвимость Cross-Site Scripting XSS. Практическое руководство для хакеров.»
Цена: 1770 рублей.
Для приобретения пишите: @timcore1
#kali_linux
#metasploit
#hacking
#87 Kali Linux для продвинутого тестирования на проникновение. Эксплуатация. Metasploit Framework. Часть 2.
Здравствуйте, дорогие друзья.
Это вторая часть по инструменту Metasploit Framework.
Модули
MSF состоит из модулей, объединенных для воздействия на эксплойт. Модули и их специфические функции следующие:
• Эксплойты: фрагменты кода, нацеленные на определенные уязвимости. Активные эксплойты будут использовать конкретную цель, выполнять до завершения, а затем выходить (например, при переполнении буфера). Пассивные эксплойты ждут входящих хостов, таких как веб-браузеры или FTP-клиенты, и используют их, когда они подключаются.
• Полезные нагрузки: это вредоносный код, который реализует команды сразу после удачной эксплуатации.
Подробнее: https://timcore.ru/2023/07/03/87-kali-linux-dlja-prodvinutogo-testirovanija-na-proniknovenie-jekspluatacija-metasploit-framework-chast-2/
#metasploit
#hacking
#87 Kali Linux для продвинутого тестирования на проникновение. Эксплуатация. Metasploit Framework. Часть 2.
Здравствуйте, дорогие друзья.
Это вторая часть по инструменту Metasploit Framework.
Модули
MSF состоит из модулей, объединенных для воздействия на эксплойт. Модули и их специфические функции следующие:
• Эксплойты: фрагменты кода, нацеленные на определенные уязвимости. Активные эксплойты будут использовать конкретную цель, выполнять до завершения, а затем выходить (например, при переполнении буфера). Пассивные эксплойты ждут входящих хостов, таких как веб-браузеры или FTP-клиенты, и используют их, когда они подключаются.
• Полезные нагрузки: это вредоносный код, который реализует команды сразу после удачной эксплуатации.
Подробнее: https://timcore.ru/2023/07/03/87-kali-linux-dlja-prodvinutogo-testirovanija-na-proniknovenie-jekspluatacija-metasploit-framework-chast-2/
Этичный хакинг с Михаилом Тарасовым (Timcore)
#87 Kali Linux для продвинутого тестирования на проникновение. Эксплуатация. Metasploit Framework. Часть 2. - Этичный хакинг с…
MSF состоит из модулей, объединенных для воздействия на эксплойт.
#bug_bounty
Ios App Extraction & Analysis
https://datalocaltmp.github.io/ios-app-extraction-analysis.html
Ios App Extraction & Analysis
https://datalocaltmp.github.io/ios-app-extraction-analysis.html
/data/local/tmp
Ios App Extraction & Analysis
There are many reasons you may want to extract iOS applications; one in particular is reviewing security and privacy aspects with an analysis tool such as Ghidra. Unfortunately, unlike .apk files for Android, .ipa files cannot be side-loaded very easily;…
#bug_bounty
Cloning apk for bypassing code tampering detection, Google Safety Net and scanning vulnerable plugins
https://github.com/Anof-cyber/MobSecco
Cloning apk for bypassing code tampering detection, Google Safety Net and scanning vulnerable plugins
https://github.com/Anof-cyber/MobSecco
GitHub
GitHub - Anof-cyber/MobSecco: Cloning apk for bypassing code tampering detection, Google Safety Net and scanning vulnerable plugins
Cloning apk for bypassing code tampering detection, Google Safety Net and scanning vulnerable plugins - GitHub - Anof-cyber/MobSecco: Cloning apk for bypassing code tampering detection, Google Saf...
#kali_linux
#metasploit
#hacking
#88 Kali Linux для продвинутого тестирования на проникновение. Эксплуатация. Metasploit Framework. Часть 3. Эксплуатация целей с помощью MSF.
Здравствуйте, дорогие друзья.
MSF одинаково эффективен против уязвимостей как в операционной системе, так и сторонних приложениях. Мы разберем примеры для обоих сценариев.
Одиночные цели с использованием простого реверс-шелла.
В этом примере мы будем использовать две разные уязвимости. Первая — это знаменитая ProxyLogon-уязвимость, которую использовала группа злоумышленников Hafnium, неправильно используя Microsoft Exchange Server в марте 2021 года, которая взорвала Интернет, и привела ко многим инцидентам в области кибербезопасности, и также финансового мошенничества по всему миру. В основном, использовались четыре уязвимости:
• CVE-2021-26855: Подделка запросов на стороне сервера (SSRF) — когда злоумышленники могут отправлять специально созданные HTTP-запросы удаленно без какой-либо аутентификации, и сервер принимает ненадежные соединения через TCP-порт 443.
