гуд

можно еще как трекпад юзать

выглядит очуменно

++

дай ссылку на али или где

можно в личку

я пока бухой, закажу

?

пока не стоит

безполезная

штука

только для вида работает медленно

показывали такую на HWV 2-3 года назад. фан, но не более того. из плюсов разве то, что не зальешь кофе

согласен

но все же это хорошая вещь для андроид

смартфонов

На коте можно печатать

на коте неможно - сбоить будет

бляяяяяя, печатать на коте )))))))))) у меня 2 кота

можно как-то поделить клаву пополам ?

https://www.youtube.com/watch?v=1DlX2vzSwZ4 - немного баян, но тренд уже прям вот пахнет и готов вылиться во что-то)

на коте неможно - сбоить будет

Кот?

может даже и кот, я бы не рисковал

Какая милота )))

смотрел как-то TED выступление, где мужик занимался тем, что с такими спаммерами переписывался, довольно забавно (https://www.ted.com/talks/james_veitch_this_is_what_happens_when_you_reply_to_spam_email?language=ru)

смотрел как-то TED выступление, где мужик занимался тем, что с такими спаммерами переписывался, довольно забавно (https://www.ted.com/talks/james_veitch_this_is_what_happens_when_you_reply_to_spam_email?language=ru)

Я тоже переписывался, ещё бы, богатая тётка умерла, так хотелось расспросить обо всем

Хотя сейчас опаснее развод на авито. Столько народу шлёт технику в Лондон ?

Друзья, всем привет! Есть приложение(я) на java. Хочется их тестировать автоматизировано на безопасность. Соответственно нужен сканер web-уязвимостей и статический анализатор кода. Вопрос. Кто что использует/использовал? С чем был положительный опыт, а что не стоит даже нюхать? Интересуют как бесплатные тулзы, так и коммерческие.

Привет, накинте плес тем для исследовательской работы

Вообще для дипломной

Нынче очень популярна тема безопасности в АСУ ТП и интернете вещей. Более конкретно задачу описать можешь?

возьми малварь для которого ничего нет, исследуй его работу на зараженной системе реверсом и в итоге получи сигнатуры

Все упирается в конечный продукт

Конекчный продукт это результаты исследования

Ну там смыл в том что-бы в итоге получилось некое ПО

прикрути к нмапу графическую оболочку и выдай за принципиально новый сканер подсетей

web-морду

)

MANA для OpenWRT доступна https://forums.hak5.org/index.php?/topic/39096-mana-attack-for-the-pineapple/

прикрути к нмапу графическую оболочку и выдай за принципиально новый сканер подсетей

zenmap чтоли переизобрести?оО

zenmap чтоли переизобрести?оО

webnmap

напили свой протокол типа TLS

Давайте пофантазируем. У вас появился доступ к бекенду векашечки, видите сообщуньки элэсные, фоточки и прочие личные данные. Ваши действия?

Чистка пользовательских данных

У нас на защите было 2 или 3 диплома на тему "разработка защищенной системы передачи текстовых сообщений" и норм

Чистка пользовательских данных

Зеркала приватных групп

zenmap чтоли переизобрести?оО

загугли "Ревизор Сети", у нас контора купила))

загугли "Ревизор Сети", у нас контора купила))

госуха?

угу(

Друзья, всем привет! Есть приложение(я) на java. Хочется их тестировать автоматизировано на безопасность. Соответственно нужен сканер web-уязвимостей и статический анализатор кода. Вопрос. Кто что использует/использовал? С чем был положительный опыт, а что не стоит даже нюхать? Интересуют как бесплатные тулзы, так и коммерческие.

В свое время XSpider'ом искали. Но я так, краем глаза на это смотрел. Насколько адекватные у него отчеты и актуально ли сегодня сказать не могу.

Вопрос. Напрямую со sparkfun в Россию случайно никто не заказывал? Интересно как быстро доставляют и вот это все.

Как в ведроиде игнорировать некоторые нажатия? Мб есть что то готовое?

Есть годные ссылки почитать про российские законы о защите персональных данных, неавторизованном доступе и т.п?

152-ФЗ, стобр

Есть годные ссылки почитать про российские законы о защите персональных данных, неавторизованном доступе и т.п?

УК РФ 272-274, 137-139 КоАП ч.13 ФЗ 149 Об информации информационных технологиях и о защите информации

На вскидку)

По законам:

152-ФЗ «О персональных данных» 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации по вопросам осуществления государственного контроля (надзора) и муниципального контроля» ПП-1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» приказ ФСТЭК России от 18.02.2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» приказ ФСБ России от 10.07.2014 г. № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» постановление Правительства от 19.08.2015 г. № 857 «Об автоматизированной информационной системе «Реестр нарушителей прав субъектов персональных данных»

благодарю)

Народ вопрос такой, мб подскажет кто . При формировании ClientHello packet для tls добавляю tls extensions. Вот вопрос как раз по расширениям, как правильно формировать этот список, просто бывает так, что при не правильном сформированном списке или при добавляении расшириния которое не поддерживает сервак, соединение разрывается или вылетает ошибка неправильного сформированного пакета (поведение вроде нормальное по описанию в RFC). Как мне правильно сформировать extensions list или как узнать список поддерживаемых расширений сервера?

