Что показали в OWASP Top Ten 2025
Привет, Хабр! Меня зовут Дмитрий Бахтенков. С 2020 я занимаюсь коммерческой разработкой на .NET, а также пишу для медиа «вАЙТИ». В сфере информационной безопасности существует множество уязвимостей, и разработчикам сложно понять, какие из них важнее учитывать при обучении или отладке процессов...
[Перевод] Меня взломали! Утром мой сервер начал майнить Monero
Недавно моё утро началось с такого вот прекрасного e-mail от Hetzner: Уважаемый, м-р Джей Сандерс, У нас есть свидетельства того, что с вашего сервера была произведена атака. Пожалуйста, примите необходимые меры для решения проблемы и избежания подобного в будущем. Также просим вас прислать краткое...
GIGANEWS. Главные события 2025 года по версии «Хакера»
Как выглядел уходящий год в мире кибербезопасности? Взлом автопроизводителя повлиял на экономику целой страны. ИИ-браузеры оказались дырявее решета. Самораспространяющиеся черви скомпрометировали десятки тысяч разработчиков. 2025-й был богат на интересные события, и мы, как всегда, отобрали для...
Топ самых интересных CVE за декабрь 2025 года
Всем привет! Закрываем год подборкой главных CVE декабря. Звездой месяца, несомненно, стала React2Shell — единственный плюс, что её исправили в начале декабря, а не на праздники, как MongoBleed. Кроме того, в Fortinet закрыли уязвимость на обход аутентификации, а в продуктах Apple в WebKit, который...
В фокусе RVD: трендовые итоги 2025 года
Хабр, привет! На связи команда инженер-аналитиков R-Vision. Сегодня мы подведём итоги 2025 года по активно эксплуатируемым уязвимостям, поделимся статистикой разборов, а также вспомним наиболее громкие уязвимости. Читать далее...
Next JS и React опять дал сбой? CVE-2025-55182, или о том как легко ломают сервера
История о том, как одна критическая уязвимость (CVE-2025-55182) в серверных компонентах React привела к полному захвату нашего тестового сервера. Майнер, убитые системные процессы, сломанный GRUB и 10 часов борьбы за контроль. Разбираем хронологию взлома, наши ошибки и жесткие выводы о безопасности...
В фокусе RVD: трендовые уязвимости декабря
Хабр, привет! На связи команда экспертизы инструментального анализа защищенности R-Vision, которая создает базу уязвимостей (RVD) для продукта R-Vision VM. Каждый месяц наша команда отбирает трендовые уязвимости, которые представляют наибольшую опасность для наших заказчиков. В этом выпуске...
Кибербезопасность за 30 дней. Чек-лист для руководителей
Дверь кабинета распахнулась в три часа ночи. Бледный технический директор, голос дрожит: «Всё. Системы мертвы. Они требуют два миллиона в биткоинах». В голове мелькнула мысль: «Это же фильм какой-то...» Но на мониторах уже мигали красные надписи, а в телефоне зашкаливало количество звонков от...
Подборка атак через библиотеки: CVE в React Native и не только
Итак, 5 ноября команда JFrog опубликовала предупреждение об уязвимости CVE-2025-11953 в инструментах командной строки проекта React Native Community CLI. React Native — это платформа которую используют тысячи разработчиков для создания мобильных приложений, которые мы видим в App Store или Google...
Ваш сайт вам больше не принадлежит: как CVE-2025-11953 отдает ключи хакерам
Итак, 5 ноября команда JFrog опубликовала предупреждение об уязвимости CVE-2025-11953 в инструментах командной строки проекта React Native Community CLI. React Native — это платформа которую используют тысячи разработчиков для создания мобильных приложений, которые мы видим в App Store или Google...
Как я нашёл уязвимость в JavaScript-движке, или Почему корень из нуля чуть не сломал браузеры
Сколько будет корень из нуля? Даже школьник ответит не задумываясь: ноль. Но если задать этот вопрос JIT‑компилятору Maglev внутри движка V8, то при определённых обстоятельствах он сначала скажет: «ноль», а потом решит сэкономить на проверке безопасности и отдаст злоумышленнику доступ к памяти...
Как кастомные правила в WAF помогают более эффективно защищать веб-приложения
Всем привет! На связи Титов Антон, ведущий эксперт компании Angara Security по направлению защиты веба. Зачем нужен WAF WAF (Web Application Firewall) — сервис защиты веб-приложений от хакерских атак и угроз в интернете на прикладном уровне. Он отслеживает и проверяет весь входящий и исходящий...
Обвели вокруг пальца, или Как мы обманывали сканеры отпечатков
Всем привет! С вами исследовательская лаборатория BI.ZONE. Большую часть времени мы исследуем защищенность встраиваемых систем, а еще у нас бывают проекты по тестированию биометрических систем. В августе на конференции OFFZONE 2025 мы выступили с докладом о тестировании сканеров отпечатков пальцев....
Bug Bounty Минцифры: как найти критическую уязвимость и получить дырку от бублика в награду
Привет, Хабровчане! Решил написать небольшую заметку о моем личном опыте взаимодействия с багбаунти программой Минцифры РФ. На самом деле у меня наберется много интересных историй так или иначе связанных с багбаунти, но некоторые из них являются особо примечательными. Об одной из них и пойдет речь...
Топ самых интересных CVE за ноябрь 2025 года
Всем привет! Пока мир знакомится с новогодним подарком в лице React2Shell и ловит флешбэки в ноябрь 2021-го, давайте подведём итоги этого ноября дайджестом главных CVE прошлого месяца и вспомним его добрым словом. В ОС Android версий с 13 по 16 включительно закрыли 0-click под RCE, связанный с...
В фокусе RVD: трендовые уязвимости ноября
Хабр, привет! На связи команда инженер-аналитиков R-Vision. В ноябре нами было выявлено 13 трендовых уязвимостей. В дайджест вошли лишь те, что представляют наибольшую опасность по уровню риска, подтверждённой эксплуатации и практическому интересу для специалистов информационной безопасности....
Уязвимые серверы, или Как много «новогодних ёлок» у вас в инфраструктуре
Привет, это снова Angara Security и наши эксперты по киберразведке Angara MTDR. Сегодня мы расскажем, что можно узнать об инфраструктуре компании, используя легитимные онлайн-сервисы, и дадим советы, как защитить организацию от неприятных сюрпризов. Читать далее...
«Хакер»: самые важные новости мира безопасности за ноябрь
В этом месяце: роутеры Keenetic обновляются самостоятельно, Microsoft борется с KMS-активацией Windows, Минцифры дополнило «белые списки» сайтов, маршрутизаторы Asus подверглись массовому взлому, исследователи сумели собрать личные данные 3,5 миллиарда пользователей WhatsApp, а также другие важные...
Назад