Хакер — Страница 260 — Безопасность, разработка, DevOps

Как обмануть почтальона. Используем почтовик Exim, чтобы выполнить произвольный код на сайтах с WordPress

Привет! Добро пожаловать в новую постоянную рубрику «Эксплоиты Давида Голунского». :) Это шутка лишь отчасти: в прошлом году Давид обнаружил интересную уязвимость и до сих пор продолжает радовать нас разными способами ее эксплуатации. Быть может, кому-то дыра в PHPMailer уже набила оскомину, но если ты хочешь шаг за шагом проследить ее эксплуатацию и пополнить свой арсенал новыми трюками, то оставайся с нами!

Новости

Через два месяца Google окончательно перестанет доверять сертификатам WoSign и StartCom

Компания Google предупредила, что с выходом Chrome 61 доверие к сертификатам WoSign и StartCom будет утрачено окончательно.

Новости

Исследователи реализовали взлом шифрования спутниковой связи в реальном времени

Китайские специалисты разработали методику, которая позволяет расшифровывать защищенные GMR-2 переговоры в реальном времени.

Новости

Исследователь предложил использовать ZIP-бомбы для защиты от взлома

Австрийский исследователь предлагает защищаться от сканирования портов и других хакерских техник с помощью старых добрых ZIP…

Новости

Вредонос CopyCat заразил более 14 млн устройств и был создан китайской рекламной сетью

Исследователи Check Point рассказали об обнаружении Android-вредоноса CopyCat, авторы которого уже заработали более $1,5 млн…

Новости

Cisco: разработчики Petya похитили учетные данные сотрудников M.E.Doc

Разработчики M.E.Doc признали факт компрометации, серверы компании изъяли правоохранители, а эксперты разбираются, что все-т…

Новости

Операторы хакерского аналога VirusTotal экстрадированы в США

Стало известно о задержании двух граждан Латвии, которые управляли хакерским аналогом VirusTotal.

Новости

Авторы оригинального Petya опубликовали мастер-ключ для всех версий

Создатели оригинального вымогателя Petya опубликовали мастер-ключ, но, к сожалению, он бесполезен для жертв NotPetya.

Новости

Анонс конференции Pentestit Security Conference 2017

Напоминаем, что на следующей неделе,15 июля 2017 в Орле состоится Pentestit Security Conference — конференция, посвященная п…

Для подписчиков

Взлом

Когда всё супер. Повышаем привилегии до суперпользователя через уязвимость в sudo

Команда sudo в Unix и Linux позволяет обычному пользователю выполнять команды от имени других пользователей, в частности — от root. Ребята из Qualys нашли в sudo уязвимость типа LPE, которая дает атакующему возможность повысить привилегии в системе. Посмотрим, как это работает.

Новости

Let’s Encrypt начнет выдавать бесплатные сертификаты wildcard в 2018 году

Разработчики Let’s Encrypt анонсировали очень полезное новшество: скоро проект начнет выдавать бесплатные wildcard-сертифика…

Новости

ЦРУ похищает учетные данные SSH с помощью инструментов BothanSpy и Gyrfalcon

Цикл Vault 7 пополнился информацией о двух инструментах ЦРУ, предназначенных для хищения учетных данных SSH из Windows- и Li…

Новости

Аналитики AV-Test назвали шифровальщики «незначительным явлением»

Аналитики AV-Test представили отчет об угрозах 2016/2017, в котором сообщили, что вымогатели для Windows-систем не такая уж …

Новости

Очередной найденный в Google Play троян был загружен более 1 000 000 раз

Специалисты «Доктор Веб» обнаружили в Google Play малварь, встроенную в популярную игру BlazBlue.

Взлом

Охота на файлы! Как утащить данные пользователя macOS с помощью одного документа

Представь ситуацию: ты открываешь HTML-документ, и через какое-то время файлы с твоего жесткого диска оказываются у злоумышленника, притом абсолютно незаметно. Документы, код, SSH-ключи, пароли... Словом, улетают все файлы, которые ты, как текущий системный пользователь, имеешь право читать. Скажешь, невозможно? Современный браузер должен тебя защитить? Да, у некоторых из них есть свои особенности.

Новости

Крупнейшая торговая площадка даркнета AlphaBay не работает уже больше суток

Даркнет-маркет AlphaBay без объяснений и причин ушел в оффлайн более суток тому назад. Пользователи уже начали паниковать.

Новости

Специалисты из университета Виргинии создали Horcrux, менеджер паролей для параноиков

Команда исследователей из университета Виргинии представила прототип менеджера паролей, ориентированного на безопасность.

Новости

Авторы Petya выводят средства с кошелька и предлагают расшифровку данных за 100 биткоинов

Эксперты заметили, что биткоины с кошелька Petya куда-то переводят, а разработчики малвари впервые «подали голос».

Новости

Предустановленный софт на устройствах Dell содержит ряд опасных уязвимостей

Исследователи Cisco Talos обнаружили ряд проблем в Dell Precision Optimizer, Invincea-X и Invincea Dell Protected Workspace.

Новости

Эксперты обнаружили бэкдор в M.E.Doc, а киберполиция Украины изъяла серверы компании

Специалисты продолжают изучение атаки Petya, произошедшей на прошлой неделе. Разработчики M.E.Doc наконец признали факт комп…

Новости

Неизвестные взломали Bithumb, одну из крупнейших криптовалютных бирж в мире

Южнокорейскую биржу Bithumb взломали. Данные пользователей похищены, а также украдено неизвестное количество средств.

