ڪجهه وقت اڳ مون بابت لکيو هو ، پر ٿورڙو ننڍڙو ۽ افراتفري. ان کان پوء مون جائزو ۾ اوزار جي فهرست کي وڌائڻ جو فيصلو ڪيو، آرٽيڪل ۾ جوڙجڪ شامل ڪريو، ۽ تنقيد کي حساب ۾ وٺو (گھڻي مھرباني مشوري لاءِ) ۽ ان کي SecLab تي مقابلي لاءِ موڪليو (۽ شايع ٿيل ، پر سڀني واضح سببن لاءِ ڪو به هن کي نه ڏٺو). مقابلو ختم ٿي چڪو آهي، نتيجن جو اعلان ڪيو ويو آهي ۽ صاف ضمير سان آئون ان کي (مضمون) Habré تي شايع ڪري سگهان ٿو.
مفت ويب ايپليڪيشن پينٽيسٽر ٽولز
هن آرٽيڪل ۾ آئون "بليڪ باڪس" حڪمت عملي استعمال ڪندي ويب ايپليڪيشنن جي پينٽيسٽنگ (دخول ٽيسٽ) لاءِ سڀ کان وڌيڪ مشهور اوزار بابت ڳالهائيندس.
هن کي ڪرڻ لاء، اسان افاديت تي نظر ڪنداسين جيڪي هن قسم جي جاچ ۾ مدد ڪندي. هيٺ ڏنل پيداوار جي درجي تي غور ڪريو:
- نيٽ ورڪ اسڪينر
- ويب اسڪرپٽ جي ڀڃڪڙي اسڪينر
- استحصال
- انجيڪشن جي خودڪار
- Debuggers (sniffers, local proxies, etc.)
ڪجھ پراڊڪٽس وٽ آفاقي ”ڪردار“ ھوندا آھن، تنھنڪري مان انھن کي درجي بندي ڪندس جنھن ۾ اھي آھنоبهتر نتيجو (موضوعاتي راء).
نيٽ ورڪ اسڪينر.
مکيه ڪم اهو آهي ته دستياب نيٽ ورڪ خدمتن کي ڳولڻ، انهن جي نسخن کي نصب ڪرڻ، او ايس جو تعين ڪرڻ، وغيره.
ايم پيپ
نيٽ ورڪ تجزيو ۽ سسٽم سيڪيورٽي آڊيٽنگ لاءِ هڪ مفت ۽ اوپن سورس يوٽيلٽي آهي. ڪنسول جا پرتشدد مخالف استعمال ڪري سگهن ٿا Zenmap، جيڪو Nmap لاءِ GUI آهي.
هي صرف هڪ ”سمارٽ“ اسڪينر نه آهي، اهو هڪ سنگين وسعت وارو اوزار آهي (هڪ ”غير معمولي خصوصيت“ هڪ اسڪرپٽ جي موجودگي آهي جيڪو ڪيم جي موجودگي لاءِ نوڊ چيڪ ڪرڻ لاءِ آهي."(ذڪر ڪيو ويو ). عام استعمال جا مثال:
nmap -A -T4 localhost
OS ورزن جي ڳولا، اسڪرپٽ اسڪيننگ ۽ ٽريڪنگ لاءِ
-T4 ٽائيم ڪنٽرول سيٽنگ (وڌيڪ تيز آهي، 0 کان 5 تائين)
localhost - ٽارگيٽ ميزبان
ڪجهه وڌيڪ سخت؟
nmap -sS -sU -T4 -A -v -PE -PP -PS21,22,23,25,80,113,31339 -PA80,113,443,10042 -PO --script all localhost
هي Zenmap ۾ "سست جامع اسڪين" پروفائل مان اختيارن جو هڪ سيٽ آهي. اهو مڪمل ٿيڻ ۾ ڪافي وقت وٺندو آهي، پر آخرڪار وڌيڪ تفصيلي معلومات مهيا ڪري ٿي جيڪا ڳولهي سگهجي ٿي ٽارگيٽ سسٽم بابت. ، جيڪڏهن توهان اونهي وڃڻ جو فيصلو ڪيو، آئون پڻ سفارش ڪريان ٿو مضمون جو ترجمو ڪريو .
