Временная скидка 60% на годовую подписку!
Xakep #318
ВзломХардкор

HTB Eureka. Атакуем веб-сервер с Netflix Eureka

Сегодня я покажу, как получить приватные данные из дампа кучи Spring Boot, а затем завладеем доступом к системе Eureka. Через ее сервисы извлечем приватные данные пользователя и сессию на хосте. Для повышения привилегий используем уязвимость в пользовательском анализаторе логов.

Стань автором «Хакера»!

«Хакеру» нужны новые авторы, и ты можешь стать одним из них! Если тебе интересно то, о чем мы пишем, и есть желание исследовать эти темы вместе с нами, то не упусти возможность вступить в ряды наших авторов и получать за это все, что им причитается.

Лучшее в «Хакере» за 2025 год. Предзаказы на бумажный спецвыпуск открыты!

В конце текущего года мы выпустим бумажный спецвыпуск, в который войдут лучшие статьи «Хакера» за 2025 год. Не упусти момент: ты можешь оказаться среди первых обладателей нового коллекционного сборника. Ранние предварительные заказы по специальной цене уже открыты!

Xakep #317

Бесконечный тупняк. Колонка главреда

Говорят, эволюция «изобретала» краба как минимум пять раз: то есть пять разных видов независимо эволюционировали в нечто вроде краба. Ученые называют это карцинизацией. Та же история произошла с соцсетями, только превращаются они, увы, не в краба, а в TikTok.

Xakep #317

MEGANews. Cамые важные события в мире инфосека за август

В этом месяце: всех разработчиков приложений для Android обяжут проходить верификацию, Роскомнадзор ограничил звонки в WhatsApp и Telegram, обновления Windows вызвали проблемы в работе SSD и HDD, Flipper Zero снова попытались связать с автоугонами, разработчики Max заверили, что мессенджер не использует камеру в фоновом режиме, а также другие события ушедшего августа.

Xakep #318

Фишинг с погружением. Как мы втерлись в доверие, прикинувшись разработчиком

В этой статье я расскажу про необычный кейс фишинговой атаки: поскольку жертвы не поддавались на простой фишинг, нам с коллегами пришлось создать поддельную персону разработчика, а также троянское приложение, якобы созданное им. И вот оно наконец‑то сделало свое дело.

Xakep #318

Хакерский стритрейсинг. Ломаем бизнес-логику через Race Condition

Состояние гонки иногда позволяет вмешаться в алгоритмы обработки данных: от оплаты корзины в интернет‑магазине до механики перевыпуска API-ключей с повышением привилегий. На примерах с HTTP/2 и single-packet attack я покажу, как правильно подобранный момент атаки дает возможность «вырваться вперед на повороте» и буквально переписать бизнес‑логику приложения.

Реклама

«СёрчИнформ FileAuditor». Тестируем отечественную DCAP-систему

На рабочих компьютерах может быть масса данных, которые не должны покидать стены офиса. Как убедиться, что сотрудники не будут играть в Сноудена? Один из самых верных способов — софтверный. Сегодня мы с тобой посмотрим на отечественную DCAP-систему компании «СёрчИнформ», которая должна помогать в нелегком деле защиты информации.

Xakep #316

Крутой графен. Ставим GrapheneOS — защищенный и приватный Android

Маркетинговый треш и тотальная слежка — вот какое впечатление у меня в последнее время от заводских версий Android. Нельзя ли найти чистую, надежную и приватную ОС для телефона, при этом не жертвуя удобством? Авторы GrapheneOS приложили серьезные усилия, чтобы человек не только вернул контроль над своим телефоном, но и не потерял в комфорте. Получилось ли у них? Сейчас расскажу!

Страница 2 из 1 63212345 102030...

Бумажный спецвыпуск

Еженедельный дайджест

Спасибо за подписку! Мы будем присылать важные новости ИБ в еженедельном дайджесте
Ошибка при подписке Случилась ошибка при создании подписки на наш дайджест. Пожалуйста, попробуйте позднее
Важные события и скидка на подписку:

«Хакер» в соцсетях

Материалы для подписчиков