Microsoft выпустила срочные патчи, исправив проблемы с аутентификацией Kerberos
Компания Microsoft выпустила внеплановые патчи, призванные нормализовать работу аутентификации Kerberos, которая «сломалась»…
Компания Microsoft выпустила внеплановые патчи, призванные нормализовать работу аутентификации Kerberos, которая «сломалась»…
Специалисты Microsoft сообщают, что им уже известно о новой проблеме, из-за которой корпоративные контроллеры домена сбоят в…
В этой статье я покажу, как работает атака ShadowCoerce, которая использует службу теневого копирования (VSS) и позволяет принудить учетку контроллера домена Active Directory авторизоваться на узле злоумышленника. А это, как ты догадываешься, может привести к захвату домена.
Весной этого года в «Хакере» вышел материал о пентестерах из Group-IB. В конце команда аудита задала читателям несколько тестовых вопросов. В ответ пришло более 50 писем! Теперь настала пора раскрыть карты — посмотрим, как авторы вопросов сами бы на них ответили. А в конце статьи тебя ждет несколько прохладных историй с реальных проектов GiB.
Специалисты Kraken Security Labs нашли способ бюджетного копирования отпечатков пальцев: нужно всего 5 долларов, лазерный пр…
Эксперты компании CyberArk сумели обойти систему биометрической аутентификации Windows Hello, включенную во все версии Windo…
При атаке на веб-приложение иногда нужно составлять цепочки действий: перебор паролей, подбор второго фактора аутентификации, переиспользование ресурсов. Для этого есть разные инструменты. Какой выбрать, если, например, нужно тысячи раз выполнять HTTP-запросы внутри одной сессии? Я выберу Burp Suite, и вот почему.
Сервисы вроде Dropbox или Megaupload — удобное изобретение: можно всегда иметь под рукой нужные документы. Но если не заботиться о безопасности, то это удобство обернется утечкой. В этой статье я наглядно покажу, как облачные хранилища и файлообменники превращаются в объекты хакерских атак, позволяют похитить важные документы и собрать материал для шантажа.
Атака Kerberos Bronze Bit позволяет обойти аутентификацию и получить доступ к сетевым службам.
Инженеры Microsoft работают над устранением багов, которые возникли у многих после установки ноябрьских обновлений. Так, у к…
Недавняя большая атака «белых шляп» на инфраструктуру Apple — одно из интереснейших событий в инфосеке за последнее время. Сегодня мы рассмотрим несколько блестяще выполненных операций: взлом службы DELMIA Apriso, взлом сервера authors.apple.com, получение ключей AWS, получение админских прав в Nova и компрометацию серверов Apple.
Эксперты компании Microsoft в очередной раз подняли вопрос небезопасности многофакторной аутентификации через телефон, то ес…
Специалисты выяснили, что в 80% случаев аутентификацию посредством отпечатков пальцев можно обойти. При этом эксперты компан…
Пароли — один из самых старых методов аутентификации. Несмотря на почтенный возраст, они остаются основным способом убедиться в том, что пользователь — именно тот, за кого себя выдает. Пароли недаром пользуются популярностью. Хоть у них и множество недостатков, у паролей есть и несомненные достоинства: при должном контроле они могут быть как достаточно безопасными, так и вполне запоминаемыми.
Разработчики компании Yubico представили аппаратный ключ безопасности YubiKey 5Ci, который поддерживает Lightning и подойдет…
Некоторые аппаратные ключи компании Yubico оказались ненадежными, теперь пользователям предлагают замену.
Пользователи Android 7.0 и выше получат возможность использовать не только пароли, но и альтернативные способы аутентификац…
На Chaos Communication Congress показали интересный способ обхода биометрической системы аутентификации. Исследователи расск…
Для идентификации пользователей применяют огромное количество аппаратных и программных средств. У каждого из них есть свои преимущества и недостатки, а самое главное — они разнятся по надежности и стоимости. Сегодня мы расскажем о новой методике защиты данных, возникшей на стыке физики, биологии и информационных технологий.
В этой статье мы рассмотрим, как добавить в мобильное приложение возможность еще одного подтверждения аутентификации в дополнение к имени пользователя и паролю (например, звонок на зарегистрированный на пользователя телефон или ввод кода из СМС) и как настроить backend-сервисы для реализации такой многофакторной аутентификации.
Уверен, многие читатели ][ уже давно избавились от стационарных компов и используют ноутбук как основной инструмент для работы, учебы и всего остального. Мир сдвинулся с места и стал мобильным. Но там, где есть мобильная техника, есть и риск ее потерять, забыть или быть обокраденным. Как при этом не лишиться данных, уберечь их от посторонних глаз и отыскать-таки украденную технику? Попробуем разобраться.
Производители наиболее популярных браузеров, Google, Microsoft и Mozilla, поддержат стандарт Web Authentication (WebAuthn), …
Специалисты Политехнического института Нью-Йоркского университета смогли подделать цифровые отпечатки пальцев.
Ученые из Гонконгского баптистского университета создали систему аутентификации, которая полагается на движение губ пользова…
Разработчики Facebook представили интересный механизм восстановления доступа к аккаунтам, Delegated Recovery.
Биометрические механизмы аутентификации используются в смартфонах не так давно. Всего три года назад дактилоскопический сканер появился в iPhone 5s. Отдельные попытки интегрировать сканеры отпечатков предпринимались и раньше, но ничего хорошего из этого не выходило. А как обстоят дела сегодня? Насколько легко обойти сканер и надежно ли он хранит данные отпечатков пальцев?
Перед тобой практическое руководство по аудиту безопасности веб-приложений с поддержкой Single Sign-On — технологии, которая позволяет логиниться в веб-приложение через сторонний сайт. Мы подробно расскажем, какие инструменты нужно использовать для пентестов, на наличие каких уязвимостей нужно проверять приложение: XXE, атаки через преобразования, XPath-инъекции, ошибки при проверке подписи, атаки XSW, атаки на зашифрованные assertions и многое другое. Велком!
Пользователь Reddit rp1226, он же Рохит Пол (Rohit Paul) рассказал о том, что Google тестирует новую систему аутентификации,…