Ответы пользователя по тегу Информационная безопасность
  • Так ли легко подобрать cvc/cvv?

    @DaNHell
    Change the world
    Дмитрий: заблуждаетесь) в России только жулик возвращает средства потерпевшим, в USA возвращает банк. Даже больше скажу в РФ иногда даже заставляют заяву накатать потерпевшего, хотя он может быть вообще не осведомлен и жить спокойно не заметив пропавшей суммы. Ну "очень" логичные объяснительные в таких случаях пишут... аля мне позвонил сотрудник бстм, сообщил, я проверил средства, это все спустя месяц +. И заканчивается всегда "ущерб был для меня значительный".
    Вообщем то больше зависит от самого клиента, кому надо - то вернет, под суетится.

    По бруту, почему бы и нет? много bottle neck'ов в хорошем смысле по сей день разбросано, на глупость головной коробки девелоперов, или на радость грамотным ресёрчерам)
    Уверен, у простого человека при всем желании не получится его брутфорсить. Таймауты, бан IP, ограничение попыток ввода.
    CVC/CVV не брутфорсят - его тупо крадут используя наивность и глупость пользователя, фишинг, инъекции и прочие механизмы.


    Выходит я - робот, или марсианин. Вопрос не "ЧТО" (в данном случае сбрутить) нужно задавать, а именно "КАК".

    на 3х летнем опыте в самой любимой и для меня полностью, неконкурентной, сфере - как "bruteforce", половину из решений в десятки раз сложнее были по сравнению с данной задачкой ... учитывая что кол-во не типичных и абсолютно разных решений переваливает за 2000...

    p.s. понятное дело на прямую в процессинг тебя быстренько пошлют. как всегда говорю - комплексный подход.. всегда найдется выход...
    Ответ написан
    2 комментария
  • Какой алгоритм лучше использовать для хеша пароля?

    @DaNHell
    Change the world
    Bycrypt верно, гуд.
    Вообще защита пользовательских паролей в бд составляеться из расчета:
    возможная компроментация системы, допустим сегодня Вас хэкнули, слили БД, нужно крякнуть пассы. Конечно в ход идет первым делом всевозможные finder.insidepro.com (довольно сильная и внушительную БД товарищи собрали) и другие сервисы включая cmd5.
    Из этого логически можно понять, чтобы сразу не остаться в луже, обязательно использовать алгоритм с salt. Дабы ваши юзеры прожили спокойно еще чуть времени)
    И дальше простой расчет идет, к примеру md5 средний показатель гдето 10M/hs, грубо говоря если политика паролей включает минимум 8 знаков разного регистра и использование символов, хэшкрякинг затянеться примерно на недельку для нахождения 90-95% паролей.
    Остюда делаем выводы: если обычный md5 - делайте политику смену паролей еженедельно
    если bycypt (blowfish) - можно ограничеться полугодовым или годовым периодом обязательной смены паролей.

    P.s. В прошлогоднем контесте hashrunner на PHDays 2015, нашей и остальными командами не было ни 1 bycrypt крякнуто, хотя может ошибаюсь по поводу лидирующей команды. Но имхо, просто не тратили время на это. Мы заняли 4 место, немного отстав 3ие. С учетом что первые 3 - несменные лидеры и отцы хэшкрякинга (hashcat/insidepro/jhontheripper)
    Вот так вот. Думаю вопрос будет решен)
    И надеюсь это очень серьезный подход к безопасности? Или халатность в защите самой системы, другими словами - почти уверены что вашу бд сольют?))
    Ответ написан
    Комментировать
  • Сколько могут зарабатывать пентестеры на фрилансе? Чем они занимаются?

    @DaNHell
    Change the world
    По большей части все равно беремся за простые задачи по типу автоматизации.
    А так если чисто пентест - hackerone.com и другие
    По теневому рынку в среднем 500$ за БД
    Не напрягаясь спокойно 2000-3000$ в месяц есть
    Ответ написан
    2 комментария
  • Какие есть хорошие книги по тестированию веб-сайтов на проникновение?

