tag:blogger.com,1999:blog-6136295892540701754Wed, 28 Aug 2024 13:50:32 +0000веб-безопасностьHack4Secвебинарвеб-хакингВеб-РазведкапереводхостингBurpSuitew3afxssАналитический центрбраузерные игрывеб-вирусыуслугиhttp://anton-kuzmin.blogspot.com/noreply@blogger.com (Антон)Blogger34125tag:blogger.com,1999:blog-6136295892540701754.post-1409842129451226663Mon, 04 Aug 2014 08:33:00 +00002014-08-04T01:33:12.392-07:00 Всем привет. Недавно столкнулся с проблемой автоматизированной работы с двумя сайтами, находящимися под anti-DDoS. В первом случае нужно было побрутить PhpMyAdmin с авторизацией через post-форму, но мешала защита от CloudFlare. Вспомнив про Selenium, c помощью Python3 и WebDriver был написан простенький PoC которых отлично справился с задачей: selenium-pma-bruter.pyВо втором случае нужно было http://anton-kuzmin.blogspot.com/2014/08/ddos-selenium.htmlnoreply@blogger.com (Антон)0tag:blogger.com,1999:blog-6136295892540701754.post-2985460985970506900Mon, 24 Feb 2014 18:02:00 +00002014-02-24T10:02:27.583-08:00 P { margin-bottom: 0.21cm; direction: ltr; color: rgb(0, 0, 0); }P.western { font-family: "Times New Roman",serif; font-size: 12pt; }P.cjk { font-family: "DejaVu Sans"; font-size: 12pt; }P.ctl { font-family: "Lohit Hindi","Times New Roman"; font-size: 12pt; } Доброго времени суток, уважаемые читатели. Давно я не писал примеров по пен-тесту из собственной практики, пора это исправитьhttp://anton-kuzmin.blogspot.com/2014/02/blog-post.htmlnoreply@blogger.com (Антон)0tag:blogger.com,1999:blog-6136295892540701754.post-8168314528034269016Thu, 14 Nov 2013 14:23:00 +00002013-11-14T06:26:55.739-08:00 Приветствую. Рад поделиться с вами утилитой Masks Cuter, призванной ускорить процесс брута хешей и повысить его производительность на медленных алгоритмах или длинных масках. Её смысл прост. В каждой маске есть символы которые встречаются на определённых позициях реже остальных, но времени на них тратится на ровне со всеми. Masks Cuter берёт маску которую вам нужно обрезать и на основе данного http://anton-kuzmin.blogspot.com/2013/11/masks-cuter.htmlnoreply@blogger.com (Антон)0tag:blogger.com,1999:blog-6136295892540701754.post-1138683169495605834Thu, 31 Oct 2013 04:38:00 +00002013-10-30T21:38:13.306-07:00 Патч исправляет несколько индексов и длину поля хеша в таблицах пользователейALTER TABLE `app_users` CHANGE `hash` `hash` VARCHAR( 500 ) CHARACTER SET utf8 COLLATE utf8_general_ci NOT NULL DEFAULT '';ALTER TABLE `server_users` CHANGE `hash` `hash` VARCHAR( 500 ) CHARACTER SET utf8 COLLATE utf8_general_ci NOT NULL DEFAULT '';ALTER TABLE `server_software_users` CHANGE `hash` `hash` VARCHAR( 500 ) http://anton-kuzmin.blogspot.com/2013/10/sql-110b.htmlnoreply@blogger.com (Антон)0tag:blogger.com,1999:blog-6136295892540701754.post-5342306975037845849Sun, 27 Oct 2013 10:55:00 +00002013-10-27T03:55:14.654-07:00 Приветствую вас, уважаемые читатели! Наконец-то у меня дошли руки до Аналитического Центра и сегодня я рад сообщить о выходе версии 1.1.0b! В ней добавлен новый функционал, проведён серьёзный рефакторинг и исправлено большое количество ошибок. Скачать архив с новой версией можно здесь: https://sourceforge.net/projects/analyticalcenter/, а под катом вас ждёт список внесённых изменений. P.S. http://anton-kuzmin.blogspot.com/2013/10/1.htmlnoreply@blogger.com (Антон)0tag:blogger.com,1999:blog-6136295892540701754.post-4578075505064812281Tue, 23 Jul 2013 12:38:00 +00002013-07-23T05:38:57.134-07:00 Здравствуйте. Рад представить вам EGBTestArea – скрипт для тестирования правил и конфигураций ExtreemeGPUBruteforcer. У меня давно зародилась идея написать утилиту, которая бы проверяла множество используемых мною масок, схем и правил, и показывала какие из них более эффективные, а какие – менее, какие самые быстрые, а какие медленнее остальных. Наконец-то руки дошли до этого. Получился, по http://anton-kuzmin.blogspot.com/2013/07/egbtestarea-extreemegpubruteforcer.htmlnoreply@blogger.com (Антон)0tag:blogger.com,1999:blog-6136295892540701754.post-6584952797059343107Wed, 13 Feb 2013 15:13:00 +00002013-02-13T07:13:38.049-08:00 Всем доброго времени суток. На днях понадобилось проверить работоспособность 4 вариантов кода на разных версиях PHP (в сумме около 20). Причём изначально было понятно что 4 экземплярами дело не ограничится — в будущем подобных тестов предвидится больше. Вручную всё это делать очень утомительно, поэтому было написано 2 скрипта, которыми я бы хотел с вами поделиться. Весь рабочий процесс с нимиhttp://anton-kuzmin.blogspot.com/2013/02/php.htmlnoreply@blogger.com (Антон)2tag:blogger.com,1999:blog-6136295892540701754.post-373230979939568759Fri, 27 Apr 2012 18:57:00 +00002012-04-27T11:57:39.422-07:00 <!-- @page { size: 21cm 29.7cm; margin: 2cm } P { margin-bottom: 0.21cm } A:link { color: #000080; so-language: zxx; text-decoration: underline } --> Доброго времени суток, уважаемые читатели. Наконец-то у меня появился ещё один клиент позволивший на условиях анонимности описать решение его проблемы. Под катом рассказ о том, как происходила борьба с вредоносным кодом, http://anton-kuzmin.blogspot.com/2012/04/blog-post.htmlnoreply@blogger.com (Антон)1tag:blogger.com,1999:blog-6136295892540701754.post-3649444653538861540Sun, 18 Dec 2011 19:52:00 +00002013-02-13T00:46:49.684-08:00 <!-- @page { size: 21cm 29.7cm; margin: 2cm } P { margin-bottom: 0.21cm } H3 { margin-bottom: 0.21cm; page-break-after: avoid } H3.western { font-family: "Helvetica"; font-size: 14pt; font-weight: bold } H3.cjk { font-family: "文鼎PL中楷Uni"; font-size: 14pt; font-weight: bold } H3.ctl { font-family: "Lucidasans"; font-size: 14pt; font-weight: bold } A:link { color: #000080; http://anton-kuzmin.blogspot.com/2011/12/blog-post_9250.htmlnoreply@blogger.com (Антон)6tag:blogger.com,1999:blog-6136295892540701754.post-1320890333815464508Sun, 18 Dec 2011 19:09:00 +00002013-02-13T00:47:24.986-08:00 <!-- @page { size: 21cm 29.7cm; margin: 2cm } P { margin-bottom: 0.21cm } H3 { margin-bottom: 0.21cm; page-break-after: avoid } H3.western { font-family: "Helvetica"; font-size: 14pt; font-weight: bold } H3.cjk { font-family: "文鼎PL中楷Uni"; font-size: 14pt; font-weight: bold } H3.ctl { font-family: "Lucidasans"; font-size: 14pt; font-weight: bold } A:link { color: #000080; http://anton-kuzmin.blogspot.com/2011/12/blog-post_18.htmlnoreply@blogger.com (Антон)0tag:blogger.com,1999:blog-6136295892540701754.post-8830212776416439789Sat, 17 Dec 2011 04:21:00 +00002013-02-13T00:49:37.439-08:00 Здравствуйте. Для тех кто не смог посетить недавний вебинар выкладываю его аудио-запись. Часть 1 (43 мин/40 мб) Часть 2 (17 мин/15 мб) Хочу поблагодарить всех кто его посетил. В начале казалось что народу будет очень мало (если не ошибаюсь было человек 6-7), но уже минут через 15 я заметил что людей стало больше чем на самом первом вебинаре.&nbsp; Также большое спасибо всем кто пишет мне http://anton-kuzmin.blogspot.com/2011/12/blog-post_16.htmlnoreply@blogger.com (Антон)2tag:blogger.com,1999:blog-6136295892540701754.post-8269783988961929660Thu, 08 Dec 2011 16:35:00 +00002013-02-06T07:36:40.634-08:00w3afперевод Здравствуйте. Пару месяцев назад наша команда перевела пользовательское руководство w3af и описание всех его плагинов. Долго время мы вели переговоры с разработчиками, и даже договорились о публикации данных переводов, но почему-то до сих пор на официальном сайте они не появились (выложено только руководство, и то на SVN). Поэтому сегодня мы решили опубликовать их. Если вы не знаете что этоhttp://anton-kuzmin.blogspot.com/2011/12/w3af.htmlnoreply@blogger.com (Антон)3tag:blogger.com,1999:blog-6136295892540701754.post-5034526973921504553Wed, 07 Dec 2011 16:41:00 +00002011-12-07T08:42:28.779-08:00веб-безопасностьвеб-вирусывебинарПриветствую Вас, уважаемые читатели. Снова хочу пригласить на бесплатный вебинар связанный с веб-безопасностью. На этот раз будем обсуждать веб-вирусы. Будут