В экосистеме AWS имеется интереснейший механизм Lambda — это служба бессерверных вычислений, которая запускает код в ответ на определенное событие. Причем она умеет автоматически выделять для этого необходимые ресурсы. Сегодня мы поговорим о том, как использовать ее, чтобы проникнуть в облако AWS и повысить привилегии.
Хранилище Amazon S3, хоть и содержит статические данные, может открывать большие возможности при пентесте. Неправильно выставленные разрешения позволяют хакерам выискивать в S3 чувствительные данные, которые дадут путь для дальнейшего продвижения. В этой статье мы посмотрим, как могут выглядеть мисконфиги S3 и как их эксплуатировать.
Облака — это, как известно, не только белогривые лошадки, но и прекрасный инструмент, чтобы создать удобную инфраструктуру для приложений и сервисов. Компании и независимые разработчики переносят свои проекты в AWS или Azure, часто не задумываясь о безопасности. А зря. Будут ли эти данные недоступны для хакеров, сможет ли облако гарантировать защиту? Давай разбираться.
На Amazon запретили продажу мультитула для пентестеров, так как в компании считают, что это «устройство для скимминга карт».…
Специалисты предупреждают, что хотпатч, выпущенный компанией Amazon для защиты от нашумевшей проблемы Log4Shell, сам предста…
В этой статье мы проэксплуатируем XSS-уязвимость, получим доступ к Docker, заюзав баг в LocalStack, а затем займемся по-настоящему интересной задачей — повышением привилегий внутри Docker и побегом из контейнера через OS Command Injection, чтобы пройти машину Stacked с площадки Hack The Box. Ее уровень сложности заявлен как «безумный» (Insane), но мы справимся, вот увидишь!
Владелица Amazon Echo поведала в Twitter жуткую историю. Виртуальный ассистент Alexa предложил ее десятилетней дочери встави…
Пользователь GitHub под ником Widevinedump опубликовал несколько репозиториев с инструментами, которые позволяют загружать H…
В этой статье мы пройдем машину Sink с площадки HackTheBox. Для этого нам понадобится проэксплуатировать уязвимость HTTP Request Smuggling, а получив точку опоры, будем разбираться с технологией AWS Secrets Manager. Скучать точно не придется!
Компания Amazon объявила о скором закрытии глобальной системы ранжирования сайтов и инструмента для анализа конкурентов Alex…
Исследователи Check Point сообщили, что в апреле текущего года компания Amazon устранила критические уязвимости в Kindle. Пр…
Исследователь Йогев Бар-Он из израильской консалтинговой фирмы Realmode Labs рассказал о придуманной им технике атак KindleD…
Журналисты Vice Motherboard обратили внимание, что Amazon предупреждает некоторых клиентов об утечке данных, из-за которой в…
Уязвимости некоторых поддоменов Amazon и Alexa позволяли хакерам управлять чужими учетными записями, устанавливать вредоносн…
Команда исследователей, пожелавших остаться неизвестными, представила результаты проверки магазина Alexa Skills. Экспертам у…
Перенос IT-инфраструктуры в облака позволяет экономить на технической поддержке, резервном копировании и администрировании. Размещение инфраструктуры в облаке считается более защищенным и от сбоев, и от внешних атак. Но есть и эффективные методы взлома наиболее популярных гибридно-облачных сред, таких как Azure и AWS.
На прошлой неделе разработчики Google сделали 2ФА обязательной для всех пользователей Nest, а теперь такие же правила введен…
Фонд электронных рубежей предупреждает, что приложение Ring для Android собирает и передает на сторону множество пользовател…
СМИ сообщили, что взлом главы Amazon и владельца газеты The Washington Post, Джеффа Безоса, был напрямую связан с сообщением…
Как минимум четверо сотрудников Amazon Ring лишись работы, так как обращались к пользовательским видеоданным, не имея на то …
Инженеры Amazon выпустили исправление для дверных звонков Ring Video Doorbell Pro, так как те содержали опасную уязвимость.
Специалисты SRLabs рассказали о ряде проблем в Alexa и Google Home, которые разработчики Google не могут устранить уже неско…
Устройства Amazon Echo первого поколения и Amazon Kindle восьмого поколения оказались подвержены проблеме KRACK, обнаруженно…
Фишинговый набор 16Shop обновился и теперь атакует не только пользователей Apple.
Сенатор США Крис Кунс (Chris Coons) поинтересовался у компании Amazon, как именно та хранит разговоры пользователей, записан…
Пользователи Facebook вновь пострадали от утечки данных. На этот раз информацию 540 млн человек собрали сторонние компании и…
Сегодня Роскомнадзор снял блокировку с 2,7 млн IP-адресов компании Amazon, так как ими больше не пользуется Telegram.
Представители Amazon уведомили пользователей об утечке данных, однако не раскрывают практически никаких деталей.
Исследователи нашли множество проблем в операционной системе FreeRTOS, что ставит под угрозу как домашние IoT-устройства, та…
На этот раз в дата-центре крупного телеком-провайдера нашли порты Ethernet со спрятанным внутри шпионским чипом.
Китайские субподрядчики якобы ставили аппаратные «закладки» во все поставляемые серверы.
Вечером 8 июня 2018 года Роскомнадзор неожиданно вынес из реестра запрещенных сайтов более 7 000 000 IP-адресов. Как завили …
Обладатели колонки Amazon Echo из Портленда столкнулись с необычным багом: устройство записало личную беседу своих владельце…
Компания Amazon отказалась сотрудничать с Роскомнадзором в вопросе блокировки Telegram, но сообщается, что с Google «начат п…
В реестр запрещенных сайтов входят уже более 18 млн IP-адресов, однако СМИ сообщают, что популярность Telegram в России толь…
Сегодня, 16 апреля 2018 года, Роскомнадзор и провайдеры приступили к блокировке мессенджера Telegram, как и было обещано ран…
Недавно Роскомнадзор едва не дошел до блокировки Amazon AWS, так как услугами сервиса пользовались разработчики интернет-рац…
В конце октября 2017 года Amazon представила сервис для «умных» домов, Amazon Key. Предполагалось, что гаджеты смогут сами в…
После длинной череды утечек данных и проблем, связанных с неправильно сконфигурированными бакетами Amazon S3, компания решил…
Специалист MWR Labs обнаружил уязвимости в некоторых версиях Amazon Echo, с помощью которых колонки можно превратить в подсл…
Сайт защищен Qrator —
