Открытое обращение к министру цифрового развития от основателя «Хакера»
Мы публикуем текст обращения, направленного министру цифрового развития с целью остановить принятие поправки к закону «Об ин…
Мы публикуем текст обращения, направленного министру цифрового развития с целью остановить принятие поправки к закону «Об ин…
В конце сентября 2025 года на второе место по популярности в Apple App Store вышло приложение Neon, которое платило пользова…
Сегодня разберем недавно найденный баг в WordPress и напишем собственный эксплоит на Python. Уязвимость содержится в copypress-rest-api, позволяет обходить запрет на скачивание плагина из каталога WP и добиваться возможности исполнения команд. Она получила номер CVE-2025-8625 и критический статус.
Команда безопасности Redis выпустила патчи для критической уязвимости, которая позволяет атакующим осуществлять удаленное вы…
Компания Microsoft сообщает, что веб-версия Outlook и новый Outlook для Windows более не будут отображать встроенные SVG-изо…
Британских клиентов автопроизводителей Renault и Dacia уведомили о компрометации их персональных данных. Сообщается, что уте…
Группа исследователей из Технологического института Джорджии и Университета Пердью продемонстрировала атаку WireTap. Специал…
Аналитики Trend Micro предупредили, что бразильские пользователи WhatsApp стали целью новой самораспространяющейся малвари S…
В игровом движке Unity обнаружили уязвимость, существовавшую с 2017 года. Проблема может использоваться для выполнения кода …
Сегодня я покажу, как использовать привилегию SeManageVolume для получения «золотого сертификата» и захвата домена на Windows. Перед этим нас ждет череда других уязвимостей: мы загрузим склеенные ZIP-архивы на сайт, чтобы обойти фильтр, получим шелл, вытащим учетки из базы данных, проанализируем трафик для атаки на Kerberos и применим технику ESC3 AD CS.
Исследователи рассказали об атаке CometJacking, которая эксплуатирует параметры URL для передачи ИИ-браузеру Comet от Perple…
Хакеры похитили платежную информацию и персональные данные (включая настоящие имена и удостоверения личности) некоторых поль…
Представители Роскомнадзора (РКН) сообщили, что все владельцы каналов в Telegram, аудитория которых превышает 10 000 человек…
Разработчики OpenSSL объявили о выпуске нескольких новых версий опенсорсного SSL/TLS-тулкита, в которых исправлены сразу три…
Прошивки сетевого оборудования нередко скрывают баги, поэтому их diff-анализ остается основным способом найти уязвимости и потенциальные точки для RCE. В сегодняшней статье я покажу общие техники и методы, которые применяю на практике при анализе 1-day-уязвимостей роутеров, файрволов и других подобных сетевых устройств.
Компания DrayTek, производящая сетевое оборудование, выпустила предупреждение об уязвимости, которая затрагивает несколько м…
Эксперты продемонстрировали аппаратную атаку Battering RAM, которая обходит защиту новейших процессоров Intel и AMD, использ…
Специалисты раскрыли детали трех уже исправленных уязвимостей в ИИ-помощнике Google Gemini, получивших общее название Gemini…
Компания Microsoft изучает проблему, из-за которой классический почтовый клиент Outlook «вылетает» при запуске. Устранить ош…
Компания Western Digital выпустила обновления прошивки для нескольких моделей NAS My Cloud. Обновление исправляет критическу…
Вымогательская группировка Crimson Collective заявила о краже 570 ГБ данных из 28 000 внутренних репозиториев Red Hat. Предс…
В этой статье я покажу, как мне удалось организовать фишинговую рассылку, используя критическую уязвимость в Exchange Server, чтобы повысить доверие к рассылаемым письмам. Начал с получения списка корпоративных адресов через устаревшую версию мобильного приложения, затем с помощью Evilginx2 и Telegram-бота создал неотличимый от оригинала лендинг и в итоге закрепился в сети организации.
Мошенники эксплуатируют незащищенные промышленные маршрутизаторы Milesight для рассылки фишинговых SMS-сообщений. Специалист…
Аналитики международной организации NetBlocks сообщили, что после двух суток полного отключения в Афганистане начали восстан…
Банковский троян и RAT для Android под названием Klopatra маскируется под приложение для IPTV и VPN, и уже заразил более 300…
Google представила новый ИИ-инструмент, предназначенный для Drive для настольных компьютеров. Утверждается, что модель обуче…
В течение многих лет атаки с использованием SQL-инъекций в основном сводились к попыткам нарушить синтаксис запросов. Однако с развитием инструментов акцент сместился на создание «крутых нагрузок» и разбор предупреждений SAST, которые многие игнорируют. Я же попробовал поискать возможность инъекции без экранирования — с мыслью о том, что на это у SAST или WAF не будет правил.
Группа исследователей из Технологического института Джорджии утверждает, что Bluetooth-трекеры Tile передают идентификационн…
Обнаружен новый фишинговый инструментарий MatrixPDF, который позволяет злоумышленникам превращать обычные PDF-файлы в интера…
Агентство по кибербезопасности и защите инфраструктуры США (CISA) предупредило, что хакеры активно эксплуатируют критическую…
По информации специалистов NetBlocks и Cloudflare, 29 сентября 2025 года в Афганистане была введена полная блокировка интерн…
Компания Asahi Group Holdings, производитель самого продаваемого пива в Японии, пострадала от кибератаки, которая нарушила р…
Разработчики Brave Software, стоящие за созданием ориентированного на конфиденциальность браузера и поисковика, представили …
В этом месяце: в сеть попали 600 Гбайт данных, связанных с «Великим китайским файрволом», вредоносная игра из Steam похитила криптовалюту у сотен пользователей, Минцифры работает над «белыми списками», экосистема npm пострадала от крупнейшей в истории атаки на цепочку поставок, энтузиасты придумали аналог премии Дарвина для искусственного интеллекта, а также другие важные и интересные события ушедшего сентября.
Недавно компания Google сообщила, что с 2026 года на сертифицированные Android-устройства можно будет устанавливать только п…
Правительство Великобритании предоставит компании Jaguar Land Rover заем с государственной поддержкой в размере 1,5 млрд фун…
Операторы вымогателя Medusa предложили крупную денежную сумму сотруднику BBC и хотели использовать его как инсайдера для киб…
Компания «Крайон», ведущий российский интегратор технологических решений для цифровой трансформации бизнеса, представила кру…
Эксперты Arctic Wolf предупреждают, что атаки вымогателя Akira на устройства SonicWall SSL VPN продолжают эволюционировать. …
Специалисты Microsoft рассказали, что готовят новую защитную функцию для браузера Edge, которая будет блокировать вредоносны…
Форма защищена SmartCaptcha