рассмотрены: основные схемы заражения сайтов действия веб-мастеров при заражении способы предотвращения заражений В общем будет много интересного :) Вебинар пройдёт в среду, 14 декабря, в 19-00 по Москве. Запланированное время проведения - http://anton-kuzmin.blogspot.com/2011/12/blog-post.htmlnoreply@blogger.com (Антон)0tag:blogger.com,1999:blog-6136295892540701754.post-3995227565957932403Sun, 27 Nov 2011 13:52:00 +00002011-11-27T05:52:50.755-08:00веб-безопасностьвебинархостингЗдравствуйте. Как и обещал, выкладываю аудио-запись вебинара. Час 1 Час 2 Не мог даже представить себе что волнение в голосе будет на записи так хорошо различимо. Но ничего, в первый раз бывает :) Касательно вопросов которые мне задавали. Ответ по поводу проблем с кодировкой выложу позже. Наверное вместе со статьёй. Что касается приоритета php.ini и httpd.conf, то наибольший приоритет имеет тотhttp://anton-kuzmin.blogspot.com/2011/11/blog-post_27.htmlnoreply@blogger.com (Антон)0tag:blogger.com,1999:blog-6136295892540701754.post-2051499795941574443Sat, 26 Nov 2011 04:11:00 +00002011-11-25T20:11:34.133-08:00вебинарПриветствую всех читателей моего блога. Вчерашний вебинар прошёл, по моему мнению, очень хорошо. Обсудили множество вопросов, нашёл в своём докладе несколько неосвещённых моментов. Приятно было видеть сегодня с утра здесь и на форумах положительные отзывы слушателей. Напоминаю что в течение пары дней будет выложена аудиозапись вебинара, а ещё дня через 2, по просьбе слушателей, статья с тем что http://anton-kuzmin.blogspot.com/2011/11/blog-post_25.htmlnoreply@blogger.com (Антон)0tag:blogger.com,1999:blog-6136295892540701754.post-864414391376252046Mon, 21 Nov 2011 11:15:00 +00002011-11-21T03:17:43.521-08:00веб-безопасностьвебинархостинг <!-- @page { size: 21cm 29.7cm; margin: 2cm } P { margin-bottom: 0.21cm } A:link { color: #000080; so-language: zxx; text-decoration: underline } --> Приветствую вас, уважаемые читатели. Хочу пригласить веб-мастеров (да и вообще всех кому интересна тема защиты сайтов) на бесплатный вебинар «Выбор виртуального хостинга с точки зрения безопасности», который я буду проводить 25 ноябряhttp://anton-kuzmin.blogspot.com/2011/11/blog-post.htmlnoreply@blogger.com (Антон)2tag:blogger.com,1999:blog-6136295892540701754.post-3989702860102521326Mon, 31 Oct 2011 12:13:00 +00002011-10-31T05:24:14.076-07:00браузерные игрывеб-безопасностьвеб-хакинг <!-- @page { size: 21cm 29.7cm; margin: 2cm } P { margin-bottom: 0.21cm } A:link { color: #000080; so-language: zxx; text-decoration: underline } --> Доброго времени суток. Я занимаюсь аудитом защищённости веб-приложений. По простому — тестами на проникновение в отношении веб-сайтов. Иногда в моей практике встречаются интересные и познавательные случаи, которые я бы хотел описывать http://anton-kuzmin.blogspot.com/2011/10/blog-post_31.htmlnoreply@blogger.com (Антон)2tag:blogger.com,1999:blog-6136295892540701754.post-7606359920682461468Sat, 29 Oct 2011 11:06:00 +00002013-02-13T00:54:18.593-08:00веб-безопасностьвеб-хакингуслуги Всем доброго времени суток! Сегодня у меня не обычный, можно даже сказать немного праздничный, день. С этого момента полностью меняется формат предоставления платных услуг связанных с созданием и защитой веб-приложений, а также консультаций в данной области. Опыт, приобретённый в процессе работы с моими последними заказчиками, показал что пора вырастать из того что есть, и начинать работать http://anton-kuzmin.blogspot.com/2011/10/blog-post.htmlnoreply@blogger.com (Антон)0tag:blogger.com,1999:blog-6136295892540701754.post-7226925854836984992Thu, 29 Sep 2011 05:21:00 +00002011-11-02T20:23:28.343-07:00BurpSuiteHack4SecпереводЗдравствуйте. Сегодня, на сайте команды Hack4Sec опубликован русскоязычный перевод документации Burp Suite последней версии. С каждой новой версией убеждаюсь в том, что BS - отличная вещь, и что скоро он мне заменит все мелкие скрипты и утилиты используемые при исследовании