Hacker News на русском. Страница 30

Перевод: Katana: Обзор мощного сканера безопасности веб-приложений [шпаргалка]

Katana - это сканер безопасности веб-приложений с открытым исходным кодом, который автоматизирует процесс выявления уязвимостей в веб-приложениях. Он был создан компанией Project Discovery,...

Тысячи азиатских сайтов взломаны и перенаправляют пользователей на ресурсы для взрослых

Специалисты компании Wiz обнаружили вредоносную кампанию, активную с сентября 2022 года. Не менее 10 000 сайтов, предназначенных для восточноазиатской аудитории, были взломаны и теперь перенаправляют посетителей на ресурсы для взрослых.

Как начать заниматься багхантингом веб-приложений. Часть 2

В прошлый раз мы рассказали о том, что такое платформы и программы багбаунти, какой базовый инструментарий может использовать багхантер, чтобы облегчить или автоматизировать поиск, привели реальные...

Эволюция NGFW: тестируем новинку Sangfor NGAF

Всем привет!  Меня зовут Дмитрий Шкуропат, я являюсь руководителем направления защиты информации в компании Nubes. Мы открываем цикл статей, в котором расскажем, как выбирали и тестировали для...

AES, autoconf & emscripten. Часть II — симметричное шифрование

В предыдущей части мы познакомились с тем, что такое симметричное и ассиметричное шифрование, посмотрели на алгоритм ассиметричного шифрования на основе задачи о рюкзаке, кратко пробежались по его...

ФБР: ущерб от кибератак в 2022 году превысил 10 миллиардов долларов

Эксперты Центра приема жалоб на мошенничество в Интернете (IC3) при ФБР выпустили ежегодный отчет о преступлениях в интернете. Сообщается, что в 2022 году ФБР получило более 800 000 жалоб, связанных с киберпреступлениями, а общая сумма убытков превысила 10 миллиардов долларов.

Уязвимость нулевого дня в FortiOS используется в атаках на правительственные организации

Разработчики Fortinet предупредили, что исправленная на прошлой неделе уязвимость в FortiOS (CVE-2022-41328) использовалась злоумышленниками в таргетированных атаках на правительственные и связанные с правительством организации.

ExpressVPN

В конце февраля многие российские пользователи VPN начали жаловаться на то, что их сервисы перестали работать. В первую очередь, на проблему жаловались юзеры ExpressVPN — как оказалось, этим сервисом...

Обзор LMS.NetMap

Проблема Часто при проведении пентестов большой корпоративной инфрастуктуры нам не хватало визуального отображения карты сети. Zenmap - это, конечно, хорошо, но с момента последнего релиза прошло уже...

Ботнет GoBruteforcer атакует веб-серверы

Обнаружена новая малварь GoBruteforcer, написанная на Go и нацеленная на веб-серверы, где запущены phpMyAdmin, MySQL, FTP и Postgres. На зараженных машинах найдены веб-шеллы PHP, которые предоставляют злоумышленникам возможности по созданию реверс-шеллов и бинд-шеллов.

Туториалы на YouTube, созданные с помощью ИИ, распространяют инфостилеров

Аналитики CloudSEK предупредили, что на YouTube все чаще появляются созданные ИИ видеоролики, которые используются для распространения различной малвари, включая инфостилеры Raccoon, RedLine и Vidar. Обычно такие видео маскируются под туториалы по загрузке взломанных версий Photoshop, Premiere Pro, Autodesk 3ds Max, AutoCAD и так далее.

Поставщик небезопасности. Как Windows раскрывает пароль пользователя

Большинство механизмов защиты в Windows строится на паролях учетных записей пользователей. В сегодняшней статье мы разберем несколько способов перехвата паролей в момент авторизации пользователя и напишем код для автоматизации этого процесса.

Я нашёл 213 уязвимостей безопасности в кодовой базе при помощи GPT-3

«Меня удручает ваш уровень кибербезопасности» Краткая сводка : GPT-3 обнаружила 213 уязвимостей безопасности в git-репозитории . Для сравнения: один из лучших коммерческих инструментов на рынке...

Не время витать в “облаках”

Какие ошибки допускают пользователи в популярных SaaS-решениях, как это помогает хакерам и как перестать это делать раз и навсегда С развитием рынка облачных провайдеров  IaaS/PaaS  и ...

Перевод: Rxss внутри атрибута href — Обход множества странных проверок для захвата аккаунтов

Вот конечная полезная нагрузка после обхода всех странных проверок - javascript://;%250a+alert(document.cookie,%27\\@ www.redacted.com/%27 ) Если вам все еще интересно, как и почему использовалась...

Microsoft исправляет сразу две 0-day уязвимости под атаками

В рамках мартовского «вторника обновлений» Microsoft исправила 83 уязвимости в своих продуктах, включая две активно эксплуатируемые уязвимости нулевого дня. Сообщается, что одна из этих проблем (обход SmartScreen в Windows) используется в атаках шифровальщиков, а вторая (эскалация привилегий в Outlook) применялась русскоязычными хакерами.

Группировка Lockbit заявила о взломе подрядчика SpaceX

Вымогательская группировка Lockbit хвастается тем, что якобы взломала компанию Maximum Industries, производящую детали для SpaceX, и похитила 3000 проприетарных чертежей, созданных инженерами Илона Маска.

NordVPN сделала Meshnet бесплатным для всех

Разработчики NordVPN, одного из крупнейших поставщиков услуг VPN, сделали функциональность приватного туннеля Meshnet для Windows, macOS и Linux бесплатной для всех пользователей, включая тех, у кого вообще нет подписки на NordVPN.