Сегодня мы публикуем три работы, получившие Pentest Award в номинации Fuck the Logic. В первой речь пойдет о баге, позволявшем бесконечно выводить деньги с криптобиржи, во второй — о захвате чужих аккаунтов в некой соцсети, в третьей — о ловком реверсе токенов приложения.
Еще весной текущего года компания Microsoft начала добавлять рекламу в разговоры с ИИ чат-ботом Bing Chat, чтобы монетизиров…
ФБР предупреждает о новой тактике, которую с июля 2023 года используют вымогательские группировки. Теперь в сети жертв внедр…
В этом месяце: Free Download Manager для Linux содержал бэкдор, Китай обвинил США во взломе Huawei, Google критикуют из‑за уязвимости в библиотеке libwebp, сотрудник Microsoft случайно слил в сеть 38 Тбайт данных, историю Chrome будут использовать в рекламных целях, разработчики Genshin Impact пригрозили багоюзерам судом и другие интересные события сентября.
Исследователи из «Лаборатории Касперского» заметили, что злоумышленники атакуют русскоязычных блогеров, маскируясь под рекла…
Разработчики Raspberry Pi Foundation представили Raspberry Pi 5, спустя долгих четыре года после выхода Raspberry Pi 4. Пято…
Аналитики Proofpoint обнаружили новую Windows-малварь ZenRAT, которая распространяется, маскируясь под установочные пакеты о…
Исследователи из четырех американских университетов разработали новую side-channel атаку на современные видеокарты, которая …
Правоохранительные органы США и Японии предупредили, что китайская APT-группировка BlackTech взламывает периферийные устройс…
Компания Google выпустила экстренные патчи, устраняющие уязвимость нулевого дня в браузере Chrome. Проблема уже находилась п…
Positive Technologies сообщает о новой хакерской группировке Dark River, которая целенаправленно атакует предприятия российс…
Критическая уязвимость в ПО непрерывной интеграции JetBrains TeamCity может использоваться неаутентифицированными злоумышлен…
Специалисты компаний Group-IB и Bridewell представили совместный отчет о преступной группе ShadowSyndicate (ранее Infra Stor…
Компания Google, не делая никаких анонсов, пересмотрела рейтинг уязвимости CVE-2023-4863, связанной с опенсорсной библиотеко…
Сегодня мы познакомим тебя с четырьмя лучшими работами с Pentest Award из номинации Bypass. Тебя ждут: взлом FortiNAC через вредоносный ключ активации, захват Bitrix в обход WAF, опыт написания реверс‑шелла с кастомным шифрованием на Haskell и метод сайдлоада DLL, позволяющий миновать средство защиты.
Представители Роскомнадзора сообщили, что приняли меры понуждения в отношении сразу 12 зарубежных хостеров. Меры приняты «в …
По информации СМИ, разработчики мессенджера WhatsApp отказались от запуска каналов в России. На это решение повлияли заявлен…
Компания Sony начала расследование возможной хакерской атаки, после того как группировка RansomedVC заявила, что скомпромети…
Специалисты «Доктор Веб» предупредили, что участились случаи мошенничества с применением программ для удаленного доступа к р…
Прежде чем применять технику NTLM Relay, необходимо собрать информацию об исследуемом объекте и выбрать первоочередные цели. Но как это сделать, если атакуемая сеть насчитывает многие десятки или сотни узлов? На помощь придет очень полезный и удобный инструмент — BloodHound!
Google оповещает пользователей Gmail о том, что базовая HTML-версия веб-почты будет отключена в январе 2024 года, и для даль…
Исследователи FACCT сообщили о «ребрендинге» финансово мотивированной группировки Shadow, которая похищает и шифрует данные …
Одноранговая транзакционная сеть Mixin Network, предназначенная для масштабирования и ускорения транзакций, сообщает, что вр…
Специалисты из Citizen Lab и Google Threat Analysis Group сообщают, что с мая по сентябрь 2023 года три уязвимости нулевого …
Разработчики менеджера паролей LastPass просят некоторых пользователей придумать более длинные мастер-пароли. В LastPass утв…
Крупнейшая в Канаде авиакомпания Air Canada сообщила, что личная информация некоторых ее сотрудников попала в руки хакеров, …
В этом райтапе мы проведем MITM-атаку на службу SSH, чтобы заполучить логин и пароль пользователя. Но сначала попентестим веб‑сервер, найдем уязвимость LFI и, проникнув в систему, повысим привилегии через антивирус ClamAV.
Исследователи из компании ESET обнаружили ранее неизвестный бэкдор Deadglyph, используемый хак-группой Stealth Falcon (она ж…
С 1 декабря 2023 года хостинг-провайдеры будут обязаны проверять личность своих клиентов по новым правилам, разработанным Ми…
Министерство государственной безопасности КНР опубликовало официальное заявление в WeChat, в котором обвинило США во взломе …
Эксперты из компании IOActive провели анализ автомобильных уязвимостей за последнее десятилетие. Оказалось, что автомобильна…
Совместное расследование компаний SentinelLabs и QGroup GmbH обнаружило шпионскую кампанию неизвестной ранее группировки San…
Компания Apple выпустила экстренные патчи для исправления трех новых уязвимостей нулевого дня, которые уже использовались в …
На GitHub нашли фальшивый PoC-эксплоит для недавно исправленной уязвимости в WinRAR. Специалисты Palo Alto Networks Unit 42 …
Агентство пограничных служб Канады (CBSA) сообщило, что из-за кибератаки в канадских аэропортах возникли массовые перебои в …
Компания T-Mobile допустила ошибку во время обновления, и в результате некоторые клиенты увидели в приложении личную информа…
Специалисты из компании Cado Security заметили, что с августа 2023 года активность червя P2PInfect, который атакует серверы …
В августе 2023 года прошла церемония награждения Pentest Award — премии для специалистов по тестированию на проникновение. Мы опубликуем лучшие работы из каждой номинации и начнем с пробива периметра.
В этой статье я расскажу о том, как я связал в цепочку несколько проблем безопасности с целью удаленного выполнения кода (RCE) на серверах компании VK. Я описал свои шаги в подробностях, чтобы показать, как исследователь мыслит во время обнаружения необычных уязвимостей.
На этой неделе компания Trend Micro предупредила клиентов об исправлении критической 0-day уязвимости, затрагивающая Apex On…
Сайт защищен Qrator —
