В этой статье я расскажу про кейс с Bug Bounty, в котором мне удалось обойти бизнес‑логику приложения, создавать валидные платежи и списывать деньги клиентов. Я тестировал API одной финансовой организации, у которой есть фонд с личным кабинетом. Основные функции были за авторизацией, за исключением кнопки «Сделать взнос»...
Новый шпионский вредонос для Android маскируется под популярные приложения и сервисы, включая WhatsApp, Google Photos, TikTo…
Исследователи из Калифорнийского университета в Ирвайне представили атаку Mic-E-Mouse. Специалисты демонстрируют, что оптиче…
Исследователи из компании Imperva раскрыли детали уже исправленной уязвимости в популярном сервере figma-developer-mcp (Mode…
Конференция по практической кибербезопасности ZeroNights возвращается после перерыва. Мероприятие пройдет 26 ноября в Санкт-…
Разработчики Google сообщили, что проблема «контрабанды ASCII-символов» (ASCII smuggling) в Gemini не получит исправлений. Т…
На прошлой неделе компания Oracle предупредила клиентов о критической 0-day уязвимости в E-Business Suite (CVE-2025-61882), …
Этот компактный девайс называют «двоюродным братом Flipper», и не зря. M5StickC Plus2 — крошечное устройство на базе ESP32 размером с зажигалку, оборудованное дисплеем, несколькими датчиками и батарейкой. Для пентестера этот аппарат открывает множество интересных возможностей, часть которых доступна с дополнительными примочками. Я купил такую игрушку, чтобы посмотреть на нее в деле и рассказать тебе, что она умеет.
Представители Salesforce сообщили, что не намерены вести переговоры и платить выкуп злоумышленникам, которые стоят за серией…
По оценке блокчейн-аналиков компании Elliptic, за девять месяцев 2025 года северокорейские хакеры похитили криптовалютные ак…
Компания Discord заявила, что не собирается платить выкуп злоумышленникам, которые утверждают, что им удалось похитить данны…
Стартует осенняя серия практических ИБ-курсов Inseca. Все программы основаны на реальных задачах, практике и инструментах, к…
Аналитики центра исследования киберугроз Solar 4RAYS группы компаний «Солар» обнаружили неизвестную ранее восточно-азиатскую…
Компания Qualcomm, разрабатывающая и производящая микросхемы для мобильных телефонов и другой электроники, приобретает Ardui…
В этой статье мы разберем необычную стратегию защиты веб‑приложений, где скрипты загружаются еще до отображения страницы и выполняют сложные проверки сети, портов и активности пользователя. Раскроем обфусцированный код и изучим механизмы, применяемые для выявления ботов и угроз.
Группировка Scattered Lapsus$ Hunters шантажирует компанию Red Hat. На сайте злоумышленников появились образцы похищенных у …
Специалисты Data Leakage & Breach Intelligence (DLBI) провели исследование российского рынка утечек данных за январь–сентябр…
В конце сентября 2025 года Южная Корея столкнулась с одним из крупнейших технологических сбоев в истории страны. Два пожара …
Мы публикуем текст обращения, направленного министру цифрового развития с целью остановить принятие поправки к закону «Об ин…
Онлайн-конференция по информационной безопасности CyberCamp 2025 пройдет с 20 по 25 октября. В программе мероприятия заплани…
В конце сентября 2025 года на второе место по популярности в Apple App Store вышло приложение Neon, которое платило пользова…
Команда безопасности Redis выпустила патчи для критической уязвимости, которая позволяет атакующим осуществлять удаленное вы…
Зима близко, но бейсболки «Хакера» актуальны круглый год. Четыре модели с объемной вышивкой и удобной посадкой ждут своих вл…
Сегодня разберем недавно найденный баг в WordPress и напишем собственный эксплоит на Python. Уязвимость содержится в copypress-rest-api, позволяет обходить запрет на скачивание плагина из каталога WP и добиваться возможности исполнения команд. Она получила номер CVE-2025-8625 и критический статус.
Компания Microsoft сообщает, что веб-версия Outlook и новый Outlook для Windows более не будут отображать встроенные SVG-изо…
Британских клиентов автопроизводителей Renault и Dacia уведомили о компрометации их персональных данных. Сообщается, что уте…
Группа исследователей из Технологического института Джорджии и Университета Пердью продемонстрировала атаку WireTap. Специал…
Аналитики Trend Micro предупредили, что бразильские пользователи WhatsApp стали целью новой самораспространяющейся малвари S…
Сегодня я покажу, как использовать привилегию SeManageVolume для получения «золотого сертификата» и захвата домена на Windows. Перед этим нас ждет череда других уязвимостей: мы загрузим склеенные ZIP-архивы на сайт, чтобы обойти фильтр, получим шелл, вытащим учетки из базы данных, проанализируем трафик для атаки на Kerberos и применим технику ESC3 AD CS.
В игровом движке Unity обнаружили уязвимость, существовавшую с 2017 года. Проблема может использоваться для выполнения кода …
Исследователи рассказали об атаке CometJacking, которая эксплуатирует параметры URL для передачи ИИ-браузеру Comet от Perple…
Хакеры похитили платежную информацию и персональные данные (включая настоящие имена и удостоверения личности) некоторых поль…
Представители Роскомнадзора (РКН) сообщили, что все владельцы каналов в Telegram, аудитория которых превышает 10 000 человек…
Завершается сбор ранних предварительных заказов на бумажный выпуск «Хакера», в который войдут самые важные и интересные материалы за 2025 год. Скоро цена возрастет!
Разработчики OpenSSL объявили о выпуске нескольких новых версий опенсорсного SSL/TLS-тулкита, в которых исправлены сразу три…
Компания DrayTek, производящая сетевое оборудование, выпустила предупреждение об уязвимости, которая затрагивает несколько м…
Прошивки сетевого оборудования нередко скрывают баги, поэтому их diff-анализ остается основным способом найти уязвимости и потенциальные точки для RCE. В сегодняшней статье я покажу общие техники и методы, которые применяю на практике при анализе 1-day-уязвимостей роутеров, файрволов и других подобных сетевых устройств.
Эксперты продемонстрировали аппаратную атаку Battering RAM, которая обходит защиту новейших процессоров Intel и AMD, использ…
Специалисты раскрыли детали трех уже исправленных уязвимостей в ИИ-помощнике Google Gemini, получивших общее название Gemini…
Компания Microsoft изучает проблему, из-за которой классический почтовый клиент Outlook «вылетает» при запуске. Устранить ош…
Сайт защищен Qrator —
