Сегодня мы с тобой на примере легкой по уровню сложности машины Backdoor с площадки Hack The Box поупражняемся в простейших атаках на веб-приложения. Поищем уязвимые плагины для WordPress, проэксплуатируем уязвимость типа path traversal, переберем информацию о процессах при помощи Burp и повысим привилегии в системе через пользовательский скрипт.
ИБ-специалист выяснил, что еще до арестов хак-группа Lapsus$ успела скомпрометировать телеком-гиганта T-Mobile. В компании п…
В конце прошлой недели пользователи и СМИ обратили внимание на перебои в работе сервисов «1С», которые используются для учет…
Завершилось хакерское состязание Pwn2Own Miami 2022, проходившее с 19 по 21 апреля. Его участники заработали более 400 000 д…
Исследователи Check Point обнаружили, что многие Android-девайсы, работающие на чипсетах Qualcomm и MediaTek, уязвимы для уд…
Компания Google анонсировала новые правила, которые, по сути, запрещают приложения для записи звонков. В рамках борьбы с при…
Аналитики «Лаборатории Касперского» пишут, что доля российских пользователей, столкнувшихся с телефонным мошенничеством, вно…
Всех, кто использует относительно новые версии Java-фреймворка Oracle, в минувшую среду ждал неприятный сюрприз: критическая уязвимость в Java, которая позволяет легко подделывать сертификаты и подписи TLS, сообщения двухфакторной аутентификации и данные авторизации. Исследователь из компании ForgeRock Нил Мэдден опубликовал в сети подробное описание уязвимости, с тезисами которого мы сегодня тебя познакомим.
Когда изучаешь дизассемблированный листинг программы в целях понять, как она работает, очень часто нужно отыскать в ней строки. В сегодняшней статье мы рассмотрим, какие типы строк существуют, из каких символов они могут состоять, какого размера бывают символы и чем отличается строка от простого набора байтов. Еще мы обсудим хранение, передачу и обработку строк разными компиляторами.
Специалисты команды Google Project Zero назвали 2021 год рекордным на 0-day уязвимости, использовавшиеся хакерами, поскольку…
Операторы малвари Hive атакуют серверы Microsoft Exchange, уязвимые для проблем ProxyShell. На скомпрометированных машинах з…
Специалисты предупреждают, что хотпатч, выпущенный компанией Amazon для защиты от нашумевшей проблемы Log4Shell, сам предста…
Эксперты Positive Technologies обнаружили ряд проблем в моноблочных компактных контроллерах Mitsubishi FX5U серии MELSEC iQ-…
Избежать обнаружения полезной нагрузки антивирусами — важнейшая задача не только вирусописателей, но и пентестеров и участников red team. Для этого существуют различные техники. Сегодня мы подробно рассмотрим две из них: Herpaderping и Ghosting. О двух других методиках — Hollowing и Doppelgänging — можно почитать в статье «Маскируем запуск процессов при помощи Process Doppelgänging».
ИБ-специалисты заметили, что даркнет-сайты хак-группы REvil, прекратившей работу в начале 2022 года, снова активны. На сайта…
Специалисты Агентства по инфраструктуре и кибербезопасности США (CISA) предупредили, что уязвимость в компоненте Windows Pri…
Создатели MetaMask опубликовали предупреждение для пользователей iOS, сообщив, что при включенном резервном копировании данн…
Разработчики браузера Brave представили новую функцию под названием De-AMP, которая позволяет обходить Google Accelerated Mo…
Lenovo опубликовала бюллетень безопасности и предупредила о трех уязвимостях, которые затрагивают ее UEFI, который использую…
Компания «Яндекс» опубликовала исходный код распределенной системы управления базами данных Yandex Database (YDB). Технологи…
Работая в терминале, мы управляем сценариями PowerShell с помощью параметров, которые указываются в командной строке при их вызове. Если с нашим сценарием будут работать обычные пользователи, то, добавив к нему простой графический интерфейс, можно избавить их от необходимости вводить названия параметров. О том, как приделать GUI к сценариям PowerShell, я сейчас расскажу.
Группа экспертов из Висконсинского университета в Мадисоне и Чикагского университета Лойолы опубликовала исследование, согла…
Аналитики компании Citizen Lab обнаружили новый zero-click эксплоит для iMessage, который использовался для установки шпионс…
Сегодня мы с тобой разберем прохождение «безумной» по сложности машины с площадки Hack The Box. Посмотрим, как работает бэкдор для WordPress, и используем его, чтобы получить доступ к хосту. Затем проникнем в Docker, перехватим пароль пользователя при подключении к базе данных и секретный ключ при подключении к SSH. А в конце поищем, разберем и используем бэкдор в механизме аутентификации Linux.
По информации собственных источников Forbes, близких к Роскомнадзору и администрации президента, регулятор намерен модернизи…
Специалисты «Лаборатории Касперского» создали бесплатный инструмент, который позволяет восстанавливать доступ к файлам, заши…
Американские власти объявили, что готовы выплатить вознаграждение в размере до 5 000 000 долларов США за информацию о хакерс…
Эксперты Cisco Talos обнаружили вредоноса ZingoStealer, который распространяется бесплатно, может воровать конфиденциальную …
Хакеры запустили в даркнете новую торговую площадку Industrial Spy, где торгуют украденными у взломанных компаний данными, а…
Разработчики GitHub сообщили, что неизвестные лица использовали ворованные токены OAuth (выпущенные Heroku и Travis-CI) для …
Зампред правления Сбербанка Станислав Кузнецов сообщил СМИ, что недавно специалисты банка остановили масштабную атаку на вла…
Специалисты VMware предупредили об активности вайпера RuRansom, который атакует российские системы и умышленно уничтожает да…
Разработчики Google обновили браузер Chrome Windows, Mac и Linux до версии 100.0.4896.127, чтобы исправить серьезную уязвимо…
Исследователи обеспокоены из-за уязвимости CVE-2022-26809, которую Microsoft недавно исправила в Windows RPC. Дело в том, чт…
После того как «Сбер» и «Альфа-Банк» попали под блокирующие санкции, аккаунты банков на GitHub оказались забанены. Также о б…
СМИ заметили, что, согласно электронной базе данных, в начале текущей недели Мещанский районный суд города Москвы арестовал …
С 15 до 22 апреля 2022 года цена тематических подборок статей «Хакера» будет снижена с 590 до 290 рублей. Спеши воспользоваться предложением!
Электроника и схемотехника — две очень интересные науки. С помощью микросхем, транзисторов и других устройств цифровой логики ты можешь у себя дома спроектировать и собрать самые разные электронные приборы. Ведь настоящий мужчина в своей жизни должен посадить дерево, построить дом и... научиться собирать цифровые схемы на MOSFET-транзисторах!
Эксперты Qihoo 360 (360 Netlab) сообщают об обнаружении нового ботнета Fodcha, который ежедневно устраивает DDoS-атаки на со…
Критическая уязвимость, устраненная недавно в плагине Elementor для WordPress, позволяла аутентифицированным пользователям з…
Сайт защищен Qrator —
