[Перевод] Stealth Mode: 10 Bash-трюков для скрытого хакинга
В мире этичного хакинга, быть невидимым зачастую так же важно, как и получить первичный доступ. Подумайте сами: если вы проникнете в систему, но оставите за собой следы в логах, идентификаторах процессов и временных метках файлов, то практически оставите свою подпись на месте преступления. Этот...
Приоритизация уязвимостей без дорогих платформ на Budibase
Приоритизация уязвимостей является важным этапом, входе которого необходимо оценить риск и последовательность устранения уязвимостей в приоритете - от самого критического до самого низкого риска. В предыдущей статье я описывал визуализацию уязвимостей с помощью Budibase, в этой статье я опишу...
[Перевод] От страницы входа до полного захвата админ-панели
В этом отчете я делюсь историей о том, как простая страница входа привела к получению полного административного доступа. Всё началось с базовой разведки и превратилось в одну из самых серьезных уязвимостей, которые я обнаружил. Вот как это произошло. Читать далее...
Делай карьеру в ИБ: что должен знать и уметь специалист по управлению уязвимостями перед собеседованием
В стремительно меняющемся цифровом мире управление уязвимостями – уже не просто техническая задача, а жизненно важный аспект успеха любой организации. Компаниям, которые хотят оставаться на шаг впереди потенциальных киберугроз, нужны спецы, которые могут не только выявлять слабые места в системе,...
27 миллионов абонентов под угрозой: разбор крупнейшей кибератаки на корейский телеком
Что нужно, чтобы скомпрометировать данные 27 миллионов абонентов, обрушить акции телеком-гиганта и поставить под угрозу национальную безопасность одной из самых технологически развитых стран мира? Свежий zero-day? Квантовый компьютер? Гениальная социальная инженерия? Всего лишь веб-шелл, почти три...
В фокусе RVD: трендовые уязвимости июля
Хабр, привет! На связи команда инженер-аналитиков отдела по инструментальному анализу защищенности компании R-Vision. Мы подготовили свежий дайджест трендовых уязвимостей, обнаруженных в июле 2025 года. В нем собраны наиболее опасные уязвимости, которые уже сейчас активно эксплуатируются в атаках и...
Управление уязвимостями с помощью no-code решения на Budibase
В данном цикле статей я опишу реализацию дашбордов по уязвимостям на no-code решении Budibase, разберу собственную систему приоритизации уязвимостей, покажу, как повысить эффективность устранения угроз с помощью EPSS, и как объединить данные из разных решений в области кибербезопасности. Основная...
Киберкультура глазами пользователей
А задумывались ли вы, что некоторые сотрудники, которых мы обучаем правилам кибербезопасности, на самом деле не понимают буквально ничего из того, что мы им рассказываем? Не потому, что они глупы — а потому что их мышление и восприятие технологий, и уж тем более угроз в цифровом пространстве,...
Новости кибербезопасности за неделю с 28 июля по 3 августа 2025
Всё самое интересное из мира кибербезопасности /** с моими комментариями. Столько взломов, сколько было на этой неделе, я не припомню. Я думаю, что если на следующей неделе взломы будут продолжаться в такой же динамике, то можно начинать говорить о начале Первой Международной Кибервойны (WCW1). Ещё...
F6 вскрыла Pay2Key: новая программа-вымогатель атакует российские компании
Компания F6, ведущий разработчик технологий для борьбы с киберпреступностью, сообщает о новой угрозе для российских организаций — программе-вымогателе Pay2Key. Весной 2025 года было зафиксировано как минимум три кампании, нацеленные на российские организации в сферах ритейла, финансов, ИТ и...
Новости кибербезопасности за неделю с 21 по 27 июля 2025
Всё самое интересное из мира кибербезопасности /** с моими комментариями. На этой неделе новости про милый вредонос для Linux, Америка рассказала о своих стратегических планах в ИИ, Британия запретила платить хакерам, Google занялась безопасностью open source и другие только самые важные и...
[Перевод] От согласия на использование Cookie, до выполнения команд: реальный вектор от SQLi + утечки персональных данных до RCE
Привет, я nav1n0x — администратор баз данных по профессии, исследователь безопасности, а также баг-хантер по призванию, с фокусом на уязвимости, которые часто остаются незамеченными. Мне нравится исследовать логику приложений, забытые параметры и превращать свои предположения в критические находки...
Инсайдеры vs хакеры — кто опаснее?
Инсайдер уже внутри. Хакер снаружи. Но угроза определяется не «кем он был», а что он может сделать, сколько это стоит и когда это заметят. Пока организация делит угрозы на “своих” и “чужих”, она не управляет рисками — она успокаивает себя. Читать далее...
[Перевод] Как я превратил простую HTML-инъекцию в SSRF с помощью рендеринга PDF
Сегодня я расскажу вам об интересной уязвимости, которую я нашёл в одном закрытом баг-баунти проекте: простая HTML-инъекция превратилась в полноценную SSRF с утечкой учетных данных AWS. Заварите себе кофе, и давайте начнем! 😉 Читать далее...
Операция «Ликвидация»: аналитики F6 помогли заблокировать инфраструктуру киберпреступной группы NyashTeam
Специалисты компании F6 раскрыли сеть доменов группировки NyashTeam, которая распространяет вредоносное ПО и предоставляет злоумышленникам хостинг-услуги. Клиенты группировки атаковали пользователей как минимум в 50 странах мира, в том числе в России. Сейчас более 110 доменов в зоне .ru, которые...
[Перевод] Как я нашел критическую IDOR уязвимость в корпоративном портале бронирования Индийских железных дорог
Пошаговый разбор того, как простая уязвимость IDOR раскрыла конфиденциальные личные данные, позволила несанкционированное отправление отзывов и сделала возможной отмену билетов на рейсы, что затронуло пассажиров по всей Индии. Читать далее...
Обзор на Certified Red Team Professional (CRTP) от Altered Security
После успешной сдачи OSCP и OSCP+ я решил изучить поближе пентест Active Directory с точки зрения red teaming. Я выбрал курс Certified Red Team Professional (CRTP) от Altered Security, потому что он подходит для новичков и плюс можно протестировать среду с включенными системами защиты на всех...
[Перевод] Никаких игр, только хакинг — как я заработал $3000 на TikTok Bug Bounty
Это была очередная обыкновенная ночь. Мой друг попросил меня зайти поиграть в Valorant — типичный вечерний ритуал. Но по какой-то причине я отказался. Вместо этого я запустил Burp Suite и начал искать баги (мое лучшее решение когда-либо, потому что в ту ночь я нашел три бага в TikTok, которые в...
Назад