[Перевод] SVG-фильтры как язык атак: кликджекинг нового поколения
Команда JavaScript for Devs подготовила перевод исследования о новой технике кликджекинга, которая использует SVG-фильтры как полноценную среду выполнения логики. Автор показывает, как с их помощью читать пиксели, строить логические схемы, реализовывать многошаговые атаки и даже эксфильтрировать...
Пароли не там, где вы их оставили. Как работает DOM Clickjacking
Если честно, менеджеры паролей давно стали для меня чем‑то вроде зубной щётки. Пользуюсь каждый день, но задумываюсь о них только тогда, когда что‑то идёт не так. Обычно всё просто: клик — и нужная форма заполнена. Красота. Но именно эта красота может сыграть злую шутку. Совсем недавно я наткнулся...
Новости кибербезопасности за неделю с 18 по 24 августа 2025
Всё самое интересное из мира кибербезопасности /** с моими комментариями. На этой неделе новости про то, как и зачем хакеры сами исправляют уязвимости во взломанных системах, Hyundai делает уязвимое ПО, чтобы потом зарабатывать на патчах, Microsoft по доброте душевной сливал PoC в Китай, но сейчас...
[Перевод] Clipjacking: Взлом через копирование текста — тот же Clickjacking, но круче
Атака осуществляется через браузер, когда вы используете его для копирования кода со StackOverflow или ChatGPT. Я называю это clipjacking («перехват буфера обмена»), это как clickjacking, но круче. Расскажу о нескольких полезных техниках, которые могут пригодиться при создании Proof‑of‑Concept...
От пользовательского пути к защищённым системам: как UX / UI влияет на кибербезопасность
Современный дизайн, стремящийся к удобству и интуитивности, может стать опасным оружием в руках злоумышленников. Минималистичные интерфейсы, копирующие стиль популярных брендов, вызывают доверие, позволяя обманом получить данные пользователя. Темные паттерны — яркие кнопки «Согласиться» вместо...
[Перевод] Деанонимизация через Clickjacking в 2019 году
Я хотел бы поделиться с вами результатами моих исследований текущего положения дел в процессе деанонимизации с помощью техники clickjacking. Под деанонимизацией я подразумеваю возможность вредоносного веб-сайта раскрыть личность посетителя, включая его полное имя и, возможно, другую информацию. Я...