Nmap کي ميگزين ۽ ڪميونٽيز جهڙوڪ Linux Journal، Info World، LinuxQuestions.Org ۽ Codetalker Digest کان "سيڪيورٽي پراڊڪٽ آف دي ايئر" جي حيثيت حاصل آهي.
هڪ دلچسپ نقطو، Nmap فلمن ۾ ڏسي سگھجي ٿو "دي ميٽرڪس ري لوڊ ٿيل"، "ڊائي هارڊ 4"، "دي بورن الٽيميٽم"، "هاٽابائچ" ۽ .
IP-اوزار
- مختلف نيٽ ورڪ يوٽيلٽيز جو هڪ قسم، هڪ GUI سان گڏ اچي ٿو، ونڊوز استعمال ڪندڙن لاءِ ”وقف“.
پورٽ اسڪينر، حصيداري وسيلن (شيئر پرنٽر / فولڊر)، WhoIs/Finger/Lookup، telnet ڪلائنٽ ۽ گهڻو ڪجهه. بس هڪ آسان، تيز، فنڪشنل اوزار.
ٻين شين تي غور ڪرڻ ۾ ڪو خاص نقطو نه آهي، ڇو ته هن علائقي ۾ تمام گهڻيون افاديتون آهن ۽ انهن سڀني کي ساڳيو آپريٽنگ اصول ۽ ڪارڪردگي آهي. اڃا تائين، nmap سڀ کان وڌيڪ استعمال ٿيل رهي ٿو.
ويب اسڪرپٽ جي ڀڃڪڙي اسڪينر
ڪوشش ڪرڻ جي ڪوشش ڪري رهيا آهن مشهور ڪمزورين (SQL inj، XSS، LFI/RFI، وغيره) يا غلطيون (نه ڊهي ويون عارضي فائلون، ڊاريڪٽري انڊيڪسنگ وغيره)
Acunetix ويب خطرناڪ اسڪينر
- لنڪ مان توهان ڏسي سگهو ٿا ته هي هڪ xss اسڪينر آهي، پر اهو مڪمل طور تي درست ناهي. مفت نسخو، هتي دستياب آهي، ڪافي ڪارڪردگي مهيا ڪري ٿو. عام طور تي، اهو شخص جيڪو پهريون ڀيرو هن اسڪينر کي هلائي ٿو ۽ پهريون ڀيرو پنهنجي وسيلن تي رپورٽ حاصل ڪري ٿو، هڪ معمولي جھٽڪو محسوس ڪندو آهي، ۽ توهان سمجهي ويندا ته هڪ ڀيرو توهان ڇو ڪيو. هي ويب سائيٽ تي هر قسم جي ڪمزورين جو تجزيو ڪرڻ لاءِ هڪ تمام طاقتور پراڊڪٽ آهي ۽ ڪم ڪري ٿو نه رڳو عام پي ايڇ پي ويب سائيٽن سان، پر ٻين ٻولين ۾ (جيتوڻيڪ ٻولي ۾ فرق هڪ اشارو نه آهي). هدايتن کي بيان ڪرڻ ۾ ڪو خاص نقطو نه آهي، ڇاڪاڻ ته اسڪينر صرف صارف جي عملن کي "چوندو" آهي. ڪجھ ملندڙ جلندڙ "اڳيون، اڳيون، اڳيون، تيار" هڪ عام سافٽ ويئر تنصيب ۾.
نيڪو
هي هڪ اوپن سورس (GPL) ويب ڪريلر آهي. معمولي دستي ڪم کي ختم ڪري ٿو. ھدف واري سائيٽ کي ڳولھي ٿو اڻڄاتل اسڪرپٽس لاءِ (ڪجھ test.php، index_.php، وغيره)، ڊيٽابيس ايڊمنسٽريشن ٽولز (/phpmyadmin/، /pma ۽ جھڙوڪ) وغيره، اھو آھي، وسيلن کي چيڪ ڪري ٿو سڀ کان وڌيڪ عام غلطين لاءِ عام طور تي انساني عوامل جي ڪري.
ان سان گڏ، جيڪڏهن اهو ڪجهه مشهور اسڪرپٽ ڳولي ٿو، اهو ان کي جاري ڪيل استحصال لاء چيڪ ڪري ٿو (جيڪي ڊيٽابيس ۾ آهن).
