غیر – برگه 5 – کلیک کنید: خرید VPN خرید وی پی ان خرید فیلتر شکن خرید فیلترشکن

آگوست 7, 2018

مرد در وسط – امنیت AWS Lambda ارتباط با غیر HTTPS API

تعجب بر این است که چه حملاتی ممکن است در سناریوی زیر ظاهر شوند.

من یک سرویس وب دارم که یک لامبدا AWS (پشت دروازه API) ایجاد می کند که باعث می شود چندین تراکنش (ارسال ایمیل، اضافه کردن به لیست پستی) و سپس یک درخواست برای یک API ارسال می کند. با این حال این API با https تضمین نشده است. API با لیست سفارشی IP تأمین می شود. API همچنین انتظار می رود یک نشانه مجوز در درخواست، که از طریق HTTP تایید مجوز منتقل می شود.

بنابراین سوال من این است، از آنجا که سرویس وب تنها POST درخواست به سرویس لامبدا، سپس سرور لامبدا POST API، یک کاربر میتواند آن ترافیک را دنبال کند و نقطه پایانی API را پیدا کند؟ به هر حال یک کاربر مخرب می تواند ترافیک خروجی را از نقطه پایانی لامبدا خراب کند؟

FWIW – هیچ اطلاعات بسیار حساس در API وجود ندارد، اما برخی از داده های کاربر وجود دارد. این کار قبل از ورود به سیستم با استفاده از HTTPS قفل می شود، من فقط کنجکاو هستم که بدانم که بردارهای بالقوه حمله وجود دارد.

آگوست 3, 2018

مهندسی معکوس – آیا امکان سوءاستفاده از نرم افزارهای C / C ++ غیر فشرده بدون فوروارد وجود دارد؟

بله، کاملا امکان پذیر است. شما می توانید از طریق تمام مأموریت ها بخوانید، تعیین کنید چه شرایطی برای آنها حساب نشده و سپس آنها را مورد سوء استفاده قرار دهید. در حقیقت، حتی هنگام استفاده از fuzzing، شما نیاز به خواندن از طریق مونتاژ برای کشف کردن وجود دارد: یک اشکال قابل بهره برداری است، و b تعیین نحوه ایجاد این استثمار.

همه fuzzing آیا شما کمک می کند تا تعیین کنید که در آن شرایط خطا ممکن است با تلاش بیشترین ورودی ها ممکن باشد.

آگوست 1, 2018

معامله گران هند هستند با استفاده از به تجارت غیر قانونی Dabba Cryptocurrency

گروه 20 وزرای مالیه را بدون فوریت در اتخاذ cryptocurrency استانداردهای جدید در آينده نزديك به جای امید بستن به حفظ “هوشیار” نظارت بر بازار blockchain.

نظرات G20 در رویکرد طرفداری از رمزنگاری 19659003 G20 به cryptocurrency خود ادامه خواهد داد تا حداقل اکتبر، با توجه به communique های رسمی صادر شده پس از آخرین دور نشست وزیران در بوینس آیرس آرژانتین. در بیانیه رسمی اعضای G20 تصریح کرد که cryptocurrencies این کار نیست فعلا “خطر ثبات مالی جهانی کیسه.”

Cryptocurrency یکی از موضوعات اصلی مورد بحث در جلسه ژوئیه 21 22. پس از فشار اولیه به مقررات جهانی در ماده هماهنگ، نیروی کار اقدام مالی (FATF) خواهد شد “در اکتبر سال 2018 چگونه اعمال آن استانداردهای رمزنگاری دارایی های مشخص.” این نشان می دهد که برنامه برای تنظیم بازار در هنوز راه طولانی خاموش است.

Communique می افزاید: «نوآوری های فنی، از جمله کسانی که در زیر دروغ رمزنگاری دارایی، می تواند ارائه مزایای قابل توجهی به سیستم مالی و اقتصادی گسترده تر. رمزنگاری دارایی با این حال، با توجه به حفاظت از مصرف کننده و سرمایه گذار بازار صداقت، فرار از پرداخت مالیات، پولشویی و تامین مالی تروریستی افزایش مسائل،.”

موقعیت G20 در رمزنگاری است که بطور قابل توجهی از ماه مارس زمانی که مقامات شناسایی نیاز به “بتن بسیار، بسیار خاص توصیه” در تنظیم بازار نرم شده است. در آن زمان آن ظاهر شد که در گروه عضو به برداشتن قدم های بتنی نسبت به تنظيم برنامه ریزی شد.

مالی ثبات هیئت مدیره (باس)، که توسط بانک انگلستان فرماندار مارک کارنی، رهبری است مشاهده که cryptocurrencies نیست ریسک مالی دولت با توجه به اندازه کوچک و عدم یکپارچه سازی با سیستم پولی گسترده تر نگه می دارد.

باس ارزیابی معیارهای رمزنگاری

به عنوان هک هفته گذشته گزارش باس طرح برای نظارت بر بازار cryptocurrencies به عنوان بخشی از طرح گسترده تر به محدوده ی کردن و قبل از crystalize آنها در خطرات مواد مهار شده است.

در گزارش صفحه ده باس معیارهای مشخص شده “که به احتمال زیاد برای بخش هایی برجسته از جمله خطرات هستند” از جمله بازار سرمایه (اندازه و ميزان رشد)، سطح و نوسانات قیمت… به عبارت دیگر معیارهای باس اینها مقامات را در تکیه می کنند برای رمزنگاری دارایی های نظارت و تصمیم گیری اگر مقررات جدید موجه است.

