Forwarded from Sys-Admin InfoSec (Yevgeniy Goncharov)
Недостаточная защищенность пароля Инсты, в результате компроментация данных... Как работает:
Существует миллион вероятностей для 6-значного кода (Device ID-это уникальный идентификатор, используемый сервером Instagram для проверки кодов сброса паролей) доступа (от 000001 до 999999). Когда запрашиваются пароли нескольких пользователей, увеличивается вероятность взлома учетных записей. Например, если вы запросите код pass для 100 тысяч пользователей, использующих один и тот же идентификатор устройства, вы можете иметь 10-процентную вероятность успеха, так как коды 100k выдаются на один и тот же идентификатор устройства. Если мы запросим коды доступа для 1 миллиона пользователей, можно легко взломать весь миллион учетных записей, увеличивая код доступа один за другим. Если успеть за 10 минут, то успех атаки может положительным.
https://thezerohack.com/hack-instagram-again#articlescroll
Существует миллион вероятностей для 6-значного кода (Device ID-это уникальный идентификатор, используемый сервером Instagram для проверки кодов сброса паролей) доступа (от 000001 до 999999). Когда запрашиваются пароли нескольких пользователей, увеличивается вероятность взлома учетных записей. Например, если вы запросите код pass для 100 тысяч пользователей, использующих один и тот же идентификатор устройства, вы можете иметь 10-процентную вероятность успеха, так как коды 100k выдаются на один и тот же идентификатор устройства. Если мы запросим коды доступа для 1 миллиона пользователей, можно легко взломать весь миллион учетных записей, увеличивая код доступа один за другим. Если успеть за 10 минут, то успех атаки может положительным.
https://thezerohack.com/hack-instagram-again#articlescroll
The Zero Hack
How I Hacked Instagram Again - The Zero Hack
This article is about an account takeover vulnerability I found on Instagram that allows anyone to hack Instagram accounts without consent permission. Facebook and Instagram security team fixed the issue and rewarded me $10000 as a part of their bounty program. …
1. Инфраструктура компании как продукт (Артём Науменко, Skyeng)
2. Балансировка кластера Kafka как задача линейного программирования(Виталий Добровольский, NVIDIA)
3. Балансировка запросов, таймауты и обработка ошибок: сколько запросов мы потеряем, и как с этим жить (Виталий Левченко, лидер SRE-сообщества Санкт-Петербурга)
4. SRE в современной компании: круглый стол с DevOps Deflope
https://www.youtube.com/watch?v=zKasxK47qwg
YouTube
SRE-митап c DevopsDeflope, Skyeng, Nvidia и спецгостем из Петербурга
Привет, 27 августа в офисе Skyeng творилось следующее:
02:00 - доклад Артема Науменко "Инфраструктура как продукт"
27:20 - вопросы спикеру
42:50 - доклад Виталия Добровольского "Балансировка кластера Kafka"
1:00:40 - вопросы спикеру
1:13:20 - мы ели…
02:00 - доклад Артема Науменко "Инфраструктура как продукт"
27:20 - вопросы спикеру
42:50 - доклад Виталия Добровольского "Балансировка кластера Kafka"
1:00:40 - вопросы спикеру
1:13:20 - мы ели…
state-of-devops-2019.pdf
2.5 MB
Report "The Accelerate State of DevOps 2019"
nushell — современный shell, сочетающий Unix-конвейеры и объекты в духе PowerShell
https://habr.com/ru/company/flant/news/t/465335/
https://habr.com/ru/company/flant/news/t/465335/
Хабр
nushell — современный shell, сочетающий Unix-конвейеры и объекты в духе PowerShell
На днях был представлен проект nushell (краткое название — Nu). Он появился благодаря идеям из «философии классических конвейеров в Unix, подхода со структурированными данными из PowerShell,...
👍1
CVE-2019-11500: Critical vulnerability in Dovecot and Pigeonhole
https://dovecot.org/pipermail/dovecot/2019-August/116873.html
Vulnerability Details:
IMAP and ManageSieve protocol parsers do not properly handle NUL byte
when scanning data in quoted strings, leading to out of bounds heap
memory writes.
Risk:
This vulnerability allows for out-of-bounds writes to objects stored on
the heap up to 8096 bytes in pre-login phase, and 65536 bytes post-login
phase, allowing sufficiently skilled attacker to perform complicated
attacks that can lead to leaking private information or remote code
execution. Abuse of this bug is very difficult to observe, as it does
not necessarily cause a crash. Attempts to abuse this bug are not
directly evident from logs.
Steps to reproduce:
This bug is best observed using valgrind to see the out of bounds read
with following snippet:
perl -e 'print "a id (\"foo\" \"".("x"x1021)."\\A\" \"bar\"
\"\000".("x"x1020)."\\A\")\n"' | nc localhost 143
https://dovecot.org/pipermail/dovecot/2019-August/116873.html
Доклады с DevOpsConf Russia 2018
https://www.youtube.com/playlist?list=PLrFmwYyxJyVO0aU5h0KAoBIPLo6kigADb
https://www.youtube.com/playlist?list=PLrFmwYyxJyVO0aU5h0KAoBIPLo6kigADb
YouTube
DevOpsConf Russia 2018 - YouTube
Технологический Болт Генона
Video
VMware нормально так за kubernetes взялась.
