Хакер — Страница 214 — Безопасность, разработка, DevOps

Хак для Xiaomi Camera. Получаем контроль над дешевой и практичной камерой наблюдения и приучаем ее к iOS

Китайская фирма Xiaomi знаменита не только своими мобильными телефонами, но и недорогими гаджетами, выбор которых ширится с каждым годом. Одна проблема: работают они зачастую только с фирменными приложениями и хабами. В этой статье я покажу, как модифицировать камеру Xiaomi Small Square Smart Camera ценой 25 долларов, чтобы сначала заполучить доступ ко всему интересному, а затем интегрировать в экосистему Apple.

Новости

45 000 китайских сайтов под угрозой из-за появления эксплоита для уязвимости в ThinkPHP

После публикации эксплоита для уязвимости в популярном фреймворке ThinkPHP, множество китайских сайтов оказалось под атакой.…

Новости

Опубликован proof-of-concept для создания червя в Facebook

Польский ИБ-специалист опубликовал PoC-эксплоит для уязвимости в Facebook. Проблема может использоваться для создания полноц…

Xakep #237

Взлом

Цепная реакция. Разбираем уязвимость от забытого комментария до полной компрометации

В этой статье нам предстоит преодолеть длинную цепочку препятствий на пути к заветному руту. По дороге мы в разных вариантах обнаружим уязвимости типа LFI, RCE и эскалации привилегий. А упражняться будем на виртуальной машине ch4inrulz: 1.0.1, полученной с VulhHub.

Новости

Лови Positive Wave: на PHDays 9 пройдет музыкальный фестиваль

Positive Hack Days 9 обещает быть музыкальным! Объявлено о запуске фестиваля Positive Wave и наборе музыкальных групп из IT-…

Новости

Опубликован PoC-эксплоит для уязвимости нулевого дня в Windows

ИБ-специалистка, известная под псевдонимом SandboxEscaper, опубликовала в сети эксплоит для уязвимости нулевого дня в Window…

Новости

Рождественский DDoS отменяется: правоохранители закрыли 15 хакерских сервисов

Правоохранительные органы США, Британии и Нидерландов сообщили о закрытии 15 сервисов DDoS-атак по найму.

Новости

Исследователи смогли перехватить нажатия клавиш через графические библиотеки

Группа ученых разработала атаку, которая позволяет осуществлять перехват нажатий клавиш (как на физических, так и на виртуал…

Новости

Хакеры размещают пейлоады своей малвари в Google Cloud Storage

Специалисты Menlo Labs обнаружили, что преступники хранят вредоносные файлы на storage.googleapis.com. Вредоносная кампания,…

Новости

Обновление лишило владельцев Logitech Harmony Hub доступа к управлению «умным» домом

После очередного обновления прошивки многие владельцы Harmony Hub утратили возможность управлять своими «умными домами».

Xakep #237

Взлом

Поиграем в карты? Полное прохождение заданий со смарт-картами OFFZONE Badge Challenge

На OFFZONE была серия задач на смарт-карте с интерфейсом ISO/IEC 7816. Особо внимательных даже предупредили заранее, опубликовали фотографию бейджа и прямо заявили, что «бейдж можно будет взломать, если вам это будет по силам». Нам оказалось это по силам, и из этой статьи ты узнаешь — как.

Новости

Продемонстрирована удаленная атака, повреждающая BMC и UEFI

Исследователи из компании Eclypsium показали PoC-атаку, не менее разрушительную, чем вайперы и прочая деструктивная малварь.

Новости

Вышло экстренное исправление для критической 0-day уязвимости в Internet Explorer

Разработчики Microsoft устранили RCE-уязвимость в своем браузере. Баг был найден специалистами из Google Threat Analysis Gro…

Новости

Positive Technologies: по итогам 2018 года рынок ИБ вырастет на 10%

Компания подвела итоги года в области информационной безопасности и представила ряд возможных сценариев, которые могут угрож…

Новости

Новый алгоритм машинного обучения ломает текстовые CAPTCHA быстрее и точнее предшественников

Сводная группа китайских и британских исследователей создала алгоритм для решения текстовых CAPTCHA, основанный на принципах…

Xakep #237

Админ

Аудит Windows. Выбираем коммерческий софт для комплексной проверки безопасности

В сегодняшнем материале мы продолжаем наш практический обзор самых популярных и функциональных утилит проверки уровня защищенности (Hardening) десктопных и серверных версий Windows. В первой части мы сосредоточили внимание на бесплатных и open sources инструментах, сегодня же сделаем уклон в сторону коммерческих программ и комплексных enterprise-решений.

