Хакеры ИГ взломали более 54 000 Twitter-аккаунтов
Хакерская группа, известная как «Киберхалифат» (Cyber Caliphate), взяла на себя ответственность за взлом десятков тысяч Twit…
Провайдер Cox Communications оштрафован на $600 тысяч из-за хакеров Lizard Squad
В США Федеральная комиссия по связи (ФКС) добилась того, что провайдер Cox Communications понесет наказание за утечку данных…
Школьник, взломавший директора ЦРУ, заявил, что теперь взломал замдиректора ФБР
Хакер, известный под псевдонимом Cracka, недавно взял на себя ответственность за взлом AOL-аккаунта директора ЦРУ Джона Брен…
HackQuest ZERONIGHTS — найди уязвимость и получи инвайт
По традиции, перед ZERONIGHTS мы проводим HackQuest, предлагая участникам решить различные задания (найти уязвимости в веб-п…
Easy Hack: Обход SOP через content smuggling с PDF
Эта задача во многом похожа на предыдущую, хоть и касается формата PDF. Для начала представим себе классическую атаку. Существует сервер, на который мы можем загрузить картинку. Есть способ изготовить такой файл, который одновременно будет и валидным изображением, и правильным PDF. После загрузки такого файла мы можем заманить жертву к себе на сайт и заставить открыть нашу картинку как PDF.
Более 500 сайтов пострадали из-за взлома антиблокировщика PageFair
Борьбу с блокировкой рекламы уже поставили на коммерческую основу. Так, компания PageFair предоставляет своим клиентам услуг…
Конкурс завершен, компания Zerodium выплатит 1 млн долларов за джейлбрейк iOS 9.1/9.2b
В сентябре текущего года компания Zerodium объявила аттракцион неслыханной щедрости: каждому хакеру, который сумеет обнаружи…
Компания vBulletin подверглась атаке
Сообщения о взломах форумов на платформе vBulletin – не редкость, но на этот раз атаке подвергся сайт и форумы самой компани…
Зафиксированы отраженные DDoS-атаки трех новых типов
Специалисты компании Akamai предупреждают, что в последние месяцы злоумышленники пополнили свой арсенал новыми трюками. Как …
Easy Hack: XSS с помощью SVG
Первые несколько атак этого выпуска Easy Hack будут завязаны на формат SVG. Причем хочется взглянуть даже не на сами атаки, а на потенциальные возможности формата.
Устройство для взлома 4G/LTE сетей можно собрать за $1400
Группа европейских ученых создала устройство, позволяющее отслеживать пользователей смартфонов через LTE-сети по международн…
Директор ЦРУ взбешен из-за взлома почтового ящика
Директор Центрального разведывательного управления США Джон Бреннан (John Brennan), выступая на конференции национальной без…
Обработка смайликов «ВКонтакте» позволяла выполнить вредоносный код
Исследователь компании ONsec Дмитрий Бумов уже не раз находил уязвимости в социальной сети «ВКонтакте» и получал вознагражде…
Бесплатный хостинг 000Webhost взломан, похищены данные 13,5 млн пользователей
Австралийский эксперт в области информационной безопасности Трой Хант (Troy Hunt) сообщил, что популярнейший хостинг 000Webh…
По подозрению во взломе провайдера TalkTalk арестован 15-летний подросток
27 октября 2015 года киберподразделение полиции Лондона официально подтвердило, что арестован подозреваемый в организации ат…
Ботнет из камер видеонаблюдения участвует в DDoS-атаках
Камеры видеонаблюдения, они же closed-circuit security camera, они же CCTV, уже не первый раз становятся объектами атак, рав…
Easy Hack #201. Часть 4: Эксплуатация уязвимостей через сериализованные объекты Java
Переходим ко второй атаке, которая связана с двоичной сериализацией в Java. Мы, как ты помнишь, были несколько ограничены в возможностях: да, поменять данные объектов можно, а вот отправлять произвольные объекты и получить в итоге RCE (как бывает в случае других языков) можем лишь при определенных условиях.
Неизвестные взломали британского провайдера TalkTalk
Один из крупнейших операторов связи в Великобритании — TalkTalk пострадал от третьей хакерской атаки за год. Всего неделю н…
Французы рассказали о том, как хакеры ломают банковские chip-and-pin карты
Французские исследователи из École Normale Supérieure (Высшей нормальной школы) опубликовали подробности расследовании инцид…
UPD. Школьник взломал почту директора ЦРУ
Газета The New York Post, а за ней и издание Wired, сообщили о том, что некий школьник сумел взломать AOL-аккаунт директора …
Исследователь продемонстрировал взлом Wi-Fi через умный чайник
Сотрудник компании Pen Test Partners Кен Манро (Ken Munro) в очередной раз доказал, что производители умной техники во всю о…
Easy Hack #201. Часть 3: подмена данных в сериализованных объектах Java
В качестве большой темы в этот раз я решил выбрать двоичную сериализацию в Java и две связанные с ней атаки. Идея тут проста: с сериализацией мы можем сохранить значения сложных типов данных, например — массив объектов произвольного класса. Фактически формат может быть любой. Мы же рассмотрим нативную двоичную сериализацию в Java.