Запилили бесплатную "Kubernetes Academy".
Курсов пока 5 (https://kubernetes.academy/courses)
Запилили бесплатную "Kubernetes Academy".
Курсов пока 5 (https://kubernetes.academy/courses)
- Containers 101
- Kubernetes 101
- Kubernetes in Depth
- Interacting with Kubernetes
- How to Prepare for the CKA Exam
KubeAcademy
Courses - KubeAcademy
Forwarded from Записки админа
🖇 Берём systemd, берём BPF, и с их помощью делаем, например, фаервол. Интересное чтиво, аж в двух частях:
https://kailueke.gitlab.io/systemd-custom-bpf-firewall/
https://kailueke.gitlab.io/systemd-bpf-firewall-loader/
#systemd #bpf #фидбечат
https://kailueke.gitlab.io/systemd-custom-bpf-firewall/
https://kailueke.gitlab.io/systemd-bpf-firewall-loader/
#systemd #bpf #фидбечат
collection of verified Linux kernel exploits
https://github.com/jollheef/lpe
Ещё один замечательный репозиторий, помимо этих
https://xn--r1a.website/tech_b0lt_Genona/831
https://xn--r1a.website/tech_b0lt_Genona/886
https://github.com/jollheef/lpe
Ещё один замечательный репозиторий, помимо этих
https://xn--r1a.website/tech_b0lt_Genona/831
https://xn--r1a.website/tech_b0lt_Genona/886
GitHub
GitHub - jollheef/lpe: collection of verified Linux kernel exploits
collection of verified Linux kernel exploits. Contribute to jollheef/lpe development by creating an account on GitHub.
A Manager’s Guide to Kubernetes Adoption
https://unixism.net/2019/08/a-managers-guide-to-kubernetes-adoption/
https://unixism.net/2019/08/a-managers-guide-to-kubernetes-adoption/
Unixism
A Manager’s Guide to Kubernetes Adoption
Discussion on Hacker News This article and its topic were the subject of fairly detailed discussion on this thread here on Hacker News. Perusing through the comments should be well worth your time,…
"A deep dive into Linux namespaces" в четырёх актах
http://ifeanyi.co/posts/linux-namespaces-part-1/
http://ifeanyi.co/posts/linux-namespaces-part-2/
http://ifeanyi.co/posts/linux-namespaces-part-3/
http://ifeanyi.co/posts/linux-namespaces-part-4/
http://ifeanyi.co/posts/linux-namespaces-part-1/
http://ifeanyi.co/posts/linux-namespaces-part-2/
http://ifeanyi.co/posts/linux-namespaces-part-3/
http://ifeanyi.co/posts/linux-namespaces-part-4/
Chord Simple
A deep dive into Linux namespaces
Running isolated processes using the namespace kernel primitive
Good Code Design From Linux/Kernel
https://leandromoreira.com.br/2019/08/02/linux-ffmpeg-source-internals-a-good-software-design/
https://leandromoreira.com.br/2019/08/02/linux-ffmpeg-source-internals-a-good-software-design/
USBAnywhere.pdf
1.2 MB
Virtual Media Vulnerability in BMC Opens Servers to Remote Attack
+
USBAnywhere PoC Demo
https://www.youtube.com/watch?v=8UI7oicMisY
+
Tools, Packet Captures, etc
https://github.com/eclypsium/USBAnywhere
+
USBAnywhere PoC Demo
https://www.youtube.com/watch?v=8UI7oicMisY
+
Tools, Packet Captures, etc
https://github.com/eclypsium/USBAnywhere
Forwarded from Dmitry Sh
Публикуем продолжение увлекательного рассказа про chaos engineering от инженера AWS: https://habr.com/ru/company/flant/blog/465107/
Хабр
Chaos Engineering: искусство умышленного разрушения. Часть 2
Прим. перев.: Этот материал продолжает замечательный цикл статей от технологического евангелиста из AWS — Adrian Hornsby, — задавшегося целью просто и понятно объяснить важность экспериментов,...
Announcing Maesh, a Lightweight and Simpler Service Mesh Made by the Traefik Team
https://blog.containo.us/announcing-maesh-a-lightweight-and-simpler-service-mesh-made-by-the-traefik-team-cb866edc6f29
+
GitHub
https://github.com/containous/maesh
https://blog.containo.us/announcing-maesh-a-lightweight-and-simpler-service-mesh-made-by-the-traefik-team-cb866edc6f29
+
GitHub
https://github.com/containous/maesh
Forwarded from Записки админа
RAS_Traceroute_N47_Sun.pdf
221.9 KB
🎛 Немного про сети и traceroute. A Practical Guide to (Correctly) Troubleshooting with Traceroute.
#network #traceroute
#network #traceroute
Записи ClickHouse Meetup Moscow от 5 сентября
https://www.youtube.com/watch?v=cIDyxSbURao
https://www.youtube.com/watch?v=pgnak9e_E0o
https://www.youtube.com/watch?v=cIDyxSbURao
https://www.youtube.com/watch?v=pgnak9e_E0o