ÃÂÃÂ²ÃÂ³Ã‘ÂƒÃ‘ÂÃ‘Â‚ - Xakep Online

More documents

Recommendations

Info

взломеВГений «corWiN» ермАкоВ/ hACK-FAq@REAl.XAKEP.RU /faq you faqing faqQ: КаКие заБУгорнЫе СаЙтЫ/БЛоги разЛиЧнЫХ ПреДСта-ВитеЛеЙ SECURITY/HACKING/VX ПоСоВетУеШь ПоЧитать?A: Ну, это вопрос скорее в «Сцену». О некоторых личностях и их сайтах вжурнале уже писалось, я лишь напомню о них и добавлю парочкуиз своего списка ссылок в браузере:http://cyneox.net — на этой странице хранятся проги, вирусы и статьи отчеловека с ником Cyneox.http://spth.host.sk — вирусы от 19-летнего вирусмейкера из Австрии, авторастатей для езинов 29A, coderz.net, rRlf, BATch Zone, ChristmasSpecial, Brigada Ocho, eBCVG и LowLevel.http://0xdeadbeef.info — детище Marco Ivaldi aka Raptor, эксперта иконсультанта по информационной безопасности, разработчикаUnix-приложений, редактора и постоянного автора итальянскогожурнала Linux&C. Он же автор нескольких local root-эксплойтовдля Linux Kernel 2.6.x.http://tty64.org — сайт израильского хакера-программиста по имени Itzic.Есть очень интересные материалы, например «Advanced BufferOverflow Methods».www.vx-dia.de.vu — блог Dia — мембера vx-группы RRLF.http://spacerogue.net — персональная страничка Space Rogue — всемирноизвестного журналиста, бывшего члена группы L0pht.http://retrogod.altervista.org — веб-блог довольно известного хакераRgod’a, который в одиночку написал больше эксплойтов, чеммногие элитные хак-тимы.http://guninski.com — авторский проект одного из ведущих мировыхsecurity-специалистов — Georgi Guninski. Именно он нашелогромное количество багов в разных осях (AIX, Solaris, *BSD), впродуктах Microsoft (IE, NC, Outlook, MS Office), веб-серверах (MSIIS, Lotus Domino, Oracle), веб-приложениях (Hotmail) и стал соавторомкниги «Hack Proofing Your Network — Internet Tradecraft».http://kacper.bblog.pl — блог Kacper’a из Devil Team.http://0x000000.com — интереснейший блог, созданный Ronald van denHeetkamp aka Jungsonn и посвященный webapplication security.Советую посетить.Q: гДе Узнать Про тоЧКи ДоСтУПа С БеСПЛатнЫм WI-FI инетом?моЖет, еСть КартЫ?A: Конечно, существует проект, посвященный именно бесплатным иплохо защищенными точками доступа, с указанием их местоположенияв различных городах: http://freewifi.ru. Причем проектне ограничивается Россией, а включает и многие другие страны.На сайте имеется удобный поиск по нужным критериям. Естьвозможность самостоятельно добавлять новые точки в базупроекта.Также можно зайти на ресурс, посвященный Wi-Fi точкам Москвы:http://wardriver.ru.Q: В Сети ПоСтоЯнно КиДаЮт на ЛаВе. КаК заЩититьСЯ?A: От кидалова нельзя непосредственно защититься, можно лишь старатьсявести себя так, чтобы не быть кинутым. Я уже неоднократнопризывал делать покупки на закрытых форумах. Вряд ли кто-тобудет там кидать на небольшие суммы, если сам доступ к форумустоит порядка 40 WMZ. Чекай базы кидал, делай запросы ICQ-ботам.Я предпочитаю работать через знакомых людей, с которымиуже проводились сделки, или брать контакты уже проверенныхселлеров у своих друзей.Заряди Гугл запросом вида «NICK+Black», «NICK+Black+ICQ:123456» и т.