Мое место в сети

В некоммерческие воскресенья, подобные этому, я могу внести свой вклад в нашу страну в развитие технологии 3D-печати. Когда все магазины закрыты и нам нужны запчасти, с помощью приходит к нам 3d принтер. В этой записи я постараюсь представить процесс быстрого прототипирования (или, возможно, более подходящее название – быстрое создание запчастей)… Continue reading →

Сегодня запись представляет собой форму учебника о том, как создать свой собственный программируемый USB-накопитель по типу дорогой и популярной Rubber Ducky от Hak5. Он будет работать по принципу клавиатуры – подключенный к компьютеру входит в заранее запрограммированную последовательность клавиш. Первым шагом является приобретение миниатюрной платы Arduino на базе микроконтроллера ATtiny85… Continue reading →

Все конфиденциальные данные, такие как пароли, логины или номера кредитных карт, должны отправляться по зашифрованным каналам между клиентом и сервером. Это защищает пользователя отчеловека в средней атаке,где злоумышленник закрепляется за связью между пользователем и сетью, которую он в настоящее время использует. Он имеет доступ ко всей информации, передаваемой жертвой, и… Continue reading →

Проверка реализации SSL/TLS выполняется для обнаружения использования известных слабых методов шифрования или хэш-функций.  Примером этого является SSL v2,который больше не должен использоваться из-за известных уязвимостей. Другие ошибки, которые необходимо проверить, включают использование алгоритма симметричного шифрования с ключами менее 128 бит, сертификатов X.509, которые используют открытый ключ менее 1024 бит, и… Continue reading →

Поиск и вызов проанализированных сообщений об ошибках позволяет идентифицировать запущенные службы и технологии, используемые приложениями. При вызове ошибок наиболее эффективно вручную изменять HTTP-запросы, случайным образом вставляя необычные символы в различные части http-запроса. В одном из протестированных приложений образец сообщения об ошибке, показанный на рисунке ниже, показывает информацию о структуре и… Continue reading →

Целью этого теста является поиск открытых портов и идентификация служб, запущенных на них, таких как базы данных или административные интерфейсы. Полезные инструменты будут здесь — nmap порт и сервис сканера и сканера безопасности веб-приложений Nikto. На рисунке ниже показан результат сканирования протестированного приложения с помощью Nmap, которому удалось найти 15… Continue reading →

Использование анализа так называемых Например, можно узнать в заголовках ответа сервера на HTTP-запросы, какой язык программирования и серверная инфраструктура использовалась для сборки приложения. Также полезно анализировать сообщения об ошибках и исходный код. На рисунке ниже показан пример ответа сервера, из которого можно сделать вывод, что исследуемое приложение было написано с… Continue reading →

Целью идентификации точек входа в приложение является понимание протоколов и методов, используемых для передачи информации между клиентом и сервером. Посмотрите, какие отдельные параметры принимаются через HTTP-запросы, какие информационные файлы cookie хранятся и какие заголовки используются. Это показано на рисунке ниже. Это позволяет создать образ приложения относительно его логики и способа… Continue reading →