поддомены

Новости

Группировка Hazy Hawk использует ошибки в настройках DNS для захвата поддоменов

Группировка Hazy Hawk перехватывает забытые записи DNS CNAME, указывающие на заброшенные облачные сервисы, и захватывает дов…

Новости

Из-за багов данные пользователей Amazon Alexa были доступны для посторонних

Уязвимости некоторых поддоменов Amazon и Alexa позволяли хакерам управлять чужими учетными записями, устанавливать вредоносн…

Xakep #252

Взлом

Захват поддоменов. Как я захватил поддомены Microsoft и как работают такие атаки

Несколько лет назад мне удалось захватить поддомены на сайтах компании Microsoft и получить доступ к почте и файлам пользователей Outlook и OneDrive, а также к данным профилей на Xbox.com. Я расскажу о том, что конкретно для этого потребовалось, а заодно посмотрим, как такая атака может выглядеть сейчас, в 2020 году.

Новости

Исследователи нашли около 700 проблемных поддоменов Microsoft, включая mybrowser.microsoft.com

Исследователи предупреждают, что более 600 легитимных поддоменов компании Microsoft могут быть использованы для фишинговых а…

Новости

Не забывай свои поддомены

Исследователи из шведской компании Detectify изучили довольно распространённую угрозу безопасности: забытые поддомены. Многи…

Группировка Hazy Hawk использует ошибки в настройках DNS для захвата поддоменов

Из-за багов данные пользователей Amazon Alexa были доступны для посторонних

Захват поддоменов. Как я захватил поддомены Microsoft и как работают такие атаки

Исследователи нашли около 700 проблемных поддоменов Microsoft, включая mybrowser.microsoft.com

Не забывай свои поддомены

Бумажный спецвыпуск

Еженедельный дайджест

Партнерам

«Хакер» в соцсетях

Материалы для подписчиков

HTB Fluffy. Используем технику ESC16 ADCS для захвата Active Directory

ATO в один клик. Как я нашел простой способ захватывать аккаунты в мобильном приложении

Сценарии байпаса. Пробуем перехитрить защитные средства для Windows

HTB Planning. Повышаем привилегии через Crontab UI

Буквы из эфира. Декодируем радиотекст и названия станций на RDA5807

Beacon Object File. Прокачиваем C2-маяки на примере Adaptix

MEGANews. Cамые важные события в мире инфосека за октябрь

Баги вместо кувалды. Разбираем сценарии логических атак на банкоматы

Бинарь своими руками. Делаем PE-файл с оконным приложением Windows

Привет из прошлого. Реверсим винтажный Wise Installer и обходим его проверки

I See You! Как я нашел уязвимости в приложении, сайте и прошивке IP-камеры

Неслучайный UUID. Как я нашел нестандартный IDOR на баг-баунти

Мастерская хакера. Стресс-тестинг сайтов, бенчмарк для команд, работа с текстом и другие полезности

Ваша киска сломала бы Cisco. Проверяем на практике две уязвимости в прошивках

Недобровольный осмотр. Исследуем защитные скрипты, пересекающие границы приватности

Бессмертная «Десятка». Возвращаем обновления Windows 10 и ставим Windows 11 на старые машины

HTB Certificate. Захватываем домен при помощи техники Golden Certificate

HTB Puppy. Охотимся на учетные данные в Active Directory

Тестируем Eremex Controls — набор контролов для создания бизнес-приложений на Avalonia UI

HTB Artificial. Эксплуатируем баг в TensorFlow и атакуем Backrest

Двоюродный брат Flipper. Тестируем M5StickC Plus2

OFFZONE 2025. Как прошла конференция и о чем рассказывали на докладах

Фишинг с погружением. Как мы втерлись в доверие, прикинувшись разработчиком

Слоп подан! Колонка главреда

Ломаный Excel. Обходим защиту VBA-скриптов в DoneEx Compiler