Уязвимость Google OAuth предоставляет доступ к заброшенным аккаунтам
Исследователи Trufflesecurity обнаружили проблему в функции Google OAuth «Войти с помощью Google». Баг позволяет злоумышленн…
Исследователи Trufflesecurity обнаружили проблему в функции Google OAuth «Войти с помощью Google». Баг позволяет злоумышленн…
Компания Okta обнаружила уязвимость в своей системе безопасности. Оказалось, что Okta AD/LDAP DelAuth (Delegated Authenticat…
Никакой сайт в современном вебе не обходится без формы авторизации, а под ней ты часто видишь кнопки входа через соцсети. Работают они благодаря протоколу OAuth, с устройством и основными уязвимостями которого я познакомлю тебя в этой статье. Для закрепления знаний пройдем несколько лабораторных работ.
В этой статье мы максимально глубоко изучим технологию JSON Web Tokens (JWT): где она используется, в чем ее плюсы и минусы и какие опасности она может таить для всего веб‑приложения, если программист видит ее впервые. Мы также рассмотрим типичные уязвимости JWT, научимся их эксплуатировать и исправлять.
Злоумышленники уже пытаются эксплуатировать свежую критическую уязвимость обхода аутентификации в Progress MOVEit Transfer, …
В опенсорсном ERP-решении Apache OfBiz обнаружили уязвимость нулевого дня, которую можно использовать для обхода аутентифика…
Исследователи обошли аутентификацию по отпечаткам пальцев Windows Hello на ноутбуках Dell Inspiron, Lenovo ThinkPad и Micros…
Компания Microsoft анонсировала, что в будущем NTLM (New Technology LAN Manager) будет отключен в Windows 11, поскольку комп…
Google внедряет поддержку входа без паролей для всех учетных записей, во всех сервисах и платформах компании. Это позволит п…
Журналист Джозеф Кокс (Joseph Cox) доказал, что голосовые ID, используемые банками в США и Европе, это не слишком безопасный…
Компания Microsoft выпустила внеплановые патчи, призванные нормализовать работу аутентификации Kerberos, которая «сломалась»…
Специалисты Microsoft сообщают, что им уже известно о новой проблеме, из-за которой корпоративные контроллеры домена сбоят в…
В этой статье я покажу, как работает атака ShadowCoerce, которая использует службу теневого копирования (VSS) и позволяет принудить учетку контроллера домена Active Directory авторизоваться на узле злоумышленника. А это, как ты догадываешься, может привести к захвату домена.
Весной этого года в «Хакере» вышел материал о пентестерах из Group-IB. В конце команда аудита задала читателям несколько тестовых вопросов. В ответ пришло более 50 писем! Теперь настала пора раскрыть карты — посмотрим, как авторы вопросов сами бы на них ответили. А в конце статьи тебя ждет несколько прохладных историй с реальных проектов GiB.
Специалисты Kraken Security Labs нашли способ бюджетного копирования отпечатков пальцев: нужно всего 5 долларов, лазерный пр…
Эксперты компании CyberArk сумели обойти систему биометрической аутентификации Windows Hello, включенную во все версии Windo…
При атаке на веб-приложение иногда нужно составлять цепочки действий: перебор паролей, подбор второго фактора аутентификации, переиспользование ресурсов. Для этого есть разные инструменты. Какой выбрать, если, например, нужно тысячи раз выполнять HTTP-запросы внутри одной сессии? Я выберу Burp Suite, и вот почему.
Сервисы вроде Dropbox или Megaupload — удобное изобретение: можно всегда иметь под рукой нужные документы. Но если не заботиться о безопасности, то это удобство обернется утечкой. В этой статье я наглядно покажу, как облачные хранилища и файлообменники превращаются в объекты хакерских атак, позволяют похитить важные документы и собрать материал для шантажа.
Атака Kerberos Bronze Bit позволяет обойти аутентификацию и получить доступ к сетевым службам.