رپورٽون موجود آهن "ناپسنديده" طريقا جهڙوڪ PUT ۽ TRACE
۽ ايئن. اهو تمام آسان آهي جيڪڏهن توهان هڪ آڊيٽر طور ڪم ڪيو ۽ هر روز ويب سائيٽن جو تجزيو ڪيو.
مائنس مان، مان غلط مثبت جي اعلي سيڪڙو کي نوٽ ڪرڻ چاهيندس. مثال طور، جيڪڏهن توهان جي سائيٽ هميشه 404 غلطي جي بدران بنيادي غلطي ڏئي ٿي (جڏهن اهو ٿيڻ گهرجي)، پوء اسڪينر چوندو ته توهان جي سائيٽ سڀني اسڪرپٽ تي مشتمل آهي ۽ ان جي ڊيٽابيس مان سڀئي خطرات شامل آهن. عملي طور تي، اهو گهڻو ڪري نه ٿو ٿئي، پر حقيقت جي طور تي، توهان جي سائيٽ جي جوڙجڪ تي گهڻو ڪجهه منحصر آهي.
ڪلاسيڪل استعمال:
./nikto.pl -host localhost
جيڪڏهن توهان کي سائيٽ تي بااختيار ٿيڻ جي ضرورت آهي، توهان nikto.conf فائل ۾ ڪوڪي سيٽ ڪري سگهو ٿا، STATIC-COOKIE متغير.
وڪيٽو
- ونڊوز لاءِ نڪٽو، پر ڪجهه اضافون سان، جهڙوڪ "فزي" منطق جڏهن غلطين لاءِ ڪوڊ چيڪ ڪرڻ، GHDB استعمال ڪندي، لنڪس ۽ ريسورس فولڊر حاصل ڪرڻ، HTTP درخواستن/جوابن جي حقيقي وقت جي نگراني. Wikto C# ۾ لکيل آهي ۽ .NET فريم ورڪ جي ضرورت آهي.
مڇي
- ويب ڪمزوري اسڪينر کان (lcamtuf طور سڃاتو وڃي ٿو). سي ۾ لکيل، ڪراس پليٽ فارم (Win Cygwin جي ضرورت آهي). بار بار (۽ تمام گهڻي وقت لاءِ، اٽڪل 20 ~ 40 ڪلاڪ، جيتوڻيڪ آخري دفعو اهو مون لاءِ ڪم ڪيو 96 ڪلاڪ) اهو سڄي سائيٽ کي ڇڪي ٿو ۽ هر قسم جا حفاظتي سوراخ ڳولي ٿو. اهو پڻ تمام گهڻو ٽرئفڪ پيدا ڪري ٿو (ڪيترائي GB ايندڙ / نڪرڻ واري). پر سڀ وسيلا سٺا آهن، خاص طور تي جيڪڏهن توهان وٽ وقت ۽ وسيلا آهن.
عام استعمال:
./skipfish -o /home/reports www.example.com
"رپورٽ" فولڊر ۾ اتي html ۾ رپورٽ ٿيندي، .
w3af
- ويب ايپليڪيشن حملو ۽ آڊٽ فريم ورڪ، اوپن سورس ويب ڪمزوري اسڪينر. اهو هڪ GUI آهي، پر توهان ڪنسول مان ڪم ڪري سگهو ٿا. وڌيڪ واضح طور تي، اهو هڪ فريم ورڪ سان آهي .
توھان ان جي فائدن جي باري ۾ گھڻي وقت تائين ڳالھائي سگھو ٿا، اھو بھتر آھي ته ڪوشش ڪريو :] ان سان گڏ عام ڪم ھڪڙي پروفائل چونڊڻ، ھڪڙي مقصد جي وضاحت ڪرڻ ۽ حقيقت ۾، ان کي شروع ڪرڻ لاء ھيٺ اچي ٿو.
منتر سيڪيورٽي فريم ورڪ
هڪ خواب آهي جيڪو سچ ٿيو. ويب برائوزر ۾ ٺهيل مفت ۽ کليل معلوماتي حفاظتي اوزارن جو مجموعو.
تمام ڪارائتو جڏهن ويب ايپليڪيشنن کي سڀني مرحلن تي جانچيو.
برائوزر کي انسٽال ڪرڻ ۽ لانچ ڪرڻ لاءِ استعمال هيٺ اچي ٿو.
