В WordPress версий до 4.7.3 возможен межсайтовый скриптинг из-за отсутствия проверки пользовательских данных, а именно ID3-тегов в загружаемых аудиофайлах. Также отсутствует ограничение на количество загружаемых URL и размер файлов, что открывает возможность для атак типа «отказ в обслуживании».
3–4 марта 2017 года проходили ежегодные соревнования по информационной безопасности iCTF, которые организует команда Shellphish из университета Санта-Барбары (UCSB). Второй год подряд эти соревнования выигрывает наша команда Bushwhackers — команда, из студентов и выпускников факультета вычислительной математики и кибернетики МГУ. Сегодня мы расскажем о том, как это было :).
Израильские специалисты предложили контролировать малварь на изолированных машинах необычным способом.
Сотрудник швейцарской компании Oneconsult представил уникальную и очень опасную методику атак на «умные» телевизоры.
В постоянном соревновании с антивирусными решениями современная малварь использует все более изощренные способы скрыть свою активность в зараженной системе. Некоторые из таких трюков мы и рассмотрим в очередной статье нашего цикла. Если ты готов, засучиваем рукава, запасаемся пивом — и поехали!
Хакеры, мошенники, работники IT-безопасности, следственные органы и спецслужбы — все они при определенных обстоятельствах могут попытаться добраться до информации, защищенной с помощью паролей. И если инструменты, которыми пользуются хакеры и спецслужбы, в целом практически совпадают, то подход к задаче отличается кардинальным образом.
Эксперты Palo Alto Networks обнаружили малварь, которая три года оставалась незамеченной и атаковала open-source разработчик…
Журналисты провели расследование, связанное с необычным черным рынком прошивок для тракторов.
Специалисты Google сообщили, что, по данным компании, в 2016 году скомпрометированных сайтов стало существенно больше.
Специалисты израильской компании Morphisec полагают, что несколько вредоносных кампаний связаны между собой.
Однажды мы с парнями из DSec решили потрогать за мягкое системы управления зданием. Сказано — сделано! Оказалось, что взломщику достаточно просто зайти в умное здание и вопрос внедрения его во внутреннюю сеть, считай, решен. Сегодня мы хотим поделиться результатами своих исследований с читателями ][. Начнем с теории — расскажем, что вообще такое BMS.
Биржа Bitcurex неожиданно ушла в оффлайн в начале 2017 года, и польские власти занялись расследованием случившегося.
Хакеры, продающие устройства для кражи данных о бесконтактных картах, уже даже не скрываются в даркнете.
Группа исследователей продемонстрировала, как можно обмануть аппаратные сенсоры современных смартфонов.
Хакеры взломали множество Twitter-аккаунтов и дефейснули сотни сайтов из-за турецко-голландского политического конфликта.
Министерство юстиции США опубликовало пресс-релиз, согласно которому ответственность за взлом Yahoo лежит на «русских хакера…
Специалисты Check Point обнаружили опасную проблему в онлайн-платформах популярных мессенджеров WhatsApp и Telegram.
В прошлом году ФБР каким-то образом взломало iPhone террориста из Сан-Бернардино, но до сих пор отказывается объяснить как.
Исследователь обнаружил, что Nintendo Switch можно взломать, использовав WebKit эксплоит, созданный для джейлбрейка iOS.
В этом выпуске я расскажу об ошибке в десериализаторе объектов GMP в PHP, об уязвимости в сервере Bitbucket, которая позволяет, минуя авторизацию, попасть в админку. Не обошли стороной и уязвимость в популярной CMS WordPress. Эксплуатация найденного бага позволяет изменять содержимое любой записи или страницы.
Компания Yahoo представила ежегодный отчет по форме 10-K, который пролил свет на новые факты о взломах компании.
Исследователь, известный под псевдонимом East-EE, продемонстрировал «логическую уязвимость» в reCAPTCHA.
Проблемы Spiral Toys продолжаются. Игрушки CloudPets не только сливали данные пользователей, их оказалось легко взломать.
Исследователь продемонстрировал методику, которая позволяет обмануть серверы кешерования.
Интернет вещей действительно пора переименовывать в интернет уязвимых вещей. ИБ-эксперты нашли очередную опасную «умную» игр…
Алгоритм криптографического хешированияSHA-1 официально повержен, инженеры Google создали документы с одинаковым хешем.
Технология шифрования BitLocker впервые появилась десять лет назад и менялась с каждой версией Windows. Однако далеко не все изменения в ней были призваны повысить криптостойкость. В этой статье мы подробно разберем устройство разных версий BitLocker (включая предустановленные в последние сборки Windows 10) и покажем, как обойти этот встроенный механизм защиты.
Хакерская группа National Hackers Agency взломала британского доменного регистратора и хостера, компанию DomainMonster.
Компания ESET подготовила отчет о деятельности хакерской группы RTM, чья основная цель — системы ДБО.
Один из излюбленных приемов зловредописателей — использование упаковщиков и протекторов исполняемых файлов. Изначально эти инструменты считались весьма банальными и были призваны, по сути, уменьшать размер скомпилированного файла или создавать demo-версии, не заморачиваясь с защитой в основном коде. Но позднее вирусописатели приспособили эти инструменты в корыстных целях.
Авторы вредоноса, недавно атаковавшего польские банки, явно пытались выдать себя за русскоговорящих.
44-летнего Брайна Джонсона приговорили к 34 месяцам тюрьмы и выплате 1,1 млн долларов за взлом своего бывшего работодателя.
Изменяя текстовые файлы, которые циркулируют между бухгалтерскими и банковскими системами, можно неплохо «заработать».
Русскоговорящий black hat взломал множество организаций, используя для этого обычные SQL-инъекции.
Специалисты Verizon рассказали об интересном случае: университет подвергся DDoS-атаке со стороны своих же устройств.
Вынесен приговор гражданину Турции Эркану Финдикоглу, возглавлявшему группу кардеров в 2011-2013 годы.
Эксперты проанализировали недавние атаки на польские банки и пришли к выводу, что это часть более масштабной кампании.
Хакеры продолжают атаковать новую критическую уязвимость в WordPress. Взломано уже более 1,5 млн страниц.
Исследователи «Лаборатории Касперского» обнаружили малварь, атаковавшую более 140 банков и крупных компаний по всему миру.
Хакер, известный как Stackoverflowin, продемонстрировал уязвимость неправильно настроенных принтеров наглядным примером.
Сайт защищен Qrator —
