В прошлом обзоре мы рассматривали уязвимость в REST API WordPress. Теперь поговорим о проблеме в API CMS Drupal. Здесь все гораздо серьезнее — к нам в руки попадает полноценная RCE. В чем причина? Давай разбираться.
Заключенные из тюрьмы Марион, что находятся в Огайо, тайно собрали два компьютера, не покидая пенитенциарного учреждения.
В минувшие выходные жителям Далласа не удалось выспаться. Неизвестные хакеры ночью включили систему оповещения о торнадо.
Локальное повышение привилегий на атакуемой системе — это важнейший этап взлома: эксплоит должен быть быстрым и стабильным. Но добиться этих качеств бывает не так-то просто, особенно если эксплуатируешь состояние гонки. Тем не менее это удалось сделать для уязвимости CVE-2017-2636 в ядре Linux. В данной статье разобран ее эксплоит.
Эксперты рассказали о масштабной атаке, жертвой которой стал неназванный бразильский банк.
Новые подробности о группе, атаковавшей Sony Pictures Entertainment и едва не похитившей миллиард долларов.
Физический взлом банкоматов по-прежнему не выходит из моды. Но теперь машины только взрывают, но и сверлят в них дырки.
Представители Международной ассоциации легкоатлетических федераций сообщили, что недавно их серверы пытались взломать.
В WordPress версий до 4.7.3 возможен межсайтовый скриптинг из-за отсутствия проверки пользовательских данных, а именно ID3-тегов в загружаемых аудиофайлах. Также отсутствует ограничение на количество загружаемых URL и размер файлов, что открывает возможность для атак типа «отказ в обслуживании».
3–4 марта 2017 года проходили ежегодные соревнования по информационной безопасности iCTF, которые организует команда Shellphish из университета Санта-Барбары (UCSB). Второй год подряд эти соревнования выигрывает наша команда Bushwhackers — команда, из студентов и выпускников факультета вычислительной математики и кибернетики МГУ. Сегодня мы расскажем о том, как это было :).
Специалисты рассказали, как хакеры похищают деньги из банкоматов, не оставляя никаких следов.
Израильские специалисты предложили контролировать малварь на изолированных машинах необычным способом.
Сотрудник швейцарской компании Oneconsult представил уникальную и очень опасную методику атак на «умные» телевизоры.
Эксперты Palo Alto Networks обнаружили малварь, которая три года оставалась незамеченной и атаковала open-source разработчик…
В постоянном соревновании с антивирусными решениями современная малварь использует все более изощренные способы скрыть свою активность в зараженной системе. Некоторые из таких трюков мы и рассмотрим в очередной статье нашего цикла. Если ты готов, засучиваем рукава, запасаемся пивом — и поехали!
Хакеры, мошенники, работники IT-безопасности, следственные органы и спецслужбы — все они при определенных обстоятельствах могут попытаться добраться до информации, защищенной с помощью паролей. И если инструменты, которыми пользуются хакеры и спецслужбы, в целом практически совпадают, то подход к задаче отличается кардинальным образом.
Журналисты провели расследование, связанное с необычным черным рынком прошивок для тракторов.
Специалисты Google сообщили, что, по данным компании, в 2016 году скомпрометированных сайтов стало существенно больше.
Специалисты израильской компании Morphisec полагают, что несколько вредоносных кампаний связаны между собой.
Биржа Bitcurex неожиданно ушла в оффлайн в начале 2017 года, и польские власти занялись расследованием случившегося.
Однажды мы с парнями из DSec решили потрогать за мягкое системы управления зданием. Сказано — сделано! Оказалось, что взломщику достаточно просто зайти в умное здание и вопрос внедрения его во внутреннюю сеть, считай, решен. Сегодня мы хотим поделиться результатами своих исследований с читателями ][. Начнем с теории — расскажем, что вообще такое BMS.
Хакеры, продающие устройства для кражи данных о бесконтактных картах, уже даже не скрываются в даркнете.
Группа исследователей продемонстрировала, как можно обмануть аппаратные сенсоры современных смартфонов.
Хакеры взломали множество Twitter-аккаунтов и дефейснули сотни сайтов из-за турецко-голландского политического конфликта.
Министерство юстиции США опубликовало пресс-релиз, согласно которому ответственность за взлом Yahoo лежит на «русских хакера…
Специалисты Check Point обнаружили опасную проблему в онлайн-платформах популярных мессенджеров WhatsApp и Telegram.
В прошлом году ФБР каким-то образом взломало iPhone террориста из Сан-Бернардино, но до сих пор отказывается объяснить как.
В этом выпуске я расскажу об ошибке в десериализаторе объектов GMP в PHP, об уязвимости в сервере Bitbucket, которая позволяет, минуя авторизацию, попасть в админку. Не обошли стороной и уязвимость в популярной CMS WordPress. Эксплуатация найденного бага позволяет изменять содержимое любой записи или страницы.
Исследователь обнаружил, что Nintendo Switch можно взломать, использовав WebKit эксплоит, созданный для джейлбрейка iOS.
Компания Yahoo представила ежегодный отчет по форме 10-K, который пролил свет на новые факты о взломах компании.
Исследователь, известный под псевдонимом East-EE, продемонстрировал «логическую уязвимость» в reCAPTCHA.
Проблемы Spiral Toys продолжаются. Игрушки CloudPets не только сливали данные пользователей, их оказалось легко взломать.
Исследователь продемонстрировал методику, которая позволяет обмануть серверы кешерования.
Интернет вещей действительно пора переименовывать в интернет уязвимых вещей. ИБ-эксперты нашли очередную опасную «умную» игр…
Алгоритм криптографического хешированияSHA-1 официально повержен, инженеры Google создали документы с одинаковым хешем.
Хакерская группа National Hackers Agency взломала британского доменного регистратора и хостера, компанию DomainMonster.
Технология шифрования BitLocker впервые появилась десять лет назад и менялась с каждой версией Windows. Однако далеко не все изменения в ней были призваны повысить криптостойкость. В этой статье мы подробно разберем устройство разных версий BitLocker (включая предустановленные в последние сборки Windows 10) и покажем, как обойти этот встроенный механизм защиты.
Один из излюбленных приемов зловредописателей — использование упаковщиков и протекторов исполняемых файлов. Изначально эти инструменты считались весьма банальными и были призваны, по сути, уменьшать размер скомпилированного файла или создавать demo-версии, не заморачиваясь с защитой в основном коде. Но позднее вирусописатели приспособили эти инструменты в корыстных целях.
Компания ESET подготовила отчет о деятельности хакерской группы RTM, чья основная цель — системы ДБО.
Авторы вредоноса, недавно атаковавшего польские банки, явно пытались выдать себя за русскоговорящих.
Сайт защищен Qrator —
