Статьи - страница 114
Руководство по написанию эксплоитов для Linux. Часть II – обход ASLR для переполнения буфера с помощью инструкции ret2reg
В данном руководстве будет изложен более надежный способ эксплуатации переполнения буфера с помощью инструкции ret2reg (возврат к регистру) из программы, которая не поддерживает функционал ASL...
Руководство по написанию эксплоитов для Linux. Часть I – переполнение стека
В данном руководстве будет рассмотрен способ вызова простого переполнения стека в среде Linux.
Обход функционала SEHOP для эксплуатации переполнения буфера
Недавно корпорация Microsoft ввела в своих продуктах новый функционал безопасности под названием «Защита от перезаписи обработчика структурных исключений» (SEHOP).
Безопасность SCADA: Stuxnet – что это такое и как с ним бороться?
Stuxnet фактически является первым в истории вирусом, переступившим через границу киберпространства в реальный физический мир, первым вирусом, способным портить не только данные и программный код, но ...
Атака на TCL
Достаточно часто в ходе проведения работ по тестированию на проникновение встречаются маршрутизаторы Cisco Systems с привилегированным доступом (level 15), что позволяет использовать их для да...
Фаззинг сайта, «защищенного» mod_rewrite
Часто у web-разработчиков создается иллюзия того, что таким образом можно защитить web-приложение от атак с использованием уязвимостей SQL Injection, Cross-Site Scripting и подобных. На самом деле, эт...
Compliance как угроза
Соответствие требованиям регуляторов – одна из основных прикладных задач обеспечения безопасности компаний и организаций различных отраслей и масштабов. Несмотря на тенденцию усиления регуляторных рис...
Обзор инцидентов информационной безопасности АСУ ТП зарубежных государств
В этой статье опубликованы аналитические данные по уязвимостям в АСУ ТП.
Анализ проблем защиты от внешнего нарушителя
Одной из проблем, возникающих при планировании системы менеджмента информационной безопасности, является необходимость оценить актуальность угроз, создаваемых различными источниками.
Компьютерная контркриминалистика: состояние и перспективы
Данная статья написана с целью рассмотрения общих и некоторых перспективных методов и средств противодействия криминалистическим исследованиям компьютерной информации для создания теоретических основ,...
Юридические аспекты консалтинга в области безопасности
В последнее в профессиональной среде широко обсуждаются различные юридические вопросы о законности проведения тестов на проникновение и аудита информационной безопасности.
Аудит безопасности сетевых устройств
В данной статье былудет рассмотрен аудит сетевых устройств Cisco IOS на примере стандарта PCI DSS.
Еще один 0-day в Microsoft Windows или Stuxnet атакует (обновлено)
В этой статье я немного расскажу об уязвимости нулевого дня в Microsoft Windows и новом черве Stuxnet.
Red Card – специфика стандарта PCI DSS для RHEL. Часть первая
В данной статье будет рассмотрена настройка стандартной Linux-системы (с учетом стандартного ПО, поставляющегося в комплекте с дистрибутивом) для соответствия стандарту PCI DSS на примерах RHE...
Статистика уязвимостей веб-приложений за 2009 год
Данная публикация содержит обзорную статистику по уязвимостям в веб-приложениях, которая была получена в ходе проведения тестирований на проникновение, аудитов безопасности и других работ, выполненных...