    @DaNHell
    Change the world
    лучшая книга - это опыт
    тестируй все найденные сканерами уязвимости в ручную, ищи инфу и пробуй
    Просто теория малополезная, наберешь основы тогда уже почитать можно любые книго, выявишь из них что-то для себя новое
    Ответ написан
    6 комментариев
  • Видит ли вебвизор метрики litres, когда платишь через iframe payonline, данные карты?

    @DaNHell
    Change the world
    c iframe, редирект по сути.

    dKhkeqc.jpgKyJeT8c.jpg

    а по поводу метрики.. POST же запрос...
    Вместо страницы c результатом отправки формы плеер отображает ошибку или неверную страницу. Почему?

    Вероятно, форма отправляет данные методом POST.
    При загрузке данных в плеер Вебвизор использует только метод GET. Это связано с тем, что POST-запросы обычно ведут к выполнению каких-либо действий: отправке заявки, оформлению заказа и т. п. Если бы Вебвизор использовал метод POST, он бы полностью эмулировал действия посетителя, и при каждом воспроизведении такой страницы вам бы повторно приходила заявка или на сайте повторно оформлялся заказ.
    Чтобы страница с результатом отправки формы отображалась в плеере корректно, перейдите на странице редактирования счетчика в раздел Вебвизор, а затем включите опцию Запись страниц при просмотре посетителем (тип Из браузера).
    Ответ написан
    Комментировать
  • Как взаимодействовать с API AlienVault Ossim?

    @DaNHell
    Change the world
    Комментировать
  • Где описаны стандарты безопасности в веб-приложениях?

    @DaNHell
    Change the world
    owasp
    коротко, понятно и "со вкусом"
    https://www.owasp.org/index.php/REST_Security_Chea...
    Ответ написан
    Комментировать
  • Как извлечь запароленные файлы в архиве?

    @DaNHell
    Change the world
    SHA256 AES OPENCL / PKZIP etc.
    Зависит от типа архива и его защиты.

    Не совсем понятно в итоге пароль на вордовских док-ах или на самом архиве?
    Просмотреть через текстовик... Думаю воздержусь от "пожелать удачи")

    Если известена хотябы примерная маска и пасс точто не в юникоде, могу по-пробовать помочь

    Орудие
    ZIP convert to PK key (не забываем опции экспортирования добавлять)

