В этом выпуске я расскажу об ошибке в десериализаторе объектов GMP в PHP, об уязвимости в сервере Bitbucket, которая позволяет, минуя авторизацию, попасть в админку. Не обошли стороной и уязвимость в популярной CMS WordPress. Эксплуатация найденного бага позволяет изменять содержимое любой записи или страницы.
Если ты никогда не слышал про «Кибершефа», то бери эту ссылку и немедленно добавляй в закладки. Форматирование, шифрование, регулярные выражения, вычисление хешей, операции с публичным ключом — это всего лишь базовые функции «Шефа». Его настоящий конек — возможность составлять из них программы в визуальном редакторе.
Исследователи компании ESET обнаружили в официальном каталоге Google Play 13 фишинговых приложений для Instagram.
Пользователи провайдера TalkTalk заметили, что у них перестал работать TeamViewer, и как выяснилось, это вовсе не сбой.
Исследователи изучили более 200 уязвимостей нулевого дня, чтобы понять, как долго они «живут» и насколько полезны.
Специалисты Cisco Talos предупреждают, что свежая уязвимость нулевого дня в Apache Struts уже находится под атакой.
Исследователи обнаружили новую порцию уязвимостей во множестве IoT-устройств китайского производства.
Представители Uber отреагировали на обвинения, и сообщили, что постараются не блокировать полицию и чиновников.
Ненадежность SHA-1 уже была доказана, а крупные компании отказались от использования алгоритма, он все равно популярен.
Компании Apple и Google заверили пользователей, что эксплоиты ЦРУ уже почти не представляют опасности.
Неважно, занимаешься ли ты пентестами, веб-разработкой или просто любопытен от природы. В любом из этих случаев тебе наверняка пригодится сервис, который показывает, на каких технологиях работает тот или иной сайт. В полку таких сервисов недавно прибыло, и новобранца зовут LargerIO.
Давным-давно, когда Android еще не был мейнстримом, любой разработчик мог написать приложение, которое сможет спокойно висеть в фоне и в режиме реального времени обмениваться данными с сервером. Но чем дальше, тем более жесткие техники сохранения энергии применяет Google, и сегодня так просто сетевое реалтаймовое приложение уже не реализуешь. Однако есть несколько трюков, которые позволяют это сделать.
Независимый исследователь обнаружил множество неисправленных проблем в NAS компании Western Digital.
Из-за странного звонка юристов компании Tesla известный хакер передумал покупать Model S.
Когда речь заходит о темной стороне инфосека, невыполнение обязательств становится особенно актуальной темой. Другими словами, где криминал, там и кидалы. Снизить риск помогают арбитры и гаранты, которые занимаются проведением сделок и разрешением спорных ситуаций, но число желающих взять деньги и ничего не дать взамен все равно высоко. Свое решение проблемы предлагают разработчики ресурса Ripper.cc.
Первый iPhone был представлен десять лет назад, в 2007-м. Через год появился магазин приложений от Apple. Тогда же на сцену вышел Android, а вместе с ним магазин приложений Google Play. Хотя сама идея продавать ПО для мобильных телефонов не была новой, именно появление iPhone, Android и Windows Phone ознаменовало образование современного рынка мобильного ПО, каким мы его знаем сейчас.
Сканирование Onion-пространства выявило, что недавняя атака на хостинг-провайдера Freedom Hosting II имела серьезные последс…
Специалисты компании Sixgill обнаружили, что в даркнете выставили на продажу macOS малварь Proton, оцененную в $50 000.
Wikileaks начала публикацию дампа под кодовым названием Vault 7, содержащего подробности работы хакеров ЦРУ.
Независимый исследователь обнаружил баг в приложении Uber, который позволял совершать поездки бесплатно.
Плохие новости, парни. Мы узнали об этом вчера, но до последнего не хотелось верить. 18 февраля 2017 года скончался Николай Лихачев, известный всему IT-миру как Крис Касперски, — наш старый автор, хороший друг и просто человек, само имя которого вошло в историю и стало синонимом словосочетания «русский хакер».
Активность вымогательского ПО (ransomware) в 2016 году находилась на рекордно высоком уровне, и о спаде ее активности в первом квартале 2017-го говорить не приходится. Эту статью мы решили посвятить самым популярным и злобным зловредам-вымогателям, особенно отличившимся в 2016 году. Мы разберем их устройство, поведение, обход песочниц и UAC, а также механизмы самозащиты.
Исследователи «Лаборатории Касперского» рассказали о новых атаках с участием вайпера Shamoon и малвари StoneDrill.
Известный ИБ-специалист Крис Викери обнаружил утечку бэкапов крупной «маркетинговой» организации River City Media (RCM).
Министерство юстиции США прекращает судебное преследование одного из посетителей педофильского сайта PlayPen.
Специалисты Cisco Talos обнаружили RAT SourceFireSux, который использует интересную технику, чтобы избежать обнаружений.
Журналистам стало известно, что администраторов подпольной торговой площадки AlphaBay шантажируют.
Разработчики ACROS Security представили временное исправление для свежего бага CVE-2017-0038.
Отправляясь на поиски вареза или пиратского фильма, обычно не ждешь, что трекер или поисковик будет модно выглядеть. А уж про обилие баннеров и агрессивных рекламных скриптов можно и не говорить — этим грешит большинство известных пиратских сайтов вроде The Pirate Bay. Новый поисковик Sky torrents — приятное исключение из этого правила.
Если поисковик DuckDuckGo кому-то и известен, то в первую очередь в связи с повышенной приватностью. В отличие от Google или «Яндекса» он не собирает данные о пользователях, но и результаты у него не такие же хорошие. Однако стоит копнуть глубже, и оказывается, что это мощнейший инструмент, способный значительно облегчить и ускорить извлечение информации из Сети.
Мир не стоит на месте, все меняется и эволюционирует. Весьма странно держать свой сайт на хостинге из мезозойской эры. Многие веб-мастера недостаточно четко понимают все прелести современного хостинга, поэтому цель данной статьи — показать, что же такое современный хостинг в наше время.
Uber использует инструмент Greyball для выявления активности правоохранителей, в странах, где приложение под запретом.
Не секрет, что власти многих стран следят за торрентами и устраивают пиратам ловушки. Но не все действуют так прямолинейно.
Сразу две компании анонсировали интересные изменения в своих bug bounty программах.
Без сомнения, самыми громкими факапами февраля можно считать утечку Cloudflare и падение Amazon S3. Но было и много других к…
Неизвестный пользователь опубликовал на форуме BleepingComputer мастер-ключи от шифровальщика Dharma.
Специалист Detectify обнаружил уязвимость в клиенте Slack, через которую можно было перехватить контроль над чужим аккаунтом…
Накупить умных гаджетов — не проблема. Но как сделать так, чтобы они работали вместе и управлялись при помощи голоса? Команда «Сири, включи свет» будет работать только с устройствами, которые поддерживают фирменный протокол HomeKit. Однако немного шаманства, и этому трюку можно научить практически любой девайс, способный принимать команды извне.
Один из популярнейших почтовых сервисов даркнета, Sigaint исчез с радаров без всяких объяснений.
Представители компании Amazon объяснили, что послужило причиной массового сбоя, произошедшего в ночь на 1 марта 2017 года.
Данные участников не передаются третьим лицам