• Apple Lisa стал первым коммерческим компьютером с графическим интерфейсом, который задумывался, как высокопроизводительная машина для бизнеса, способная произвести революцию в способе взаимодействия пользователя и персоналки - сегодня этому творению исполняется 42 года.
• Официально считается, что название машины — это аббревиатура, расшифровываемая как Locally Integrated Software Architecture, неофициально принято полагать, что Стив Джобс назвал ПК в честь своей дочери Лизы Николь.
• Lisa можно было называть в своем роде революционным компьютером, который сочетал в себе целый ряд передовых аппаратных и программных технологий. Сердцем новой персоналки стал 16-битный процессор Motorola 68000 с тактовой частотой 5 МГц и 32-разрядной внутренней шиной данных. Компьютер оснащался 1 Мбайтом оперативной памяти, жестким диском объемом 5 Мбайт и черно-белым 12-дюймовым дисплеем с разрешением 720×364 точки, а в корпусе компьютера размещались два 5,25-дюймовых дисковода.
• К Apple Lisa можно было подключить мышь, что для 1983 года считалось довольно-таки новаторской технологией. Из периферийных устройств пользователям были доступны матричный принтер Apple (на фото) и струйный принтер производства Canon — притом что струйная печать также считалась тогда новинкой.
• Но самой интересной новинкой в этом компьютере была, безусловно, операционная система LisaOS с графическим интерфейсом, основанном на тогдашней новаторской идее «метафоры рабочего стола». С его помощью пользователь мог взаимодействовать с компьютером более естественным, интуитивно понятным способом, используя мышь и значки для навигации по системе. В 1979 году Джобс посетил исследовательский центр Xerox в Поло Альто, и был буквально очарован оконным графическим интерфейсом компьютеров Xerox Alto. В результате он договорился о сделке: Xerox получил акции Apple, а она, в свою очередь — имевшиеся наработки по оконному интерфейсу, которые и легли в основу Lisa OS, а позже — System 1.
• В Lisa OS появились многие функции, ставшие стандартными в современных операционных системах, такие как перекрывающиеся окна, выпадающие меню, возможность перемещать и копировать файлы при помощи мыши. В комплекте поставки ОС имелся встроенный текстовый редактор LisaWrite, программа для работы с электронными таблицами LisaCalc, графические реадакторы LisaDraw и LisaGraph, программа для управления проектами LisaProject, терминальный клиент LisaTerminal и программа для работы с базами данных LisaList, что делало эту машину мощным инструментом для бизнеса. В Apple считали, что подобный набор приложений способен закрыть весть спектр задач корпоративных пользователей.
• Компьютер поступил в продажу 19 января 1983 года по цене 9 995 баксов США. Тем не менее, машина не стала бестселлером: сказалась слишком высокая цена (более надежные IBM PC с MS-DOS и кучей доступного софта под них стоили дешевле), недостаток совместимого с Lisa OS программного обеспечения и низкая надежность дисководов FileWare, приводившая к регулярной потере данных. Кроме того, влияние на продажи оказала и маркетинговая политика компании Apple, зачем-то решившей конкурировать сама с собой: появившийся вскоре после дебюта Lisa более простой, но в то же время более надежный и дешевый компьютер Macintosh буквально вытеснил Lisa с рынка. В течение двух лет Apple удалось реализовать всего лишь 10 000 экземпляров Apple Lisa. Персоналка претерпела несколько модификаций, призванных улучшить характеристики компьютера, но даже они совокупно со снижением цены не смогли «раскачать продажи», и в конечном итоге Lisa окончательно сняли с производства.
• Несмотря на то, что Apple Lisa считается одним из неудачных проектов в истории Apple, не имевших коммерческого успеха, этот компьютер заложил основу для Apple Macintosh, который произвел настоящую революцию в индустрии персональных компьютеров.
#Разное #Apple
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
• PANIX - это bash скрипт, в котором собрано достаточное кол-во методов закрепа в Unix. Отлично подойдет в рамках киберучений для Red Team и Blue Team.