    with non-handled compression type
    ver 14  Otvety.zip->▒?▒▒/▒▒▒▒▒▒1.doc PKZIP Encr: cmplen=9496, decmplen=54272, crc=617BEE
    ver 14  Otvety.zip->▒?▒▒/▒▒▒▒▒▒10.doc PKZIP Encr: cmplen=9190, decmplen=54272, crc=B56E9B32
    ver 14  Otvety.zip->▒?▒▒/▒▒▒▒▒▒11.doc PKZIP Encr: cmplen=9052, decmplen=54272, crc=2DD38465
    ver 14  Otvety.zip->▒?▒▒/▒▒▒▒▒▒12.doc PKZIP Encr: cmplen=9530, decmplen=55296, crc=FD98DF13
    ver 14  Otvety.zip->▒?▒▒/▒▒▒▒▒▒13.doc PKZIP Encr: cmplen=8803, decmplen=52736, crc=913EF8DD
    ver 14  Otvety.zip->▒?▒▒/▒▒▒▒▒▒14.doc PKZIP Encr: cmplen=9170, decmplen=54784, crc=C60DE077
    ver 14  Otvety.zip->▒?▒▒/▒▒▒▒▒▒15.doc PKZIP Encr: cmplen=9353, decmplen=54784, crc=AEF01BB9
    ver 14  Otvety.zip->▒?▒▒/▒▒▒▒▒▒16.doc PKZIP Encr: cmplen=10530, decmplen=58368, crc=66D17BF2
    ver 14  Otvety.zip->▒?▒▒/▒▒▒▒▒▒17.doc PKZIP Encr: cmplen=8629, decmplen=52736, crc=D0578D5A
    ver 14  Otvety.zip->▒?▒▒/▒▒▒▒▒▒18.doc PKZIP Encr: cmplen=10098, decmplen=57344, crc=A21B197F
    ver 14  Otvety.zip->▒?▒▒/▒▒▒▒▒▒19.doc PKZIP Encr: cmplen=10201, decmplen=57344, crc=40C7934C
    ver 14  Otvety.zip->▒?▒▒/▒▒▒▒▒▒2.doc PKZIP Encr: cmplen=9231, decmplen=52736, crc=C12E9BE0
    ver 14  Otvety.zip->▒?▒▒/▒▒▒▒▒▒20.doc PKZIP Encr: cmplen=8905, decmplen=53248, crc=5B52EE53
    ver 14  Otvety.zip->▒?▒▒/▒▒▒▒▒▒21.doc PKZIP Encr: cmplen=9090, decmplen=55296, crc=139FB0
    ver 14  Otvety.zip->▒?▒▒/▒▒▒▒▒▒22.doc PKZIP Encr: cmplen=9193, decmplen=55296, crc=C2A6239C
    ver 14  Otvety.zip->▒?▒▒/▒▒▒▒▒▒23.doc PKZIP Encr: cmplen=9126, decmplen=54272, crc=D1C3A90C
    ver 14  Otvety.zip->▒?▒▒/▒▒▒▒▒▒24.doc PKZIP Encr: cmplen=9020, decmplen=54784, crc=5443EC77
    ver 14  Otvety.zip->▒?▒▒/▒▒▒▒▒▒25.doc PKZIP Encr: cmplen=9007, decmplen=54272, crc=1B99375B
    ver 14  Otvety.zip->▒?▒▒/▒▒▒▒▒▒26.doc PKZIP Encr: cmplen=9389, decmplen=53248, crc=A97FA303
    ver 14  Otvety.zip->▒?▒▒/▒▒▒▒▒▒27.doc PKZIP Encr: cmplen=9962, decmplen=57344, crc=46F28A21
    ver 14  Otvety.zip->▒?▒▒/▒▒▒▒▒▒28.doc PKZIP Encr: cmplen=8869, decmplen=52224, crc=B06C551E
    ver 14  Otvety.zip->▒?▒▒/▒▒▒▒▒▒29.doc PKZIP Encr: cmplen=8795, decmplen=53248, crc=39472DB
    ver 14  Otvety.zip->▒?▒▒/▒▒▒▒▒▒3.doc PKZIP Encr: cmplen=9109, decmplen=54272, crc=37E6BB60
    ver 14  Otvety.zip->▒?▒▒/▒▒▒▒▒▒30.doc PKZIP Encr: cmplen=9411, decmplen=56320, crc=4647C5D6
    ver 14  Otvety.zip->▒?▒▒/▒▒▒▒▒▒4.doc PKZIP Encr: cmplen=9177, decmplen=54272, crc=CD8B9706
    ver 14  Otvety.zip->▒?▒▒/▒▒▒▒▒▒5.doc PKZIP Encr: cmplen=9678, decmplen=57856, crc=4B78428
    ver 14  Otvety.zip->▒?▒▒/▒▒▒▒▒▒6.doc PKZIP Encr: cmplen=10217, decmplen=57344, crc=B4CFEC52
    ver 14  Otvety.zip->▒?▒▒/▒▒▒▒▒▒7.doc PKZIP Encr: cmplen=9278, decmplen=52736, crc=CEA461CE
    ver 14  Otvety.zip->▒?▒▒/▒▒▒▒▒▒8.doc PKZIP Encr: cmplen=9790, decmplen=55808, crc=237B82C
    ver 14  Otvety.zip->▒?▒▒/▒▒▒▒▒▒9.doc PKZIP Encr: cmplen=8988, decmplen=52736, crc=CEBA78EB
    ver 14  efh 7075  Otvety.zip->▒▒▒▒ ?▒▒▒.txt PKZIP Encr: 2b chk, TS_chk, cmplen=209, decmplen=348, cr
    c=FEF9CA70
    Otvety.zip:$pkzip2$3*2*1*0*8*24*b56e*4215*1bd6db0c79bb1ebc15be150bde93d0b606bc0ca3e9eec360fa3f5fb337
    2dc91872c0dc90*1*0*8*24*0061*56d7*15fa04cf85ddc0bdaf06b889adf43f2ad566f4491b1bb6dab29d16a3ae6d501e74
    37f684*2*0*d1*15c*fef9ca70*44cb9*4f*8*d1*fef9*b1cd*c5525c06c317f899e760fc3c6b041b521e22f576df7ec2c8d
    11442d1d3a33ec0262d5ebfe44479eec197445994fb39161dd9dd68831a12573445b3d6e190132a9a930a2ec8a3c8909648f
    c681690786d3fa398726bd8da987ac19595653d48df4dad0850be4bd234703db9680c1c0e0eb25c3e4bb2ef065d8b9c14d57
    e669f65dfffd3dd5c153796fce11233f4ff3f2fe6e70eb36dd403bedfa9b3b048fb48bc1a671fab8b00b5480a29c3be4a72b
    5454c12ce658e9d9c5985dd1ee47d8cbece513aad56725384e69996dc2ce38a50d268*$/pkzip2$:::::