Easy Hack #201. Часть 2: захват контроля над Windows через WSUS
Вообразим ситуацию: в большой организации есть парк машин с Windows, и все их надо обновлять. Понятно, что заставлять каждый из хостов ходить в интернет за обновлениями накладно и неудобно, а потому внутри корпоративной сети поднимают сервер WSUS (Windows Server Update Services), который и используется для управления обновлениями: их выгрузкой, распространением и распределением...
Серьезную уязвимость в роутерах Netgear уже эксплуатируют хакеры
В роутерах компании Netgear обнаружена серьезная уязвимость, позволяющая изменить настройки DNS, минуя аутентификацию. Эксплоит опубликован, багу подвержено более 5000 устройств, но компания еще не выпустила исправление.
Вредонос подменяет собой весь браузер сразу
Специалисты компании Malwarebytes обнаружили весьма интересный образчик вредоносного ПО. Малварь, получившая имя eFast Brows…
Злоумышленники крадут идентификационные данные, используя Cisco WebVPN
Специалисты компании Volexity обнаружили атаку, нацеленную на Cisco Clientless SSL VPN (WebVPN). Данный продукт позволяет кл…
Easy Hack #201. Часть 1: эксплуатация directory traversal в архивах
Давай представим себе ситуацию: у нас есть какое-то веб-приложение и в нем функция, позволяющая загружать архивы. Приложение разархивирует получаемые файлы во временную директорию для работы с ними. Согласен, ситуация не из повседневных, но здесь есть интересная возможность для атаки.
Приложение «Музыка ВКонтакте» содержит вредоносный код
Сотрудник «Лаборатории Касперского» Роман Унучек опубликовал на Securelist информацию о том, что приложение «Музыка ВКонтакт…
Китайские хакеры предприняли попытку атаковать Samsung Pay
New York Times сообщает, что в марте текущего года компания LoopPay, разработавшая ядро платежной системы Samsung Pay, была …
Сеть отелей Дональда Трампа взломали
В результате атаки хакеров пострадали семь люксовых отелей сети Trump Hotel Collection (THC), принадлежащей миллиардеру Дона…
Обнаружена атака, использующая Outlook Web Application
Специалисты компании Cybereason опубликовали отчет об интересном случае. Компания-клиент Cybereason, чье название не раскрыв…
Почти 15 ГБ пользовательских данных украдено с краудфандингового сайта Patreon
Неизвестные хакеры сумели взломать популярный ресурс для сбора пожертвований Patreon. В результате был опубликован архив, об…
Хакеры используют фальшивый BSOD для осуществления атак
Хакеры постоянно придумывают что-то новое, чтобы обвести доверчивых пользователей вокруг пальца. Уже никого не удивить тем, …
Специалисты CloudFlare обнаружили необычную DDoS-атаку
Компания CloudFlare сообщила об обнаружении DDoS-атаки весьма необычного вида. Нападению подвергся сайт клиентов CloudFlare,…
Взломанные аккаунты Uber используются в Китае
Взломы аккаунтов Uber в последнее время участились. По данным специалистов TrendMicro, данный «товар» стремительно набирает …
Баг в Imgur использовался для атак на пользователей имиджбордов
Администрация сервиса для хранения и обмена фото Imgur, совместно с руководителями имиджбордов 4chan и 8chan, сообщает об об…
В ходе взлома Службы управления персоналом США украдено 5,6 млн отпечатков пальцев
Летом 2015 года стало известно о взломе Службы управления персоналом США (U.S. Office of Personnel Management, OPM) и послед…
Компания Zerodium предлагает $1 млн за эксплоит для iOS 9
Крупнейшая награда в истории предлагается хакеру, который сумеет обнаружить 0day в iOS 9 и предоставить эксплоит. Компания Z…
Тысячи сайтов на базе WordPress пострадали в ходе новой вредоносной кампании
Wordpress — далеко не самая безопасная CMS в мире, но одна из наиболее простых и популярных. Именно из-за совокупности двух …
Эпидемия в App Store, магазин подвергся атаке хакеров
Минувшие выходные стали неспокойными для компании Apple. Хакеры (предположительно, китайские) сумели подделать официальный и…
Бумажный спецвыпуск
«ХАКЕР» ДОСТУПЕН ТОЛЬКО В ЭЛЕКТРОННОЙ ВЕРСИИ
Оформи подписку — получи:
- доступ к платным материалам сайта
- доступ ко всем номерам PDF
4000 р.
на год
на год
920 р.
на месяц
на месяц
Материалы для подписчиков
Трюки
Вопросы по материалам и подписке: support@glc.ru
Отдел рекламы и спецпроектов: yakovleva.a@glc.ru
Контент 18+
Сайт защищен Qrator —
самой забойной защитой от DDoS в мире
Отдел рекламы и спецпроектов: yakovleva.a@glc.ru
Контент 18+
Сайт защищен Qrator —самой забойной защитой от DDoS в мире