XSLT, Extensible Stylesheet Language Transformations — это специальный язык для преобразования (в общем случае) документов XML. Это развесистый формат, так что в плане возможностей для атак XSLT — богатая технология, и с ней стоит разобраться подробнее.
В этом выпуске: выбираемся из песочницы Windows, перехватываем нативные методы Java и Android, перехватываем TCP-стримы и сканируем Wi-Fi сети. Stay Tuned!
Издание Wired сообщает, что группа подростков, называющая себя Crackas With Attitude (CWA), стоящая за взломом почты директо…
В рамках конференции ZERONIGHTS гости мероприятия смогут принять участие в поиске уязвимостей на платежных терминалах QIWI. …
Хакерская группа, известная как «Киберхалифат» (Cyber Caliphate), взяла на себя ответственность за взлом десятков тысяч Twit…
В США Федеральная комиссия по связи (ФКС) добилась того, что провайдер Cox Communications понесет наказание за утечку данных…
Хакер, известный под псевдонимом Cracka, недавно взял на себя ответственность за взлом AOL-аккаунта директора ЦРУ Джона Брен…
По традиции, перед ZERONIGHTS мы проводим HackQuest, предлагая участникам решить различные задания (найти уязвимости в веб-п…
Эта задача во многом похожа на предыдущую, хоть и касается формата PDF. Для начала представим себе классическую атаку. Существует сервер, на который мы можем загрузить картинку. Есть способ изготовить такой файл, который одновременно будет и валидным изображением, и правильным PDF. После загрузки такого файла мы можем заманить жертву к себе на сайт и заставить открыть нашу картинку как PDF.
Борьбу с блокировкой рекламы уже поставили на коммерческую основу. Так, компания PageFair предоставляет своим клиентам услуг…
В сентябре текущего года компания Zerodium объявила аттракцион неслыханной щедрости: каждому хакеру, который сумеет обнаружи…
Сообщения о взломах форумов на платформе vBulletin – не редкость, но на этот раз атаке подвергся сайт и форумы самой компани…
Специалисты компании Akamai предупреждают, что в последние месяцы злоумышленники пополнили свой арсенал новыми трюками. Как …
Первые несколько атак этого выпуска Easy Hack будут завязаны на формат SVG. Причем хочется взглянуть даже не на сами атаки, а на потенциальные возможности формата.
Группа европейских ученых создала устройство, позволяющее отслеживать пользователей смартфонов через LTE-сети по международн…
Директор Центрального разведывательного управления США Джон Бреннан (John Brennan), выступая на конференции национальной без…
Исследователь компании ONsec Дмитрий Бумов уже не раз находил уязвимости в социальной сети «ВКонтакте» и получал вознагражде…
Австралийский эксперт в области информационной безопасности Трой Хант (Troy Hunt) сообщил, что популярнейший хостинг 000Webh…
27 октября 2015 года киберподразделение полиции Лондона официально подтвердило, что арестован подозреваемый в организации ат…
Камеры видеонаблюдения, они же closed-circuit security camera, они же CCTV, уже не первый раз становятся объектами атак, рав…
Переходим ко второй атаке, которая связана с двоичной сериализацией в Java. Мы, как ты помнишь, были несколько ограничены в возможностях: да, поменять данные объектов можно, а вот отправлять произвольные объекты и получить в итоге RCE (как бывает в случае других языков) можем лишь при определенных условиях.
Один из крупнейших операторов связи в Великобритании — TalkTalk пострадал от третьей хакерской атаки за год. Всего неделю н…
Французские исследователи из École Normale Supérieure (Высшей нормальной школы) опубликовали подробности расследовании инцид…
Газета The New York Post, а за ней и издание Wired, сообщили о том, что некий школьник сумел взломать AOL-аккаунт директора …
Сотрудник компании Pen Test Partners Кен Манро (Ken Munro) в очередной раз доказал, что производители умной техники во всю о…
В качестве большой темы в этот раз я решил выбрать двоичную сериализацию в Java и две связанные с ней атаки. Идея тут проста: с сериализацией мы можем сохранить значения сложных типов данных, например — массив объектов произвольного класса. Фактически формат может быть любой. Мы же рассмотрим нативную двоичную сериализацию в Java.
Вообразим ситуацию: в большой организации есть парк машин с Windows, и все их надо обновлять. Понятно, что заставлять каждый из хостов ходить в интернет за обновлениями накладно и неудобно, а потому внутри корпоративной сети поднимают сервер WSUS (Windows Server Update Services), который и используется для управления обновлениями: их выгрузкой, распространением и распределением...
В роутерах компании Netgear обнаружена серьезная уязвимость, позволяющая изменить настройки DNS, минуя аутентификацию. Эксплоит опубликован, багу подвержено более 5000 устройств, но компания еще не выпустила исправление.
Специалисты компании Malwarebytes обнаружили весьма интересный образчик вредоносного ПО. Малварь, получившая имя eFast Brows…
Специалисты компании Volexity обнаружили атаку, нацеленную на Cisco Clientless SSL VPN (WebVPN). Данный продукт позволяет кл…
Давай представим себе ситуацию: у нас есть какое-то веб-приложение и в нем функция, позволяющая загружать архивы. Приложение разархивирует получаемые файлы во временную директорию для работы с ними. Согласен, ситуация не из повседневных, но здесь есть интересная возможность для атаки.
Сотрудник «Лаборатории Касперского» Роман Унучек опубликовал на Securelist информацию о том, что приложение «Музыка ВКонтакт…
New York Times сообщает, что в марте текущего года компания LoopPay, разработавшая ядро платежной системы Samsung Pay, была …
В результате атаки хакеров пострадали семь люксовых отелей сети Trump Hotel Collection (THC), принадлежащей миллиардеру Дона…
Специалисты компании Cybereason опубликовали отчет об интересном случае. Компания-клиент Cybereason, чье название не раскрыв…
Неизвестные хакеры сумели взломать популярный ресурс для сбора пожертвований Patreon. В результате был опубликован архив, об…
Хакеры постоянно придумывают что-то новое, чтобы обвести доверчивых пользователей вокруг пальца. Уже никого не удивить тем, …
Компания CloudFlare сообщила об обнаружении DDoS-атаки весьма необычного вида. Нападению подвергся сайт клиентов CloudFlare,…
Взломы аккаунтов Uber в последнее время участились. По данным специалистов TrendMicro, данный «товар» стремительно набирает …
Администрация сервиса для хранения и обмена фото Imgur, совместно с руководителями имиджбордов 4chan и 8chan, сообщает об об…
Сайт защищен Qrator —