    P.S. Были б WORD, сразу бы помог. А сейчас действительно не достаточно времени. Если не горит, думаю к концу недельки появиться пароль в plaintext ;)
    Ответ написан
  • Сканер уязвимостей CMS

    @DaNHell
    Change the world
    Ну идеального нету ввиду кол-ва добавляющихся CVE
    https://github.com/Dionach/CMSmap
    Из последних, свою работу выполняет на ура.
    Конечно же без умений и знаний он будет бесполезен полностью)
    Ответ написан
    Комментировать
  • Как сейчас распространяются вирусы?

    @DaNHell
    Change the world
    Что значит "сейчас"?
    Распространяют сегодня также как и раньше. Принцип не меняется, разве что только специфика и методы реализации.

    Тут конечно расписывать можно ооооочень долго, перечислить десятки, даже сотни методов имеющих названия и определения в той-же википедии.
    Банально контент. Варезники, торренты, аттачи, спам соц-сетей. Так-же получают доступы к серверам для update коммерческих софтверных компаний, пилят под видом обновы (которые логично, обновляются автоматически). Ну и тд и тп.
    Самое успешное я считаю это связки-эксплойты. Найти девелопера это везение все жизни наверно, а обычно арендуют связку (порядка 1000-3000$ за СУТКИ!!) и пускают на нее траф. Там уже по CVE бразуеров/флеш/JS и тд получают кучу, огромную кучу конф. информаций, доступов и тд.

    Ну Вас больше интересует статитика.

    У касперского можно найти множество виртуализаций
    Apt и ДДос атакв реальном времени.
    Ну обобщенно Общая статистика угроз
    Ответ написан
    Комментировать
  • Надо ли сообщать о найденной уязвимости?

    @DaNHell
    Change the world
    Хех) Ну начнем с того что "Волков бояться...".
    Если захотят - найдут, даже не отправив им report c Вашей стороны.
    Если все это делалось (как я полагаю - все-же попробовали пароль от админки?), с толком, и хотя-бы элементарным канальным шифрования подключения (смотря как еще взаимодействовали кроме ftp), а лучше в комплексе - аля vpn / vps / vds.
    Уж вряд ли думаю за баг репорт будут копаться...

    Используйте тикеты на сайте/сайтах (электронную почту лучше сразу отбросить), другие контактные данные с начальством: icq/ IM/ skype/ номер телефона (фри смс с сайта оператора).

