да днс то пофиг, snmp скорее всего паблик будет, можно посмотреть какую-то инфу

надежды на паблик))

надежды на паблик))

надежды - они на private, а павлик - он вездесущ )

надежды - они на private, а павлик - он вездесущ )

<s>sarcasm )

понял, спасибо!

а вообще -O тебя спасет)

(но это не точно)

801/tcp open http nginx 1.4.6 (Ubuntu) - 146% за натом)

гадание на tcp-портах ) пхх

Я хуею от воскресных вечеров

Я хуею от воскресных вечеров

ты зол, потому что закончился ягерь?

а вообще -O тебя спасет)

Aggressive OS guesses: Linux 3.10 - 4.8 (96%), Linux 3.16 - 4.6 (95%), Linux 3.2 - 4.8 (94%), Linux 3.2 - 3.8 (93%), Linux 4.4 (93%), ux 3.13 - 3.16 (91%) No exact OS matches for host (test conditions non-ideal). Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

ты зол, потому что закончился ягерь?

*почесал литр водки внутри *

*почесал литр водки внутри *

куда в тебя столько помещается)

Да после пива же

Да после пива же

пиво без водки - деньги на ветер?)

Регекспы про печень подставь

а блинчиками проложил?

Ребят, привет. У меня есть небольшой вопрос: есть ли какая-нибудь (консольная) тула, к котрой бы вам хотелось иметь (веб-)интерфейс? Это нужно в качестве ненапряжной темы диплома, которая должна быть связана с ИБ, но чувак умеет тупо кодить, не больше.

inspec

Ребят, привет. У меня есть небольшой вопрос: есть ли какая-нибудь (консольная) тула, к котрой бы вам хотелось иметь (веб-)интерфейс? Это нужно в качестве ненапряжной темы диплома, которая должна быть связана с ИБ, но чувак умеет тупо кодить, не больше.

tcpdump? :)

радар?

радар?

Радар не предлагать)

Тем паче там Cutter появился

Тем паче там Cutter появился

не повод перестать шутить

Ребят, привет. У меня есть небольшой вопрос: есть ли какая-нибудь (консольная) тула, к котрой бы вам хотелось иметь (веб-)интерфейс? Это нужно в качестве ненапряжной темы диплома, которая должна быть связана с ИБ, но чувак умеет тупо кодить, не больше.

netmap

+ api

Спасибо за ответы, ребят) Если у кого ещё есть наболевшее - отпишите, плиз.

по udp пройдись

хрень какую-то выдал:

Device type: firewall|remote management|proxy server|general purpose|specialized|media device|phone|WAP Running (JUST GUESSING): Juniper embedded (94%), Digi embedded (94%), Citrix embedded (94%), Linux 2.6.X|3.X (94%), VMware ESX Server 3.X (94%), Amazon embedded (93%), Asus embedded (93%), Google Android 4.X (93%) OS CPE: cpe:/o:linux:linux_kernel:2.6.11 cpe:/o:vmware:esx:3.0:2 cpe:/o:google:android:4.4.2 cpe:/h:asus:rt-n56u cpe:/o:linux:linux_kernel:3.4 Aggressive OS guesses: Juniper SA2500 SSL VPN gateway or Digi Passport console server (94%), Citrix Access Gateway VPN gateway (94%), Linux 2.6.11 (94%), Linux 2.6.18 (94%), Linux 2.6.18.8 (openSUSE 10.2) (94%), Linux 2.6.18.8 (openSUSE 10.2, SMP) (94%), Linux 2.6.20.6 (94%), Linux 2.6.23 (94%), VMware ESX Server 3.0.2 (94%), Amazon Kindle Paperwhite (93%)

хрень какую-то выдал:

порты то какие открыты?

По udp нет

да, я как раз собираюсь с мыслями чтобы зарепортить в ББ по этому поводу ?

да, я как раз собираюсь с мыслями чтобы зарепортить в ББ по этому поводу ?

