В Drupal исправлена критическая уязвимость, связанная с работой CKEditor
Совсем недавно специалисты предупреждали, что преступники начали эксплуатировать критическую уязвимость Drupalgeddon2. Тепер…
Эксперты Check Point обнаружили опасный баг на сайте AliExpress
Специалисты компании Check Point обнаружили уязвимость на сайте AliExpress, самого популярного портала онлайн-торговли в мир…
X-Tools: разбираемся с el Scripto, фреймворком нового типа для XSS-атак
Я давно увлекаюсь XSS-атаками, размышляю над разными техниками эксплуатации, ищу обходы и новые векторы для внедрения кода в страницы. В определенный момент у меня накопилось много файлов с XSS-эксплоитами для топовых CMS, и, зная, что в Сети такое добро редко встречается, я решил собрать это все в один набор и назвать его el Scripto.
Баг в jQuery Mobile может обернуться XSS-уязвимостью для множества сайтов
Специалист Google обнаружил проблему в jQuery Mobile, которая не опасна сама по себе, но может спровоцировать XSS.
Уязвимость в Steam позволяла разместить вредоносный javascript-код на странице профиля
В Steam в очередной раз обнаружили XSS-уязвимость, и баг едва не спровоцировал массовый угон аккаунтов.
Подростки обнаружили XSS-уязвимость в плагине HTML Comment Box, опасную для 2 млн сайтов
Два 14-летних подростка из Ливана нашли уязвимость в популярном плагине HTML Comment Box.
Adobe навязала пользователям расширение Acrobat для Chrome, эксперт нашел в нем XSS баг
Тевис Орманди обнаружил уязвимость в Chrome-расширении, которое компания Adobe в этом месяце навязала пользователям.
Как бэкап становится бэкдором. Ищем уязвимости в веб-приложении крупной компании
Я работаю в большой организации, и, как положено большой организации, у нас есть внутренние веб-приложения, которые реализуют довольно ответственную бизнес-логику. Именно о таком приложении мы сегодня и поговорим: проведем его анализ защищенности, найдем парочку уязвимостей и навсегда уясним, как не стоит хранить бэкапы.
XSS-уязвимость в почте Yahoo позволяла читать чужие письма
Исследователь заработал 10 000 долларов, обнаружив XSS-баг в почтовом сервисе Yahoo.
Google представила два инструмента для борьбы с XSS-уязвимостями
Компания Google выпустила инструменты CSP Evaluator и CSP Mitigator, которые должны помочь специалистам выявлять XSS-уязвимо…
Почта для чиновников оказалась уязвимой
Специалист по информационной безопасности Mail.Ru Group Карим Валиев рассказал у себя в Facebook, что ему удалось обнаружить…
Уязвимость в плагине для WordPress поставила под угрозу миллион сайтов
Специалисты компании Sucuri обнаружили опасную уязвимость в популярном плагине Jetpack для Wordpress. Используя её, злоумышл…
Зомби-скриптинг. Используем BeEF для продвинутых XSS-атак
XSS-атаки (сross-site scripting) уже давно вышли за рамки угона сессии через document.cookie на сниффер злоумышленника. Различные онлайн-сервисы, которые позволяли с легкостью вставлять нужный пейлоад и ждать, пока на e-mail придет уведомление с данными жертвы, остались где-то в 2007. Сегодня речь в статье пойдет о популярном инструменте, который помогает выжать максимум из простого внедрения JS-кода. Итак, знакомься — BeEF.
WWW: SSL Server Test и SecurityHeaders.io — средства выявления небезопасных настроек сайта
«Вроде, работает» — это та реплика, которой не должна заканчиваться процедура настройки сервера. Чтобы удостовериться, что на твоем сайте верно сконфигурированы сертификаты и заголовки HTTP, можешь воспользоваться этими утилитами. Никто, впрочем, не запрещает проверить ими и чужой сайт.
Рекламные сети уязвимы перед простейшими XSS-атаками
Независимый специалист Рэнди Вестергрен (Randy Westergren) обнаружил, что многие рекламные сети подвержены одной и той же пр…
В Magento устранено 20 уязвимостей, включая критические
Разработчики популярнейшей платформы для интернет-магазинов Magento представили набор патчей, суммарно устраняющий 20 уязвим…
Easy Hack: Как добыть данные через Cross Site Scripting Inclusion
Если ты читаешь Easy Hack систематически, то, наверное, уже хорошо знаком с Same Origin Policy (SOP), мы к нему часто возвращаемся. Из-за SOP возможность взаимодействия между двумя «сайтами» очень ограничена. Но так как задача получения и оправки информации на одном сайте с другого возникает часто, то были внедрены различные методы для «смягчения». Один из самых старых методов — подгрузка JavaScript с другого домена через тег <script>. SOP нас здесь ничем не ограничивает: можно указать практически произвольное месторасположение.
Исследователь заработал $10 000, обнаружив XSS-уязвимость в почте Yahoo!
Сотрудник финской компании Klikki Oy Йоуко Пюннёнен (Jouko Pynnönen) обнаружил XSS-уязвимость в веб-интерфейсе почтового сер…
Обработка смайликов «ВКонтакте» позволяла выполнить вредоносный код
Исследователь компании ONsec Дмитрий Бумов уже не раз находил уязвимости в социальной сети «ВКонтакте» и получал вознагражде…
Netflix выпустила фреймворк для поиска XSS
Компания Netflix — один из топовых на Западе поставщиков контента на базе потокового мультимедиа (который, к сожалению, не р…
WordPress обновился, устранив 20 багов
Вышла версия 4.2.3 популярной бесплатной CMS Wordpress, и всем пользователям настоятельно рекомендуется обновиться, так как …
Незакрытая XSS-уязвимость на Uber.com
8 декабря 2014 года специалист по безопасности El337 сообщил об XSS-уязвимости на популярном сайте uber.com, который предост…
Бумажный спецвыпуск
«ХАКЕР» ДОСТУПЕН ТОЛЬКО В ЭЛЕКТРОННОЙ ВЕРСИИ
Оформи подписку — получи:
- доступ к платным материалам сайта
- доступ ко всем номерам PDF
4500 р.
на год
на год
450 р.
на месяц
на месяц
Материалы для подписчиков
Вопросы по материалам и подписке: support@glc.ru
Отдел рекламы и спецпроектов: yakovleva.a@glc.ru
Контент 18+
Сайт защищен Qrator —
самой забойной защитой от DDoS в мире
Отдел рекламы и спецпроектов: yakovleva.a@glc.ru
Контент 18+
Сайт защищен Qrator —самой забойной защитой от DDoS в мире