حقيقت ۾، هن درجي ۾ ڪيتريون ئي افاديتون آهن ۽ انهن مان هڪ مخصوص فهرست چونڊڻ ڪافي ڏکيو آهي. گهڻو ڪري، هر پينٽسٽر پاڻ کي اوزار جي سيٽ جو اندازو لڳائي ٿو جيڪو هن کي گهربل آهي.
استحصال
خطرن جي خودڪار ۽ وڌيڪ آسان استحصال لاء، استحصال سافٽ ويئر ۽ اسڪرپٽ ۾ لکيل آهن، جن کي صرف حفاظتي سوراخ کي استحصال ڪرڻ لاء پيرا ميٽر پاس ڪرڻ جي ضرورت آهي. ۽ اهڙا پراڊڪٽس آهن جيڪي دستي طور تي ڪارناما ڳولڻ جي ضرورت کي ختم ڪن ٿا، ۽ اڃا به انهن کي اڏامي تي لاڳو ڪريو. هن درجي تي هاڻي بحث ڪيو ويندو.
Metasploit فريم ورڪ
- اسان جي ڪاروبار ۾ راکشس جو هڪ قسم. هو ايترو ڪري سگهي ٿو ته هدايتون ڪيترن ئي مضمونن کي ڍڪيندا. اسان خودڪار استحصال تي نظر ڪنداسين (nmap + metasploit). هيٺئين لائن هي آهي: Nmap جيڪو اسان جي ضرورت آهي ان پورٽ جو تجزيو ڪندو، سروس کي انسٽال ڪندو، ۽ metasploit ان تي استحصال لاڳو ڪرڻ جي ڪوشش ڪندو سروس ڪلاس جي بنياد تي (ftp، ssh، وغيره). متن جي هدايتن جي بدران، مان هڪ وڊيو داخل ڪندس، موضوع تي ڪافي مشهور آهي autopwn
يا اسان صرف استحصال جي آپريشن کي خودڪار ڪري سگهون ٿا جيڪو اسان جي ضرورت آهي. مثال:
msf > use auxiliary/admin/cisco/vpn_3000_ftp_bypass
msf auxiliary(vpn_3000_ftp_bypass) > set RHOST [TARGET IP]
msf auxiliary(vpn_3000_ftp_bypass) > run
حقيقت ۾، هن فريم ورڪ جون صلاحيتون تمام وسيع آهن، تنهن ڪري جيڪڏهن توهان اونهي وڃڻ جو فيصلو ڪيو، ته وڃو
ارٽيج
- Metasploit لاءِ سائبر پنڪ صنف GUI جو OVA. ھدف کي تصور ڪري ٿو، استحصال جي سفارش ڪري ٿو ۽ فريم ورڪ جي جديد خاصيتون مهيا ڪري ٿو. عام طور تي، انهن لاء جيڪي هر شيء کي خوبصورت ۽ شاندار ڏسڻ پسند ڪن ٿا.
اسڪرين ڪاسٽ:
Tenable Nessus®
- تمام گھڻيون شيون ڪري سگھي ٿو، پر ھڪڙي صلاحيت جيڪا اسان کي ان مان گھربل آھي اھو طئي ڪرڻ آھي ڪھڙين خدمتن جو استحصال آھي. پراڊڪٽ جو مفت نسخو "صرف گهر"
استعمال
- ڊائون لوڊ ٿيل (توهان جي سسٽم لاءِ)، انسٽال ٿيل، رجسٽرڊ (ڪنجي توهان جي اي ميل ڏانهن موڪليو ويو آهي).
- سرور شروع ڪيو، استعمال ڪندڙ کي شامل ڪيو Nessus سرور مئنيجر (يوزرن کي منظم ڪريو بٽڻ)
- اسان ايڊريس تي وڃون ٿا
https://localhost:8834/
۽ برائوزر ۾ فليش ڪلائنٽ حاصل ڪريو
- اسڪين -> شامل ڪريو -> فيلڊ ۾ ڀريو (اسڪيننگ پروفائل چونڊيو جيڪو اسان لاءِ مناسب آھي) ۽ ڪلڪ ڪريو اسڪين
ڪجهه وقت کان پوء، اسڪين رپورٽ رپورٽون ٽيب ۾ ظاهر ٿيندي
استحصال لاءِ خدمتن جي عملي ڪمزوري کي جانچڻ لاءِ، توھان مٿي بيان ڪيل Metasploit فريم ورڪ استعمال ڪري سگھو ٿا يا استحصال ڳولڻ جي ڪوشش ڪري سگھو ٿا (مثال طور، تي , , وغيره) ۽ ان جي خلاف دستي طور استعمال ڪريو ان جو نظام
IMHO: تمام گھڻو. مون هن کي سافٽ ويئر انڊسٽري جي هن هدايت ۾ اڳواڻن مان هڪ طور آندو.
