|
|
![]() Стали известны результаты изучения трофейной техники НАТО.Суббота, 29 Июля 2023 г. 06:00 (ссылка)
![]() Как багхантеры ищут уязвимости: лайфхаки и неочевидные нюансыВторник, 31 Января 2023 г. 10:59 (ссылка)
![]() Хакеры выявили массу уязвимостей у современных автомобилейПонедельник, 16 Января 2023 г. 15:42 (ссылка)
Если вы приобретали новый автомобиль в последние несколько лет, то велика вероятность, что в нем есть хотя бы один встроенный модем, который нужен для разных полезных функций вроде удалённого прогрева автомобиля, самодиагностики, которая предупреждает о сбоях до того, как они произойдут, и всевозможных опций безопасности. Автопроизводители активно используют электронику в своих новых моделях. Но, как показывает исследование охотника за ошибками и штатного инженера по безопасности Yuga Labs Сэма Карри, в электронных системах есть масса уязвимостей, которые позволяют отслеживать и даже контролировать некоторые автомобили, включая машины экстренных служб. Читать далееhttps://habr.com/ru/post/710906/?utm_source=habrahabr&utm_medium=rss&utm_campaign=710906 ![]() Как за неделю превратить Open redirect в RCEЧетверг, 29 Декабря 2022 г. 11:30 (ссылка)
В этой статье я расскажу вам о том, как ровно год назад я связал в цепочку несколько проблем безопасности для достижения Удаленного выполнения кода (RCE) на нескольких серверах компании VK. Я постарался описать свои шаги в подробностях, так как мне самому, как постоянному читателю отчетов по баг-баунти, всегда хочется понять, как исследователь мыслит во время обнаружения необычных уязвимостей. Надеюсь, для вас эта статья будет интересна. Читать далееhttps://habr.com/ru/post/708384/?utm_source=habrahabr&utm_medium=rss&utm_campaign=708384
![]() Payment Village на PHDays 11: как проверяли на прочность онлайн-банкСреда, 30 Ноября 2022 г. 12:24 (ссылка)
Всем привет! В нашем блоге мы уже рассказывали о том, что на форуме Positive Hack Days 11 работала специальная зона Payment Village, где любой желающий мог поискать уязвимые места в онлайн-банке, банкоматах (если вдруг пропустили, читайте подробный райтап) и POS-терминалах. Делимся райтапом и подробными итогами конкурса. Читатьhttps://habr.com/ru/post/702508/?utm_source=habrahabr&utm_medium=rss&utm_campaign=702508
![]() Аспекты безопасности протокола Siemens S7commЧетверг, 03 Ноября 2022 г. 17:40 (ссылка)
Автоматизированные системы управления технологическими процессами (АСУ ТП) контролируют работу критических информационных инфраструктур на таких значимых для страны объектах как крупные транспортные корпорации, компании из сферы здравоохранения и связи, предприятия топливно-энергетического комплекса, атомной энергетики, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности. Читать далееhttps://habr.com/ru/post/697338/?utm_source=habrahabr&utm_medium=rss&utm_campaign=697338
![]() Что такое катастрофический возврат и как регулярное выражение может стать причиной ReDoS-уязвимости?Четверг, 03 Ноября 2022 г. 15:09 (ссылка)
Регулярные выражения – очень полезный и удобный инструмент для поиска и замены текста. Однако в некоторых случаях они могут привести к зависанию системы или даже стать причиной уязвимости к ReDoS-атакам. Читать далееhttps://habr.com/ru/post/697294/?utm_source=habrahabr&utm_medium=rss&utm_campaign=697294
![]() Где искать баги фаззингом и откуда вообще появился этот методЧетверг, 03 Ноября 2022 г. 11:26 (ссылка)
Подход фаззинг-тестирования родился еще в 80-х годах прошлого века. В некоторых языках он используется давно и плодотворно — соответственно, уже успел занять свою нишу. Сторонние фаззеры для Go были доступны и ранее, но в Go 1.18 появился стандартный. Мы в «Лаборатории Касперского» уже успели его пощупать и тестируем с его помощью довольно большой самостоятельный сервис. https://habr.com/ru/post/696724/?utm_source=habrahabr&utm_medium=rss&utm_campaign=696724
