Топ самых интересных CVE за декабрь 2023 года
Всем привет! По следам ушедшего года публикуем подборку самых интересных CVE за последний месяц 2023-го. В декабре засветился ворох уязвимостей в Chrome и Firefox, вынудивших компании выпускать экстренные патчи. А также критические уязвимости в OpenSSH, фреймворке Apache Struts и маршрутизаторе...
CVE-2023-35628 — zero-click RCE-уязвимость в Windows
Всем привет! В этой статье мы подробно рассмотрим одну интересную уязвимость удалённого выполнения кода CVE-2023-35628, раскрытую 12 декабря 2023-го года в рамках December 2023 Security Updates. Мы попросили российского эксперта в области информационной безопасности, признанного самым ценным...
Загрязненный — значит опасный: про уязвимость Prototype Pollution
Prototype Pollution (CVE-2023-45811, CVE-2023-38894, CVE-2019-10744) — не новая брешь, вы уже наверняка читали про нее и на Хабре, и на PortSwigger, и даже в научных журналах, но есть нюанс. Несмотря на большое количество публикаций, некоторые популярные решения до сих пор остаются уязвимыми для...
Топ самых интересных CVE за ноябрь 2023 года
В этой подборке представлены самые интересные уязвимости за ноябрь 2023 года. Подведем вместе итоги последнего месяца осени, поехали! Читать далее...
Б значит не Безумие, а Безопасность: часть 1
Кибербезопасность сейчас в тренде, безопасность инфраструктуры и ПО, располагаемого в ней, тоже. В рамках серии статей хотелось бы поговорить об этом и поделиться нашим опытом. В первой части я расскажу про проект, который недавно пришел к нам с таким ТЗ: 1. Замкнутый контур; 2. Отсутствие CVE во...
Взгляд на ИБ со стороны не ИБ-разработчиков
Всем привет! Меня зовут Елена Галата, в ГК "Цифра" я руковожу направлением разработки программного обеспечения. Хочу сегодня немного поговорить об информационной безопасности и о том, как она выглядит со стороны тех, кто имеет отношение к созданию ПО. Не только программистов, но и специалистов QA,...
Топ самых интересных CVE за октябрь 2023 года
В этой подборке представлены самые интересные уязвимости за октябрь 2023 года. Подведем вместе итоги второго месяца осени, поехали! Читать далее...
Топ самых интересных CVE за сентябрь 2023 года
Всем привет! В этой подборке представлены самые интересные уязвимости за сентябрь 2023-го года. Сегодня из примечательного ворох уязвимостей в продуктах от TP-Link и D-Link, в том числе и критических, которые пока не получили исправлений. Также засветилась критическая уязвимость в GitLab,...
Топ самых интересных CVE за август 2023 года
Всем привет! В нашей ежемесячной подборке самых интересных CVE на этот раз засветились уязвимости в браузерах Firefox и Chrome, ворох эксплойтов в продуктах от Logitec, критическая уязвимость в полудюжине маршрутизаторов от Elecom с рекомендациями отправить их в утиль. И другие баги, требующие...
Как начать заниматься багхантингом веб-приложений. Часть 3
В предыдущих статьях (первая, вторая) мы рассматривали несколько типов уязвимостей на примерах устаревших версий реального программного обеспечения, рассказывали о базовом инструментарии при занятии багхантингом, о багбаунти-программах, их правилах, скоупе и исключениях. В заключительной части...
Разбираем уязвимость в службе очереди сообщений Windows
В конце апреля 2023 был опубликован PoC для уязвимости CVE-2023-21769 в сервисе очереди сообщений MSMQ. Это одна из трёх уязвимостей, обнаруженных в MSMQ и запатченных в апрельском обновлении ОС Windows (1, 2, 3). Опубликованный PoC реализует уязвимость отказа в обслуживании сервиса MSMQ. Две...
Использование MITRE ATT&CK в Threat Intelligence Platform
Злоумышленники постоянно развивают тактики и методы атак для проникновения в инфраструктуру компаний. Подразделения, отвечающие за информационную безопасность, чаще всего занимаются аналитикой угроз на основе корреляции индикаторов TI и данных инфраструктуры. Но не каждый IOC обогащен CVE и MITRE...
Топ самых интересных CVE за июль 2023 года
В этой подборке представлены самые интересные уязвимости за июль 2023 года. Подведем вместе итоги прошедшего месяца, поехали! Читать далее...
Разбор конкурса с PHDays 12: исследование защищенности банкоматов 3.0
Python, Java, C++, Delphi, PHP — именно эти разные языки программирования использовались в этот раз для создания виртуальной машины криптомата-банкомата, которую должны были испытать на прочность участники в рамках конкурса $NATCH, проходившего на Positive Hack Days 12, чтобы победить. Весь код от...
Топ самых интересных CVE за июнь 2023 года
Внимание! Вся информация, представленная ниже, предназначена только для ознакомительных целей. Автор не несет ответственности за вред, причиненный с помощью предоставленной им информацией. В этой подборке представлены самые интересные уязвимости за июнь 2023 года. Подведем вместе итоги первого...
Топ самых интересных CVE за май 2023 года
Внимание! Вся представленная информация предназначена для ознакомления. Автор не несет никакой ответственности за причиненный вред с использованием изложенной информации. Ниже представлена подборка самых интересных уязвимостей за май 2023 года! Читать далее...
Топ самых интересных CVE за апрель 2023 года
Внимание! Вся представленная информация предназначена для ознакомления. Автор не несет никакой ответственности за причиненный вред с использованием изложенной информации. Ниже представлена подборка самых интересных уязвимостей за апрель 2023 года! Читать далее...
Топ самых интересных CVE за март 2023 года
Внимание! Вся представленная информация предназначена для ознакомления. Автор не несет никакой ответственности за причиненный вред с использованием изложенной информации. Ниже представлена подборка самых интересных уязвимостей за март 2023 года! Читать далее...