Баг в jQuery Mobile может обернуться XSS-уязвимостью для множества сайтов
Специалист Google обнаружил проблему в jQuery Mobile, которая не опасна сама по себе, но может спровоцировать XSS.
Уязвимость в Steam позволяла разместить вредоносный javascript-код на странице профиля
В Steam в очередной раз обнаружили XSS-уязвимость, и баг едва не спровоцировал массовый угон аккаунтов.
Подростки обнаружили XSS-уязвимость в плагине HTML Comment Box, опасную для 2 млн сайтов
Два 14-летних подростка из Ливана нашли уязвимость в популярном плагине HTML Comment Box.
Adobe навязала пользователям расширение Acrobat для Chrome, эксперт нашел в нем XSS баг
Тевис Орманди обнаружил уязвимость в Chrome-расширении, которое компания Adobe в этом месяце навязала пользователям.
Как бэкап становится бэкдором. Ищем уязвимости в веб-приложении крупной компании
Я работаю в большой организации, и, как положено большой организации, у нас есть внутренние веб-приложения, которые реализуют довольно ответственную бизнес-логику. Именно о таком приложении мы сегодня и поговорим: проведем его анализ защищенности, найдем парочку уязвимостей и навсегда уясним, как не стоит хранить бэкапы.
XSS-уязвимость в почте Yahoo позволяла читать чужие письма
Исследователь заработал 10 000 долларов, обнаружив XSS-баг в почтовом сервисе Yahoo.
Google представила два инструмента для борьбы с XSS-уязвимостями
Компания Google выпустила инструменты CSP Evaluator и CSP Mitigator, которые должны помочь специалистам выявлять XSS-уязвимо…
Почта для чиновников оказалась уязвимой
Специалист по информационной безопасности Mail.Ru Group Карим Валиев рассказал у себя в Facebook, что ему удалось обнаружить…
Уязвимость в плагине для WordPress поставила под угрозу миллион сайтов
Специалисты компании Sucuri обнаружили опасную уязвимость в популярном плагине Jetpack для Wordpress. Используя её, злоумышл…
Зомби-скриптинг. Используем BeEF для продвинутых XSS-атак
XSS-атаки (сross-site scripting) уже давно вышли за рамки угона сессии через document.cookie на сниффер злоумышленника. Различные онлайн-сервисы, которые позволяли с легкостью вставлять нужный пейлоад и ждать, пока на e-mail придет уведомление с данными жертвы, остались где-то в 2007. Сегодня речь в статье пойдет о популярном инструменте, который помогает выжать максимум из простого внедрения JS-кода. Итак, знакомься — BeEF.
WWW: SSL Server Test и SecurityHeaders.io — средства выявления небезопасных настроек сайта
«Вроде, работает» — это та реплика, которой не должна заканчиваться процедура настройки сервера. Чтобы удостовериться, что на твоем сайте верно сконфигурированы сертификаты и заголовки HTTP, можешь воспользоваться этими утилитами. Никто, впрочем, не запрещает проверить ими и чужой сайт.
Рекламные сети уязвимы перед простейшими XSS-атаками
Независимый специалист Рэнди Вестергрен (Randy Westergren) обнаружил, что многие рекламные сети подвержены одной и той же пр…
В Magento устранено 20 уязвимостей, включая критические
Разработчики популярнейшей платформы для интернет-магазинов Magento представили набор патчей, суммарно устраняющий 20 уязвим…
Easy Hack: Как добыть данные через Cross Site Scripting Inclusion
Если ты читаешь Easy Hack систематически, то, наверное, уже хорошо знаком с Same Origin Policy (SOP), мы к нему часто возвращаемся. Из-за SOP возможность взаимодействия между двумя «сайтами» очень ограничена. Но так как задача получения и оправки информации на одном сайте с другого возникает часто, то были внедрены различные методы для «смягчения». Один из самых старых методов — подгрузка JavaScript с другого домена через тег <script>. SOP нас здесь ничем не ограничивает: можно указать практически произвольное месторасположение.
Исследователь заработал $10 000, обнаружив XSS-уязвимость в почте Yahoo!
Сотрудник финской компании Klikki Oy Йоуко Пюннёнен (Jouko Pynnönen) обнаружил XSS-уязвимость в веб-интерфейсе почтового сер…
Обработка смайликов «ВКонтакте» позволяла выполнить вредоносный код
Исследователь компании ONsec Дмитрий Бумов уже не раз находил уязвимости в социальной сети «ВКонтакте» и получал вознагражде…
Netflix выпустила фреймворк для поиска XSS
Компания Netflix — один из топовых на Западе поставщиков контента на базе потокового мультимедиа (который, к сожалению, не р…
WordPress обновился, устранив 20 багов
Вышла версия 4.2.3 популярной бесплатной CMS Wordpress, и всем пользователям настоятельно рекомендуется обновиться, так как …
Незакрытая XSS-уязвимость на Uber.com
8 декабря 2014 года специалист по безопасности El337 сообщил об XSS-уязвимости на популярном сайте uber.com, который предост…
Бумажный спецвыпуск
«ХАКЕР» ДОСТУПЕН ТОЛЬКО В ЭЛЕКТРОННОЙ ВЕРСИИ
Оформи подписку — получи:
- доступ к платным материалам сайта
- доступ ко всем номерам PDF
4500 р.
на год
на год
450 р.
на месяц
на месяц
Материалы для подписчиков
Вопросы по материалам и подписке: support@glc.ru
Отдел рекламы и спецпроектов: yakovleva.a@glc.ru
Контент 18+
Сайт защищен Qrator —
самой забойной защитой от DDoS в мире
Отдел рекламы и спецпроектов: yakovleva.a@glc.ru
Контент 18+
Сайт защищен Qrator —самой забойной защитой от DDoS в мире