Инженеры Microsoft работают над устранением багов, которые возникли у многих после установки ноябрьских обновлений. Так, у к…
Недавняя большая атака «белых шляп» на инфраструктуру Apple — одно из интереснейших событий в инфосеке за последнее время. Сегодня мы рассмотрим несколько блестяще выполненных операций: взлом службы DELMIA Apriso, взлом сервера authors.apple.com, получение ключей AWS, получение админских прав в Nova и компрометацию серверов Apple.
Эксперты компании Microsoft в очередной раз подняли вопрос небезопасности многофакторной аутентификации через телефон, то ес…
Специалисты выяснили, что в 80% случаев аутентификацию посредством отпечатков пальцев можно обойти. При этом эксперты компан…
Пароли — один из самых старых методов аутентификации. Несмотря на почтенный возраст, они остаются основным способом убедиться в том, что пользователь — именно тот, за кого себя выдает. Пароли недаром пользуются популярностью. Хоть у них и множество недостатков, у паролей есть и несомненные достоинства: при должном контроле они могут быть как достаточно безопасными, так и вполне запоминаемыми.
Разработчики компании Yubico представили аппаратный ключ безопасности YubiKey 5Ci, который поддерживает Lightning и подойдет…
Некоторые аппаратные ключи компании Yubico оказались ненадежными, теперь пользователям предлагают замену.
Пользователи Android 7.0 и выше получат возможность использовать не только пароли, но и альтернативные способы аутентификац…
На Chaos Communication Congress показали интересный способ обхода биометрической системы аутентификации. Исследователи расск…
Для идентификации пользователей применяют огромное количество аппаратных и программных средств. У каждого из них есть свои преимущества и недостатки, а самое главное — они разнятся по надежности и стоимости. Сегодня мы расскажем о новой методике защиты данных, возникшей на стыке физики, биологии и информационных технологий.
В этой статье мы рассмотрим, как добавить в мобильное приложение возможность еще одного подтверждения аутентификации в дополнение к имени пользователя и паролю (например, звонок на зарегистрированный на пользователя телефон или ввод кода из СМС) и как настроить backend-сервисы для реализации такой многофакторной аутентификации.
Уверен, многие читатели ][ уже давно избавились от стационарных компов и используют ноутбук как основной инструмент для работы, учебы и всего остального. Мир сдвинулся с места и стал мобильным. Но там, где есть мобильная техника, есть и риск ее потерять, забыть или быть обокраденным. Как при этом не лишиться данных, уберечь их от посторонних глаз и отыскать-таки украденную технику? Попробуем разобраться.
Производители наиболее популярных браузеров, Google, Microsoft и Mozilla, поддержат стандарт Web Authentication (WebAuthn), …
Специалисты Политехнического института Нью-Йоркского университета смогли подделать цифровые отпечатки пальцев.
Ученые из Гонконгского баптистского университета создали систему аутентификации, которая полагается на движение губ пользова…
Разработчики Facebook представили интересный механизм восстановления доступа к аккаунтам, Delegated Recovery.
Биометрические механизмы аутентификации используются в смартфонах не так давно. Всего три года назад дактилоскопический сканер появился в iPhone 5s. Отдельные попытки интегрировать сканеры отпечатков предпринимались и раньше, но ничего хорошего из этого не выходило. А как обстоят дела сегодня? Насколько легко обойти сканер и надежно ли он хранит данные отпечатков пальцев?
Перед тобой практическое руководство по аудиту безопасности веб-приложений с поддержкой Single Sign-On — технологии, которая позволяет логиниться в веб-приложение через сторонний сайт. Мы подробно расскажем, какие инструменты нужно использовать для пентестов, на наличие каких уязвимостей нужно проверять приложение: XXE, атаки через преобразования, XPath-инъекции, ошибки при проверке подписи, атаки XSW, атаки на зашифрованные assertions и многое другое. Велком!
Пользователь Reddit rp1226, он же Рохит Пол (Rohit Paul) рассказал о том, что Google тестирует новую систему аутентификации,…