Эксплуатация инъекций в Hibernate ORM
Доклад на эту тему был представлен на конференции ZeroNights 0x05 на секции FastTrack. Работа оказалась очень актуальной и вызвала большой интерес, поскольку в последнее время проблема эксплуатации HQL-инъекций интересовала многих security-исследователей, специализирующихся на веб-безопасности....
Эксплуатация инъекций в Hibernate ORM
Доклад на эту тему был представлен на конференции ZeroNights 0x05 на секции FastTrack. Работа оказалась очень актуальной и вызвала большой интерес, поскольку в последнее время проблема эксплуатации HQL-инъекций интересовала многих security-исследователей, специализирующихся на веб-безопасности....
Microsoft добавил возможность отключения слежения в версиях Windows 10 для корпоративных клиентов
Microsoft довольно своеобразно отреагировал на свалившуюся на него со всех сторон критику по поводу слежки за пользователями: как пишет сайт Techrepublic, новый апдейт популярной ОС позволит пользователям блокировать мониторинг, но только в Enterprise (корпоративной) версии. Об этом радостном...
Подпольный рынок кардеров. Перевод книги «KingPIN». Глава 21. «Master Splyntr»
Кевин Поулсен, редактор журнала WIRED, а в детстве blackhat хакер Dark Dante, написал книгу про «одного своего знакомого». В книге показывается путь от подростка-гика (но при этом качка), до матерого киберпахана, а так же некоторые методы работы спецслужб по поимке хакеров и кардеров. Квест по...
[Из песочницы] Анонимное подключение к meterpreter/reverse_tcp через промежуточный сервер с помощью SSH-туннелей
Всем привет! Эта статья рассчитана скорее на новичков, которые только начинают своё знакомство с Metasploit Framework, но уже кое-что понимают. Если вы считаете себя опытным специалистом и вас заинтересовало название, можете сразу перейти к TL;DR; в конце. Речь в этой статье пойдет о том, как...
[Из песочницы] Анонимное подключение к meterpreter/reverse_tcp через промежуточный сервер с помощью SSH-туннелей
Всем привет! Эта статья рассчитана скорее на новичков, которые только начинают своё знакомство с Metasploit Framework, но уже кое-что понимают. Если вы считаете себя опытным специалистом и вас заинтересовало название, можете сразу перейти к TL;DR; в конце. Речь в этой статье пойдет о том, как...
Сделай сам: dll hijacking под MS Office для самых маленьких
Прошло уже три дня с тех пор, как исследователь Parvez Anwar опубликовал информацию о множественных dll hijacking уязвимостях в продуктах Microsoft Office, а какой-либо реакции не наблюдается. Ни CVE, ни сообщений на специализированных ресурсах, Windows Update не качает свежих патчей. Что ж, может,...
Сделай сам: dll hijacking под MS Office для самых маленьких
Прошло уже три дня с тех пор, как исследователь Parvez Anwar опубликовал информацию о множественных dll hijacking уязвимостях в продуктах Microsoft Office, а какой-либо реакции не наблюдается. Ни CVE, ни сообщений на специализированных ресурсах, Windows Update не качает свежих патчей. Что ж, может,...
Как разделить VPN трафик в MacOS
VPN VPN (англ. Virtual Private Network — виртуальная частная сеть — обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (например, Интернет) WikiPedia Предположим, вы разработчик и часть ресурсов (например база данных)...
Объявлено о начале приема работ на симпозиум CTCrypt'2016
С 6 по 8 июня 2016 года в г. Ярославле пройдет пятый международный симпозиум «Современные тенденции в криптографии» CTCrypt 2016. Читать дальше →...
Создатели программ-вымогателей и мошеннических сайтов техподдержки объединяются
Пока первые держат файлы в заложниках, вторые выставляют баснословные счета за устранение на компьютере несуществующих проблем Внимание специалистов Symantec привлекло слияние двух серьезных онлайн угроз, способных вызвать большие проблемы в случае, если интернет-пользователям придется с ними...
Создатели программ-вымогателей и мошеннических сайтов техподдержки объединяются
Пока первые держат файлы в заложниках, вторые выставляют баснословные счета за устранение на компьютере несуществующих проблем Внимание специалистов Symantec привлекло слияние двух серьезных онлайн угроз, способных вызвать большие проблемы в случае, если интернет-пользователям придется с ними...
Security Week 49: б/у сертификаты, кража данных из детских игрушек, Microsoft блокирует нежелательное ПО
На этой неделе ничего не произошло. Ну как, поток новостей о безопасности в IT был обычный — тут взломали, там уязвимость, здесь патч — но без каких-то серьезных откровений. Когда я только начинал вести еженедельный дайджест, мне казалось, что таких недель будет немало, но пока, с августа,...
Security Week 49: б/у сертификаты, кража данных из детских игрушек, Microsoft блокирует нежелательное ПО
На этой неделе ничего не произошло. Ну как, поток новостей о безопасности в IT был обычный — тут взломали, там уязвимость, здесь патч — но без каких-то серьезных откровений. Когда я только начинал вести еженедельный дайджест, мне казалось, что таких недель будет немало, но пока, с августа,...
Правда Сноудена
Подборка наиболее интересных мыслей, озвученных в фильме «Гражданин четыре: правда Сноудена», который в свою очередь является квинтэссенцией откровений Эдварда Сноудена – бывшего сотрудника АНБ, разоблачившего антидемократическую деятельность правительственных спецслужб. Всё началось с письма...
Правда Сноудена
Подборка наиболее интересных мыслей, озвученных в фильме «Гражданин четыре: правда Сноудена», который в свою очередь является квинтэссенцией откровений Эдварда Сноудена – бывшего сотрудника АНБ, разоблачившего антидемократическую деятельность правительственных спецслужб. Всё началось с письма...
Let's Encrypt выходит в публичную бету: HTTPS всюду, каждому, отныне и навсегда бесплатно
Let's Encrypt — это некоммерческая инициатива, предоставляющая бесплатный, автоматизированный и открытый CA (certificate authority — центр сертификации), созданный ISRG на благо общества: бесплатно: владелец всякого доменного имени может воспользоваться Let's Encrypt и получить доверенный...
Приглашаем докладчиков на форум PHDays VI: расскажите о своей кибервойне
3 декабря в программе шестого международного форума по практической безопасности Positive Hack Days, который состоится в Москве 17 и 18 мая 2016 года, открывается Call for Papers. Программный комитет рассматривает заявки на выступления с докладами как от признанных экспертов в области ИБ, так и от...