В этом райтапе я покажу, как работать с уязвимостью типа prototype pollution в приложении на Node.js. На пути к ней мы поупражняемся в эксплуатации XXE, поработаем с Redis и применим эксплоит для PHP FPM.
В этом райтапе я покажу, как создать свой реестр NPM и разместить с ним вредоносный пакет для захвата удаленной машины. Но начнем мы с SQL-инъекции, а затем заюзаем известную RCE для повышения привилегий.
В 2020 году Apple представила новую архитектуру Apple Silicon на базе ARM и объявила, что в течение двух лет переведет на нее все свои компьютеры. В этой статье я расскажу об итогах года использования MacBook Pro с M1 внутри и покажу подводные камни, с которыми мне довелось столкнуться.
В этой статье я покажу, как проходится сложная машина Unobtainium с площадки Hack The Box. Мы проведем тестирование клиент-серверного приложения, серверная часть которого написана на Node.js. А затем поработаем с оркестратором Kubernetes и через него захватим флаг рута.
Сегодня мы поработаем с технологией WebSocket, проэксплуатируем UNION SQL Injection, проведем атаку DNS rebinding, заюзаем багу в приложении на Node.js и разберемся с тем, как авторизоваться на хосте при помощи YubiKey. Все это позволит нам захватить машину Crossfit 2 с площадки Hack The Box уровня сложности Insane.
С веб‑страниц JavaScript пришел на серверы, а с серверов — на десктопы, и старые баги заиграли новыми красками. В этой статье я покажу, как работает NPM Hijacking (Planting) — уязвимость Node.js, которая нашлась во многих популярных приложениях, среди которых Discord и VS Code.
В библиотеке systeminformation, загруженной более 34 000 000 раз, нашли уязвимость, допускавшую инъекции команд.
Исследователи «Доктор Веб» изучили трояна-загрузчика, написанного на JavaScript, который распространяется через сайты с чита…
Китайская фирма Xiaomi знаменита не только своими мобильными телефонами, но и недорогими гаджетами, выбор которых ширится с каждым годом. Одна проблема: работают они зачастую только с фирменными приложениями и хабами. В этой статье я покажу, как модифицировать камеру Xiaomi Small Square Smart Camera ценой 25 долларов, чтобы сначала заполучить доступ ко всему интересному, а затем интегрировать в экосистему Apple.
Представь, что тебе нужно быстро развернуть небольшой, но при этом динамический сайт. Скажем, проверить какую-то идею или на скорую руку создать инструмент, доступный через интернет. Сервис HyperDev призван сделать предварительную подготовку ненужной: ты заходишь на hyperdev.com и все — твой сайт работает, можешь начинать кодить!
Специалисты Дармштадтского технического университета предупреждают, что проблема ReDoS по-прежнему является очень опасной. И…
Неожиданное развитие получила история разработчика Азера Кочулу, который на прошлой неделе удалил из менеджера пакетов Node.…
Для того, чтобы поставить на колени популярный пакетный менеджер и сделать невозможной установку тысяч модулей, хватило один…
Системные администраторы, готовьтесь. В течение следующих 48 часов Node.js представит важное обновление, содержащее исправле…
Известный факт: далеко не всегда надо лезть в дебри нативных технологий, чтобы создать функциональное приложение для популярных мобильных платформ. Проверенный временем PhoneGap давно научился эффективно переносить JavaScript-код в нестандартную среду выполнения. Для полного счастья не хватает только рюшечек в нативном стиле, а ими готов поделиться замечательный фреймворк Framework7.
Все больше данных переносится в облака, а просмотр и редактирование информации становится коллективным. Для реализации таких возможностей потребовалась новая модель архитектуры веб-приложений: много мелких однопоточных серверов, которые общаются между собой сообщениями. Ставку на такой подход сделали разработчики фреймворка Vert.x.
Сайт защищен Qrator —
