Временная скидка 50% на годовую подписку!
Xakep #325

b1001 утилит для хакера. Собираем инструменты для пентестинга

Мне действительно пришлось постараться, чтобы собрать для тебя мощную подборку крутых тулз. Еще и таких, которые никогда не публиковались в «Хакере». С ними ты сможешь работать по векторам: SSTI, SSRF, HTTP smuggling, отравление и обман web cache и не только. С некоторых сдул пыль, но они прекрасно работают и сегодня.

Xakep #324

MEGANews. Cамые важные события в мире инфосека за март

В этом месяце: исследователи изучили сторонние клиенты Telegram; группировка TeamPCP скомпрометировала сканер Trivy, ИБ‑компанию Checkmarx и библиотеку LiteLLM; в Android ограничат доступ к Accessibility API, а для установки сторонних приложений придется ждать 24 часа; правоохранители закрыли хакфорум LeakBase и сервис SocksEscort; LLM научили деанонимизировать пользователей, а также другие важные и интересные события марта.

Xakep #325

HTB Browsed. Повышаем привилегии в Linux через отравление кеша Python

Python Cache Poisoning — это техника повышения привилегий, основанная на подмене скомпилированных файлов байт‑кода. Я покажу, как ее применять при атаке на веб‑сервер, а также разработаем свое расширение для Chrome и используем инъекцию команд ОС, чтобы получить доступ к хостовой системе.

Xakep #324

Белый хакер. Глава 23. Пентест

Настоящая работа хакера начинается даже не с включения компьютера, а с понимания того непреложного факта, что под привычными интерфейсами приложений и интернет‑порталов чаще всего скрывается обыкновенная человеческая небрежность, возведенная в систему. Именно она обычно и становится той лазейкой, что позволяет злоумышленникам пробраться в святая святых корпоративной сети и немного там порезвиться. Сегодня они играли в странную игру, пытаясь отыскать такие лазейки и помочь их закрыть, пока этой возможностью не воспользовался кто‑нибудь другой. Пентест, — как и почти все компьютерные термины, этот пришел из английского языка: penetration testing — слово скучное, канцелярское, будто придуманное теми же людьми, что изобрели выражение «оказание услуг». На деле же картинка выглядела просто: Кириллу и компании разрешили изобразить плохих парней, чтобы потом не пришлось разгребать последствия реальной катастрофы.

Xakep #324

Мощные аргументы. Блокируем запуск процессов в Linux через переменные окружения

Чтобы сломать запуск программы в Linux, необязательно трогать сам бинарник или права доступа. Можно попробовать перегрузить данные, которые передаются процессу при старте, — аргументы командной строки и переменные окружения. В этой статье разберемся, как это можно реализовать.

Xakep #324

Боевой Snort. Разворачиваем опенсорсную IDS/IPS и учим ее давать отпор

В этой статье разберем, как настроить опенсорсную систему обнаружения вторжений, которая не просто выявляет угрозы, а еще и при интеграции, например, с Fail2Ban активно противодействует им и предоставляет удобные инструменты для просмотра информации о том, какая это атака и откуда она идет. Мой выбор пал на Snort 3.

«Рег.облако ФЗ-152». Тестируем облачные инстансы с повышенной защитой личных данных

Вы­бирать пло­щад­ку для хра­нения пер­сональ­ных дан­ных может быть слож­нее, чем обыч­ный хос­тинг. Здесь важ­ны не толь­ко про­изво­дитель­ность и надеж­ность, но и юри­дичес­кие момен­ты. В этом обзо­ре мы пос­мотрим на спе­циаль­ный та­риф «ФЗ-152» у про­вай­дера «Рег.обла­ко» и про­верим, как инстан­сы ведут себя в тес­тах.

Xakep #324

Zero-click во FreeScout. Как работает захват сервера одним письмом

Представь: отправляешь электронное письмо и получаешь полноценный Remote Code Execution. Жертве не нужно переходить по ссылкам или открывать файлы. Даже письмо не нужно открывать, главное, чтобы оно дошло. Разберем с тобой уязвимость и напишем PoC.

Страница 12 из 1 665В начало...1011121314 203040...
PENTEST AWARD 2026

Рассылка

Важные события и скидка на подписку:

Форма защищена SmartCaptcha

«Хакер» в соцсетях

Материалы для подписчиков