Для подписчиков

Кодинг

Android: Cофт для потрошения APK, гайд по скрытым проблемам Kotlin, новые исследования и полезные библиотеки

Мы обновляем нашу рубрику для фанатов Android. Весь июнь мы выбирали интересный гик-софт, искали новые инструменты реверса APK, читали и анализировали whitepaper'ы, статьи по безопасности и разработке. А сейчас готовы поделиться кратким резюме по самому интересному. Если пишешь софт, занимаешься анализом защищенности приложений или просто Android-гик, обязательно загляни.

Новости

На ZeroNights 2017 будет сразу два ключевых спикера

Друзья, небывалое, невиданное и неслыханное на ZeroNights – на конференции будет два ключевых докладчика!

Новости

Спамеры предлагают новую услугу: «иммунитет» от спама за $25

Спамерскими рассылками сегодня никого не удивить, однако теперь спамеры продают и «иммунитеты» от своих же услуг.

Новости

В смартфонах Lenovo найдены уязвимости, позволяющие получить root-права

Специалисты Mandiant обнаружили ряд багов в устройствах Lenovo VIBE, которые могут использоваться для получения root-привиле…

Новости

Полиция Великобритании предъявила обвинения подростку, устраивавшему DDoS-атаки на заказ

18-летнего британца обвиняют в создании сервиса DDoS-атак на заказ, с помощь которого были атакованы множество компаний.

Для подписчиков

Трюки

KDE на прокачку. 12 твиков, которые превратят «Кеды» в идеальный десктоп

Как у любого другого заметного проекта, у KDE есть и непримиримые оппоненты, и ярые сторонники. И в то время как первые критикуют систему за сложность и слишком большое число опций настройки, высокое ресурсопотребление и недостаточную стабильность, вторые парируют подобные выпады тем, что именно обилие настроек дает возможность приспособить KDE для любых нужд и для любых конфигураций железа.

Новости

Classic Ether Wallet взломан, злоумышленники похитили $300 000

Неизвестные сумели перехватить контроль над доменом Classic Ether Wallet и похитили немалую сумму.

Новости

Free Software Foundation расширила список железа, «уважающего свободу» своих владельцев

Устройств, прошедших сертификацию по программе Respects Your Freedom, стало больше.

Новости

Член группировки Crackas With Attitude был приговорен к двум годам лишения свободы

Министерство юстиции США сообщило о вынесении приговора одному из хакеров, взломавших глав ФБР, ЦРУ и не только.

Новости

Wikileaks рассказала, что ЦРУ использует для Linux-систем малварь OutlawCountry

Новая публикация из цикла Vault 7 рассказывает о малвари для Linux-систем.

Для подписчиков

Трюки

Лучшее в iOS 11: пробуем фичи, ради которых стоит ждать новой версии iOS

В одиннадцатой версии операционка iPhone и iPad получила много ценных фич, среди которых как мелочи, так и штуки, в корне меняющие подход к работе с устройством. Если ты не прочь ознакомиться с ними подробнее, но рисковать и ставить бету ты не хочешь, то эта статья — для тебя.

Новости

Проверить компьютер на уязвимость перед эксплоитом ETERNALBLUE поможет Eternal Blues

Специалист компании Imperva Элад Эрез создал инструмент для проверки на уязвимость перед эксплоитом АНБ.

Новости

Федеральная налоговая служба уже может блокировать анонимайзеры

Совместный приказ Роскомнадзора, МВД, ФНС и Роспотребнадзора наделил ФНС полномочиями блокировать анонимайзеры.

Новости

Новая возможность получить скидку на «Хакер»: реферальные коды

Хорошие новости, все! С недавнего времени на «Хакере» заработала новая фича — реферальные коды на подписку. Распространив св…

Новости

Мошенники автоматизировали телефонную социальную инженерию

Журналисты обнаружили, что кардеры готовы доверить обзвон своих жертв автоматике.

Новости

Windows 10 будет бороться с шифровальщиками с помощью Controlled Folder Access

Разработчики Microsoft предложили свой способ борьбы с шифровальщиками: путем блокирования определенных директорий.

Новости

Обновленный троян PlugX атакует разработчиков компьютерных игр

Исследователи Palo Alto Networks обнаружили новые модификации известного трояна PlugX.

Xakep #255

Взлом

Стань админом! 11 техник атак с повышением привилегий в Windows

Одна из наиболее частых рекомендаций по безопасности — это запускать приложения и сервисы под урезанной учеткой. Полностью проблемы безопасности это не решает, но жизнь атакующему осложнить может. Таким образом, что бы ты ни ломал/пентестил: домен Active Directory, машину, на которой хостится сайт, — перед тобой почти обязательно встанет задача поднятия своих привилегий. От ее решения будет зависеть, сможешь ли ты продвинуться дальше или нет. Сегодня мы постараемся рассмотреть всё (ну или почти всё), что касается продвижения вверх в Windows-системах.

Новости

Украинские компании атакует .NET клон WannaCry, а специалисты вновь обвиняют M.E.Doc

Не только Petya атаковал украинские компании в последние недели. Эксперты заметили атаки подражателя WannaCry и «след» компа…

25 лет «Хакеру»!

Еженедельный дайджест

Партнерам

«Хакер» в соцсетях

Материалы для подписчиков

Из рубрики «Взлом»

Трюки

Последние новости

Арестован 17-летний участник группировки Scattered Spider, стоявший за взломом MGM Resorts

«Лаборатория Касперского» обнаружила две волны вредоносных почтовых рассылок

Microsoft: проблемное обновление CrowdStrike «сломало» 8,5 млн Windows-систем

Фальшивый блокировщик рекламы способен запускать произвольный код в Windows-системах

У индийской криптобиржи WazirX украли 230 млн долларов