Новости

НАСА подверглось кибератаке и допустило утечку данных сотрудников

В октябре 2018 года Национальное управление по аэронавтике и исследованию космического пространства подверглось хакерской ат…

Новости

Тысячи серверов Jenkins по-прежнему уязвимы перед багами, позволяющими любому стать админом

Две исправленные минувшим летом уязвимости по-прежнему представляют угрозу для тысяч серверов и могут быть использованы злоу…

Новости

Google борется с фальшивыми отзывами в Google Play

Каждую неделю представители Google удаляют из Google Play миллионы отзывов и оценок. В компании предупреждают, что разработч…

Новости

Роскомнадзор угрожает Facebook и Twitter штрафом 5000 рублей и готовит систему DPI за 20 млрд

Пресса сообщает, что в 2019 году Роскомнадзор планирует внедрить новую технологию борьбы с запрещенными сайтами и сервисами,…

Ugears. Новые модели подвижных конструкторов из дерева

Услышав слова «деревянный конструктор», ты, наверное, представляешь себе этакий Lego для самых маленьких детей. Впрочем, возможно, ты уже слышал про Ugears — конструкторы из дерева, которые превращаются в сложнейшие механизмы. Это отличный подарок не только для детей, но и для взрослых!

Новости

Взломай константы на PHDays 9

Стали известны концепция и основные темы девятого международного форума по практической безопасности Positive Hack Days.

Новости

Неизвестные дефейснули сайт The Wall Street Journal и извинились перед PewDiePie

Неизвестные взломали коммерческую секцию The Wall Street Journal и разместили на сайте издания извинения в адрес PewDiePie.

Xakep #237

Взлом

Старый сарай, новые грабли. Эксплуатируем PHAR-десериализацию в phpBB

В знаменитом форумном движке phpBB обнаружилась уязвимость, связанная с PHP-десериализацией. В результате некорректной проверки настроек атакующий может сохранить файл с произвольным содержимым на целевой системе и таким образом получить выполнение произвольных команд и скомпрометировать сервер. Здесь я детально разберу каждый аспект обнаруженной проблемы и покажу способ ее эксплуатации.

Новости

Twitter сообщил о хакерской атаке

Разработчики Twitter предупредили, что неизвестные лица обнаружили и эксплуатировали баг в форме обращения в поддержку. Из-з…

Новости

Малварь использует мемы для связи со своими операторами

Эксперты Trend Micro обнаружили трояна, который получал команды при помощи Twitter, стеганографии и мемов.

Новости

В Twitter исправлена уязвимость, позволявшая третьим сторонам читать чужие личные сообщения

ИБ-специалист обнаружил, что некоторые приложения могли читать личные сообщения пользователей Twitter, о чем социальная сеть…

Новости

Эксперты Google нашли «дыру» в приложении для контроллеров Logitech

Исследователи из Google Project Zero обнаружили опасную проблему в приложении Options, при помощи которого пользователи могу…

Xakep #237

Кодинг

Пишем стилер. Как вытащить пароли Chrome и Firefox своими руками

Ты наверняка слышал о таком классе зловредных приложений, как стилеры. Их задача — вытащить из системы жертвы ценные данные, в первую очередь — пароли. В этой статье я расскажу, как именно они это делают, на примере извлечения паролей из браузеров Chrome и Firefox и покажу примеры кода на C++.

Новости

Для шифровальщиков семейства Hidden Tear появился бесплатный дешифровщик HT Brute Forcer

ИБ-специалист Майкл Гиллеспи (Michael Gillespie) создал универсального дешифровщика данных для различных видов малвари Hidde…

Новости

Критический баг в SQLite угрожает тысячам приложений и Chromium-браузерам

Новая уязвимость в SQLite получила название Magellan. Баг позволяет исполнять произвольный код, приводит к утечке памяти про…

Новости

В список худших паролей 2018 года вошли «123456», «password» и «donald»

Эксперты компании SplashData подготовили ежегодный список худших паролей. К сожалению, «password» и «123456» по-прежнему его…

Новости

Баг в одном из API Facebook позволял получить доступ к чужим фото

Около 1500 приложений, созданных 876 разработчиками, могли иметь доступ к личным фотографиям 6,8 млн пользователей.

Новости

Итальянская нефтегазовая компания Saipem SpA пострадала от новой версии вайпера Shamoon

Исследователи зафиксировали появление новой версии малвари Shamoon. Новый «штамм» загрузили на VirusTotal в середине декабр…

Новости

Check Point: ноябрьские распродажи запустили новую волну атак ботнета Emotet

Ботнет Emotet вошел в топ-10 ежемесячного рейтинга угроз компании Check Point, в том числе благодаря вредоносной кампании, п…

Xakep #237

Взлом

Энкодеры msfvenom. Разбираемся с кодированием боевой нагрузки при бинарной эксплуатации

Генерация полезной нагрузки — неотъемлемая часть эксплуатации. При использовании модулей Metasploit пейлоад генерируется автоматически, достаточно выбрать тип и задать некоторые переменные. В этой статье мы попробуем разобраться с ролью энкодеров в бинарной эксплуатации и рассмотрим несколько реальных примеров энкодинга на боевых эксплоитах.

Новости

25 лет «Хакеру»!

Еженедельный дайджест

Партнерам

«Хакер» в соцсетях

Материалы для подписчиков

Из рубрики «Взлом»

Трюки

Последние новости

Арестованы четыре человека, предположительно связанные с хак-группой LockBit

Северокорейские хакеры скомпрометировали немецкую оборонную компанию Diehl Defence

NIST предлагает изменить требования к паролям

Шифровальщик Embargo нацелен на облачные среды

Мужчину судят за продажу поддельных лицензионных ключей для сетевых устройств