#Пентест #Persistence
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
Для всех интересующихся APT-тематикой настоятельно рекомендуем отчет об APT-группах, связанных с тайваньским ICEFCOM, разработанный представителями Национального центра реагирования на чрезвычайные ситуации с компьютерными вирусами Китая.
Основное содержание посвящено активности таких групп, как APT-C-01 (Poison Vine), APT-C-62 (Viola Tricolor), APT-C-64 (Anonymous 64), APT-C-65 (Neon Pothos) и APT-C-67 (Ursa).
Отдельного внимания заслуживает блок атрибуции с фотографиями, локациями и данными на участников.
Отчет на английском языке - здесь (PDF).
Основное содержание посвящено активности таких групп, как APT-C-01 (Poison Vine), APT-C-62 (Viola Tricolor), APT-C-64 (Anonymous 64), APT-C-65 (Neon Pothos) и APT-C-67 (Ursa).
Отдельного внимания заслуживает блок атрибуции с фотографиями, локациями и данными на участников.
Отчет на английском языке - здесь (PDF).
This media is not supported in your browser
VIEW IN TELEGRAM
• Предполагаю, что многие из Вас уже слышали о кабеле O•MG keylogger. Так вот, одна из особенностей этого кабеля состоит в том, что пейлоад DuckyScript можно накатить буквально за 1 кадр (пример на видео). К слову, на маках, при установке такого пейлоада, консоль закрывается, а не сворачивается в трей, как на винде.
• Такая "игрушка для взрослых" продается в разных вариантах (лайтнинг, usb-c, micro-usb и т.д.). Правда дороговато, но выглядит круто:
➡️ https://shop.hak5.org/collections/omg-row2/products/omg-cable
#Разное
• Такая "игрушка для взрослых" продается в разных вариантах (лайтнинг, usb-c, micro-usb и т.д.). Правда дороговато, но выглядит круто:
#Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
Подкатила очередная подборка уязвимостей и обновлений, отметим наиболее основные:
1. Разработчики Jenkins опубликовали обновление безопасности для своих плагинов Gatling.
2. Тайваньский производитель NAS-устройств QNAP выпустил обновления безопасности для девяти своих продуктов.
3. Cisco устранила четыре уязвимости в платформе Splunk SIEM.
4. В платформе Apache InLong устранена уязвимость ненадежной сериализации данных.
5. SolarWinds представила обновление безопасности для инструмента удаленного рабочего стола DameWare Mini Remote Control.
6. Исследователь Эджидио Романано анализирует, как исправление уязвимости внедрения PHP-объектов 2014 года в программное обеспечение vBulletin привело к тайному внедрению вектора атаки десериализации, называя это хрестоматийным примером поспешных исправлений.
Заменив serialize() на json_encode() в попытке исправить предполагаемые уязвимости PHP Object Injection, разработчики непреднамеренно открыли возможность подписывать и отправлять полезные данные в кодировке base64.
Затем эти полезные данные можно использовать для вызова функции PHP unserialize(), что позволяет десериализовать вредоносные объекты.
7. Команда Orange выкатила технический анализ для пяти уязвимостей, обнаруженных в устройствах SMA 500 SonicWall, которые были исправлены в декабре 2024 года.
8. DFSEC опубликовала анализ эксплойта BLASTPASS для iOS.
9. Исследователи SecureLayer7 выдали описание и PoC для RCE в пользовательском интерфейсе AWS Amplify Codegen, отслеживаемой как CVE-2025-4318.
10. Исследователь cR0w сообщает об обнаружении на прошлой неделе крупной партии PoC-документов для маршрутизаторов Tenda (1, 2, 3, 4, 5 и 6).
11. Исследователь Дэвид Бьюкенен обнаружил первый эксплойт для Nintendo Switch 2 в первый день после запуска продукта.
12. Исследователи Codean Labs обнаружили уязвимость (CVE-2025-47934) в библиотеке OpenPGP.js, которую можно использовать для подделки действительных результатов проверки подписи.
