На киевской партнерской конференции 1С-Битрикс Александр Сербул рассказал о сути гибких методологий проектирования и разработки, их практическом применении, подводных камнях и непростых, но эффективных компромиссах, позволяющих победить.
На семинаре вы познакомитесь с продвинутыми техниками анализа безопасности системы. Увидите на практическом примере взлома контроллера домена реализацию различных сценариев:
— как выполняется начальное проникновение;
— как выполняется перечисление по протоколу SMB;
— как может быть атакован файловый сервер;
— как используются сертификаты в процессе взлома;
— какие существуют эксплойты для перехвата хэшей;
— как происходит уклонение от систем защиты;
— как выполнить атаку Pass-the-Hash;
— как устранять неполадки, возникающие в процессе использования инструментов.
Семинар будет интересен слушателям, прошедшим или планирующим прохождение курсов:
Сегодня будем строить компактную шагающую машину которая будет сама наводиться на свою жертву и идти к ней. А по ходу дела покажу вам разные простые механизмы которые имитируют шаги живых существ, и программу в которой можно смоделировать нужный профиль шага.
Если вы захотите собрать такого же робота, то вот ссылки на комплектующие, которые я использовал для проекта.
В этом видео я расскажу о лучшей по моему мнению игровой приставке для Retro игр. Её основой послужит мини компьютер под названием Raspberry Pi 3 Model B (plus).
Данная консоль умеет воспроизводить практически все игровые платформы из 80-х 90-х и 00-х годов. Такие как NES, SNES, Sega, ZX Spectrum, PS1 Nintendo 64 Так же обладает многими преимуществами в виде гибких настроек под любые экраны, контроллеры и системы связи. По идее из проводов требуется только питание и кабель для передачи видео. остальное может быть беспроводным, так как Raspberry оборудован Wifi и Bluetooth связью
Ссылки на страницы с комплектующими для сборки такой приставки и ознакомления
— Весь комплект сразу ali.pub/3hpo54 (Raspberry Pi 3 Model B Plus, блок питания, флешка 32G sd, HDMI кабель, радиаторы и вентилятор Геймпады 2 шт. и корпус Retroflag NESPi (при заказе корпус позволяют выбрать, нужно писать продавцу в сопроводительном комментарии к заказу) — товар часто заканчивается и недоступен в таких случаях есть следующий такой вариант
Полный набор с корпусом SnesPi ali.pub/44aevt (Полные только версии Kit2 и Kit3) А в рекомендуемых будут остальные версии корпусов с полным набором.
— Сама плата Raspberry Pi 3B ali.pub/3t5jrg
— Блок питания 5v 3A ali.pub/3t5k2c
— Корпус NESPI ali.pub/3fwgxe
— Флешки ali.pub/3al73d
— Контроллеры в стиле Sega Saturn c USB ali.pub/39v3gg
— Конвертер HDMI на тюльпаны (3RCA) ali.pub/2k1f7c
Другие варианты корпусов в виде приставок для Raspberry Pi
SnesPi ali.pub/3cejz9 (С видом от Супер Фамиком)
MegaPi ali.pub/3p5zg1 (С видом от Сега Генезис)
* Наша группа VK vk.com/funygamers
Основная мысль доклада Александра легко умещается в коротком тезисе: «фильтруй вход, экранируй выход». Под «входом» понимаются различные формы, файлы, заголовки HTTP, под «выходом» — браузер, консоль, базы данных.
Опираясь на этот тезис, Александр подробно рассказал о популярных угрозах в Сети, а так же предложил варианты решения проблем, связанных с ними.
К типичным угрозам спикер отнес: XSS, CSRF и DDoS атаки, небезопасный конструктор include, механизм обмана пользователей Clickjacking.
Довольно большую часть своего выступления Александр посвятил проблеме взлома паролей и последствиям этого взлома. Важно понимать, подчеркнул Александр, что, если произошла утечка базы — главное в этом случае а) устранить источник утечки, б) инвалидировать hash и в) попросить пользователей сменить ВСЕ пароли, чтобы лишить злоумышленников возможности использовать полученную информацию.
Немаловажным в процессе защиты проекта от взлома является человеческий фактор. Довольно часто приходится сталкиваться с тем, что и админы ошибаются. Типичные ошибки админов связаны с саппортом программ без предварительной проверки, раздачей прав на продакшн всем разработчикам компании, торчащей наружу memcached. Так же нужно помнить, что люди могут терять флешки, ноутбуки, телефоны — носители, на которых обычно хранится самая важная и ценная информация.
В завершении своего выступления Александр дал ссылки на те ресурсы, где можно подробнее почитать о WEB-безопасности, вот они:
1. OWASP testing guide
2. статьи и книги Мартина Фаулера про безопасность
3. secure.php.net/manual/ru/security.php
4. Q
. JavaScript-конференция HolyJS 2016 Moscow
11 декабря 2016 года
В современном мире фронтенда правит твиттерократия: что популярнее, то и живее. С одной стороны, это хорошо: можно написать своё собственное приложение, которое без особых затрат буквально «взорвёт мир». А с другой — сейчас мир фронтенд-разработчиков напоминает строчку известной песни: «There are nine million bicycles...» Хорошо это или плохо?
Что такое жизненный цикл технологии и правит ли миром тайное закулисье, зарабатывают ли разработчики на React больше всего денег? Как и куда идёт мир фронтенда? Во время доклада слушателей ждут примеры самых интересных фреймворков и ответы на эти и другие вопросы.
Чем Python и его экосистема отличается от других языков программирования? Какая у Python ниша? Какие сильные и слабые стороны у языка и батареек? На все эти вопросы Григорий попробует ответить в своем обзорном докладе, рассказывающем о том, куда ползет Python в 2015 году