    Ну и конечно если у них попахивает web dev'ом, то можно поискать Bug Tracking System, пускай даже будет только для team разрабов. Так сказать приятно удивите их )

    А так просто сообщите и не паранойте, забугром такие повадки оценивают и благодарят не только словом.
    В РФ же максимум - словом, и еще хорошо если добрым )) Но абузить Ваш IPшник никто не будет. По крайней мере серьезные компании..
    Да и с "обратной стороны" вопрос уже обсуждался
    Comments
    Ответ написан
  • Сколько бpyтфopcить такой пароль?

    @DaNHell
    Change the world
    Да замечательная штука как плановая смена паролей взята не из воздуха, и не по чей то хотелки.
    Рассчитывается из параметров: алгоритм хеширования, минимальные требования к паролю и ~кол-во юзеров.
    В булке например md5(md5($salt).md5($pass)) скорость брута через cuda среднего класса - 152.0 MH/s (150 миллиона хешей в секунду)!
    Ну это конечно прогресс, 21 век.

    Довольно старая таблица, но все-же
    8tvdxh2.png

    Но это мы говорим про полный перебор.
    Но атаки по маске/правилам/словарям/гибридные и конечно же по радужным таблицам делают свое дело на ура.
    Грубо говоря имея дамп 100к юзеров login : (md5), в течении 3-5 минут получаем результат в более чем 50% подобранных паролей.

    Да и также стоит отметить что увеличивать длину пароля конечно же стоит, увеличив на 2 символа (с 10 до 12) грубо говоря усложняем задачу подбора в 300-500 раз.
    НО: Учитывая что это не просто добавление хоть еще 6-8 букв (словосочетаний) словарных/алфавитных.
    Т.е. ItsGoodPassword даже увеличив до ItsReallyVeryGoodPassword пароль, противостоять сможет всего пару секунд гибридной атаке.

    На 2008 год брут через GPU (UPPER CASE + lower case + digs + symbols)
    • all 6 character password MD5s 3 seconds
    • all 7 character password MD5s 4 minutes
    • all 8 character password MD5s 4 hours
    • all 9 character password MD5s 10 days
    • all 10 character password MD5s ~625 days
    • all 11 character password MD5s fuggedaboudit

    Но на получение 12 символьного пароля ушло далеко не несколько лет, а всего 75 дней.

    P.S. От себя добавлю отличный совет: Если есть возможность - используйте нетрадиционные раскладки языка, спец. символы (которые не так уж и сложно прописывать - FAQ По винде поможет).
    Ну а если еще и закреплять это все стойкостью пароля.. То вы в защите от криптографических атак... но далеко не в абсолютной безопасности...
    Ответ написан
    1 комментарий
  • Безопасен ли Yaware клиент для фрилансера?

    @DaNHell
    Change the world
    Выводы делать только Вам.
    _app.yaware.ru
    /info.php
    /.htaccess
    ------
    _yaware.ru
    ?coupone_code=94102_</script><script>
    /lib/jquery-ui/js/jquery-ui-1.9.2.custom.min.js

    bugs.jqueryui.com/ticket/6016
    php.net/manual/en/filesystem.configuration.php
    php.net/ini.core
    en.wikipedia.org/wiki/Cross-site_scripting
    php.net/manual/en/function.phpinfo.php

    ну и тд и тп
    Ответ написан
    Комментировать
  • Что такое IPsec туннели?

    @DaNHell
    Change the world
    Ничего себе глупый.. Достойный вопрос.

    IPsec является сетевым уровнем 3-его уровня сетевой модели стека OSI (эталонной/ГОСТ).
    Он отвечает за определение меньшего маршрута и построению логических адресов.

    Для наглядности ворую из вики табличку:
    4Bgqr5Y.png
    Модель OSI, которая используется в TCP/IP, проверяет входящие данные. Собственно инкапсуляцией передаются данные от (1) уровня и выше по иерархии.

