Тестирование на проникновение (penetration testing) — метод оценки безопасности компьютерных систем или сетей средствами моделирования атаки злоумышленника. Для кого-то это хобби, для кого-то работа, для кого-то это стиль жизни. На страницах нашего журнала мы постараемся познакомить тебя с профессией настоящего «этичного хакера», с задачами, которые перед ним ставятся, и их решениями.
Специалисты компании Group-IB обнаружили, что хакеры используют новую схему хищения средств через банкоматы. Метод получил н…
Группа исследователей из Xuanwu Lab продемонстрировала в Токио, на конференции PanSec весьма необычный вектор атак. Исследов…
XSLT, Extensible Stylesheet Language Transformations — это специальный язык для преобразования (в общем случае) документов XML. Это развесистый формат, так что в плане возможностей для атак XSLT — богатая технология, и с ней стоит разобраться подробнее.
В этом выпуске: выбираемся из песочницы Windows, перехватываем нативные методы Java и Android, перехватываем TCP-стримы и сканируем Wi-Fi сети. Stay Tuned!
Пару недель назад, в начале ноября текущего года хакер, известный под псевдонимом Coldzer0, взломал сайт и форумы компании v…
Издание Wired сообщает, что группа подростков, называющая себя Crackas With Attitude (CWA), стоящая за взломом почты директо…
В рамках конференции ZERONIGHTS гости мероприятия смогут принять участие в поиске уязвимостей на платежных терминалах QIWI. …
Хакерская группа, известная как «Киберхалифат» (Cyber Caliphate), взяла на себя ответственность за взлом десятков тысяч Twit…
В США Федеральная комиссия по связи (ФКС) добилась того, что провайдер Cox Communications понесет наказание за утечку данных…
Хакер, известный под псевдонимом Cracka, недавно взял на себя ответственность за взлом AOL-аккаунта директора ЦРУ Джона Брен…
Эта задача во многом похожа на предыдущую, хоть и касается формата PDF. Для начала представим себе классическую атаку. Существует сервер, на который мы можем загрузить картинку. Есть способ изготовить такой файл, который одновременно будет и валидным изображением, и правильным PDF. После загрузки такого файла мы можем заманить жертву к себе на сайт и заставить открыть нашу картинку как PDF.
По традиции, перед ZERONIGHTS мы проводим HackQuest, предлагая участникам решить различные задания (найти уязвимости в веб-п…
Борьбу с блокировкой рекламы уже поставили на коммерческую основу. Так, компания PageFair предоставляет своим клиентам услуг…
В сентябре текущего года компания Zerodium объявила аттракцион неслыханной щедрости: каждому хакеру, который сумеет обнаружи…
Сообщения о взломах форумов на платформе vBulletin – не редкость, но на этот раз атаке подвергся сайт и форумы самой компани…
Специалисты компании Akamai предупреждают, что в последние месяцы злоумышленники пополнили свой арсенал новыми трюками. Как …
Группа европейских ученых создала устройство, позволяющее отслеживать пользователей смартфонов через LTE-сети по международн…
Первые несколько атак этого выпуска Easy Hack будут завязаны на формат SVG. Причем хочется взглянуть даже не на сами атаки, а на потенциальные возможности формата.
Директор Центрального разведывательного управления США Джон Бреннан (John Brennan), выступая на конференции национальной без…
Исследователь компании ONsec Дмитрий Бумов уже не раз находил уязвимости в социальной сети «ВКонтакте» и получал вознагражде…
Австралийский эксперт в области информационной безопасности Трой Хант (Troy Hunt) сообщил, что популярнейший хостинг 000Webh…
27 октября 2015 года киберподразделение полиции Лондона официально подтвердило, что арестован подозреваемый в организации ат…
Камеры видеонаблюдения, они же closed-circuit security camera, они же CCTV, уже не первый раз становятся объектами атак, рав…
Один из крупнейших операторов связи в Великобритании — TalkTalk пострадал от третьей хакерской атаки за год. Всего неделю н…
Переходим ко второй атаке, которая связана с двоичной сериализацией в Java. Мы, как ты помнишь, были несколько ограничены в возможностях: да, поменять данные объектов можно, а вот отправлять произвольные объекты и получить в итоге RCE (как бывает в случае других языков) можем лишь при определенных условиях.
Французские исследователи из École Normale Supérieure (Высшей нормальной школы) опубликовали подробности расследовании инцид…
Газета The New York Post, а за ней и издание Wired, сообщили о том, что некий школьник сумел взломать AOL-аккаунт директора …
Сотрудник компании Pen Test Partners Кен Манро (Ken Munro) в очередной раз доказал, что производители умной техники во всю о…
Специалисты компании Malwarebytes обнаружили весьма интересный образчик вредоносного ПО. Малварь, получившая имя eFast Brows…
В качестве большой темы в этот раз я решил выбрать двоичную сериализацию в Java и две связанные с ней атаки. Идея тут проста: с сериализацией мы можем сохранить значения сложных типов данных, например — массив объектов произвольного класса. Фактически формат может быть любой. Мы же рассмотрим нативную двоичную сериализацию в Java.
Вообразим ситуацию: в большой организации есть парк машин с Windows, и все их надо обновлять. Понятно, что заставлять каждый из хостов ходить в интернет за обновлениями накладно и неудобно, а потому внутри корпоративной сети поднимают сервер WSUS (Windows Server Update Services), который и используется для управления обновлениями: их выгрузкой, распространением и распределением...
В роутерах компании Netgear обнаружена серьезная уязвимость, позволяющая изменить настройки DNS, минуя аутентификацию. Эксплоит опубликован, багу подвержено более 5000 устройств, но компания еще не выпустила исправление.
Специалисты компании Volexity обнаружили атаку, нацеленную на Cisco Clientless SSL VPN (WebVPN). Данный продукт позволяет кл…
Сотрудник «Лаборатории Касперского» Роман Унучек опубликовал на Securelist информацию о том, что приложение «Музыка ВКонтакт…
Давай представим себе ситуацию: у нас есть какое-то веб-приложение и в нем функция, позволяющая загружать архивы. Приложение разархивирует получаемые файлы во временную директорию для работы с ними. Согласен, ситуация не из повседневных, но здесь есть интересная возможность для атаки.
New York Times сообщает, что в марте текущего года компания LoopPay, разработавшая ядро платежной системы Samsung Pay, была …
В результате атаки хакеров пострадали семь люксовых отелей сети Trump Hotel Collection (THC), принадлежащей миллиардеру Дона…
Специалисты компании Cybereason опубликовали отчет об интересном случае. Компания-клиент Cybereason, чье название не раскрыв…
Неизвестные хакеры сумели взломать популярный ресурс для сбора пожертвований Patreon. В результате был опубликован архив, об…
Сайт защищен Qrator —