• CVE-2021-26857 — уязвимость небезопасной десериализации в Microsoft Exchange.
Подробнее: https://timcore.ru/2023/07/05/88-kali-linux-dlja-prodvinutogo-testirovanija-na-proniknovenie-jekspluatacija-metasploit-framework-chast-3-jekspluatacija-celej-s-pomoshhju-msf/
#metasploit
#hacking
#88 Kali Linux для продвинутого тестирования на проникновение. Эксплуатация. Metasploit Framework. Часть 3. Эксплуатация целей с помощью MSF.
Здравствуйте, дорогие друзья.
MSF одинаково эффективен против уязвимостей как в операционной системе, так и сторонних приложениях. Мы разберем примеры для обоих сценариев.
Одиночные цели с использованием простого реверс-шелла.
В этом примере мы будем использовать две разные уязвимости. Первая — это знаменитая ProxyLogon-уязвимость, которую использовала группа злоумышленников Hafnium, неправильно используя Microsoft Exchange Server в марте 2021 года, которая взорвала Интернет, и привела ко многим инцидентам в области кибербезопасности, и также финансового мошенничества по всему миру. В основном, использовались четыре уязвимости:
• CVE-2021-26855: Подделка запросов на стороне сервера (SSRF) — когда злоумышленники могут отправлять специально созданные HTTP-запросы удаленно без какой-либо аутентификации, и сервер принимает ненадежные соединения через TCP-порт 443.
• CVE-2021-26857 — уязвимость небезопасной десериализации в Microsoft Exchange.
Подробнее: https://timcore.ru/2023/07/05/88-kali-linux-dlja-prodvinutogo-testirovanija-na-proniknovenie-jekspluatacija-metasploit-framework-chast-3-jekspluatacija-celej-s-pomoshhju-msf/
Этичный хакинг с Михаилом Тарасовым (Timcore)
#88 Kali Linux для продвинутого тестирования на проникновение. Эксплуатация. Metasploit Framework. Часть 3. Эксплуатация целей…
MSF одинаково эффективен против уязвимостей как в операционной системе, так и сторонних приложениях. Мы разберем примеры для обоих сценариев.
#books
#web
Название: Безопасность веб-приложений. Исчерпывающий гид для начинающих разработчиков
Автор: Таня Янка
Год: 2023
У вас в руках идеальное руководство для тех, кто только начинает свой путь в веб-разработке и хочет научиться создавать безопасные веб-приложения. Автор подробно описывает основные уязвимости веб-приложений и предлагает практические советы по их предотвращению. Книга содержит множество примеров кода и наглядных иллюстраций, которые помогут вам лучше понять, как работают уязвимости и как их можно избежать.
Скачать.
#web
Название: Безопасность веб-приложений. Исчерпывающий гид для начинающих разработчиков
Автор: Таня Янка
Год: 2023
У вас в руках идеальное руководство для тех, кто только начинает свой путь в веб-разработке и хочет научиться создавать безопасные веб-приложения. Автор подробно описывает основные уязвимости веб-приложений и предлагает практические советы по их предотвращению. Книга содержит множество примеров кода и наглядных иллюстраций, которые помогут вам лучше понять, как работают уязвимости и как их можно избежать.
Скачать.
#hackthebox
#htb
#hacking
HackTheBox - Bagel
00:00 - Introduction
01:00 - Start of nmap
02:50 - Taking a look at the web page
04:30 - Looking for LFI, then exploring /proc to find where the application is and extracting the source code
06:30 - Taking a look at the Python Source Code and discovering port 5000 is the dotnet application and uses websockets
07:55 - Using wscat to test the websocket
09:00 - Bruteforcing the /proc/{pid}/cmdline directory in order to see running processes and find the dotnet dll
13:45 - Reversing Bagel.dll and discovering a deserialization vulnerability in dotnet which allows us to read files
15:00 - Looking at what TypeNameHandling means in NewtonSoft's deserialize
20:00 - Looking for a gadget to use with our deserialization
21:40 - Building the deserialization payload
23:20 - Dumping Phil's SSH Key, then logging in
25:00 - The dotnet app, had developers password, switching to that user
25:50 - Developer can run dotnet with sudo, using the FSI gtfobin to get a shell.
https://www.youtube.com/watch?v=teHGtY_ta40
#htb
#hacking
HackTheBox - Bagel
00:00 - Introduction
01:00 - Start of nmap
02:50 - Taking a look at the web page
04:30 - Looking for LFI, then exploring /proc to find where the application is and extracting the source code
06:30 - Taking a look at the Python Source Code and discovering port 5000 is the dotnet application and uses websockets
07:55 - Using wscat to test the websocket
09:00 - Bruteforcing the /proc/{pid}/cmdline directory in order to see running processes and find the dotnet dll
13:45 - Reversing Bagel.dll and discovering a deserialization vulnerability in dotnet which allows us to read files
15:00 - Looking at what TypeNameHandling means in NewtonSoft's deserialize
20:00 - Looking for a gadget to use with our deserialization
21:40 - Building the deserialization payload
23:20 - Dumping Phil's SSH Key, then logging in
25:00 - The dotnet app, had developers password, switching to that user
25:50 - Developer can run dotnet with sudo, using the FSI gtfobin to get a shell.