انجيڪشن جي خودڪار
ڪيتريون ئي ويب ايپ سيڪ اسڪينر انجيڪشن جي ڳولا ڪن ٿا، پر اهي اڃا تائين صرف عام اسڪينر آهن. ۽ اهڙا افاديت آهن جيڪي خاص طور تي انجڻ جي ڳولا ۽ استحصال سان معاملو ڪن ٿيون. اسان هاڻي انهن بابت ڳالهائينداسين.
اسڪوڊپ
- SQL انجيڪشن ڳولڻ ۽ استحصال ڪرڻ لاءِ اوپن سورس افاديت. ڊيٽابيس سرورز کي سپورٽ ڪري ٿو جهڙوڪ: MySQL، Oracle، PostgreSQL، Microsoft SQL Server، Microsoft Access، SQLite، Firebird، Sybase، SAP MaxDB.
عام استعمال ھيٺ لھي ٿو لڪير تي:
python sqlmap.py -u "http://example.com/index.php?action=news&id=1"
ڪافي دستياب آهن، بشمول روسي ۾. سافٽ ويئر وڏي پئماني تي پينٽيسٽر جي ڪم کي آسان بڻائي ٿو جڏهن هن علائقي تي ڪم ڪري رهيو آهي.
مان هڪ سرڪاري ويڊيو جو مظاهرو شامل ڪندس:
bsqlbf-v2
- هڪ پرل اسڪرپٽ، "انڌا" Sql انجيڪشن لاء هڪ وحشي قوت. اهو url ۾ انٽيجر ويلز ۽ اسٽرنگ ويلز سان گڏ ڪم ڪري ٿو.
ڊيٽابيس سپورٽ:
- MS-SQL
- هن MySQL
- PostgreSQL
- Oracle
استعمال مثال:
./bsqlbf-v2-3.pl -url www.somehost.com/blah.php?u=5 -blind u -sql "select table_name from imformation_schema.tables limit 1 offset 0" -database 1 -type 1
-url - پيرا ميٽرز سان ڳنڍيو
-انڌو يو - انجيڪشن لاءِ پيٽرولر (ڊفالٽ طور آخري ايڊريس بار مان ورتو ويو آهي)
-sql "select table_name from imformation_schema.tables 1 offset 0" - ڊيٽابيس کي اسان جي من ماني درخواست
- ڊيٽابيس 1 - ڊيٽابيس سرور: MSSQL
- قسم 1 - حملي جو قسم، "انڌو" انجيڪشن، صحيح ۽ غلطي جي بنياد تي (مثال طور، نحوي غلطيون) جواب
ڊيبگرز
اهي اوزار خاص طور تي ڊولپرز پاران استعمال ڪيا ويندا آهن جڏهن انهن کي انهن جي ڪوڊ تي عمل ڪرڻ جي نتيجن سان مسئلو آهي. پر اها هدايت پينٽيسٽنگ لاءِ پڻ ڪارائتو آهي، جڏهن اسان ان ڊيٽا کي مٽائي سگهون ٿا جيڪو اسان کي پرواز تي گهربل هجي، تجزيو ڪريون ته اسان جي ان پٽ پيراميٽرن جي جواب ۾ ڇا اچي ٿو (مثال طور، fuzzing دوران) وغيره.
برپ سوٽ
- افاديت جو هڪ سيٽ جيڪو دخول ٽيسٽ سان مدد ڪري ٿو. اهو انٽرنيٽ تي آهي Raz0r کان روسي ۾ (جيتوڻيڪ 2008 لاء).
