Лучший хакерский софт декабря. X-TOOLS #203
В этом выпуске — фреймворки, IDE и умные анализаторы для поиска уязвимостей и реверс-инжиниринга. Stay Tuned!
Китайские хакеры используют Dropbox для связи с C&C серверами
Специалисты компании FireEye обнаружили масштабную хакерскую кампанию, направленную против гонконгских СМИ. По данным экспер…
В ходе взлома VTech пострадали 11 млн пользователей, украдены фото и логи детей
Опубликованы новые подробности взлома производителя электронных игрушек VTech. Компания официально подтвердила, что недавний…
Полный набор уязвимостей в HipChat — от XSS до RCE
В клиентах HipChat для OS X, Windows и iOS при обработке URL-адресов текст, содержащий javascript:, неправильно конвертируется и превращается в ссылки. Это обычная уязвимость типа XSS, но в нашем случае она, благодаря тому, что позволяет получить доступ к локальным файлам, приводит к удаленному выполнению кода.
16 аддонов, которые превратят твой браузер в хакерский инструмент
Вся прелесть современных браузеров состоит в том, что они могут заменить собой целый набор утилит, совершенно не вызывая подозрений. Это уже не просто средства просмотра веб-страниц, а универсальные платформы для взаимодействия с любыми удаленными сервисами. Итак, открываем chrome://extensions/ или about:addons и аддон за аддоном превращаем браузер в мощное средство для пентеста.
Хакеры похитили данные 5 млн аккаунтов, взломав крупного производителя электронных игрушек
Китайский производитель электроники Video Technology (Vtech) подвергся атаке хакеров. Устройства Vtech преимущественно ориен…
Исследователь показал, что взломать умные телевизоры очень легко
Многие компании предрекают, что в 2016 году основной киберугрозой станет вымогательское ПО, и малварь может поразить не толь…
Впервые создана утилита для получения root на Windows Phone
ИБ-исследователь, известный в сети под именем HeathCliff, доказал, что устройства Windows Phone тоже можно взломать. Хакер в…
Хакеры взломали сайт ИГ и призвали экстремистов успокоиться
Не только хактивисты Anonymous воюют с запрещенным на территории РФ Исламским государством в киберпространстве. Независимая …
Easy Hack: загрузка файлов в PHP через autoload
RFI (Remote File Inclusion) — та самая уязвимость, которая позволяет хакеру залить свой shell в твой блог на php-движке. За ней стоит фича, которая появилась в PHP начиная с пятой версии: автоматическая подгрузка классов, которая позволяет отказаться от include и require. Давай посмотрим на примере.
Исследование: сколько стоят услуги китайских хакеров
Компания Trend Micro опубликовала аналитический отчет под названием «Инновации китайского киберпреступного андеграунда». Док…
Найден способ предсказать номер карты American Express
Известный ИБ-эксперт Сэми Камкар (Samy Kamkar), автор нашумевшего червя Samy, научился предсказывать, каким будет номер карт…
Получаем пользовательские данные на Android с экранов сторонних приложений
С версии 1.6 в Android существует «сервис специальных возможностей». Нетрудно догадаться, с какой целью он был создан, но нас, как людей, стремящихся как раз к неограниченным возможностям, этот сервис интересует с несколько другой стороны. Сегодня мы будем писать программу, которая позволит следить за вводом в других приложениях!
Хроники целевых атак 2015: находки Hacking Team, червь Duqu и руткит Turla
APT, таргетированные, целенаправленные атаки — все эти термины уже не первый год находятся на почетных местах в материалах секьюрити-изданий, корпоративных и частных ИБ-блогеров. Мы не оставляли эту тему без внимания, но теперь, когда накопился определенный объем информации, мы публикуем большую летопись, охватывающую самые запоминающиеся атаки за последние годы.
Easy Hack: отправляем произвольные запросы из PDF
В PDF есть одна интересная возможность: отправка кросс-доменных запросов с практически любыми заголовками. Это больше напоминает баг, чем фичу, поэтому, скорее всего, окажется запатчено в будущем. Но за этим багом стоит распространенная проблема, так что о нем стоит поговорить подробнее.
Как писать отчет о проделанном пентесте? Колонка Юрия Гольцева
Тестирование на проникновение (penetration testing) — метод оценки безопасности компьютерных систем или сетей средствами моделирования атаки злоумышленника. Для кого-то это хобби, для кого-то работа, для кого-то это стиль жизни. На страницах нашего журнала мы постараемся познакомить тебя с профессией настоящего «этичного хакера», с задачами, которые перед ним ставятся, и их решениями.
Троянец Shedun использует легитимные функции Android для обмана жертв
Совсем недавно специалисты компании Lookout сообщали о появлении крайне неприятного семейства мобильных вредоносов, в состав…
Group-IB разоблачила новую схему, позволившую хакерам похитить более 250 млн рублей
Специалисты компании Group-IB обнаружили, что хакеры используют новую схему хищения средств через банкоматы. Метод получил н…
На PacSec продемонстрировали атаку на сканеры штрихкодов
Группа исследователей из Xuanwu Lab продемонстрировала в Токио, на конференции PanSec весьма необычный вектор атак. Исследов…
Хакеры активно эксплуатируют новую брешь в vBulletin
Пару недель назад, в начале ноября текущего года хакер, известный под псевдонимом Coldzer0, взломал сайт и форумы компании v…
Easy Hack: выполняем произвольный код на сервере через уязвимость в XSLT
XSLT, Extensible Stylesheet Language Transformations — это специальный язык для преобразования (в общем случае) документов XML. Это развесистый формат, так что в плане возможностей для атак XSLT — богатая технология, и с ней стоит разобраться подробнее.