![]() Из-за чего весь сыр-бор: про уязвимость Text4ShellПятница, 21 Октября 2022 г. 17:54 (ссылка)
За последнюю неделю в информационном поле инфобеза стали появляться новости о втором пришествии уязвимости Log4Shell, окрестившим себя Text4Shell. Первым об уязвимости сообщил Alvaro Mu~noz, который рассказал о возможности удаленного выполнения произвольных скриптов в продуктах, использующих библиотеку Apache Commons Text. Сама уязвимость была обнаружена еще в марте 2022 года, но команде Apache Commons потребовалось время на ее исправление и выпуск обновлений библиотеки. Уязвимости был присвоен идентификатор CVE-2022-42889 (CWE-94 – Code Injection) и определен достаточно высокий уровень риска CVSS 9.8. В течение последующих дней после раскрытия информации об уязвимости стали появляться сомнения в критичности уязвимости, ссылаясь на невозможность эксплуатации в версиях JDK 15+ или по причине маловероятности попадания пользовательских данных в функцию интерполяции переменной. Однако при дальнейшем изучении уязвимости оказались открыты и другие векторы ее эксплуатации. Наша команда PT Application Inspector решила определить уязвимые места в исходном тексте, оценить выпущенный патч от команды разработки и посоветовать шаги, которые помогут защититься от возможных атак. Читать далееhttps://habr.com/ru/post/694720/?utm_source=habrahabr&utm_medium=rss&utm_campaign=694720
![]() Как начать заниматься багхантингом веб-приложенийЧетверг, 29 Сентября 2022 г. 12:19 (ссылка)
Компании могут проверять свои продукты, сервисы или инфраструктуру на реальность взлома разными способами: это и пентест, и редтиминг, и bug bounty. Дыры в программном обеспечении могут обернуться убытками для компаний и компрометацией персональных данных (а иногда и финансовыми потерями) для пользователей. В этой и следующих статьях мы подробно пройдемся по теме bug bounty и расскажем о том, как прокачаться в багхантинге веб- и мобильных приложений. Первая статья будет особенно интересна https://habr.com/ru/post/690716/?utm_source=habrahabr&utm_medium=rss&utm_campaign=690716
![]() На грани между ИТ и ИБ: противоборство или союз специалистов?Суббота, 24 Сентября 2022 г. 12:31 (ссылка)
В среде разработчиков бытует мнение, что информационная безопасность относится к IT не напрямую, а косвенно, что это вспомогательная область и даже вторичная. Но так ли это на самом деле? На этот неоднозначный вопрос серьезно и обстоятельно ответили спикер Слёрма Роман Панин и его коллега Павел Шатилов, руководители направления архитектуры ИБ в МТС. Читать дальшеhttps://habr.com/ru/post/689944/?utm_source=habrahabr&utm_medium=rss&utm_campaign=689944 ![]() Чем опасны уязвимые зависимости в проекте и как с этим помогает SCA?Вторник, 06 Сентября 2022 г. 17:40 (ссылка)
Современные приложения почти всегда используют сторонние библиотеки. Если библиотека содержит уязвимость, то уязвимым может оказаться и использующее её приложение. Но как определить наличие таких проблемных зависимостей? Читать далееhttps://habr.com/ru/post/686746/?utm_source=habrahabr&utm_medium=rss&utm_campaign=686746 ![]() Спецвыпуск. Про уязвимостьВторник, 09 Августа 2022 г. 08:18 (ссылка)
![]() Похищаем сохраненный в Chrome пароль с помощью XSSПонедельник, 01 Августа 2022 г. 16:14 (ссылка)
Меня зовут Артем Мышенков, я ведущий инженер по технической защите информации в команде безопасности REG.RU. Наша команда занимается тестированием систем компании на безопасность и поиском уязвимостей. В этой статье я расскажу о том, как с помощью XSS-атаки в сочетании с ClickJacking’ом злоумышленники могут похитить сохраненные в браузере пароли. Читать далееhttps://habr.com/ru/post/680256/?utm_source=habrahabr&utm_medium=rss&utm_campaign=680256
|
|
LiveInternet.Ru |
Ссылки: на главную|почта|знакомства|одноклассники|фото|открытки|тесты|чат О проекте: помощь|контакты|разместить рекламу|версия для pda |