مفت نسخو شامل آهن:
- برپ پراڪسي هڪ مقامي پراکسي آهي جيڪا توهان کي برائوزر کان اڳ ۾ ئي ٺاهيل درخواستن کي تبديل ڪرڻ جي اجازت ڏئي ٿي
- برپ اسپائڊر - اسپائڊر، موجوده فائلن ۽ ڊائريڪٽرن جي ڳولا
- برپ ريپيٽر - دستي طور تي HTTP درخواستون موڪلڻ
- Burp Sequencer - فارمن ۾ بي ترتيب قدرن جو تجزيو
- برپ ڊيڪوڊر هڪ معياري انڪوڊر-ڊيڪوڊر (html، base64، hex، وغيره) آهي، جنهن ۾ هزارين آهن، جيڪي ڪنهن به ٻوليءَ ۾ جلدي لکي سگهجن ٿا.
- Burp Comparer - String Comparion Component
اصول ۾، هي پيڪيج هن علائقي سان لاڳاپيل تقريبن سڀني مسئلن کي حل ڪري ٿو.
فڪر
- Fiddler هڪ ڊيبگنگ پراکسي آهي جيڪو سڀني HTTP(S) ٽرئفڪ کي لاگ ان ڪري ٿو. توهان کي اجازت ڏئي ٿو ته هن ٽرئفڪ کي جانچيو، بريڪ پوائنٽس ۽ "راند" ايندڙ يا ٻاهرئين ڊيٽا سان.
پڻ آهي ، راکشس ۽ ٻيا، چونڊ صارف تي منحصر آهي.
ٿڪل
قدرتي طور تي، هر پينٽيسٽر کي پنهنجي هٿيارن ۽ افاديت جو پنهنجو سيٽ آهي، ڇاڪاڻ ته انهن مان تمام گهڻا آهن. مون ڪوشش ڪئي ته ڪجھ سڀ کان وڌيڪ آسان ۽ مقبول فهرستن کي. پر انهي ڪري ته ڪو به پاڻ کي هن هدايت ۾ ٻين افاديت سان واقف ڪري سگهي ٿو، آئون هيٺ ڏنل لنڪ مهيا ڪندس.
اسڪينر ۽ يوٽيلٽيز جون مختلف چوٽيون/ فهرستون
- .
لينڪس ڊويزنون جيڪي اڳ ۾ ئي شامل آهن مختلف پينٽيسٽنگ افاديت جو هڪ گروپ
اپڊيٽ: روسي ۾ "Hack4Sec" ٽيم کان (شامل )
پي ايس اسان XSpider بابت خاموش نٿا رهي سگهون. نظرثاني ۾ حصو نه ٿو وٺي، جيتوڻيڪ اهو شيئر ويئر آهي (مون کي معلوم ٿيو جڏهن مون آرٽيڪل SecLab ڏانهن موڪليو، اصل ۾ ان جي ڪري (نه ڄاڻ، ۽ جديد نسخو 7.8 جي کوٽ) ۽ ان کي آرٽيڪل ۾ شامل نه ڪيو ويو). ۽ نظريي ۾، ان جو جائزو وٺڻ جي رٿابندي ڪئي وئي (مون وٽ ان لاءِ تيار ڪيل مشڪل ٽيسٽون آهن)، پر مون کي خبر ناهي ته ڇا دنيا ان کي ڏسندي.
پي پي ايس آرٽيڪل مان ڪجهه مواد ان جي گهربل مقصد لاءِ استعمال ڪيو ويندو ايندڙ رپورٽ ۾ QA سيڪشن ۾ 2012، جنهن ۾ اوزار شامل هوندا جن جو هتي ذڪر نه ڪيو ويو آهي (مفت، يقينا)، گڏوگڏ الگورٿم، ڪهڙي ترتيب ۾ استعمال ڪيو وڃي، ڪهڙي نتيجن جي اميد ڪجي، ڪهڙي ترتيب کي استعمال ڪجي ۽ سڀني قسمن جا اشارا ۽ چالون جڏهن ڪم ڪري رهيو آهيان (آئون تقريباً هر روز رپورٽ جي باري ۾ سوچيندو آهيان، مان ڪوشش ڪندس ته توهان کي مضمون جي موضوع بابت تمام بهترين ٻڌايان)
رستي جي ذريعي، هن مضمون تي هڪ سبق هو InfoSec ڏينهن کوليو (, )، ڪري سگهي ٿو ڪوروين کي ڦريو نظر وجهو .
جو ذريعو: www.habr.com