CSRF

Более 200 000 сайтов на WordPress оказались под угрозой из-за уязвимости в плагине Code Snippets

CSRF-уязвимость в популярном плагине Code Snippets позволяет атакующему установить полный контроль над уязвимым сайтом.

Опубликованы детали 0-day уязвимости в phpMyAdmin

ИБ-специалист опубликовал PoC-эксплоит и рассказал об уязвимости нулевого дня, затрагивающей все версии phpMyAdmin, вплоть до новейшей 4.9.0.1.

Уязвимости в 100 плагинах для Jenkins угрожают безопасности компаний

ИБ-специалист обнаружил уязвимости более чем в 100 плагинах для Jenkins, многие из которых до сих пор не устранены.

CSRF-уязвимости на сайте Samsung позволяли захватить контроль над чужим аккаунтом

ИБ-специалист заработал 13 300 долларов, обнаружив CSRF-уязвимости на официальном сайте Samsung.

Новый набор эксплоитов атакует роутеры

Эксперты Trend Micro рассказали об эксплоит-ките Novidade, чьей основной целью являются роутеры.

Неисправленная уязвимость в Magento позволяет взламывать магазины через Vimeo-видео

DefenseCode предупреждает: в популярной e-commerce платформе Magento несколько месяцев не могут исправить опасный баг.

Производитель сетевого оборудования Ubiquiti не может исправить серьезный баг

Еще осенью 2016 года специалисты нашли проблему в устройствах Ubiquiti, но производитель до сих пор не выпустил патч.

Как бэкап становится бэкдором. Ищем уязвимости в веб-приложении крупной компании

Я работаю в большой организации, и, как положено большой организации, у нас есть внутренние веб-приложения, которые реализуют довольно ответственную бизнес-логику.…

Обнаружен CSRF-баг, позволяющий компрометировать кошельки Monero и похищать деньги

В последнее время упоминания о криптовалюте Monero стали встречаться в сети очень часто. Это неудивительно, ведь на сегодня Monero является…

В браузере «Яндекса» исправлен CSRF-баг, позволявший похитить все данные пользователя

Исследователь компании Netsparker рассказал в блоге о том, как он, с декабря 2015 года, добивался исправления уязвимости CSRF (Cross-Site Request…

Easy Hack: отправляем произвольные запросы из PDF

В PDF есть одна интересная возможность: отправка кросс-доменных запросов с практически любыми заголовками. Это больше напоминает баг, чем фичу, поэтому,…

Уязвимости в плагине Disqus для WordPress

Первая из уязвимостей позволяет осуществление CSRF-атаки через файл Manage.php. Хакеры заметили, что параметры disqus_replace, disqus_public_key и disqus_secret_key передаются в функцию…