Уязвимости вашего приложения
https://goo.gl/CsYz4Y
Size: a a a
2018 February 21
http://ssh-tunnel.in/viewtopic.php?f=5&t=32816
Обновлена версия от 17.02.2018 Double SSH Tunnel Manager Commercial (активирована до 01.01.2019)
Новая версия 17.02.2018
+ TorNET - раздаем сеть тор по WI-FI
+ TorBridge - Подключаем виртуальные машины к сети Tor
+ доработки TorIM Chat
+ доработки скриншотера
+ оптимизация
Обновлена версия от 17.02.2018 Double SSH Tunnel Manager Commercial (активирована до 01.01.2019)
Новая версия 17.02.2018
+ TorNET - раздаем сеть тор по WI-FI
+ TorBridge - Подключаем виртуальные машины к сети Tor
+ доработки TorIM Chat
+ доработки скриншотера
+ оптимизация
Уязвимость в uTorrent Web позволяет загрузить произвольный файл в папку автозагрузки: демо
https://goo.gl/BJUrWK
https://goo.gl/BJUrWK
Скрипты для майнинга криптовалюты могут работать внутри документов Word
https://goo.gl/mjmaex
https://goo.gl/mjmaex
2018 February 22
Антивирус Google Play Protect не узнает половину вредоносных программ
https://androidinsider.ru/polezno-znat/antivirus-google-play-protect-ne-uznaet-polovinu-vredonosnyih-programm.html
https://androidinsider.ru/polezno-znat/antivirus-google-play-protect-ne-uznaet-polovinu-vredonosnyih-programm.html
какая красота — полностью написанное на Питоне средство удаленного управления Маком после удачного взлома. Модульное, умеет выкачивать пароли из Хрома, токены iCloid, делать фото камерой, качать историю из браузера, пытается получить рута, и тд.
https://github.com/Marten4n6/EvilOSX
https://github.com/Marten4n6/EvilOSX
какое-то время назад известный сервис Have I been pwned, позволяющий проверить, не утекла ли ваша учетная запись где-нибудь во время очередного взлома, запустил похожий сервис, позволяющий проверить пароль на предмет утечек. У сервиса скопилась достаточно большая база не только учетных записей, но и паролей, так что есть против чего проверять. Конечно, у настоящих параноиков возникнет подозрение, что этот сервис используется для дальнейшего сбора паролей, поэтому они не рискнут туда вводить свои данные. Но если вы не носите шапочку из фольги 24 часа в сутки, то вам сюда
https://haveibeenpwned.com/Passwords
А вот по этой ссылке как раз описано, как сервис обеспечивает безопасность тех паролей, которые вводятся в поле поиска
https://www.troyhunt.com/ive-just-launched-pwned-passwords-version-2#cloudflareprivacyandkanonymity
Кстати, в качестве бонуса есть такие вот проекты типа этого (https://gist.github.com/sebkinne/c26064b27d26c44e8d13ed9e6582550c), который использует API have i been pwnd, и его можно подключить к своему сервису или приложению, и советовать пользователям не пользоваться уже утекшими паролями, например. Короче, сплошная польза
https://haveibeenpwned.com/Passwords
А вот по этой ссылке как раз описано, как сервис обеспечивает безопасность тех паролей, которые вводятся в поле поиска
https://www.troyhunt.com/ive-just-launched-pwned-passwords-version-2#cloudflareprivacyandkanonymity
Кстати, в качестве бонуса есть такие вот проекты типа этого (https://gist.github.com/sebkinne/c26064b27d26c44e8d13ed9e6582550c), который использует API have i been pwnd, и его можно подключить к своему сервису или приложению, и советовать пользователям не пользоваться уже утекшими паролями, например. Короче, сплошная польза
Смотрите "Exploit Kit Cornucopia" на YouTube
https://youtu.be/s6_faEjf4AQ
https://youtu.be/s6_faEjf4AQ
Смотрите "OpenCrypto: Unchaining the JavaCard Ecosystem" на YouTube
https://youtu.be/vd0-Uhx2OoQ
https://youtu.be/vd0-Uhx2OoQ
2018 February 23
Я вчера писал о сервисе проверки утёкших паролей, который позволяет проверить, стоит ли использовать ваши пароли или они уже вовсю циркулируют в интернете (https://t.me/alexmakus/1794). А вот сервис 1Password, выпускающий одноименный менеджер паролей, уже прикрутил себе проверку этих паролей по API, чтобы, так сказать, далеко не ходить. Очевидно, их вполне устраивает то, как там обеспечивается сокрытие проверяемых паролей.
https://blog.agilebits.com/2018/02/22/finding-pwned-passwords-with-1password/
https://blog.agilebits.com/2018/02/22/finding-pwned-passwords-with-1password/
2018 February 24
Не так давно мы активно спорили, можно ли создавать новые аккаунты с логинами аккаунтов, которые давно удалены. Вроде бы сошлись, что это сомнительная практика. И вот отличился твиттер: можно переименовывать аккаунты, причём даже после того, как он получил плашку «verified account».
Использовали это для банального фрода на криптовалютах. http://www.buzzfeed.com/charliewarzel/twitter-allowed-cryptocurrency-scammers-to-hijack-verified
Использовали это для банального фрода на криптовалютах. http://www.buzzfeed.com/charliewarzel/twitter-allowed-cryptocurrency-scammers-to-hijack-verified
Все время рассказываю, что в отношении ИИ никогда нельзя забывать по потенциале для махинаций и манипуляций. Вот вам отличная и прямо элементарная реализация, которая позволяет выбрать куда и какую точку поставить на изображении, чтобы системы распознавания ошибались с максимальной вероятностью. Т.е. буквально, CV видит на видео грузовик, ты ставишь точку на изображении и грузовик превращается в лягушку.
https://github.com/Hyperparticle/one-pixel-attack-keras
Приятно осознавать, что я такой эксперимент провел больше года назад, а результаты все еще актуальны. Если вы не видели, вот тут я писал http://addmeto.cc/1433.html
https://github.com/Hyperparticle/one-pixel-attack-keras
Приятно осознавать, что я такой эксперимент провел больше года назад, а результаты все еще актуальны. Если вы не видели, вот тут я писал http://addmeto.cc/1433.html
Смотрите "Hacking Serverless Runtimes: Profiling AWS Lambda Azure Functions & More" на YouTube
https://youtu.be/GZBiz-0t5KA
https://youtu.be/GZBiz-0t5KA
Смотрите "CSS Keylogger - old is new again" на YouTube
https://youtu.be/oJ6t7AImTdE
https://youtu.be/oJ6t7AImTdE
2018 February 25
Личный опыт: подборка материалов о виртуальной инфраструктуре, ИБ и трендах на рынке IaaS
https://goo.gl/VSPb1H
https://goo.gl/VSPb1H
