По требованию РКН Apple удалила более 20 VPN-приложений из российского App Store
Компания Apple удалила из российского сегмента App Store сразу несколько популярных VPN-клиентов, включая Streisand, V2Box, …
CISO FORUM 2026 состоится в Москве 28 апреля
28 апреля 2026 года в московском Центре международной торговли пройдет CISO FORUM 2026 — конференция для CISO, CIO, руководи…
Белый хакер. Глава 23. Пентест
Настоящая работа хакера начинается даже не с включения компьютера, а с понимания того непреложного факта, что под привычными интерфейсами приложений и интернет‑порталов чаще всего скрывается обыкновенная человеческая небрежность, возведенная в систему. Именно она обычно и становится той лазейкой, что позволяет злоумышленникам пробраться в святая святых корпоративной сети и немного там порезвиться. Сегодня они играли в странную игру, пытаясь отыскать такие лазейки и помочь их закрыть, пока этой возможностью не воспользовался кто‑нибудь другой. Пентест, — как и почти все компьютерные термины, этот пришел из английского языка: penetration testing — слово скучное, канцелярское, будто придуманное теми же людьми, что изобрели выражение «оказание услуг». На деле же картинка выглядела просто: Кириллу и компании разрешили изобразить плохих парней, чтобы потом не пришлось разгребать последствия реальной катастрофы.
Бумажные спецвыпуски «Хакера»: предзаказ четвертого сборника и остатки тиражей
Четвертый бумажный спецвыпуск «Хакера» уже готовится к печати, и пока идет предзаказ — самое время забрать его по специальной цене. Также напоминаем, что первые два сборника уже распроданы полностью, а тиражи остальных постепенно подходят к концу. Пока мы не планируем допечатывать спецвыпуски, поэтому советуем не затягивать с заказом.
У HackerOne произошла утечка данных из-за взлома компании Navia
Bug bounty платформа HackerOne уведомила сотни сотрудников о том, что их персональные данные были скомпрометированы. Причино…
В роутерах TP-Link исправили критическую уязвимость обхода аутентификации
Компания TP-Link выпустила обновления прошивки для роутеров серии Archer NX, устранив в них сразу несколько уязвимостей. Сам…
Мощные аргументы. Блокируем запуск процессов в Linux через переменные окружения
Чтобы сломать запуск программы в Linux, необязательно трогать сам бинарник или права доступа. Можно попробовать перегрузить данные, которые передаются процессу при старте, — аргументы командной строки и переменные окружения. В этой статье разберемся, как это можно реализовать.
Хакер заявил о краже данных 6,8 млн пользователей Crunchyroll
Стриминговая аниме-платформа Crunchyroll расследует утечку данных, после того как некий хакер заявил СМИ, что похитил информ…
Эксплоит-кит Coruna связан с «Операцией Триангуляция»
Эксперты «Лаборатории Касперского» опубликовали технический анализ эксплоит-кита Coruna и сообщили, что как минимум один его…
Глава «Ростелекома» заявил, что Telegram в России «умирает прямо сейчас»
Президент «Ростелекома» Михаил Осеевский заявил, что трафик иностранных мессенджеров в России стремительно падает, и посовет…
Из-за атаки на цепочку поставок Trivy заражено более 1000 облачных сред
Кампания группировки TeamPCP, начавшаяся со взлома сканера уязвимостей Trivy, продолжает разрастаться. По данным специалисто…
В России арестован администратор хак-форума LeakBase
Российские правоохранители задержали 33-летнего жителя Таганрога, которого считают предполагаемым администратором хак-форума…
Исследователи изучили серверную часть малвари ClayRat, чей разработчик уже арестован
Специалисты Solar 4RAYS опубликовали детальный отчет, посвященный серверной части Android-вредоноса ClayRat. При этом активн…
Боевой Snort. Разворачиваем опенсорсную IDS/IPS и учим ее давать отпор
В этой статье разберем, как настроить опенсорсную систему обнаружения вторжений, которая не просто выявляет угрозы, а еще и при интеграции, например, с Fail2Ban активно противодействует им и предоставляет удобные инструменты для просмотра информации о том, какая это атака и откуда она идет. Мой выбор пал на Snort 3.
Google сканирует даркнет с помощью ИИ-агентов
В Google Threat Intelligence появился новый инструмент на базе Gemini, который мониторит даркнет в поисках угроз для конкрет…
В ФАС сообщили, что за рекламу в Telegram и на YouTube не будут штрафовать до конца года
ФАС установила переходный период для рекламодателей в Telegram и YouTube — до конца 2026 года штрафовать за размещение рекла…
Вышла Kali Linux 2026.1 с восемью новыми инструментами и режимом BackTrack
Представлен первый в этом году релиз Kali Linux 2026.1. В обновлении добавили восемь новых инструментов, новую тему оформлен…
Вакансии: Golang, Next.js и QA для highload-проекта на удаленке
Международная компания ищет трех специалистов для работы над highload-платформой: бэкенд-разработчика на Go, фронтендера на …
Мощность системы ТСПУ планируют увеличить в 2,5 раза к 2030 году
По информации издания «Коммерсант», в Минцифры планируют нарастить пропускную способность технических средств противодействи…
Фишинговая платформа Tycoon2FA восстановилась после операции правоохранителей
Фишинговая платформа Tycoon2FA, о ликвидации инфраструктуры которой в начале марта сообщал Европол, уже восстановилась и пра…
«Рег.облако ФЗ-152». Тестируем облачные инстансы с повышенной защитой личных данных
Выбирать площадку для хранения персональных данных может быть сложнее, чем обычный хостинг. Здесь важны не только производительность и надежность, но и юридические моменты. В этом обзоре мы посмотрим на специальный тариф «ФЗ-152» у провайдера «Рег.облако» и проверим, как инстансы ведут себя в тестах.
