В этом райтапе я покажу типичный сценарий захвата веб-сервера. Сначала проведем базовое сканирование сайта на предмет скрытых каталогов, затем проведем NoSQL-инъекцию, чтобы обойти авторизацию, и HTML-инъекцию, чтобы прочитать произвольные файлы. При повышении привилегий используем обход каталогов Bash для чтения пользовательского скрипта.
В этом райтапе по сложной машине с площадки Hack The Box мы проэксплуатируем уязвимость в CMS Jamovi для получения учетных данных, а затем попентестим CMS Bolt, чтобы получить управление над Docker и туннелировать трафик на основной хост. После этого работаем с базой RocketChat для авторизации в чате и получения RCE. Чтобы повысить привилегии, разберемся с возможностью CAP_DAC_READ_SEARCH.
MongoDB уведомила клиентов, что на прошлой неделе ее корпоративные системы были взломаны, в результате чего данные клиентов …
Неизвестный хакер стер базу данных популярного RSS-ридера NewsBlur, а затем потребовал у разработчиков выкуп в обмен на дост…
Практически каждый день «Хакер» пишет о масштабных и не очень утечках данных. «Течет» откуда только можно, и последствия бывают самыми разными. Сегодня я постараюсь рассказать и показать, как легко злоумышленники могут получить доступ к обширным массивам всевозможных данных.
Неизвестные злоумышленники атакуют незащищенные установки Elasticsearch и MongoDB. Хакеры стирают содержимое БД, оставляя по…
Неизвестный злоумышленник стирает базы данных и требует выкуп у владельцев почти 47% баз MongoDB, доступных в интернете.
ИБ-эксперт заметил, что операторы Gootkit оставили в открытом доступе серверы с MongoDB. В обнаруженных базах содержалось мн…
Специалисты обнаружили незащищенную базу MongoDB, содержавшую 150 Гб личных данных.
Злоумышленники по-прежнему атакуют установки MongoDB и требуют выкуп за восстановление данных, хотя давно известно, что эта …
ИБ-специалист нашел в сети незащищенную и свободно доступную установку MongoDB и 854 Гб данных: личную информацию 200 млн че…
Независимый специалист по информационной безопасности Боб Дьяченко (Bob Diachenko) обнаружил в облаке Amazon Web Services не…
ИБ-специалисты регулярно обнаруживают в интернете плохо настроенные установки MongoDB, что уже не раз приводило к утечкам да…
Специалисты Kromtech Security Center обнаружили неправильно настроенную базу данных MongoDB, содержавшую более 577 Гб информ…
Разработчики MongoDB отреагировали на предупреждения экспертов, которые обнаружили новую вредоносную кампанию, направленную …
Эксперты предупреждают: возобновились вымогательские атаки на неправильно настроенные установки MongoDB.
Проблемы Spiral Toys продолжаются. Игрушки CloudPets не только сливали данные пользователей, их оказалось легко взломать.
Интернет вещей действительно пора переименовывать в интернет уязвимых вещей. ИБ-эксперты нашли очередную опасную «умную» игр…
Кто-то взламывает уязвимые установки Apache Cassandra и предупреждает администраторов о проблемах.
Шантажисты продолжают вымогать деньги у администраторов плохо защищенных БД, теперь под атакой CouchDB и Hadoop.
Шантажисты переключились с MongoDB на ElasticSearch и продолжают вымогать деньги у администраторов сайтов.
Массовые атаки на MongoDB продолжаются, уже пострадало более 34 000 серверов.
Плохо защищенные базы MongoDB под атакой. Злоумышленники уже скомпрометировали более 27 000 серверов.
Небезызвестные хакеры GhostShell слили в интернет информацию примерно о 36 млн пользователей. Впрочем, еще до того как Ghos…
СУБД MongoDB пользуется большой популярностью во всем мире, и ее охотно применяют такие гиганты как eBay, Foursquare и The N…
Известный исследователь Трой Хант (Troy Hunt), владелец сайта HaveIBeenPwned.com, сообщил, что сайт знакомств BeautifulPeopl…
Имя исследователя Криса Викери в последнее время часто фигурирует в сводках новостей. На досуге Викери изучает интернет в по…
Крис Викери (Chris Vickery) вновь обнаружил базу данных, разглашающую хранящиеся в ней данные любому желающему. На этот раз …
Исследователь Крис Викери (Chris Vickery) известен тем, что постоянно находит в сети уязвимые базы данных. Именно Викери обн…
Совершенно случайно, поддавшись скуке, исследователь в области информационной безопасности Крис Викери (Chris Vickery) решил…
Специалисты по безопасности из компании BinaryEdge доказывают, что многие существующие веб-технологии с точки зрения безопас…
Как бы тебе ни хотелось, MongoDB не подходит в качестве основной БД для 90% приложений. Причина банальна, и ты не раз слышал о ней — почти все данные, которыми оперирует, скажем, среднестатистический сайт, реляционны. А это значит, что даже при использовании ORM работа с Монгой со временем превратится в лапшу из запросов, популяций и ручного копания в результатах. Но что делать, если тебя все же угораздило заюзать ее в своем проекте? Остается только расслабиться и получать удовольствие. А какое удовольствие может быть без толковой админки?
Redis, MongoDB, memcached — все эти программные продукты относятся к классу нереляционных СУБД, противоположному популярным MySQL, Oracle Database и MSSQL. Так как интерес к перечисленным базам данных в последнее время значительно возрос, хакеры всех мастей просто не могли пройти мимо них. Давай же окунемся в увлекательный мир NoSQL-инъекций!
Трое студентов из Центра ИТ-безопасности, конфиденциальности и отчётности (CISPA) Саарского университета обнаружили 39890 ба…
Сайт защищен Qrator —
