Рубрика об информационной безопасности. Подробное описание различных уязвимостей и техник, которые используются для проведения атак. Описания действенных способов защиты. История реальных взломов. Авторы — специалисты в области информационной безопасности и люди, которые часто не хотят раскрывать свои настоящие имена.
В этой статье мы поговорим о баге в Apache Tomcat, популярнейшем веб-сервере для сайтов на Java. Баг позволяет загружать любые файлы на сервер, так что, загрузив файл JSP, можно добиться выполнения произвольного кода. Разберемся, как работает эта уязвимость.
Сейчас ведется набор на вводный курс по кибербезопасности. Вести занятия будут опытные израильские эксперты совместно со спе…
В каталоге приложений Google Play регулярно обнаруживают малварь. Судя по всему, не помогают ни автоматизированные системы к…
Недавно специалисты Google Project Zero раскритиковали подход компании Microsoft к выпуску обновлений. Разработчики Microsof…
Пятеро бывших сотрудников Microsoft рассказали Reuters, что еще в 2013 году злоумышленники похитили у компании БД внутреннег…
Иногда мы, редакторы и авторы «Хакера», сами читаем «Хакер». Нет, ну то есть мы постоянно его читаем :), но иногда получается так, что, разрабатывая новые темы, гуглим что-нибудь интересненькое, натыкаемся на крутую статью, читаем ее с огромным удовольствием и вдруг понимаем, что... это же мы ее и делали, причем, скажем, всего пару лет назад. И при этом материал по-прежнему остается современным! И действительно, существует определенная классика, и практические кейсы, которые были актуальны, скажем, в 2015-м, будут актуальны еще несколько лет.
Появились доказательства, согласно которым хакерская группа Lazarus стояла за недавним ограблением тайваньского банка Far Ea…
Недавно обнаруженный специалистами вредонос для взлома банкоматов, Cutlet Maker, ранее распространявшийся через AlphaBay, сн…
Исследователи обнаружили, что криптографические чипы компании Infineon Technologies, которые используются в ноутбуках, смарт…
Вчера специалисты рассказали о комплексе уязвимостей в WAP2, получившем название KRACK. По сути, уязвимо все, что умеет подк…
На прошлой неделе компания Adobe похвасталась, что октябрь, впервые за много лет, обошелся без релиза обновлений безопасност…
Опубликованы подробности об уязвимостях в WPA2, представленных под общим названием KRACK. Все действительно оказалось так пл…
Сводная группа исследователей анонсировала релиз громкого доклада: специалисты обнаружили множество уязвимостей в составе WP…
Голландский исследователь обнаружил, что в некоторые модели автомобилей Subaru используют уязвимые электронные брелоки, кото…
Исследователи обнаружили, что хакеры используют для распространения малвари не только макросы и OLE, но и другие функции Off…
Бюро кредитных историй Equifax уже подвергалось критике со стороны ИБ-специалистов после масштабной утечки данных, о которой…
Вардрайвинг, он же перехват трафика Wi-Fi, всегда начинается с выбора оборудования. Именно этим мы и займемся: в удобном формате вопросов и ответов разберем, какие девайсы существуют в природе, для каких задач они подходят лучше всего и что взять для начала.
Октябрьский «вторник обновлений» принес исправления более чем для 60 уязвимостей в Windows, продуктах Office, Skype for Busi…
Специалисты SEC Consult предупреждают всех, кто использует Outlook и шифрование S/MIME для своих писем: шифрование фактическ…
ИБ-специалисты обнаружили, что группировка KovCoreG распространяет малварь посредством вредоносной рекламы и фальшивых обнов…
Утечка данных, которую допустило одно из крупнейших бюро кредитных историй в мире, Equifax, продолжает обрастать новыми подр…
Разработчик обнаружил, что вредоносные приложения с легкостью могут подделать окно запроса пароля и похитить учетные данные …
Специалист компании Embedi продолжил исследование своего коллеги из Cylance и обнаружил еще больше проблем в различных импле…
Более 37 000 пользователей Chrome установили себе поддельную версию блокировщика рекламы AdBlock Plus.
Специалисты компании Trend Micro и представители Европола рассказали о том, как ломают банкоматы. Согласно отчету, малварь д…
Стало известно о взломе популярной системы комментирования, в ходе которого пострадали 17,5 млн пользователей.
Специалисты ESET выявили новую мошенническую кампанию. Атакующие заражают веб-серверы вредоносным майнером криптовалюты Mone…
Есть небольшая уязвимость в форумном движке IPB. Можно потроллить админа и заодно убить его форум на несколько дней (проверено лично на двух форумах). Разберемся по шагам, как это работает.
Странный заголовок, не правда ли? Автор, должно быть, рехнулся, если решил сравнить безопасность iOS, которую не может взломать даже ФБР, и дырявое ведро под названием Android. Но я серьезен: Android и iOS можно и даже нужно сравнивать. Не затем, чтобы в очередной раз доказать, что iOS намного лучше. А потому, что iOS проигрывает.
Популярнейшая многофункциональная CMS Joomla снова с нами. Несколько месяцев назад мы уже разбирали уязвимость в ней, но тогда это была SQL-инъекция. Теперь на повестке более экзотическая штука — LDAP Injection. Уязвимости такого типа встречаются нечасто.
Сегодня мы вернемся к Apache Struts, популярному веб-фреймворку, который за последнее время натерпелся от исследователей безопасности и явил миру несколько критических уязвимостей. В этой статье я хочу обсудить уязвимость в модуле, отвечающем за REST API. Она приводит к выполнению произвольного кода и открывает широкие возможности (такие, например, как слив личных данных половины населения США).
Атака «человек посередине», пожалуй, первое, что приходит на ум, когда возникает задача получить пользовательские данные, такие как логины и пароли к различным сервисам, а также передаваемую информацию: почту, сообщения мессенджеров и прочее. ARP-спуфинг, DNS-спуфинг, ICMP-редирект, Evil twin — про все эти техники ты уже, возможно, слышал. В этой статье я расскажу тебе про еще один способ устроить MITM в Wi-Fi-сети, не самый простой, но работоспособный.
Из-за программной ошибки в macOS High Sierra 10.13 пароли для зашифрованных томов APFS отображались в формате простого текст…
Злоумышленники, представляющиеся как Phantom Squad, разослали письма с угрозами тысячам компаний по всему миру и угрожают ус…
Релиз Joomla 3.8 принес более 300 исправлений и улучшений, а также устранил две уязвимости, одна из которых могла использова…
Стартап CoinDash, который взломали во время проведения ICO минувшим летом, получил обратно 10 000 ETH.
Специалисты из израильского университета имени Бен-Гуриона продемонстрировали два новых, экзотических способа атак на изолир…
Появляются все новые подробности о взломе бюро кредитных историй Equifax и, к сожалению, инцидент из-за них выглядит только …
Тесты на проникновение обычно требуют набора специальных утилит, но одна из них доступна каждому и всегда под рукой — это поисковик Google. Нужно только знать, как им пользоваться. Google Dork Queries — это хитрые запросы к поисковикам, которые помогают пролить свет на общедоступные, но скрытые от посторонних глаз данные.
Специалисты IBM X-Force подсчитали, что количество атак на корпоративные сети с целью майнинга криптовалют возросло в шесть …
Сайт защищен Qrator —
Данные участников не передаются третьим лицам