блин)

Всем привет. Такой вопрос: у нас есть где-нибудь в России университет, где читают курс а-ля "Безопасная разработка ПО" или что-то вроде этого? При этом в меньшей степени важно качество, хотя бы наличие. Если есть пример какого-то зарубежного курса, тоже подойдёт. Пробовал поискать, что-то ничего толком не нашёл, может кто подскажет?

Всем привет. Такой вопрос: у нас есть где-нибудь в России университет, где читают курс а-ля "Безопасная разработка ПО" или что-то вроде этого? При этом в меньшей степени важно качество, хотя бы наличие. Если есть пример какого-то зарубежного курса, тоже подойдёт. Пробовал поискать, что-то ничего толком не нашёл, может кто подскажет?

Эм, почему-то подумалось о программной инженерии

Эм, почему-то подумалось о программной инженерии

А что программная инженерия? Программная инженерия – это в целом про программирование, а меня интересует именно упор на безопасность

А что программная инженерия? Программная инженерия – это в целом про программирование, а меня интересует именно упор на безопасность

Кб

Кб

Ты имеешь в виду специальность "компьютерная безопасность"?

Ты имеешь в виду специальность "компьютерная безопасность"?

То, что выше ты написал - в России вряд-ли есть

То, что выше ты написал - в России вряд-ли есть

Да, я потому в чат и написал, вдруг кто слышал, что один какой-нибудь универ когда-нибудь такое делал

Но в целом я приблизительно такого результата ожидал, конечно

Но в целом я приблизительно такого результата ожидал, конечно

Есть методология SDLC. Secure Development LifeCycle

Но её каждый формирует сам

Технология понятно, мне именно университетский курс интересно)

Технология понятно, мне именно университетский курс интересно)

В ШАД Яндекса будет курс по ИБ

В ШАД Яндекса будет курс по ИБ

В Яндексе эта методология хорошо поставлена.

Технология понятно, мне именно университетский курс интересно)

1. Поступаешь на ПИ/ИС 2. Поступаешь на КБ 3. .... 4. Profit!

Технология понятно, мне именно университетский курс интересно)

https://academy.yandex.ru/events/system_administration/msk-2018/

Гугл много курсов на подобную тематику выдает

https://academy.yandex.ru/events/system_administration/msk-2018/

Близко к тому, что мне надо, спасибо!

Загадка что может крошить udp пакеты, что udp checksum failed

mtu

хотя не, на udp это никак не влияет

Загадка что может крошить udp пакеты, что udp checksum failed

Где ты увидел что чек сума неверная?

В сохабре и призадумался

Никсовые машины начали срать вот таким (ждем картинку)

Как правило сервисам слушающим udp наплевать на чек сумму и операционной системе тоже

Чек сумму можно выставлять в ноль при сборке пакета и все будет работать это если инкапсулировать в IPv4, но если на сетевом уровне IPv6 то неправильная чек сумма в пакете может привести к тому, что операционная не примет такой пакет

Как правило сервисам слушающим udp наплевать на чек сумму и операционной системе тоже

Вот в связи с чем и вопрос, wtf?!

Некоторые клиенты выставляют чек сумму в udp пакете нулевую и это им не мешает работать (в IPv4 сети)

ERROR: S client not available

С драйвером сетевого адаптера e1000 виртуалки постоянно жалуются. Возможно, дело в этом.