Лучший хакерский софт ноября. X-TOOLS #202
В этом выпуске: выбираемся из песочницы Windows, перехватываем нативные методы Java и Android, перехватываем TCP-стримы и сканируем Wi-Fi сети. Stay Tuned!
Хакеры, взломавшие директора ЦРУ, добрались до правоохранительных органов
Издание Wired сообщает, что группа подростков, называющая себя Crackas With Attitude (CWA), стоящая за взломом почты директо…
Конкурс от Qiwi на ZERONIGHTS
В рамках конференции ZERONIGHTS гости мероприятия смогут принять участие в поиске уязвимостей на платежных терминалах QIWI. …
Хакеры ИГ взломали более 54 000 Twitter-аккаунтов
Хакерская группа, известная как «Киберхалифат» (Cyber Caliphate), взяла на себя ответственность за взлом десятков тысяч Twit…
Провайдер Cox Communications оштрафован на $600 тысяч из-за хакеров Lizard Squad
В США Федеральная комиссия по связи (ФКС) добилась того, что провайдер Cox Communications понесет наказание за утечку данных…
Школьник, взломавший директора ЦРУ, заявил, что теперь взломал замдиректора ФБР
Хакер, известный под псевдонимом Cracka, недавно взял на себя ответственность за взлом AOL-аккаунта директора ЦРУ Джона Брен…
HackQuest ZERONIGHTS — найди уязвимость и получи инвайт
По традиции, перед ZERONIGHTS мы проводим HackQuest, предлагая участникам решить различные задания (найти уязвимости в веб-п…
Easy Hack: Обход SOP через content smuggling с PDF
Эта задача во многом похожа на предыдущую, хоть и касается формата PDF. Для начала представим себе классическую атаку. Существует сервер, на который мы можем загрузить картинку. Есть способ изготовить такой файл, который одновременно будет и валидным изображением, и правильным PDF. После загрузки такого файла мы можем заманить жертву к себе на сайт и заставить открыть нашу картинку как PDF.
Более 500 сайтов пострадали из-за взлома антиблокировщика PageFair
Борьбу с блокировкой рекламы уже поставили на коммерческую основу. Так, компания PageFair предоставляет своим клиентам услуг…
Конкурс завершен, компания Zerodium выплатит 1 млн долларов за джейлбрейк iOS 9.1/9.2b
В сентябре текущего года компания Zerodium объявила аттракцион неслыханной щедрости: каждому хакеру, который сумеет обнаружи…
Компания vBulletin подверглась атаке
Сообщения о взломах форумов на платформе vBulletin – не редкость, но на этот раз атаке подвергся сайт и форумы самой компани…
Зафиксированы отраженные DDoS-атаки трех новых типов
Специалисты компании Akamai предупреждают, что в последние месяцы злоумышленники пополнили свой арсенал новыми трюками. Как …
Easy Hack: XSS с помощью SVG
Первые несколько атак этого выпуска Easy Hack будут завязаны на формат SVG. Причем хочется взглянуть даже не на сами атаки, а на потенциальные возможности формата.
Устройство для взлома 4G/LTE сетей можно собрать за $1400
Группа европейских ученых создала устройство, позволяющее отслеживать пользователей смартфонов через LTE-сети по международн…
Директор ЦРУ взбешен из-за взлома почтового ящика
Директор Центрального разведывательного управления США Джон Бреннан (John Brennan), выступая на конференции национальной без…
Обработка смайликов «ВКонтакте» позволяла выполнить вредоносный код
Исследователь компании ONsec Дмитрий Бумов уже не раз находил уязвимости в социальной сети «ВКонтакте» и получал вознагражде…
Бесплатный хостинг 000Webhost взломан, похищены данные 13,5 млн пользователей
Австралийский эксперт в области информационной безопасности Трой Хант (Troy Hunt) сообщил, что популярнейший хостинг 000Webh…
По подозрению во взломе провайдера TalkTalk арестован 15-летний подросток
27 октября 2015 года киберподразделение полиции Лондона официально подтвердило, что арестован подозреваемый в организации ат…
Ботнет из камер видеонаблюдения участвует в DDoS-атаках
Камеры видеонаблюдения, они же closed-circuit security camera, они же CCTV, уже не первый раз становятся объектами атак, рав…
Бумажный спецвыпуск
«ХАКЕР» ДОСТУПЕН ТОЛЬКО В ЭЛЕКТРОННОЙ ВЕРСИИ
Оформи подписку — получи:
- доступ к платным материалам сайта
- доступ ко всем номерам PDF
4500 р.
на год
на год
450 р.
на месяц
на месяц
Материалы для подписчиков
Вопросы по материалам и подписке: support@glc.ru
Отдел рекламы и спецпроектов: yakovleva.a@glc.ru
Контент 18+
Сайт защищен Qrator —
самой забойной защитой от DDoS в мире
Отдел рекламы и спецпроектов: yakovleva.a@glc.ru
Контент 18+
Сайт защищен Qrator —самой забойной защитой от DDoS в мире