д.Q: знаЮ, Что СаЙт наХоДитСЯ на ПаБЛиК-ДВиЖКе, но немогУ оПреДеЛить, Что за CMS. еСть КаКие-то ПриемЫ?A: Как и при обычном взломе, можно вызвать ошибку в выполнениискриптов, использовать поисковик, искать стандартные директориивроде admin, panel, root и т.п. Как правило, именно в такихместах авторизации прописана строка с названием движка (не забываем,что названия директорий могут быть прописаны в файлеrobots.txt). Можно проводить анализ вручную или использоватьсканеры. Я предпочитаю сначала помучить Гугл запросами вроде«Powered by site:www.target.com», потом пропарсить сайт рукамии только затем врубаю специальные утилиты.Потом ведь всегда можно спросить название движка у владельца/создателясайта, применив социальную инженерию. Обычно человек,создавший движок, оставляет свой email на сайте.Далее, у большинства популярных двигов в корневой директории соскриптами всегда имеется файл вроде readme.html, install.htmlи т.п. Как правило, это файлы с инструкциями по установке, вкоторых также прописаны название и версия движка.Можно попробовать выполнить один из скриптов движка. Например, уWordPress в папке wp-includes лежит файл author-template.php(выбрал рандомно). Выполняем http://target.com/wp-includes/author-template.php; если вывалилась ошибка, то двиг определен.Q: тоЛьКо Что ПоДнЯЛ СерВаК, но ПоКа Что Времени нанаСтроЙКУ и ДоЛЖное оБСЛУЖиВание нет, ПоЭтомУ нУЖнЫПроСтеЙШие реКоменДаЦии По БезоПаСноСти, Без мороКи иПроЧего мозгоЛомСтВа.A: Для начало нужно определиться, как и для чего будет использоватьсясервер: будет это сервак для хостинга сайтов, mail-сервер иличто-то другое. Будем отталкиваться от того, что мы хотим поднятьвеб-сервер для хостинга собственного сайта.С самого начала не стоит забывать про .htaccess, так как раскрытиелистинга — одна из самых часто встречающихся ошибок. Дальше,я предпочитаю тем же акцессом поставить права доступа к директориям,файлам по IP-адресу.052xàêåð 08 /104/ 07
взломOrder Deny,AllowDeny from allAllow from you_ipOptions All -IndexesВключи SAFE_MODE, если есть возможность.Поставь простенькую IDS на основе скриптов. Могу предложить DLsecure(http://dlsecure.damagelab.org) и PHPIDS (http://php-ids.org).Q: КаК заЩититьСЯ от IP-СПУфинга?A: Логично было бы вообще отказаться от такого нестойкого видаавторизации. Ведь IP-спуфинг — это, прежде всего, подделкаIP-адреса, необходимого для успешной аутентификации. Потом,безопасность может повысить грамотная настройка маршрутизатора— шифрование сессии будет весьма полезным.но моЖно и оБЩие ПринЦиПЫ наПиСаниЯ ПоДоБнЫХПрограмм).A: В майском номере журнала была статья по написанию системыудаленного администрирования. Думаю, сейчас номер доступенна сайте журнала.Q: ПоДСКаЖите КаКоЙ-ниБУДь раБотаЮЩиЙ генераторномероВ/Карт WEBMONEY иЛи ДрУгоЙ СПоСоБ иХ ПоЛУЧениЯ,ВозмоЖнЫЙ из-за теХ иЛи инЫХ неДораБотоК.A: Наличие работающего генератора поставило бы крест на платежнойсистеме. Создание генератора карт WebMoney (и других платежныхсистем) невозможно в принципе, так как между номером и паролемнет связи (они просто хранятся в базе данных платежной системы,и, скорее всего, даже там они в зашифрованном виде). Так что неведись на предложения от кидал по поводу покупки такого стаффа.Q: ПоСмотреЛ БеСПЛатнЫе СиСтемЫ оБнарУЖениЯ Втор-ЖениЙ, ХоЧетСЯ СраВнить иХ С ПЛатнЫми анаЛогами. ПоД-Кинь ПарУ назВаниЙ.A: Из наиболее известных это WiSentry (на момент написания статьиверсия 4.2), имеющая базу событий. Загрузить демонстрационнуюверсию можно здесь: http://wimetrics.com/Products/WAPD%20Download%20Request.htm.