با وجود G20 رویکرد طرفداری به رمزنگاری، کشورهای جهان احساس فوریت برای حک کردن واضح تر راهنمای تنظیم فضا. اوراق بهادار ایالات متحده و تبادل کمیسیون (ثانیه) مرحله صورت سیاه در ماه گذشته توسط bitcoin و Ethereum “به اندازه کافی غیر متمرکز” و بنابراین نه موضوع به قوانین اوراق بهادار فدرال اعلام زمان.

در کره جنوبی قانونگذاران هستند گفته می شود تهیه پیش نویس مقررات جدید را به مبادلات داخلی cryptocurrency تحت دستورالعمل تاسیس بازار مالی. در همین حال، ممنوعیت معاملات رمزنگاری در هند است توسط کمیته تعیین شده توسط وزارت مالیه برای روشن کردن اگر مقررات موجود کافی مورد بررسی شود.

سلب مسئولیت: نویسنده صاحب bitcoin، Ethereum و دیگر cryptocurrencies. او موقعیت سرمایه گذاری در سکه های اما شرکت در کوتاه مدت و یا معامله در روز.

تصویر ویژه نیت Shutterstock.

فیلترشکن پرسرعت

آگوست 1, 2018

حملات – می تواند کد جاوا اسکریپت در مرورگر توسط هکر تغییر یافته برای دسترسی به منابع غیر مجاز؟

برنامه API Spring Boot در سمت سرور و برنامه VueJS در سمت سرویس گیرنده من وجود دارد. پس از ورود موفقیت آمیز، طرف سرور پاسخ JSON را ارسال می کند که شامل accountType با مقدار VIEW_GOLD یا VIEW_SILVER است، اگر accountType VIEW_GOLD باشد، کاربر برای مشاهده لیستی از شی GoldBar و به همین ترتیب مانند در این کد در سمت سرویس گیرنده VueJS:

          اگر (response.data) {
             اگر (response.data.accountType === 'VIEW_GOLD') {

               $ this. $ router.replace ({name: 'GoldBars'})

             }
             else if (response.data.accountType === 'VIEW_SILVER') {

               $ this. $ router.replace ({name: 'SilverBars}}
            }

سوال این است که آیا می توان یک دیدگاه هکر Goldbars زمانی که AccountType VIEW_SILVER با استفاده از مرورگر هکر مانند Tor

جولای 29, 2018

دفاع – آیا هیچ راهی برای برآورد ایمنی باینری دلخواه است که معمولا با تکه های غیر رسمی منتشر می شود؟

من فکر می کنم که به سختی می توان نرم افزارهای مخرب را به صورت خودسرانه تغییر چند بایت در اجرایی؛ بنابراین این باید ایمن باشد؛

ویروس ها به راحتی می توانند به اندازه حدود 50 بایت کد باشد، بنابراین تغییر چند بایت شاخص نیست. بدین ترتیب اکثر ویروس ها می توانند این ویروس ها را شناسایی کنند، بنابراین خطر کم است، اما باید دانست که این مقدار برای اجرای یک برنامه معمولی به یک بمب تبدیل نمی شود.

گیتووب دوتایی با کد منبع باید امیدوار باشد که امن باشد ممکن است اینجا ساده لوح بماند، مخصوصا از آنجا که از جعبه ساخت ممکن است از کد منبع متفاوت باشد.

درست است که بهتر است شرط باینری خودتان را بسازید، اما نرم افزار منبع باز تمایل دارد که تنها به این دلیل امن باشد که بسیاری افراد به دنبال آن هستند در آن. اگر چیزی غیرممکن بود، احتمالا پیش از این که فرصتی برای آسیب زدن داشته باشد، ممکن است گزارش شود (اما توجه داشته باشید که مواردی مانند Heartbleed همچنان در حقیقت با وجود اطمینان از این حقیقت بیرون می آیند، پس از آن فریب خورده است).

اجرایی های خودسرانه ارائه شده در طرفداران اختصاص داده شده به این بازی فقط به عنوان امن به عنوان سایت معتبر است … اما این یک راه عجیب و غریب می گویند که اگر مدیر شناخته شده است شامل نرم افزارهای مخرب در 10 سال گذشته آنها بعید است شامل نرم افزارهای مخرب در حال حاضر؟

در اینترنت، شهرت گرایی مهم است. به همین دلیل سایت هایی مانند Stack Overflow در واقع کار می کنند. من می گویم که بیش از 99٪ "سایت های فن" احتمالا به احتمال زیاد مشروع هستند، چرا که تقریبا هیچ کس نمی خواهد که آن تصویر را از حق رای دادن محبوب خود را خفه کند. با این حال، هیچ تضمینی وجود ندارد. افرادی که در معرض آسیب هستند، احتمالا شهرت 10 ساله خود را تقلبی خواهند کرد تا به نظر برسد، زیرا ده سال فقط برای تولید ویروس عملی نیست.

به طور کلی، تنها راه برای حفظ 100٪ امن است که هرگز کد هر کسی را هرگز اجرا نکن همیشه یک خطر وجود دارد. با استفاده از سایت های قانونی می توانید خطر را کاهش دهید، اما حتی می توانید آن ها را هک کنید. همیشه از یک ضد ویروس به روز استفاده کنید، همیشه امضا را چک کنید، و همیشه پشتیبان گیری کنید. و همیشه داده های خود را پشتیبان گیری کنید وجود دارد، آن را دو بار گفت. تا زمانی که همه چیز را پشت سر گذاشته اید، باید خوب باشید. طرفداران واقعی به کامپیوتر شما آسیب نمی رسانند، اما از نظراتی که می خواهند مطلع شوند. تقریبا تمام "دزدان دریایی" ترجیح می دهند شهرت خود را نسبت به انجام خسارت، آن ها scammers و crackers شما باید نگران باشید.