13. Исследователь обвиняют Apple в молчаливом исправлении эксплойта iMessage с нулевым щелчком.
Джозеф Гойдиш утверждает, что эксплойт мог позволить удаленные атаки на выполнение кода и кражу ключей Secure Enclave и данных криптокошелька.
Apple якобы исправила две ошибки, связанные с цепочкой эксплойтов, в апреле без какого-либо упоминания или подтверждения, несмотря на ответственное раскрытие информации.
1. Разработчики Jenkins опубликовали обновление безопасности для своих плагинов Gatling.
2. Тайваньский производитель NAS-устройств QNAP выпустил обновления безопасности для девяти своих продуктов.
3. Cisco устранила четыре уязвимости в платформе Splunk SIEM.
4. В платформе Apache InLong устранена уязвимость ненадежной сериализации данных.
5. SolarWinds представила обновление безопасности для инструмента удаленного рабочего стола DameWare Mini Remote Control.
6. Исследователь Эджидио Романано анализирует, как исправление уязвимости внедрения PHP-объектов 2014 года в программное обеспечение vBulletin привело к тайному внедрению вектора атаки десериализации, называя это хрестоматийным примером поспешных исправлений.
Заменив serialize() на json_encode() в попытке исправить предполагаемые уязвимости PHP Object Injection, разработчики непреднамеренно открыли возможность подписывать и отправлять полезные данные в кодировке base64.
Затем эти полезные данные можно использовать для вызова функции PHP unserialize(), что позволяет десериализовать вредоносные объекты.
7. Команда Orange выкатила технический анализ для пяти уязвимостей, обнаруженных в устройствах SMA 500 SonicWall, которые были исправлены в декабре 2024 года.
8. DFSEC опубликовала анализ эксплойта BLASTPASS для iOS.
9. Исследователи SecureLayer7 выдали описание и PoC для RCE в пользовательском интерфейсе AWS Amplify Codegen, отслеживаемой как CVE-2025-4318.
10. Исследователь cR0w сообщает об обнаружении на прошлой неделе крупной партии PoC-документов для маршрутизаторов Tenda (1, 2, 3, 4, 5 и 6).
11. Исследователь Дэвид Бьюкенен обнаружил первый эксплойт для Nintendo Switch 2 в первый день после запуска продукта.
12. Исследователи Codean Labs обнаружили уязвимость (CVE-2025-47934) в библиотеке OpenPGP.js, которую можно использовать для подделки действительных результатов проверки подписи.
13. Исследователь обвиняют Apple в молчаливом исправлении эксплойта iMessage с нулевым щелчком.
Джозеф Гойдиш утверждает, что эксплойт мог позволить удаленные атаки на выполнение кода и кражу ключей Secure Enclave и данных криптокошелька.
Apple якобы исправила две ошибки, связанные с цепочкой эксплойтов, в апреле без какого-либо упоминания или подтверждения, несмотря на ответственное раскрытие информации.
Jenkins Security Advisory 2025-06-06
Jenkins – an open source automation server which enables developers around the world to reliably build, test, and deploy their software
• Эта книга всесторонне охватывает обширную тему мониторинга, соединяя в себе справочные материалы об имеющемся инструментарии, практические приемы его использования и способы интерпретации полученных данных. Знание внутреннего устройства PostgreSQL и особенностей мониторинга, почерпнутое из этой книги, поможет в долгосрочной перспективе эффективно эксплуатировать СУБД и успешно решать возникающие задачи. Книга предназначена для администраторов баз данных, системных администраторов, специалистов по надежности.
- Глава 1. Обзор статистики;
- Глава 2. Статистика активности;
- Глава 3. Выполнение запросов и функций;
- Глава 4. Базы данных;
- Глава 5. Область общей памяти и ввод-вывод;
- Глава 6. Журнал упреждающей записи;
- Глава 7. Репликация;
- Глава 8. Очистка;
- Глава 9. Ход выполнения операций;
- Приложение. Тестовое окружение.