Потом, AirDefense (http://airdefense.net/products/index.php), существующаяв нескольких версиях (персональная, корпоративная и т.п.).Она основана на сенсорах, размещенных на защищаемой площади,которые передают данные на центральный сервер.Не знаю, стоит ли советовать такой комплект, как Hitachi AirLocation,подходящий для большой корпоративной сети, но все же назовуи его. Он состоит из управляющего сервера, станций, сервера,определяющего координаты, WLAN-оборудования и программногообеспечения. Определение координат стандартно— посылкой сигнала на точки и временем отклика. Стоит такоечудо около $43 000.Q: Что таКое ДроП-ПроеКтЫ?A: Для начала определимся с терминологией. Дроп — это человек,обналичивающий деньги с кредитных карт (кэш или вещевуха), которыеему предоставляет кардер, и получающий за это определенныйпроцент. Так как этот самый процент может достигать большихразмеров и не исключена возможность кидка со стороны дропа,кардеру зачастую приходится применять хитрую схему работы, ион создает в интернете сайт (дроп-проект) для вербовки гражданв свою мегакомпанию. Этот сайт рекламируется на разных доскахобъявлений и порталах с предложениями работы. Придумываетсяубедительная легенда, заключается двухсторонний договор (длябольшей убедительности), в котором прописаны такие пункты, какпроцент от выполненной работы (как правило, это мизерный процент— около 4-7%) и санкции в случае невыполнения договора.Таким образом ничего не подозревающий человек становится звеном вцепочке махинаций с кредитками.Q: Я ХоЧУ наПиСать ПрогУ ДЛЯ УДаЛенного аДминиСтриро-ВаниЯ. ДаЙ, ПоЖаЛУЙСта, ССЫЛКи (ЖеЛатеЛьно ДЛЯ DELPHI,Q: КаК ПроБить информаЦиЮ о ЧеЛоВеКе Через интернет?еСть Ли аЛьтернатиВа иСПоЛьзоВаниЮ Баз ДаннЫХ?A: В интернете существуют бесплатные сервисы вроде «Забей телефон— получи Ф.И.О.» и наоборот, но информация в базах таких сервисовкрайне редко обновляется и в большинстве случаев неактуальна.Многое зависит от того, что мы знаем о человеке. Еслиодин лишь ник, то снабжаем поисковики запросами «Профильпользователя+NICKNAME» и т.п. Имея IP-адрес человека, пробиваемего в Whois’e, узнаем местонахождение, провайдера и т.п. А вот чтоделать дальше — это уже большой вопрос, поскольку ни один уважающийсебя провайдер, естественно, информацию о своих клиентах тебене даст :). Сейчас есть люди, пробивающие подобную инфу за деньги,но, как показывает опыт общения с такими пробивщиками, они такжетупо юзают поисковики и имеющиеся базы (а вообще, читай июньскуюстатью про анонимность в сети от R0id’а — примечание Forb’а).Q: СоВСем неДаВно ВЛиЛСЯ В КарДинг-темУ, и ВозниК ВоПроС:КаК ЧеКнУть КреДУ на ВаЛиД?A: Идешь и налишь :). На самом деле для этого существуют различныесервисы, биллинги (http://authorize.net, к примеру). Банку посылаетсязапрос, на который приходит ответ: есть лаве на карте иливсе по нулям. За такую проверку приходится отбашлять небольшойпроцент.