Хакеры скомпрометировали почтовые серверы МВД Франции
Министерство внутренних дел Франции сообщило о кибератаке. Злоумышленники взломали почтовые серверы ведомства и получили дос…
Мошенники используют фейковый Steam для угона аккаунтов
Злоумышленники устроили масштабную кампанию по угону аккаунтов российских геймеров. Аналитики из компании F6 обнаружили как …
Вымогатели шантажируют PornHub после кражи данных премиум-подписчиков
Хакеры из группировки ShinyHunters вымогают деньги у платформы PornHub, заявляя, что похитили истории просмотров и поисковые…
Уязвимость в Notepad++ позволяла распространять вредоносные обновления
Разработчики популярного текстового редактора Notepad++ выпустили версию 8.8.9, которая устраняет серьезную проблему в механ…
ВзломХардкор
HTB WhiteRabbit. Атакуем сервер через систему бэкапов restic
Сегодня я покажу, как через restic можно выйти из окружения Docker. Но прежде скомпрометируем систему Uptime Kuma и получим доступ к фреймворку Gophish. Затем проэксплуатируем сложную SQL-инъекцию, чтобы узнать секрет restic. В конце используем логику генератора паролей для получения учетки админа.
MITRE опубликовала список 25 самых опасных проблем 2025 года
Специалисты MITRE опубликовали ежегодный рейтинг 25 самых опасных и распространенных проблем в программном обеспечении, кото…
Обнаружена 0-day-уязвимость в RasMan. Пока доступен только неофициальный патч
В Windows обнаружена новая уязвимость нулевого дня в службе Remote Access Connection Manager (RasMan), которую можно использ…
Apple патчит баги в WebKit, которыми уже пользовались хакеры
Компания Apple выпустила экстренные патчи, которые исправляют две уязвимости нулевого дня. Разработчики предупредили, что эт…
В Kali Linux 2025.4 добавили три новых инструмента
Разработчики Kali Linux представили последний релиз в этом году — 2025.4. В эту версию вошли три новых инструмента, улучшени…
Футболки и бейсболки «Хакера» — выбирай свой вариант
Декабрь — самое время порадовать себя, друзей или коллег чем-то новым. Мерч «Хакера» отлично подойдет для подарка и хорошо смотрится как на конференциях, так и в обычной жизни. В коллекции «Хакера» тебя ждут 12 уникальных дизайнов футболок и четыре модели бейсболок. Собери свой сет!
Неисправленная уязвимость в Gogs привела к компрометации 700 серверов
Уязвимость нулевого дня в популярном сервисе для самостоятельного хостинга Git-репозиториев Gogs позволяет злоумышленникам у…
Фишинговый сервис Spiderman нацелен на европейские банки и криптосервисы
Исследователи из компании Varonis обнаружили новую PhaaS-платформу Spiderman, которая нацелена на пользователей банков и кри…
Серый кардинал мира логов. Строим домашнюю лабораторию со сбором логов на Graylog 5.2
С уходом из России ряда крупных вендоров, включая Splunk, возникает вопрос: можно ли опираться на опенсорсные решения для сбора и анализа логов? В этой статье мы ознакомимся с одним из лучших вариантов — Graylog. Кратко рассмотрим возможности этой системы, чтобы понять, подходит ли она для бизнес‑задач.
Три уязвимости PCIe ведут к утечкам данных, повышению привилегий или DoS-атакам
В спецификации протокола PCIe IDE обнаружили сразу три уязвимости. Правда, эксплуатация этих проблем потребует физического д…
Google патчит загадочную 0-day в Chrome, у которой нет даже CVE
Разработчики Google выпустили срочные патчи для браузера Chrome, исправив очередную уязвимость нулевого дня, которую уже акт…
В Госдуме допускают возможность блокировки всех сервисов Google
В Госдуме всерьез обсуждают перспективу блокировки всех сервисов Google в России. Член комитета по информационной политике А…
Аналитики Gartner рекомендуют блокировать ИИ-браузеры
Аналитическая компания Gartner призвала бизнес отказаться от использования ИИ-браузеров. Эксперты полагают, что новые инстру…
OWASP AI Testing Guide. Разбираем полную классификацию атак на нейросети
Сегодня мы проведем исчерпывающий разбор нового гайда по безопасности от OWASP, посвященного искусственному интеллекту. Мы погрузимся в каждый из 32 пунктов гайда с техническими деталями, реальными и приближенными к реальности примерами атак, фрагментами кода и моими личными комментариями как пентестера и ресерчера.
Назначен первый в России штраф за поиск экстремистского контента
Мировой суд в Каменске-Уральском Свердловской области вынес первое решение по новой статье 13.53 КоАП, которая предусматрива…
Android-вредонос DroidLock блокирует устройства жертв и требует выкуп
Эксперты из компании Zimperium обнаружили новую Android-малварь DroidLock. Вредонос блокирует экран устройства жертвы и треб…
В Испании арестован подросток, похитивший 64 млн записей с персональными данными
Национальная полиция Испании сообщила об аресте 19-летнего подозреваемого, которого обвиняют в краже и попытке продажи 64 мл…
Через взломанные сайты распространяется NetSupport RAT
Исследователи из компании Securonix обнаружили кампанию JS#SMUGGLER — злоумышленники взламывают легитимные сайты и использую…
«Кибериспытания». Сколько стоит взломать твой бизнес?
