Google представила два инструмента для борьбы с XSS-уязвимостями
Компания Google выпустила инструменты CSP Evaluator и CSP Mitigator, которые должны помочь специалистам выявлять XSS-уязвимо…
Компания Google выпустила инструменты CSP Evaluator и CSP Mitigator, которые должны помочь специалистам выявлять XSS-уязвимо…
Специалист по информационной безопасности Mail.Ru Group Карим Валиев рассказал у себя в Facebook, что ему удалось обнаружить…
XSS-атаки (сross-site scripting) уже давно вышли за рамки угона сессии через document.cookie на сниффер злоумышленника. Различные онлайн-сервисы, которые позволяли с легкостью вставлять нужный пейлоад и ждать, пока на e-mail придет уведомление с данными жертвы, остались где-то в 2007. Сегодня речь в статье пойдет о популярном инструменте, который помогает выжать максимум из простого внедрения JS-кода. Итак, знакомься — BeEF.
Специалисты компании Sucuri обнаружили опасную уязвимость в популярном плагине Jetpack для Wordpress. Используя её, злоумышл…
Независимый специалист Рэнди Вестергрен (Randy Westergren) обнаружил, что многие рекламные сети подвержены одной и той же пр…
«Вроде, работает» — это та реплика, которой не должна заканчиваться процедура настройки сервера. Чтобы удостовериться, что на твоем сайте верно сконфигурированы сертификаты и заголовки HTTP, можешь воспользоваться этими утилитами. Никто, впрочем, не запрещает проверить ими и чужой сайт.
Разработчики популярнейшей платформы для интернет-магазинов Magento представили набор патчей, суммарно устраняющий 20 уязвим…
Сотрудник финской компании Klikki Oy Йоуко Пюннёнен (Jouko Pynnönen) обнаружил XSS-уязвимость в веб-интерфейсе почтового сер…
Если ты читаешь Easy Hack систематически, то, наверное, уже хорошо знаком с Same Origin Policy (SOP), мы к нему часто возвращаемся. Из-за SOP возможность взаимодействия между двумя «сайтами» очень ограничена. Но так как задача получения и оправки информации на одном сайте с другого возникает часто, то были внедрены различные методы для «смягчения». Один из самых старых методов — подгрузка JavaScript с другого домена через тег <script>. SOP нас здесь ничем не ограничивает: можно указать практически произвольное месторасположение.
Исследователь компании ONsec Дмитрий Бумов уже не раз находил уязвимости в социальной сети «ВКонтакте» и получал вознагражде…
Компания Netflix — один из топовых на Западе поставщиков контента на базе потокового мультимедиа (который, к сожалению, не р…
Вышла версия 4.2.3 популярной бесплатной CMS Wordpress, и всем пользователям настоятельно рекомендуется обновиться, так как …
8 декабря 2014 года специалист по безопасности El337 сообщил об XSS-уязвимости на популярном сайте uber.com, который предост…