Пентест: суровая реальность, которая распадает мечты новичков
В последние годы пентестинг (проверка на проникновение) продолжает набирать популярность среди молодых специалистов в области информационной безопасности. Множество статей, книг и видеоматериалов предлагают искусственную и романтизированную картину этой профессии, создавая у новичков иллюзию о том,...
Защита кода приложения Android. Когда хотели как лучше, а вышло не очень
В статье расскажу пару случаев из практики анализа защиты приложений Android. Имена и место событий изменены. Любые совпадения — случайность Читать далее...
E-mail Injection; Инъекции в почтовую функциональность веб-приложений
Так сложилось, что одним из вариантов решения задачи сбора ответов пользователей на формы является использование электронной почты. Электронная почта – комплексная технология, в работе которой задействован целый список компонентов. В таком сценарии формы выступают посредниками между рядом...
Детектирование атак на контейнеры с помощью eBPF
Привет, Хабр! Меня зовут Илья Зимин, я аналитик-исследователь угроз в компании R-Vision. Сегодня в статье я расскажу о возможностях обнаружения атак на контейнеризированные приложения с помощью такого инструмента, как eBPF, на примере приемов, связанных с побегом из Docker-контейнеров на...
Как малому бизнесу защитить свои цифровые данные
Я создаю индивидуальные CRM системы для различных видов бизнеса более 10 лет. За время работы с различными компаниями я выработал набор рекомендаций, которые я даю людям далеким от сферы ИТ, для того чтобы они могли обезопасить себя, свой бизнес и свои данные. Эти рекомендации собственник бизнеса...
Какие баги мы заложили в онлайн-банк на PHDays 12: разбор конкурса $NATCH
Всем привет! Если помните, в этом году Positive Hack Days 12 предстал перед нами в новом формате: помимо традиционной закрытой зоны появилось доступное для всех публичное пространство — кибергород, где посетители узнали, как не стать жертвами мошенников на маркетплейсах, а также об особенностях...
Разрушители легенд: Как на самом деле магазины проверяют приложения на уязвимости
Всем привет! Снова с вами Юрий Шабалин. Уже много лет я занимаюсь безопасностью мобильных приложений и в своих исследованиях доношу важность этого направления для бизнеса. В одной из прошлых статей я составлял шорт-лист мифов о безопасности мобильных приложений. Один из них был посвящен проверке...
(Ex)Cobalt апгрейднула инструментарий: как группа атаковала российские компании в 2023 году
Последние несколько лет специалисты нашего экспертного центра безопасности (PT Expert Security Center, PT ESC) регулярно фиксируют фишинговые рассылки вредоносных файлов, вложенных в архив, — их запуск приводит к загрузке модуля CobInt. Это ВПО — один из основных инструментов киберпреступной группы...
HTB Analytics. Повышаем привилегии с помощью CVE-2023-32629
Приветствую, кулхацкеры. Сегодяшний райт будет посвящен взлому Linux - машины с HackTheBox под названием Analytics. Читать далее...
Может ли быть уязвимость в дизайне, контенте и CSS и разбор такой уязвимости(?) на Госуслугах
Кажется, что уязвимость - штука техническая, но на Госуслугах есть интересная комбинация уязвимостей (ну или, скажем, черт, особенностей) в сфере CSS, дизайна, юзабилити, которые мошенники используют в социальной инженерии. Узнал я про это из вот этого ролика на ютубе -...
Мобильные суперприложения выгодны корпорациям, но это кошмар для простых людей
Профиль личности в агрегаторе Acxiom включает 10 000 аттрибутов. База 3,5 млрд человек. Данные поступают от мобильных приложений и соцсайтов, источник Суперприложение (super-app, суперапп) по определению — это мобильное или веб-приложение, которое предоставляет множество услуг, включая оплату и...
Пентесты: готовим рабочее окружение для атаки
Веб-пентест — это специализированная процедура, в ходе которой специалисты по кибербезопасности активно ищут и эксплуатируют уязвимости веб-системы. Цель такой симулированной атаки — выявить слабые звенья системы безопасности, которые могут стать целью для настоящих атак. Этот процесс аналогичен...
[Перевод] «В Австралии безопасней». Как хакеры провернули трансокеанскую BEC-атаку
Привет, Хабр! Сегодня мы расскажем, как участники углеродного рынка столкнулись c эталонной BEC-атакой. В истории есть все необходимые ингредиенты: слабозащищенная компания-жертва, на которую свалились инвестиции, виртуозное использование злоумышленниками социоинженерных и технических методов, а...
mDNS это плюс или минус?
Добрый день, уважаемые жители хабра! Сегодня я хотел бы понакомить новичков с рядом протоколов, используемых в сети интернет, и объяснить как современные технологии с одной стороны упрощают нам жизнь, а с другой, добавляют проблем с безопаснотью. Впервые я познакомился с протоколами компьютерных...
И снова про SIEM
Решение класса SIEM уже давно стали неотъемлемой частью любой серьезной системы информационной безопасности. В этой статье мы поговорим о том, что такое SIEM, для чего они предназначены и как можно использовать решения с открытым исходным кодом. Итак, SIEM (Security information and event...
Импортозамещение сканеров web-уязвимостей: обзор актуальных DAST-решений
Привет, Хабр! Поговорим о проблеме выбора DAST, который бы смог удовлетворить потребности регулярного поиска уязвимостей в web-инфраструктуре компании. Опытные пентестеры, специализирующиеся на web-приложениях, наверняка возразят: какой тут может быть выбор? Burp Suite PRO наше все! И будут правы,...
Как моя 9-месячная дочь заработала больше 1000 долларов в программе bug bounty
Всем привет! Сегодня хочу поделиться историей, которая приключилась с моей семьей. Статья не о том, как заработать денег. Это просто рассказ об интересном случае и некоторых тревожных мыслях, связанных с ним. Читать далее...
[Перевод] Фаззинг с AFL++. llvm_mode persistent mode
Это вторая часть цикла статей, посвященная фаззингу при помощи такой утилиты как AFL++. Приятного прочтения!! Читать далее...