Ну да, возможно драйверу сетевого адаптера просто лень считать чек сумму, короче если работаешь в IPv4 сети не парься все будет работать и со сломанной чек суммой

Я не парюсь, меня парит причина :) и развал в сферы

Это лишь симптомы чего-то более интересного

Это лишь симптомы чего-то более интересного

Или не очень интересного, ведь этот драйвер начинает меньше сбоить, если отключить TSO, GSO и GRO Можешь попробовать, кстати ethtool -K eth0 gso off gro off tso off

Он не сбоил пару лет

Только нагрузка на проц увеличится

Потом просрался вот этим и снова все ок

Всем привет. Такой вопрос: у нас есть где-нибудь в России университет, где читают курс а-ля "Безопасная разработка ПО" или что-то вроде этого? При этом в меньшей степени важно качество, хотя бы наличие. Если есть пример какого-то зарубежного курса, тоже подойдёт. Пробовал поискать, что-то ничего толком не нашёл, может кто подскажет?

https://security.mirea.ru/the-department/department-of-applied-information-technology/

Вот не пойму… разве ровный код, без костылей с хорошей архитектурой, не является безопастным?

не всегда

Вот не пойму… разве ровный код, без костылей с хорошей архитектурой, не является безопастным?

Ты можешь со стройной архитектурой без костылей хранить пароли пользователей плейнтекстом

Не всегда это понятно… но для этого и есть допольнительное образование от того же CEH или ему подобных… То есть по факту, в универе мы учим как ровно всё делать. А уже некоторые нюансы учим с дополнителных курсов.

Вот не пойму… разве ровный код, без костылей с хорошей архитектурой, не является безопастным?

Можно долго флеймить, но я лучше спрошу: а вы доверяете компилятору, на котором пишете код?

Можно долго флеймить, но я лучше спрошу: а вы доверяете компилятору, на котором пишете код?

Гы, я пишу на пхп, это интерпретационный язык который не компилиться

Ты можешь со стройной архитектурой без костылей хранить пароли пользователей плейнтекстом

Ну хранить плэйн текстом пароли это явно кривая архитектура

https://security.mirea.ru/the-department/department-of-applied-information-technology/

Спасибо, погляжу, что у них есть

Ну хранить плэйн текстом пароли это явно кривая архитектура

Почему? К архитектуре это не имеет никакого отношения кмк

Почему? К архитектуре это не имеет никакого отношения кмк

вот да… спорный вопрос...

Архитектура, опять-таки, не требует от тебя использовать вообще хоть какое-то шифрование при передаче и хранении каких-либо данных

Не всегда это понятно… но для этого и есть допольнительное образование от того же CEH или ему подобных… То есть по факту, в универе мы учим как ровно всё делать. А уже некоторые нюансы учим с дополнителных курсов.

CEH? клоуны...

стикеры запрещены

CEH? клоуны...

Возможно… в данной теме я ещё совсем ребёнок, так что глубоких познаний о разных цырках и их сравнения не имею…

Архитектура, опять-таки, не требует от тебя использовать вообще хоть какое-то шифрование при передаче и хранении каких-либо данных

Тут может получится дыра со стороны не самого приложения, а места хранения данных… получается что архитектура приложения хороша, однако в совокупности система уязвима

Гы, я пишу на пхп, это интерпретационный язык который не компилиться

CVE-2005-3390. Понятно, что баге почти 15 лет, а есть гарантия, что нет других?

CVE-2005-3390. Понятно, что баге почти 15 лет, а есть гарантия, что нет других?

воооу, спасибо, даже и не знал о таком =О Та ясное дело, но опять же, тут идёт немного безсмысленность курсов… на курсах врятли будут раскрывать 0дей

получается лучше научится ровно писать код ну а ежедневное повишение квалификации никто не отменял… то на то выходит

Архитектура, опять-таки, не требует от тебя использовать вообще хоть какое-то шифрование при передаче и хранении каких-либо данных

Не буду спорить, каждый под архитектурой понимает своё. Я считаю, что использование незащищённых протоколов это архитектурная ошибка. Ты считаешь, что нет. А есть какое-нибудь общепринятое определение архитектуры ПО?

Вот не пойму… разве ровный код, без костылей с хорошей архитектурой, не является безопастным?

перевый вполне ровный и без костылей cursor.rawQuery(‘select * from users where email = ’ + email) cursor.prepareAndExecute(‘select * from users where email = %s’, email)