В прошлом видео я поспешил рассказать и показать SQL Injection на практике, а в этом видео я хочу сделать шаг назад и поговорить чуть больше о теории и больше рассмотреть небольших примеров. Новое видео: SQL Injection - теория и примеры
Сейчас увидел новость, что в США произошло резкое сокращение количества заражений ransomware. Сначала я не понял, в чем проблема почему именно сейчас такое резкое падение, неужели русским хакерам не нужны американские деньги?
Дело в том, что правительство США не разрешает выплачивать выкуп российским хакерам, поэтому когда какая-то компания или организация страдает от ransonwaee, то просто никто не говорит, что это русских хакер виноват. И это работает, потому что и раньше было очень сложно доказать, откуда действительно растут корни софта, который зашифровал компьютеры, кто именно сделал это. Все выкупы идут через криптовалюты, которые невозможно отследить.
Что не так с этим кодом? Он читает номер корзины из плюшек, а это небезопасно. Хакер может менять у себя локально номер корзины в плюшках и увидеть чужие данные. Надеюсь, что там не будет персональных данных, хуже если кто-то может увидеть чужой заказ Order, там может быть адрес доставки и даже данные кредитки. Я однажды нашёл подобное на одном из американских электронных магазинов. Хорошо, что здесь Guid, его перебрать сложно, но все равно, я бы не стал хранить такое значение в плюшках. Да и смысл хранить отдельно корзину, когда она должна быть привязана к сессии (анонимная) или пользователю и личшнюю плюшку и нужно будет пересылать с каждым запросом.
Какая слабая попытка развести от имени Netflix, ведь в sms не спрятать URL, а тут даже не пробовали придумать адрес, похожий на реальный. Могли же придумать что-нибудь типа netflix.missedpyment.com, хоть немного реальнее выглядело бы.
Даже не знаю, это хорошая новость или плохая, но Майкрософт каким-то образом собрали данные по всем кибератаками и пришли к выводу, что Россия отвечает за 58% из них. Второе место у Северной Кореи с 23%, а США в списке вообще нет.
Мне интересно, каким образом Северная Корея атакует остальных и зачем?
Я не понял, каким образом считались данные о взломах – по паспортам хакеров или по IP адресу? Даже не знаю, как комментировать еще эти заявления, пошел искать хоть какие-то доказательства этим утверждениям. Надеюсь они есть, ведь MS и правительство США не могут просто обвинять без доказательств.
Сегодня появилась информация о том, что в My Book Live (о моем диске я писал здесь) найдена уязвимость, которая позволила хакерам удаленно очищать устройство. Подтверждаю, уязвимость действительно есть, мой WD Live не просто очищен, он сброшен в ноль. Все настройки сброшены, информация утеряна, он полностью чистый, как будто только вышел с завода.
И кто ответит за это? Я WD уже давно не доверяю, потому что компания просто забила на своих пользователей и перестала обновлять устройства c 2015-го года, а ведь на их борту Linux, в котором за последние годы нашли много уязвимостей. Я в настройках WD отключил возможность подсоединения к WD серверам, вручную несколько раз обновил Linux на устройстве.
Уважаемые хакеры, если вы хотите украсть у меня 1.99 американских доллара и присылаете фейковое письмо, то хотя бы указывайте нормальную дату доставку. А может 29 февраля было указано намеренно, что мол жди своей посылки, пока не наступит 29 февраля?
В Microsoft считают, что над крупнейшим и самым громким взломом SolarWinds работало по меньшей мере тысяча человек.
Brad Smith - президент Microsoft назвал атаку самой крупной и сложной, которую только видел мир. Сейчас 500 сотрудников MS расследуют происшедшее.
1000 хакеров. Жесть. Как президент смог подсчитать? Чем все эти тысяча человек занимались?
И эту новость я прочитал не в русми, а в американских. Там это сейчас на первой странице. Чувак вроде бы продал доступ к 4,887 аккаунтам.
У меня первая же мысль – это на сколько человеку нужны были деньги, что он рискнул и начал продавать доступ к почтовым ящикам. Интересно, сколько он получал в Яндексе, что пошел на такой шаг, ведь судя по новости он был одним из трех администраторов, у которых были такие права.
Сейчас на синусе (cnews.ru) прочитал новость о том, что один специалист по безопасности доказал, что можно взломать любое устройство. Уязвимость оказывается в том, что почти все устройства при первом включении создают открытую сеть и ожидают первичной настройки. Вот это новость!
Лично я никакой проблемы так и не увидел. Я включаю устройство и начинаю первую настройку, после чего кофеварка или лампочка подключается к системе умного дома и к ней уже подключиться нельзя. Если кто-то сидит прямо под домом круглые сутки в ожидании, когда я включу новое устройство, я тоже проблем не вижу. Если у меня не получиться запустить новое устройство, я тут же могу сбросить его на заводские настройки и повторить попытку.
Программист, автор нескольких книг серии глазами хакера и просто блогер. Интересуюсь безопасностью, хотя хакером себя не считаю
Copyright © 2025 Михаил Флёнов. Тираж 1 штука. Отпечатано на ноутбуке. А за права отвечаю, или постараюсь.
А здесь еще и копирайт поставлю: Professional Web Development.
На сайте используются Cookie. Если вы из ЕС или Калифорнии США, то вы должны согласиться с их использованием - Согласен. Если вы из нормальной страны, то вам пох.