    Непосредственно IPsec является протоколом чем-то средним между нижними уровнями (где простата выбора взаимодействий и легкое восприятия для приложений, но требуется выбор конкретного протокола) и верхними, и тому же IPsec используется в известном всем протоколе этого уровня - IP. Вообщем решили его использовать как универсальный инструмент для организации защищенного канального соединения.

    Немного про туннелирование.
    IPsec работает и там и сям) В подключениях типа l2tp т.к. он выполняет роль "маршруто-строителя" он направляет и мы удачно коннектимся к нашей приватной сети.
    Либо выполняет работу в туннельном режиме. В данном варианте шифрует все исходящие пакеты и инкапсулирует в данные нового пакета.
    Собственно в туннельном режиме и происходит коннект в VPN, точнее как сказано выше направляет, шифрует, инкапсулирует.

    p.s. на самом деле как начал расписывать, понял что не так просто объяснить конкретно смысл и взаимодействия... огромное кол-во "но" и "если"...
    Извиняйте, самоучка, познавал эти все тайны без гугла/википедий к тому-же...
    Ответ написан
    Комментировать
  • Bug bounty в Neteller?

    @DaNHell
    Change the world
    Ну для таких случаев лучше пользоваться програмами типо hackerone. Там хоть и обещанны решения спорных вопросов, однако не заметил при багрепорте qiwi. Только последние, даже не фичей прикрылись, а не успел за 2 часа, после 15 дневнего ожидания ответа, найти новый баг, видите ли этот уже прикрыли как окозалось - знач ты не пентестер, а никчемный скрипт кидди.
    Хотя забугор куда более с большой "Б" лояльны и честны в этом деле.
    Приведи реальные примеры использования и потенц. угрозы найденого бага и reward твой
    Ответ написан
  • Соотношение уникальных и повторяющихся символов в пароле, что лучше?

    @DaNHell
    Change the world
    Думаю так смысл понятнее будет :3

    Сисадмин желал подобрать себе стойкий пароль для централизованной авторизации через radius-сервер. Он обратился за советом к Инь Фу Во.

    Как вы думаете, Учитель, пароль "史達林格勒戰役" стойкий?
    Нет, – ответил мастер Инь, – это словарный пароль.

    Но такого слова нет в словарях…
    «Словарный» означает, что это сочетание символов есть в wordlists, то есть «словарях» для перебора, которые подключаются к программам криптоанализа. Эти словари составляются из всех сочетаний символов, которые когда-либо встречались в Сети.

    А пароль «Pft,bcm» подойдёт?
    Вряд ли. Он тоже словарный.

    Но как же? Это же…
    Введи это сочетание в Гугле – и сам увидишь.

    Сисадмин защёлкал клавишами.
    О, да. Вы правы, Учитель.

    Через некоторое время Сисадмин воскликнул:
    Учитель, я подобрал хороший пароль, которого не может быть в словарях.
    Инь Фу Во кивнул.
    Я ввёл его в Гугле, – продолжал Сисадмин, – и убедился, что в Сети такого сочетания нет.
    Теперь есть...
    Ответ написан
    Комментировать
  • Почему csrf не кладут в Cookie?

    @DaNHell
    Change the world
    Так вообще-то именно в этом и суть)
    Токен генерируется при каждом запросе новый и устанавливается в cookies пользователя а также добавляется в параметры форм и ссылок на странице:
    Token.png
    И затем при получении каждого запроса сравнивается токен из куков и токен указанный в параметрах формы. И если они одинаковы, то источник запроса легален. Затем токен генерируется снова, и снова устанавливается в куки, и т.д. по кругу.
    Ответ написан
  • Что нужно знать, чтобы стать хакером?

    @DaNHell
    Change the world
    7 Steps to Become a Hacker:
    1) learn
    2) try
    3) learn again
    4) try again
    5) try UNTIL
    6) share
    7) return to 1).
    Ответ написан
    4 комментария