Можно предложить еще один, по правде говоря, глупый вариант: регистрациюна сайте, требующем указания данных CC (думаю, тыпонял, что речь идет о XXX-порталах :)).Насколько я знаю, существуют биллинги, не берущие комиссию при проверкекарты, но информация о них закрыта ;).Кстати, совсем недавно вышел скрипт для чека CC от команды Cyberlords,использующий один из сервисов, снимающих деньги.Q: СУЩеСтВУЮт Ли БрУтфорСерЫ ПароЛеЙ, оПтимизиро-ВаннЫе ДЛЯ раБотЫ на ДВУХЪЯДернЫХ ПроЦеССораХ?A: По крайней мере я таких брутов не встречал. Для AMD’шныхкамней существует программа Dual-Core Optimizer, пословам разработчиков, реализующая внутренний потенциалмощностей проца в большинстве приложений. Бери,экспериментируй. zxàêåð 08 /104/ 07053
Page 3 and 4: iNTroХiNTroiNTroiNTroiNTroiNTro iN
Page 6: meganews >> MeganewsСтепан И
Page 10: meganews >> 4 месяца тюрь
Page 14 and 15: meganews >> Телефон на б
Page 16: meganews >> Google для моби
Page 19 and 20: RTICHO>> ferrumsHCOICEEDITOR’s’
Page 21 and 22: ferrum$600$750HP Color LaserJet 260
Page 23 and 24: ferrumТехнические хар
Page 25 and 26: ferrumLogitech AltoПодставк
Page 27: Удобные дужки с мяг
Page 30 and 31: ferrumwarningМатериал пр
Page 32 and 33: pc_zoneАндрей «skVoZNoY» к
Page 34: pc_zonelinksПознакомить
Page 38 and 39: pc_zoneкриС кАСперСки
Page 40 and 41: pc_zoneВот так выгляди
Page 42: pc_zoneСтепан Крис Кас
Page 45 and 46: pc_zoneКлассы в ассоци
Page 48 and 49: 12341234123412341234123412341234>>
Page 50 and 51: взлом23 3212344Скудная
Page 52 and 53: взломОфициальный с
Page 56 and 57: взломкрис касперск
Page 58 and 59: взломПоэтому повто
Page 60: взломГрабеж внаглу
Page 63 and 64: взломАдминка на са
Page 66 and 67: взломt0mВторжение в
Page 68: взломDB errorlinkshttp://hackz
Page 71 and 72: взломВот так выгля
Page 73 and 74: взломПередача упра
Page 76 and 77: взломМаг/ mag@real.xakep.ru
Page 78 and 79: взломwarningВсе описа
Page 80 and 81: взломВиталий «root»
Page 82: взломwarningУясни себ
Page 86 and 87: взломЛеонид «R0id» С
Page 88 and 89: сценаИлья Александ
Page 90 and 91: сценаПрофайл польз
Page 92 and 93: сценаМария «Mifrill» Н
Page 94 and 95: unixoidЮрий «bober» Разз
Page 96 and 97: unixoidГотовые профил
Page 98 and 99: unixoidПроверяем резу
Page 100 and 101: unixoidtouchЮрий «bober» Ра
Page 102 and 103: unixoidVASM, Gslapt и vleasytable
Page 104 and 105:
unixoidNTFS: учимся чита
Page 106 and 107:
unixoidГлавная страни
Page 108 and 109:
codingСергей «John Frost»
Page 110:
codinginfoПервое упомин
Page 115 and 116:
coding«Все паблик-джо
Page 117 and 118:
codingПрограмма-загру
Page 119 and 120:
codingТекст новости1С
Page 121 and 122:
codingСписок табовHTMLП
Page 123 and 124:
coding.text:0000005A pop.text:00000
Page 125 and 126:
креатиffФара от мер
Page 127 and 128:
креатиffОднозначно
Page 129 and 130:
unitsсистему обычным
Page 131 and 132:
Îäèí íà âñåõè âñå í
Page 133 and 134:
ХАКЕР.PROНастройки в
Page 135 and 136:
ХАКЕР.PROУстановка с
Page 137 and 138:
ХАКЕР.PROУстановка Po
Page 139 and 140:
ХАКЕР.PROСоединяемс
Page 141 and 142:
ХАКЕР.PROКонфигурац
Page 143 and 144:
ХАКЕР.PROНиже описан
Page 145:
ХАКЕР.PROТонкая наст
show all

ÃÂÃÂ²ÃÂ³Ã‘ÂƒÃ‘ÂÃ‘Â‚ - Xakep Online

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?

ÃÂÃÂ²ÃÂ³Ã‘ÂƒÃ‘ÂÃ‘Â‚ - Xakep Online