#PostgreSQL
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Social Engineering
• Автор одного ТГ канала сделал каталог с различными AppSec и DevSecOps инструментами, которые разбиты по категориям. Есть удобный фильтр по разным параметрам и возможность выгрузить полученный результат в формате csv. Каталог доступен по ссылке ниже:
• От себя добавлю, что инструментов в каталоге не так уже и много, хотя на портале есть кнопка "Предложить инструмент", что дает возможность дополнить данный список. Очень надеюсь, что автор не забьет и продолжит поддерживать ресурс в актуальном состоянии / добавлять новые инструменты, иначе данный сайт будет бесполезен.
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
• Автор этого материала освещает тему физического пентеста и описывает в статье крутой кейс, в котором происходит "взлом" дата-центра.
• Хорошее чтиво, где подробно расписан процесс сбора информации о компании, включая анализ сотрудников через LinkedIn и утечки данных, а также использование социальной инженерии для получения доступа к объекту. Рекомендую к прочтению:
#Пентест
Please open Telegram to view this post
VIEW IN TELEGRAM
• Многим будет полезно: книга рассказывает об архитектурных принципах современных СУБД, а также об алгоритмах и структурах данных, которые в них используются. Практическим знаниям она даст прочный фундамент в виде понимания общих закономерностей. Книга написана для архитекторов информационных систем и ведущих разработчиков. Содержание следующее:
• Часть I. Классификация баз данных:
- Модели данных;
- Другие методы классификации баз данных.
• Часть II. Доступ к данным:
- Структуры хранения данных;
- Обработка данных.
• Часть III. Архитектура СУБД:
- Гарантии корректности данных;
- Устройство СУБД.
• Часть IV. Распределенные базы данных:
- Компромиссы распределенных баз данных;
- Изменение данных в распределенных системах.
• Часть V. Восстановление при сбоях:
- Репликация;
- Резервное копирование.
• Часть VI. Эксплуатация баз данных:
- Управление базой данных;
- Оборудование;
- Коммерческие вопросы эксплуатации.
• Часть VII. Безопасность баз данных:
- Разграничение доступа;
- Защита от внутренних угроз.
#СУБД
Please open Telegram to view this post
VIEW IN TELEGRAM
Часть 1.html
4.4 MB
Часть 1: Инъекция шелл-кода.
Часть 2.html
4.5 MB
Часть 2: DLL-инъекция.
Часть 3.html
4.3 MB
Часть 3: Инъекция через Native API.
Часть 4.html
4.2 MB
Часть 4: Системные вызовы.
Часть 5.html
3.5 MB
Часть 5: APC-инъекция.
Часть 6.html
3.8 MB
Часть 6: Методы инъекции кода.
➖ ➖ ➖ ➖ ➖ ➖
💉 Ставим уколы процессам в Windows.
• Очередная годнота с форума XSS. На этот раз делюсь с Вами очень обьемной серией материала, в которой мы рассмотрим различные техники внедрения — продвинутый подход, позволяющий внедрять код в легитимные процессы. Широко используемый в реальных сценариях атак, эти методы обеспечивают скрытное выполнение кода за счет использования привилегий и возможностей целевых процессов. Мы рассмотрим различные техники внедрения с практическими примерами, которые связывают теоретические концепции с их реальными сценариями.
➡️ Источник: https://xss.is
➡️ Авторы: @shqnx и @voldemort
#XSS
• Очередная годнота с форума XSS. На этот раз делюсь с Вами очень обьемной серией материала, в которой мы рассмотрим различные техники внедрения — продвинутый подход, позволяющий внедрять код в легитимные процессы. Широко используемый в реальных сценариях атак, эти методы обеспечивают скрытное выполнение кода за счет использования привилегий и возможностей целевых процессов. Мы рассмотрим различные техники внедрения с практическими примерами, которые связывают теоретические концепции с их реальными сценариями.
#XSS
Please open Telegram to view this post
VIEW IN TELEGRAM