Вчера, в мною любимом twitter'е, появился твит от @0x6D6172696F (Mario), где он сообщил о проведении очередного мини-конкурса. Задание было следующим - необходимо выполнить JavaScript-код в браузере IE8 с определённым вектором. На сегодня конкурс уже пройден, хочу описать попытки и результаты.  
(читать дальше...)

теги: IE8, XSS, CSS  | показов: 22  | комментарии: 0

Лето подходит к концу, как и многие другие замечательные вещи. Так, недавно закончилась конференция SyScan, которая проходила в Тайвани, городе Тайпей, 19-20 августа. В данном посте я опишу своё путешествие на конференцию. Предупреждаю, что будет много субьективности и личных впечатлений, поэтому, кому это неинтересно, тот может не читать.  
(читать дальше...)

теги: Coseinc, SyScan, Taipei, конференция  | показов: 93  | комментарии: 2

В последнее время произошло очень много движений в сфере ИБ по теме Responsible Disclosure. Хочется отметить, что в основном позитивных. Здесь я хотел бы осветить главные пики данной активности. Итак, обо всём по порядку.  
(читать дальше...)

теги: уязвимости, деньги, Mozilla, Microsoft, Google, FD, RD  | показов: 58  | комментарии: 0

Думаю, многие, если не все, но слышали про 0day уязвимость в Microsoft Windows Help Centre, про которую известил Tavis Ormandy. Если говорить про рунет, то кое-как медии этот факт осветили, но я не нашёл никаких дискуссий по поводу того, как поступил исследователь с нравственной точки зрения. А тем не менее, за пределами рунета тема responsible disclosure касательно данной уязвимости вызвала бурный шквал эмоций, критики и множество постов. Я бы хотел поведать о том, что же там происходит и высказать свои мысли.  
(читать дальше...)

теги: RD, Microsoft, Google, taviso, 0day  | показов: 69  | комментарии: 0

Обновляйте свои метасплойты, если вы этого ещё не сделали. Metasploit расширяет свои горизонты и теперь предоставляет консоль для управления скомпрометированными серверами. А именно, позволяет эксплуатировать уязвимости типа RFI.  
(читать дальше...)

теги: Metasploit, PHP, RFI  | показов: 106  | комментарии: 0

Итак, официально подвели итоги и опубликовали имена победителей данного конкурса. Напомню, что MOPS (Month of PHP Security) проводится с целью повысить безопасность как самого PHP, так и веб-приложений. Последний раз был в 2007 году, но в марте этого года, Stefan Esser, главный организатор конкурса, решил возобновить традицию и дать шанс исследователям провить себя. В течение месяца публиковались разные уязвимости (разработчики были уведомлены) и статьи. Ну а теперь пара слов про конкурс и призовые места.  
(читать дальше...)

теги: уязвимости, SyScan, статья, PHP  | показов: 150  | комментарии: 1

Название: Gray Hat Python.
Сайт: http://nostarch.com/ghpython.htm
Автор: Justin Seitz.
ISBN-10: 1-59327-192-1
ISBN-13: 978-1-59327-192-3  
(читать дальше...)

теги: книга, Python, fuzzing  | показов: 71  | комментарии: 0