Lirz's Hackbox
Интерактивная песочница, демонстрирующая уязвимости безопасности, криптографию и логические ошибки. Учитесь, ломая, понимая и исправляя.
PRNG: Ложный Рандом
Как линейные алгоритмы (LCG) делают токены предсказуемыми и почему CSPRNG обязателен.
Хеши: Скорость — враг
Почему быстрые хеши опасны для паролей. Сравнение скорости взлома MD5 и bcrypt.
Зачем нужна Соль
Демонстрация атаки 'Радужные таблицы' и как уникальная соль защищает от массового взлома.
ECB — это Зло
Визуальное доказательство утечки паттернов в шифрованных изображениях. Проблема пингвина.
Повторный IV
Использование повторного ключа потока для расшифровки сообщений простым XOR.
Пароль vs MFA
Реализация Time-based OTP (TOTP) своими руками и защита от кражи паролей.
Сессии и Cookies
Кража сессий через JavaScript и защита с помощью флага HttpOnly.
Предсказуемые Токены
Брутфорс токенов сброса, сгенерированных на основе слабого времени/seed.
XSS: Отраженная
Внедрение вредоносных скриптов в DOM для выполнения произвольного кода в браузере жертвы.
CSRF Атака
Обман браузера для выполнения нежелательных действий на доверенном сайте.
SQL Инъекция
Обход аутентификации путем внедрения вредоносных SQL-команд в запрос.
Атаки по времени
Утечка секретов через измерение разницы во времени выполнения сравнения строк.
Подробные ошибки
Сбор данных об архитектуре системы через необработанные stack traces и сообщения ошибок.
Жесткие секреты
Поиск API-ключей и паролей, скрытых в исходном коде или клиентских сборках.
Base64 != Шифрование
Почему кодирование — это не защита. Декодируем 'секреты' без ключа.
Скоро...
Более сложные уязвимости (XXE, SSRF, Небезопасная десериализация) уже в разработке.