Участие в bug bounty — вещь невероятно увлекательная, но по большей части состоящая из рутины. Проверить то, перебрать это... Логично нагрузить такие таски на компьютер, но скрипты тоже все время приходится писать и переписывать. Большие языковые модели, по которым все сейчас так сходят с ума, могут сослужить здесь важную службу. Я решил самостоятельно убедиться, какую именно, и, вооружившись GPT-4, отправился на охоту за багами.
Эксперты Wordfence предупредили об опасной CSRF-уязвимости, затрагивающей сразу три популярных плагина для WordPress: Login/…
Команда исследователей Check Point обнаружила уязвимости в Atlassian, платформе для разработки ПО и управления проектами, ко…
В этой статье мы разберем протокол WebSocket и подробно остановимся на уязвимости CSWSH — насколько она распространена в открытом интернете. Для тех, кто дочитает до конца, я приготовил бонус в виде утилиты cswsh-scanner, с помощью которой ты можешь проверить свои приложения и попытать удачи на баг-баунти.
CSRF-уязвимость в популярном плагине Code Snippets позволяет атакующему установить полный контроль над уязвимым сайтом.
ИБ-специалист опубликовал PoC-эксплоит и рассказал об уязвимости нулевого дня, затрагивающей все версии phpMyAdmin, вплоть д…
ИБ-специалист обнаружил уязвимости более чем в 100 плагинах для Jenkins, многие из которых до сих пор не устранены.
ИБ-специалист заработал 13 300 долларов, обнаружив CSRF-уязвимости на официальном сайте Samsung.
Эксперты Trend Micro рассказали об эксплоит-ките Novidade, чьей основной целью являются роутеры.
DefenseCode предупреждает: в популярной e-commerce платформе Magento несколько месяцев не могут исправить опасный баг.
Я работаю в большой организации, и, как положено большой организации, у нас есть внутренние веб-приложения, которые реализуют довольно ответственную бизнес-логику. Именно о таком приложении мы сегодня и поговорим: проведем его анализ защищенности, найдем парочку уязвимостей и навсегда уясним, как не стоит хранить бэкапы.
Еще осенью 2016 года специалисты нашли проблему в устройствах Ubiquiti, но производитель до сих пор не выпустил патч.
В последнее время упоминания о криптовалюте Monero стали встречаться в сети очень часто. Это неудивительно, ведь на сегодня …
В PDF есть одна интересная возможность: отправка кросс-доменных запросов с практически любыми заголовками. Это больше напоминает баг, чем фичу, поэтому, скорее всего, окажется запатчено в будущем. Но за этим багом стоит распространенная проблема, так что о нем стоит поговорить подробнее.
Исследователь компании Netsparker рассказал в блоге о том, как он, с декабря 2015 года, добивался исправления уязвимости CSR…
Первая из уязвимостей позволяет осуществление CSRF-атаки через файл Manage.php. Хакеры заметили, что параметры disqus_replac…
Сайт защищен Qrator —
