22
или они использовали ссылки на поддельные обновления хрома
Size: a a a
2020 July 24
RK
кто-то копает дальше "мамонтов"
оно же старое...
оно же старое...
22
В правильно drive-by как раз благодаря уязвимости, например, в браузере, все скачивается и запускается без взаимодействия с пользователем
От пользователя может потребоваться помощь в этом процессе путем включения сценариев или активных компонентов веб-сайта и игнорирования диалоговых окон с предупреждениями. ну вроде как все равно в этой технике указано что пользователь должен что то делать
MR
Что вы имеете ввиду под "стрельбой из пушки по воробьям?". SAST и фаззинг является эффективном методом обнаружения неопределённого поведения программы, особенно если эти методики внедрены на этапе именно разработки. А если мы говорим про blackbox исследования - всё зависит от рук исследователя. Если фаззить условную реализацию протокола на железке - то может уйти месяцы на эту затею, даже если исследовать с нескольких АРМ-ов, ибо железка зачастую не сможет обработать такое количество запросов и всё будет в молоко.
в данном случае было заявлено о фаззинге инфраструктуре, что само по себе довольно размытое понятие, пока что я довольно смутно могу представить действительно эффективную и масштабируемую под любую инфраструктуру реализацию. после вебинара станет понятней что именно имели ввиду авторы.
никто не оспаривает эффективность фаззинга при его корректной реализации. именно поэтому необходимо иметь хоть какое то представление о самих потоках/окружение приложения; наличие недостатков может находится и в промежуточных "точках", и не пересекаться напрямую с точках входа и выхода, что будет непосредственно сказываться на конечных результатах. вы же согласны с тем что не совсем "осознанный" фазз, без учета специфик приложения, скорее всего действительно необходим лишь для галочки и может создать ложно отрицательное представление?
кажется этот разговор начинает выходит за рамки данной группы, думаю нам стоит перейти в личные сообщения пока нас не забанили.
никто не оспаривает эффективность фаззинга при его корректной реализации. именно поэтому необходимо иметь хоть какое то представление о самих потоках/окружение приложения; наличие недостатков может находится и в промежуточных "точках", и не пересекаться напрямую с точках входа и выхода, что будет непосредственно сказываться на конечных результатах. вы же согласны с тем что не совсем "осознанный" фазз, без учета специфик приложения, скорее всего действительно необходим лишь для галочки и может создать ложно отрицательное представление?
кажется этот разговор начинает выходит за рамки данной группы, думаю нам стоит перейти в личные сообщения пока нас не забанили.
MD
в данном случае было заявлено о фаззинге инфраструктуре, что само по себе довольно размытое понятие, пока что я довольно смутно могу представить действительно эффективную и масштабируемую под любую инфраструктуру реализацию. после вебинара станет понятней что именно имели ввиду авторы.
никто не оспаривает эффективность фаззинга при его корректной реализации. именно поэтому необходимо иметь хоть какое то представление о самих потоках/окружение приложения; наличие недостатков может находится и в промежуточных "точках", и не пересекаться напрямую с точках входа и выхода, что будет непосредственно сказываться на конечных результатах. вы же согласны с тем что не совсем "осознанный" фазз, без учета специфик приложения, скорее всего действительно необходим лишь для галочки и может создать ложно отрицательное представление?
кажется этот разговор начинает выходит за рамки данной группы, думаю нам стоит перейти в личные сообщения пока нас не забанили.
никто не оспаривает эффективность фаззинга при его корректной реализации. именно поэтому необходимо иметь хоть какое то представление о самих потоках/окружение приложения; наличие недостатков может находится и в промежуточных "точках", и не пересекаться напрямую с точках входа и выхода, что будет непосредственно сказываться на конечных результатах. вы же согласны с тем что не совсем "осознанный" фазз, без учета специфик приложения, скорее всего действительно необходим лишь для галочки и может создать ложно отрицательное представление?
кажется этот разговор начинает выходит за рамки данной группы, думаю нам стоит перейти в личные сообщения пока нас не забанили.
Инфраструктуры? Не заметил, интересно, что они под этим имеют ввиду) стоит да, лучше перейти в личные сообщения
MR
https://hackzeugma.com/ - HackZeugma CTF: Industrial Control Systems Cybersecurity
Deadline to Register: 7 August
Preselection Stage: 8-9 August
CTF Semi-Finals: 14 August
CTF Finals: 26 September
The winning team will be awarded 10.000USD grand prize, while the 2nd best team will be awarded 6.000USD and the 3rd team will be awarded 3.000USD.
Deadline to Register: 7 August
Preselection Stage: 8-9 August
CTF Semi-Finals: 14 August
CTF Finals: 26 September
The winning team will be awarded 10.000USD grand prize, while the 2nd best team will be awarded 6.000USD and the 3rd team will be awarded 3.000USD.
AI
Странно, вчера в рассылке пришло. Думал новое. ))
RK
Странно, вчера в рассылке пришло. Думал новое. ))
Та оно новое, железо и софт старый
AI
Та оно новое, железо и софт старый
Аа это да
2020 July 25
P
Испанская железнодорожная компания Adif стала жертвой вымогателей REvil. Adif является государственной фирмой, которая осуществляет надзор за железнодорожной инфраструктурой, управляет железнодорожным движением и взимает плату с железнодорожных операторов.
REvil украла 800 ГБ данных у испанской железнодорожной госкомпании Adif
REvil украла 800 ГБ данных у испанской железнодорожной госкомпании Adif
H
Привет всем
H
Можете пожалуйста порекомендовать с чего нужно начать учиться, чтобы разбираться в данной сфере?
AL
@Anton_Shipulin а запинь пост со списком курсов для начинающих
H
Я просто скоро буду поступать в универ и выбрал этот путь
AR
Higashi
Я просто скоро буду поступать в универ и выбрал этот путь
Этот путь это какой? Автоматизация? Безопасность или безопасность автоматизации?)
H
Кибербезопасность
AS
Alexey Lukatsky
@Anton_Shipulin а запинь пост со списком курсов для начинающих
Пин слетает из-за связки группы с каналом
H
Особо ещё не разбираюсь в этом)
MD
Higashi
Кибербезопасность
Не тот чат, вам скорее в t.me/cyberoffru
H
Понял. Прошу прощения и спасибо