Часто при разговоре с CISO слышу одно и то же: «Мы соответствуем стандартам», «у нас внедрен SOC», «мы закрыли X критичных уязвимостей». Звучит успокаивающе, но не для CEO или инвесторов. Эти люди хотят понять одно: во сколько компании обойдется реальная атака?
Хакеры из КНДР применяют свежую уязвимость React2Shell для развертывания EtherRAT
Всего через два дня после раскрытия критической уязвимости React2Shell исследователи из компании Sysdig обнаружили в скомпро…
Троян ChimeraWire притворяется человеком и накручивает популярность сайтов
Аналитики «Доктор Веб» обнаружили необычный троян ChimeraWire, который умеет имитировать поведение пользователя в браузере и…
ВзломДля начинающих
XSS с самого начала. Разбираем на пальцах базовую веб-уязвимость
Сегодня поговорим о самой массовой уязвимости в веб‑приложениях — XSS. Я постараюсь растолковать суть этой проблемы на пальцах. Из этой статьи ты узнаешь, как отправить послание всем пользователям сайта, как устроить атаку на сайт при помощи файла SVG и как увести cookie админа.
Microsoft выпустила патчи для 57 уязвимостей, включая три 0-day
Последний в этом году «вторник обновлений» принес патчи для 57 уязвимостей в продуктах Microsoft, три из которых были класси…
С 2022 по 2024 год вымогательские хак-группы «заработали» более 2,1 млрд долларов
Подразделение по расследованию финансовых преступлений при Министерстве финансов США, также известное как FinCEN, обработало…
Обнаружены расширения VSCode, содержащие инфостилеры
На маркетплейсе Microsoft для Visual Studio Code нашли два вредоносных расширения, которые заражают машины разработчиков сти…
Google добавляет новую защиту для агентного ИИ в Chrome
Разработчики Google объявили о запуске многоуровневой защиты для браузерных ИИ-агентов, которые скоро смогут самостоятельно …
Поставщика Asus атаковали вымогатели. Хакеры заявляют, что украли 1 ТБ данных
Компания Asus сообщила, что один из ее поставщиков пострадал от хакерской атаки. При этом вымогательская группировка Everest…
«Лаборатория Касперского»: половина скомпрометированных в 2025 году паролей утекла повторно
Специалисты «Лаборатории Касперского» провели масштабный анализ крупных утечек паролей по всему миру за период с 2023 по 202…
Обратный enumeration. Изучаем атакующих по их трафику
В арсенале безопасников — множество инструментов для анализа сетевой активности и выявления атак, но иногда можно обойтись без них и получить не менее впечатляющие результаты. В этой статье мы разберем, как по одному лишь сетевому трафику восстановить портрет атакующего: понять, откуда он пришел, какой техникой пользуется и как ведет разведку.
Эксперты заметили, что стилер Lumma заразил устройство северокорейского хакера
Во время анализа логов стилера Lumma исследователи из компании Hudson Rock обнаружили, что вредонос заразил устройство север…
ЕС оштрафовал социальную сеть X на 140 000 000 долларов
Еврокомиссия оштрафовала социальную сеть X на 120 млн евро (около 140 млн долларов США) за нарушение требований прозрачности…
МВД сообщило о задержании разработчика и администратора малвари на базе NFCGate
Правоохранительные органы сообщают, что задержали разработчика и администратора панели управления неназванного вредоноса, по…
Китайские хакеры уже эксплуатируют критический баг React2Shell
Всего через несколько часов после раскрытия информации о критической уязвимости React2Shell злоумышленники начали использова…
ВзломДля начинающих
HTB Editor. Эксплуатируем уязвимость в Netdata для повышения привилегий на сервере
В этот раз проэксплуатируем RCE в XWiki. Получив учетные данные системного пользователя, используем уязвимость типа RCE в Netdata и повысим привилегии до root.
ФБР предупреждает о росте количества виртуальных похищений
ФБР сообщает, что мошенники придумали новый способ обмана пользователей: преступники используют фотографии из соцсетей, обра…
В Apache Tika исправлена критическая XXE-уязвимость
Разработчики предупреждают о критической уязвимости в Apache Tika. Уязвимость получила идентификатор CVE-2025-66516 и 10 бал…
Бумажный спецвыпуск
Материалы для подписчиков
Вопросы по материалам и подписке: support@glc.ru
Отдел рекламы и спецпроектов: yakovleva.a@glc.ru
Контент 18+
Сайт защищен Qrator —
самой забойной защитой от DDoS в мире
Отдел рекламы и спецпроектов: yakovleva.a@glc.ru
Контент 18+
Сайт защищен Qrator —самой забойной защитой от DDoS в мире