веб-приложений. Всем кто занимается веб-безопасностью и до сих пор с ним не знаком - очень рекомендую зайти на http://http://anton-kuzmin.blogspot.com/2011/09/hack4sec-burp-suite-1401.htmlnoreply@blogger.com (Антон)0tag:blogger.com,1999:blog-6136295892540701754.post-3082609552633490797Tue, 21 Jun 2011 05:56:00 +00002011-11-02T20:23:35.841-07:00Hack4SecВеб-РазведкаЗдравствуйте. Сегодня я наконец-то закончил работу над версией 1.0.1a. Новый релиз содержит 10 значительных изменений, перечисленных под катом. Устранённые ошибки: В имя файла-отчёта фаззера всегда помещался текущий хост, а не имя карты. В некоторых случаях, при добавлении новых элементов в кару сайта, в качестве их обнаружителя всегда писался поисковик файлов и директорий. Целевые URL`ы для http://anton-kuzmin.blogspot.com/2011/06/101a.htmlnoreply@blogger.com (Антон)2tag:blogger.com,1999:blog-6136295892540701754.post-3628138981270887045Fri, 03 Jun 2011 13:43:00 +00002011-11-02T20:23:45.503-07:00Hack4SecАналитический центрЗдравствуйте. Сегодня под флагом команды Hack4Sec состоялся выпуск нового приложения, автором которого я являюсь. Это Аналитический Центр - приложение предназначенное для сбора и хранения информации при объёмных pen-тестах. Особенно оно может помочь при командной работе. Ниже приводится содержимое соответствующего поста в блоге команды Hack4Sec (оригинал). Здравствуйте. Наверное многие из нас http://anton-kuzmin.blogspot.com/2011/06/hack4sec.htmlnoreply@blogger.com (Антон)2tag:blogger.com,1999:blog-6136295892540701754.post-1678748192655743925Mon, 30 May 2011 14:54:00 +00002011-11-02T20:20:38.169-07:00xssвеб-хакингЗдравствуйте. Рад представить вам свою новую статью на тему нестандартного использования XSS-уязвимостей. В ней рассказывается как&nbsp; с помощью нехитрого JS-кода и простого PHP-приложения получать визуальные копии целых веб-приложений от лица сторонних пользователей. Рекомендую сразу качать PDF-вариант чтоб читать материал в нормальном оформлении и с адекватной шириной страницы. Автор: http://anton-kuzmin.blogspot.com/2011/05/xss.htmlnoreply@blogger.com (Антон)0tag:blogger.com,1999:blog-6136295892540701754.post-5757096022724287531Tue, 10 May 2011 07:21:00 +00002011-11-02T20:23:54.382-07:00Hack4SecВеб-РазведкаЗдравствуйте! Наконец настал час публикации первого релиза команды Hack4Sec, основным автором которого я являюсь. Для меня это даже небольшой праздник, так как на разработку ВР у меня ушло довольно много времени (примерно 6 месяцев). На данный момент продукт находится на стадии альфа-тестирования и я заранее благодарен всем кто будет им пользоваться и сообщать о недочётах (надеюсь не http://anton-kuzmin.blogspot.com/2011/05/hack4sec.htmlnoreply@blogger.com (Антон)2tag:blogger.com,1999:blog-6136295892540701754.post-6514678579659448530Thu, 27 Jan 2011 16:49:00 +00002011-01-27T08:49:53.483-08:00Буквально пару недель назад я закончил проводить анализ платного движка DiafanCMS. Вначале, увидев очень низкую стоимость продукта, я решил что уязвимостей здесь должно быть много. Но в последствии оказалось что я ошибся. Разработчикам DiafanCMS удалось создать очень хороший продукт с понятным, хорошо структурированным кодом, и отличной защитой. Но я не был бы собой еслиб мне не удалось найти http://anton-kuzmin.blogspot.com/2011/01/diafancms.htmlnoreply@blogger.com (Антон)0tag:blogger.com,1999:blog-6136295892540701754.post-1059463548504433276Thu, 27 Jan 2011 16:32:00 +00002011-01-27T08:34:52.642-08:00До нового года удалось познакомиться с проектом NgCMS. Это очень не плохой движок с приличным набором пользовательского функционала. Разочаровало одно - нет документации для разработчиков, из-за чего пришлось разбираться в NgCMS практически с нуля. Код внутри оказался достаточно простым и интуитивно понятным, но только тогда когда я хоть чуть-чуть стал понимать азы устройства этой системы. Кстатиhttp://anton-kuzmin.blogspot.com/2011/01/ngcms.htmlnoreply@blogger.com (Антон)0