Рейтинг@Mail.ru
Главная Взлом

Взлом

Рубрика об информационной безопасности. Подробное описание различных уязвимостей и техник, которые используются для проведения атак. Описания действенных способов защиты. История реальных взломов. Авторы — специалисты в области информационной безопасности и люди, которые часто не хотят раскрывать свои настоящие имена.

Как защищают банки: разбираем внутренние процессы банковского антифрода

В первой статье цикла мы рассмотрели архитектуру системы антифрода и ее связку с интернет-банком, а также пробежались по процессу анализа события антифродом. В рассматриваемой нами системе существует всего четыре ответа антифрода для обрабатываемых событий: разрешить или запретить событие, произвести дополнительную аутентификацию и создать кейс для последующего анализа аналитиком. Эти ответы формируются системой антифрода на основании оценки риска и правил политики, задаваемых фрод-аналитиком. В этом выпуске мы более подробно поговорим о технологических процессах, зависящих от того, какое решение принимает антифрод.

VISUALHACK #4: удаленное выполнение произвольного кода в Apache Struts <= 2.5.10

Если ты следишь за новостями, то уже наверняка слышал про эту нашумевшую проблему. Причина уязвимости — в некорректной логике обработки сообщений об ошибках. Если текст ошибки содержит языковые конструкции OGNL, то они будут выполнены. Таким образом, атакующий может отправить специально сформированный запрос, который повлечет за собой исполнение произвольного кода.

X-Tools: разбираемся с el Scripto, фреймворком нового типа для XSS-атак

Я давно увлекаюсь XSS-атаками, размышляю над разными техниками эксплуатации, ищу обходы и новые векторы для внедрения кода в страницы. В определенный момент у меня накопилось много файлов с XSS-эксплоитами для топовых CMS, и, зная, что в Сети такое добро редко встречается, я решил собрать это все в один набор и назвать его el Scripto.

Xakep #218

Обзор эксплоита: удаленное выполнение произвольного кода в GitHub Enterprise 2.8.0 < 2.8.6 (видео)

Уязвимость существует из-за применения статического ключа для подписи сессии. Атакующий может отправить произвольные данные и подтвердить их валидность с помощью сигнатуры, используя известный ключ. Отправив специально сформированный сериализованный объект, атакующий может скомпрометировать систему. Сериализованные данные будут преобразованы в объект Ruby при помощи модуля Marshal и выполнены.

Страница 1 из 5512345 102030...
«ХАКЕР» ДОСТУПЕН ТОЛЬКО В ЭЛЕКТРОННОЙ ВЕРСИИ
Оформи подписку — получи:
  • доступ к платным материалам сайта
  • доступ ко всем номерам PDF
4590 р.
на год
490 р.
на месяц
90 р.
за 1 статью

Еженедельный ][-дайджест

Реклама на «Хакере»

Корпоративная подписка

Для подписчиков

Хочешь годовую подписку в подарок?

Хочешь годовую подписку в подарок?

Каждые выходные, вместе с дайджестом самых актуальных хакерских трендов, ты можешь получить промокод на бесплатную годовую подписку на «Хакер». Мы выбираем троих счастливчиков каждую неделю.

Даже если ты не попал в их число — ты все равно можешь получить один из 1000+ еженедельных скидочных кодов на годовую подписку. Скидка составляет от 10 до 50%!

Спасибо! На твою почту было отправлено подтверждающее письмо.