Временная скидка 60% на годовую подписку!
Для подписчиков

HTB CozyHosting. Эксплуатируем инъекцию команд в веб-приложении на Java

Сегодня мы с тобой поработаем с фреймворком Spring Boot и проведем инъекцию команд, чтобы получить доступ к веб‑серверу. Захватив сессию, покопаемся в базе данных в поисках учетных данных, а при повышении привилегий применим технику GTFOBins для SSH.

Xakep #299

Вкатываемся в 3D-печать. Разбираем основы на примере бюджетного 3D-принтера EasyThreed X1

3D-печатью я увлекаюсь уже давно, но домашним 3D-принтером пользовался нечасто: на работе у меня имеется целых два подобных аппарата. Громадная «Прюша» занимала слишком много места, поэтому, продав ее, я озадачился поиском какого‑нибудь компактного недорогого аппарата на случай, если мне приспичит быстро напечатать что‑нибудь мелкое. Выбор пал на EasyThreed X1 — 3D-принтер размером с небольшую книжку. О нем я сегодня и расскажу.

Xakep #299

MEGANews. Самые важные события в мире инфосека за февраль

В этом месяце: хакеры украли у AnyDesk исходный код и сертификаты подписи кода, обнаружен сервис OnlyFake, генерирующий фальшивые документы, правоохранители хакнули инфраструктуру группировки LockBit, Avast оштрафовали за торговлю данными пользователей, для Flipper Zero вышел новый модуль, а также другие интересные события февраля.

Xakep #299

Code 27. Пентестим сети с наименьшим ущербом

MITM — это самая импактная атака, которую можно провести в сети. Но одновременно это и самая опасная техника с точки зрения рисков для инфраструктуры. В этой статье я расскажу о том, как спуфить при пентесте, чтобы ничего не сломать по дороге и не устроить DoS.

Xakep #299

Вызывайте санитайзер! Фаззим исполняемые файлы при помощи AFL++ с санитайзерами

Фаззинг, как ты, наверное, знаешь, — это техника, которая позволяет автоматизировать поиск уязвимостей в софте. Бывает фаззинг методом «черного ящика», когда у нас нет исходников программы, а бывает основанный на покрытии — то есть применяемый к исходникам. В этой статье сосредоточимся на втором виде и на примере AFL++ разберем, какую роль здесь играют санитайзеры и как их применять.

Для подписчиков

HTB Visual. Захватываем сервер на Windows через проект Visual Studio

В этом райтапе я покажу, как проникнуть на хост через бэкдор в настройках проекта Visual Studio. Затем получим сессию от имени службы веб‑сервера, активируем привилегию SeImpersonate и используем очередную «картошку» для выполнения кода от имени системы.

Xakep #299

Те самые инъекции. Колонка главреда

Недавно в «Хакере» вышла статья, посвященная основе основ веб‑безопасности — SQL-инъекциям. Возможно, кто‑то заметил мое присутствие в комментариях под ней, и это неспроста. Для меня ее публикация — одно из важнейших событий в «Хакере» за последнее время.

Страница 1 из 1 57412345 102030...

25 лет «Хакеру»!

Поделись своей историей знакомства с «Хакером»! Как «Хакер» тебе помог или повлиял на твое решение связаться с IT?

Пройти опрос

Еженедельный дайджест

Спасибо за подписку! Мы будем присылать важные новости ИБ в еженедельном дайджесте
Ошибка при подписке Случилась ошибка при создании подписки на наш дайджест. Пожалуйста, попробуйте позднее
Важные события и скидка на подписку:

«Хакер» в соцсетях

Материалы для подписчиков