Атака на axios в npm: как один захваченный аккаунт поставил под угрозу миллионы JavaScript-проектов
В экосистеме JavaScript произошёл серьёзный инцидент, который хорошо показывает, насколько опасными стали атаки на open source и цепочки поставок. Исследователи StepSecurity сообщили о компрометации axios — одной из самых популярных HTTP-библиотек в npm (~83 миллионов загрузок в неделю)....
Книга: «Грокаем проектирование реляционных баз данных»
Привет, Хаброжители! Реляционные базы данных используются практически в каждой компании. И разбираться в том, как они работают, приходится и разработчикам, и аналитикам, создающим дашборды и отчеты, и специалистам, которым просто нужна актуальная информация. Это увлекательное руководство по миру...
В поиске секретов. iOS Пентест. Часть третья
Вас приветствует Ян - старший пентестер из компании Xilant! В этот раз научу вас искать, то что разрабы забывают прячут в приложениях iOS. Возможно мы найдем пароли, личные данные, а может даже и API-ключи от бэкенда, что позволит нам продолжать атаку на следующем уровне. Для этого нам понадобятся...
Portal: от Stored XSS к захвату пользовательских данных
Всем привет, меня зовут Влад, aka Arkeil. Довольно часто решаю таски на платформе Standoff 365 и совсем недавно мне удалось попасть в топ-25 атакующих по итогам первого сезона на Standoff Hackbase. Эта статья посвящена разбору хоста Portal на Standalone. Нам было нужно реализовать утечку...
Реализация
Привет, Хаброжители! Мы открыли предзаказ на книгу «Грокаем проектирование реляционных баз данных» Цян Хао и Михаила Цикердекиса. Предлагаем ознакомиться с отрывком «Реализация». Завершив нормализацию базы данных, перейдем к следующему этапу — реализации. Знаний, полученных еще в главах 1 и 2,...
Что происходит с квантовым блокчейном: изучаем патенты
Не успели децентрализованный блокчейн и криптовалюты найти свое место в правовом поле, как им уже угрожает сам технологический прогресс. Основа работы и безопасности многих блокчейнов строится на том, как трудно делать масштабные математические вычисления для их взлома. Но что, если все эти...
Punishing Owl атакует Россию: новая сова в лесу хактивистов
12 декабря 2025 года ранее неизвестная группировка, именующая себя Punishing Owl, опубликовала пост о взломе сетей российского государственного учреждения из сферы безопасности. Сообщение содержало ссылки на DLS-сайт с внутренними документами жертвы и хранилище Mega.nz, дублирующее эти файлы....
Атака не по плану: хакерская самооборона как новый способ защиты
Если вы занимаетесь информационной безопасностью не на бумаге, а вживую, то совершенно точно знаете: ИБ-специалисты зачастую вынуждены играть в догонялки. Сначала произошел инцидент — потом вы его расследуете. Кто-то положил сервер с базой данных — мы пытаемся выяснить, как именно это произошло. И...
[Перевод] Как взломать систему банка с помощью газового баллончика и выключенного принтера
802.1x и двери по картам — это должно быть надёжно. Пентестер зашёл в банк ночью, «обманул» ИК-датчик баллончиком, стал принтером в сети и нашёл заполненные чеки. Это не теория. Это отчёт по реальному тесту на проникновение. Читать далее...
[Перевод] Подсмотрел PIN от двери, а затем воткнул Wi-Fi-жучка за принтер — и ты внутри сети банка
Проник в банк не через вайфай и не через фишинг — а просто пристроился к аудиторам с улицы. Никто не спросил имени. Никто не проверил. А через час уже сидел у них в сети с рабочим пропуском. Как это случилось — и почему «следовать инструкции» не спасло — в новой статье. Читать далее...
Побег из стеклянной тюрьмы. iOS Jailbreak. Часть первая
Всем привет! С вами Ян, пентестер из компании Xilant. В течении следующих нескольких статей мы поговорим о тонкостях взлома iOS и её приложений. В свою очередь я бы хотел из этого сделать нескучную историю с кучей полезного и мемного контента. И всё начинается с того, что у нас в руках красивый...
Разбор атак на городскую среду: как злоумышленники ломали инфраструктуру Государства F
Всем привет! Меня зовут Алексей Медведев. Первый раз я участвовал в кибербитве Standoff в 2022 году. Далее стал капитаном синей команды (Command and Defend, которая впоследствии сменила название на Ctrl+Alt+Defend) и возглавлял ее на протяжении пяти битв подряд. На Standoff 16 я передал эту...
[Перевод] «От входа через OAuth до захвата вашего аккаунта» – десктопная версия приложения
Один клик по вредоносной ссылке — и контроль над аккаунтом потерян. Без фишинга, без вредоносного ПО. Я обнаружил уязвимость в механизме OAuth аутентификации популярного десктоп-приложения, позволяющую похитить учетную запись любого пользователя всего в один клик. Основные причины проблемы:...
Как ИИ помогает мошенникам ещё лучше обманывать людей
ИИ, как и любая технология, создаёт как возможности, так и угрозы. Пока учёные находят аномалии в огромном массиве астрономических данных и перебирают миллионы молекулярных комбинаций за несколько часов, мошенники получили доступ к инструментам, повышающим успешность их атак. В этой статье я...
«Windows глазами хакера» — практическое руководство по атакам на Windows, которое могут запретить
Всем привет, на связи holmogorov. Поскольку я не только руковожу проектами в издательстве «БХВ», но еще тружусь ведущим редактором журнала «Хакер», с этими самыми хакерами мне по долгу службы приходится общаться регулярно. Надо сказать, что люди это очень увлеченные и талантливые, однако убедить их...
[Перевод] Shai-Hulud 2.0: 25 000 npm-репозиториев могут потерять свои данные
Несколько поставщиков средств безопасности (Aikido, HelixGuard, Koi Security, Socket, Step Security и Wiz) подали сигнал тревоги о второй волне атак на реестр npm, напоминающих атаку Shai-Hulud. Новая кампания в цепочке поставок получила название Sha1-Hulud и затронула более 25 000...
[Перевод] Anthropic зафиксировали первый официальный случай крупной кибератаки, выполненной с помощью ИИ
Команда AI for Devs подготовила перевод статьи о первой зафиксированной кибератаке, почти полностью выполненной ИИ. Атака, где человек нужен лишь для того, чтобы пару раз «подтвердить заказ», — и это уже не фантастика, а реальность 2025 года. Читать далее...
[Перевод] HTB: Watcher
Задание "Watcher" начинается с сервера Zabbix. Воспользуемся уязвимостью CVE-2024-22120 (слепая SQL инъекция), чтобы украсть сессию администратора и получить удалённое выполнение команд (RCE). Затем зайдем как администратор и найдем пользователя, который входит каждый минуту, обновим исходный код...
Назад