Protey.Net

2020-12-25 21:11:01 [0] Введение в XXE: XML External Entities

XML-документы используются во многих форматах файлов. Вероятно, вы уже редактировали файл конфигурации, написанный в XML. Если вы создали веб-сайт, вы неизбежно отредактируете или увидите HTML. Вы также можете подумать о документах MS Office (.docx), масштабируемой векторной графике (.svg) и запросах SOAP. Широко реализованный в большинстве языков программирования, он является отличным выбором для взаимодействия. Стандарт XML описывает множество полезных функций форматирования, но мы собираемся сосредоточиться на «сущностях» из-за потенциальной уязвимости, которую они представляют.

читать далее

#web_pentest #xxe Открыть/Комментировать

2020-12-24 14:51:01 Hackcloud: IDA PRO 7.5 (SP3) + HexRays

Некоторые возможности, уникальные для этой программы:
• распознавание стандартных библиотечных функций (технология FLIRT)
• интерактивность работы
• развитая система навигации
• система типов и параметров функций
• встроенный язык программирования IDC
• открытая и модульная архитектура
• возможность работы практически со всеми популярными процессорами (список)
• возможность работы практически со всеми популярными форматами файлов (список)
• работа со структурами данных высокого уровня: массивами, структурами, перечисляемыми типами
• встроенный отладчик для Win32

подробнее на форуме

#disassembler #hackcloud #ida_pro #reverse_engineering Открыть/Комментировать

2020-12-23 16:17:01 Коварный Локи: Как авторы вредоносного ПО обманывают дизассемблеры

Доброго времени суток. Разговор сегодня пойдёт о техниках антидизассемлировании.

План рассказа:
• Разберёмся, чем отличается "линейный дизассембрер" от "поточного"
• Изучим популярные техники антидизассемблирования
• Исследуем программу с техниками антидизассемблирования

читать на форуме

#ida_pro #pestudio #reverse_engineering #reverse_assembler #reverse_pwn #антидизассемблирование #вредоносное_по Открыть/Комментировать

2020-12-20 16:39:01 Bug Bounties & Утечки GitHub

В этой статье, как не сложно догадаться из названия, речь пойдет о наградах за баги / обнаруженные уязвимости и утечках исходного кода компаний на GitHub.

Ключи API, пароли и данные о клиентах случайно публикуются на GitHub каждый день.
Хакеры используют эти ключи для входа на серверы, кражи личной информации и взимания абсурдной платы за использование AWS. Утечки GitHub могут стоить компании тысячи или даже миллионов долларов убытков. Сбор разведывательных данных с открытым исходным кодом на GitHub стал мощной стрелой в колчане каждого исследователя безопасности.

читать далее

#bug_hunting #githound Открыть/Комментировать