https://www.youtube.com/watch?v=teHGtY_ta40
YouTube
HackTheBox - Bagel
00:00 - Introduction
01:00 - Start of nmap
02:50 - Taking a look at the web page
04:30 - Looking for LFI, then exploring /proc to find where the application is and extracting the source code
06:30 - Taking a look at the Python Source Code and discovering…
01:00 - Start of nmap
02:50 - Taking a look at the web page
04:30 - Looking for LFI, then exploring /proc to find where the application is and extracting the source code
06:30 - Taking a look at the Python Source Code and discovering…
Дорогие друзья, внимание!!!
Временная 3-х дневная 51% скидка на видеокурс - «Тестирование на проникновение (пентест) с помощью Nmap, OpenVAS и Metasploit».
Длительность: 3 часа 30 минут.
Цена со скидкой: 2200 рублей.
Скидка действует 8, 9, и 10 июля включительно.
Данный видеокурс основан на использовании трех мощных и гибких инструментов, таких как: Nmap, OpenVAS, и Metasploit.
Курс ориентирован на начинающих пентестеров, так как информация рассматривается в нем базовая, которую необходимо знать, и понимать специфику работы с инструментами.
Содержание: https://vk.com/hacker_timcore?w=wall-44038255_7942
По вопросам приобретения пишите: @timcore1
Временная 3-х дневная 51% скидка на видеокурс - «Тестирование на проникновение (пентест) с помощью Nmap, OpenVAS и Metasploit».
Длительность: 3 часа 30 минут.
Цена со скидкой: 2200 рублей.
Скидка действует 8, 9, и 10 июля включительно.
Данный видеокурс основан на использовании трех мощных и гибких инструментов, таких как: Nmap, OpenVAS, и Metasploit.
Курс ориентирован на начинающих пентестеров, так как информация рассматривается в нем базовая, которую необходимо знать, и понимать специфику работы с инструментами.
Содержание: https://vk.com/hacker_timcore?w=wall-44038255_7942
По вопросам приобретения пишите: @timcore1
#bug_bounty
#bug_hunting
#3 Bug Bounty. Типы активов.
Здравствуйте, дорогие друзья.
В этом видео будет краткая информация по поводу типов активов, то есть выбора направления для исследования в баг хантинге.
Более подробнее в видео.
Благодарю за внимание.
https://youtu.be/TJgXv6NRcgU
#bug_hunting
#3 Bug Bounty. Типы активов.
Здравствуйте, дорогие друзья.
В этом видео будет краткая информация по поводу типов активов, то есть выбора направления для исследования в баг хантинге.
Более подробнее в видео.
Благодарю за внимание.
https://youtu.be/TJgXv6NRcgU
YouTube
#3 Bug Bounty. Типы активов.
#3 Bug Bounty. Типы активов.
Здравствуйте, дорогие друзья.
В этом видео будет краткая информация по поводу типов активов, то есть выбора направления для исследования в баг хантинге.
Более подробнее в видео.
Благодарю за внимание.
Плейлист - Bug Bounty…
Здравствуйте, дорогие друзья.
В этом видео будет краткая информация по поводу типов активов, то есть выбора направления для исследования в баг хантинге.
Более подробнее в видео.
Благодарю за внимание.
Плейлист - Bug Bounty…
«...Я большой фанат безопасности, но чтобы защищаться и писать код, который невозможно взломать, нужно знать, откуда может прийти угроза, и понимать, как хакеры взламывают сайты...»
«...Самое сложное - это "логические бомбы", или логические ошибки в коде, которые приводят к тому, что хакер может повлиять на логику выполнения работы приложения. Такие проблемы сложнее выявить, и от них сложнее всего защититься...»
«...И если вы не хотите усложнять разработку, то проще шифровать весь трафик и иметь только один-единственный идентификатор сессии...»
Михаил Фленов - «С# глазами хакера»
«...Самое сложное - это "логические бомбы", или логические ошибки в коде, которые приводят к тому, что хакер может повлиять на логику выполнения работы приложения. Такие проблемы сложнее выявить, и от них сложнее всего защититься...»
«...И если вы не хотите усложнять разработку, то проще шифровать весь трафик и иметь только один-единственный идентификатор сессии...»
Михаил Фленов - «С# глазами хакера»