#Обучение core/vb/library/template.php 68: public function fetchBulk($template_names, $styleid = -1, $type = 'compiled', $nopermissioncheck = false) 69: { ... 121: if (!empty($templateids)) 122: { 123: $result = vB::getDbAssertor()->select('template', array('templateid' => $templateids), false, 124: array('title', 'textonly', 'template_un', 'template')); 125: 126: foreach ($result AS $template) 127: { 128: if ($type == 'compiled') 129: …

#Обучение Эпи­демии тро­янов‑шиф­роваль­щиков регуляр­но сме­няют одна дру­гую, и их мас­шта­бы все рас­тут. А за кулиса­ми этой проб­лемы сто­ят дель­цы, которые пред­лага­ют жела­ющим лег­кий спо­соб стать хакера­ми (и с хорошей веро­ятностью — зарабо­тать судимость). В этой статье я рас­ска­жу о том, как и за сколь­ко в дар­кне­те пред­лага­ют услу­ги и софт для вымога­ния денег. Но нач­нем мы с того, что раз­берем­ся в исто­рии вымога­тель­ской мал­вари. ЭВОЛЮЦИЯ ЦИФРОВОГО ГОП-СТОПА Пер­вая зафик­сирован­ная…

#Обучение Сегодня расскажем про другой инструмент позволяющий также собрать свой словарик, но имеющий ряд отличительных особенностей, а именно:  Скрипт интерактивно и последовательно задает вопросы о цели атаки и после этого создает словарь заменяя символами и цифрами буквы из заданных ей слов. Инструмент, также позволяет исключить слова из словаря, который, например, уже применялся для атаки, чтобы не было повторов и для экономии времени. Модуь “lyric pass” позволяет включать в словарь фразы и текстов песен…

#Обучение Сейчас в Интернете можно скачать огромное количество пиратских программ, большая часть из которых заражена бэкдорами, троянами, вирусами. Наивные пользователи проверяют скаченные файлы с помощью антивирусов и рассчитывают, что им это поможет.  Скрипты веб-сайтов также могут распространяться на коммерческой основе и могут быть спиратченными — взломанными. Это могут быть движки онлайн магазинов, финансовые игры на деньги и хайп проекты. Давайте вместе посмотрим, насколько реально заразить веб-приложение…

#Обучение YARA — это популяр­ный и уни­вер­саль­ный инс­тру­мент, который иног­да называ­ют швей­цар­ским ножом для иссле­дова­телей вре­донос­ных прог­рамм, но исполь­зовать его мож­но и в дру­гих целях. Сегод­ня мы выс­тупим в жан­ре «Сам себе анти­вирус» и рас­ска­жем, как с помощью YARA писать пра­вила и искать фай­лы по харак­терным приз­накам. YARA — это опен­сор­сный инс­тру­мент, который помога­ет иссле­дова­телям искать и клас­сифици­ровать вре­донос­ные сем­плы и даже про­водить Threat Hunting. Ути­лита…

#Обучение Инструменты обеспечения сетевой безопасности и инструменты для проведения тестирования на проникновение чаще всего используются службами безопасности для проведения проверки на наличие уязвимостей в сети и приложениях. В данной статье вы сможете найти всеобъемлющий список инструментов для тестирования на проникновения, который включает в себя проведения пентеста во всех средах. 10 главных инструментов хакера для взлома, пентеста и защиты систем Сканеры для различных задач, тесты на проникновения,…

#Полезное Двухфакторная (2FA) и двухэтапная (2SV) аутентификации — это способы дополнительной защиты аккаунта. Часто между ними ставят знак равенства даже разработчики. Но это неверно.  Что такое двухфакторная аутентификация?  Ключевое слово здесь — фактор. Всего их выделяют четыре:  знание чего-либо — например, логина, пароля, ключа, кодовой фразы, любой другой секретной информации, которая задаётся при создании профиля; обладание чем-либо — например, аппаратным токеном или смартфоном с приложением, генерирующим…

#Обучение В этой статье продемонстрирован один из способов получение шелла с правами суперпользователя в удаленной линуксовой системе при помощи уязвимой конфигурации phpMyAdmin В этой статье мы поговорим об эксплуатации небезопасных конфигураций phpMyAdmin и файлов, доступных для записи всем и каждому, с целью получения шелла с правами суперпользователя. Этот кейс в основном появляется в конкурсах навроде CTF (Capture the flag; Захват флага), но рассматриваемый подход для проникновения через phpMyAdmin может…

#Обучение Давайте разберем, как отслеживать пакеты, проходящие через межсетевой экран iptables.  Начальная конфигурация  Настройте rsyslog на использование файла журнала /var/log/firewall_trace.log для трассировки межсетевого экрана.  $ cat << EOF | sudo tee /etc/rsyslog.d/01-firewall_trace.conf # Log messages generated by iptables firewall to file if \$syslogfacility-text == 'kern' and \$msg contains 'TRACE' then /var/log/firewall_trace.log # stop processing it further & stop EOF  Примените конфигурацию rsyslog. …

#Обучение В этой статье, я предлагаю рассмотреть наиболее распространенные векторы атак на стек протоколов Bluetooth и затем перейти к практике. В настоящее время известно более полутора десятка возможных атак, использующих уязвимости Bluetooth на разных уровнях протокола связи. Алгоритмы шифрования, используемые при аутентификации и передаче информации между устройствами имеют некоторые уязвимости. Из известных атак, использующих эти уязвимости можно выделить атаки со взломом PIN-кода и корреляционную атаку.…

#Полезное Количество данных лавинообразно растёт: только с 2010 по 2020 год объём хранимой информации вырос в 50 раз. Число серверов Google и Amazon исчисляется миллионами. Как выразился основатель Alibaba Джек Ма, «данные – это новая нефть». Ценность информации стала сравнима с ценностью сырья. Особую важность информация приобретает в контексте её обработки с помощью машинного обучения и других современных технологий. Чем ценнее информация для бизнеса, тем выше необходимость её защиты.  Кибербезопасность относится…

#Полезное Подслушивание личных разговоров — одна из самых распространённых и неприятных угроз приватности. Не зря многие заклеивают микрофоны и камеры на ноутбуках, чтобы сохранить в секрете самые личные и приватные моменты. Что ж, пришло время заклеивать также и лидары на вашем умном пылесосе. Потому что учёные из Национального университета Сингапура нашли способ прослушки помещений с помощью пылесоса. В последнее время исследователи предложили несколько способов прослушки через разные интеллектуальные устройства…

#Обучение Всемирный «коронакризис» усилил интерес потребителей к интернет-торговле, дистанционному обучению, онлайн-коммуникациям и развлекательным ресурсам. Как следствие, на фоне неуклонного роста количества DDoS-атак произошел их резкий всплеск. Владельцы сервисов и ресурсов вынуждены удвоить свое внимание к их защите от воздействий злоумышленников и «заряженных» ими ботов.  Так как же обеспечить устойчивость и доступность онлайн-сервисов в условиях угрозы новых массивных кибератак — проплаченных конкурентами…