ERROR: S client not available

давай на примере

2 байта длина всех расширений —------------------------------------— 2 байта тип расширения 2 байта длинна текущего расширения

дальше уже в зависимости от конкретного расширения

например для расширения Elliptic Curves будет такое продолжение 2 байта длина списка кривых(например 6 байт), дальше идут эти шесть байт 00 17 00 18 00 19 - идентификаторы кривых

2 байта длина всех расширений —------------------------------------— 2 байта тип расширения 2 байта длинна текущего расширения

слова из песни фараона )

Описание структур я брал из RFC, все вроде ништяк. Больше интересно, какие вообще расширения должны присутствовать в client hello, просто при отправке такого списка у меня либо алерт вылетает либо неправильно "Malformed packet (т.е. неправильно сформирован пакет) (server_name) (max_fragment_length) (client_certificate_url) (trusted_ca_keys) (truncated_hmac) (user_mapping) (client_authz) (server_authz) (cert_type) (elliptic_curves) (ec_point_formats) (srp) (heartbeat) (status_request_v2) (signed_certificate_timestamp) (client_certificate_type) (server_certificate_type) (padding) (renegotiation_info) (server_name) (max_fragment_length) (client_certificate_url) (trusted_ca_keys) (user_mapping) (truncated_hmac) (elliptic_curves) (status_request); Но отпавив например такой список(server_name) (signature_algorithms) (heartbeat);

он жует норм

Смотрю вообще при подключении к различным серверам у каждого client hello список расширений различный , как вообще он формируется пока не ясно

читаю RFC

но там жара

40-50 страниц по каждому расширению

+ общая RFC

Бывает так, что при подключении клиентом с одним списком расширений сервер возвращает вообще другой

»»»»»> какие вообще расширения должны присутствовать в client hello никакие, на то они и расширения обычно примерно так выглядит Extension: server_name Extension: status_request Extension: elliptic_curves Extension: ec_point_formats Extension: signature_algorithms Extension: SessionTicket TLS Extension: Application Layer Protocol Negotiation Extension: Extended Master Secret Extension: renegotiation_info

Друзья, всем привет! Есть приложение(я) на java. Хочется их тестировать автоматизировано на безопасность. Соответственно нужен сканер web-уязвимостей и статический анализатор кода. Вопрос. Кто что использует/использовал? С чем был положительный опыт, а что не стоит даже нюхать? Интересуют как бесплатные тулзы, так и коммерческие.

Привет. По статик анализу - FindSecurityBugs, можно ещё Sonar. В целом откровенные косяки ловят, но не более. Логических ошибок вряд ли найдут

Из коммерческих мы юзаем Kiuwan, дёшево и примерно как остальные открытые.. Вместе находят больше) но в целом они имеют смысл на очень некачественом сорсе... На нормальном - только ручками

Ещё пробовали триал новомодного Checkmarx (от $20К в год лицензия на 1тело) - на практике не лучше старых примитивных систем оказался.. Ну это может и специфика конкретного кода, хз) но цена-качество не очень

Ещё пробовали триал новомодного Checkmarx (от $20К в год лицензия на 1тело) - на практике не лучше старых примитивных систем оказался.. Ну это может и специфика конкретного кода, хз) но цена-качество не очень

Хм. Эти парни вроде входят в квадрант гартнера, при чем они были то ли в лидерах, то ли в челенджерах. Т.е. ка бы совсем не плохие должны быть.

А вот не юзал ли кто наш PT AI? Или Solar InCode?

Так-то да. Но вот что видел сам, то и говорю. На реальном приложении оказалось оч близко к fb, ну и false positive дохера - ну это у всех.. Там дай бог 3 бага валидных, а отчёт на 600страниц)

При том ручками нашли более 30 рекомендаций..

Код 50к строк

https://www.itcentralstation.com/products/kiuwan#product-alternatives-section

Да, понятно, что ручками точнее всего. Но не очень это масштабируемо, когда дофига написано и дофига пишется каждый день.

Ладно, будем пилотировать. Напишу потом, что зашло получше.

Ладно, будем пилотировать. Напишу потом, что зашло получше.

Да, интересно будет узнать, как у других:)

А вот не юзал ли кто наш PT AI? Или Solar InCode?

Не пробовали. Интересно тоже. Там триалы есть? На следующий аудит в марте можем взять...

китайцы так глубоко пиздец не засовывают, всего лишь apk и сервисы троянские)

Китайцы такое решето делают, что с обычным митм без ssl можно подменить обнову. У российских вендоров тоже самое

Не пробовали. Интересно тоже. Там триалы есть? На следующий аудит в марте можем взять...

Ну с PT можно договорится о пилотной проверке кода. Они к тебе и спеца пригонят, и ПО. Во всяком случае так было летом. Думаю, вряд ли сильно изменилось. А что у вас за аудит?