Zero-click во FreeScout. Как работает захват сервера одним письмом
Представь: отправляешь электронное письмо и получаешь полноценный Remote Code Execution. Жертве не нужно переходить по ссылкам или открывать файлы. Даже письмо не нужно открывать, главное, чтобы оно дошло. Разберем с тобой уязвимость и напишем PoC.
Из-за атаки на Intoxalock автомобили с алкоблокираторами перестали заводиться
На прошлой неделе хакеры атаковали компанию Intoxalock — одного из крупнейших поставщиков систем блокировки зажигания (ignit…
Атака на сканер Trivy привела к взлому Checkmarx и LiteLLM
Атака на цепочку поставок сканера Trivy продолжает набирать масштаб: хакерская группировка TeamPCP скомпрометировала Docker-…
В Санкт-Петербурге провайдера оштрафовали за обход блокировок
Мировой суд Санкт-Петербурга оштрафовал интернет-провайдера «Тинко» на 250 000 рублей за то, что трафик компании шел в обход…
Власти США запретили импорт иностранных роутеров
Федеральная комиссия по связи США (FCC) обновила Covered List — реестр оборудования, представляющего угрозу национальной без…
RCE-уязвимость PolyShell угрожает магазинам на базе Magento
Специалисты компании Sansec обнаружили уязвимость PolyShell, которая затрагивает все актуальные версии Magento Open Source и…
Мошенничавший с ИИ музыкант признал себя виновным
Музыкант из Северной Каролины Майкл Смит (Michael Smith) признал себя виновным в мошенничестве с роялти на стриминговых плат…
GeekДля начинающих
Крипта с нуля. Разбираемся с алгоритмами в основе криптовалют
Эта статья — для тех, кто хочет разобраться с нуля, как устроены и как работают криптовалюты. Мы рассмотрим, каким образом хеш‑функции превращают любой текст в уникальный отпечаток, зачем нужны два разных ключа вместо одного и как цифровая подпись позволяет доказать авторство и подтвердить целостность без помощи нотариусов.
Критическая уязвимость telnetd ведет к выполнению произвольного кода
В демоне telnetd из состава GNU InetUtils обнаружили критическую уязвимость, которая позволяет неаутентифицированному атакую…
Российские сервисы для онлайн-опросов используются для криптовалютного скама
Специалисты «Лаборатории Касперского» зафиксировали волну мошеннических рассылок, в которых злоумышленники маскируют ссылки …
Ученым и правоохранителям разрешат искать экстремистские материалы в интернете
В Минцифры предложили поправки к очередному пакету антимошеннических мер, которые устранят правовую коллизию: с лета 2025 го…
Linux Foundation защитит мейнтейнеров от ИИ-слопа
Шесть крупных компаний — Anthropic, AWS, GitHub, Google, Microsoft и OpenAI — совместно выделили 12,5 млн долларов США на пр…
ВзломДля начинающих
HTB Conversor. Разбираемся с XSLT-инъекцией
XSLT-инъекции — редкий, но крайне опасный класс уязвимостей. Найдя их, злоумышленник может использовать особенности обработки XML и XSLT, чтобы читать и записывать файлы на сервере или добиться выполнения кода. В этом разборе покажем, как такая уязвимость позволяет полностью скомпрометировать систему.
Сканер Trivy взломан в ходе атаки на цепочку поставок
Хакеры внедрили инфостилер в популярный сканер уязвимостей Trivy, подменив почти все теги GitHub Actions и опубликовав вредо…
Исследователи RKS Global изучили сторонние клиенты для Telegram
Исследователи RKS Global протестировали восемь популярных альтернативных Telegram-клиентов для Android и выяснили, что три и…
Власти нарушили работу инфраструктуры ботнетов Aisuru, Kimwolf, JackSkid и Mossad
Правоохранительные органы США, Германии и Канады провели совместную операцию и отключили управляющую инфраструктуру четырех …
Минцифры и операторы связи опровергают введение «белых списков» для домашнего интернета
В конце прошлой недели Telegram-канал Mash сообщил, что провайдеры домашнего интернета в Москве якобы срочно внедряют систем…
Белый хакер. Глава 22. Интересное предложение
Трафик на Харбор‑фривей сегодня был неожиданно интенсивным: казалось, уставшие от внезапно свалившейся на город жары обитатели Лос‑Анжелеса решили разом рвануть на природу, туда, где воздух был чище, а пальмы бросали длинные тени на разогретый песок. Из‑за плотного движения дорога, которая обычно занимала от силы минут пятнадцать, растянулась на целых полчаса.
Открываем предзаказы на второй ежеквартальный номер «Хакера»
Второй в 2026 году выпуск ежеквартального «Хакера» уже готовится к печати, и мы открываем предварительные заказы! На время сбора предзаказов цена составит 1200 рублей. После выхода журнала из типографии стоимость возрастет, так что сейчас лучшее время, чтобы забронировать свой экземпляр.
Бумажный выпуск
Материалы для подписчиков
Вопросы по материалам и подписке: support@glc.ru
Отдел рекламы и спецпроектов: yakovleva.a@glc.ru
Контент 18+
Сайт защищен Qrator —
самой забойной защитой от DDoS в мире
Отдел рекламы и спецпроектов: yakovleva.a@glc.ru
Контент 18+
Сайт защищен Qrator —самой забойной защитой от DDoS в мире