Рубрика «уязвимости» - 21

в 17:22, , рубрики: grub, linux, sql-инъекция, sqlmap, xss, информационная безопасность, Мистер Робот, уязвимости, метки:

Фанаты хакерского сериала «Мистер Робот» ломают официальный сайт - 1В прошлом году вышел первый сезон сериала «Мистер Робот» (Mr.Robot), который с огромным воодушевлением восприняла гиковская аудитория. Говорят, давно не выходило таких фильмов, которые настолько хорошо передают будни хакерского дела и компьютерной безопасности, и даже некоторые технические косяки можно простить. По стилю фильм похож на «Бойцовский клуб», собственно, девиз сериала как бы намекает на это. Рейтинг на IMDb 8.8 тоже говорит сам за себя (после первой серии было вообще 9.4).

Как сказано в описании, «Мистер Робот» — история молодого программиста Эллиота, страдающего диссоциальным расстройством личности, попросту говоря, социопатией. Он выбрал профессию хакера и быстро оказывается в том самом месте, где пересекаются интересы его работодателя — фирмы, занимающейся кибербезопасностью, — и подпольных организаций, которые пытаются его завербовать.

Вокруг фильма с таким сюжетом сформировалось весьма специфическое сообщество фанатов. И вот 10 мая телекомпания USA Network анонсировала второй сезон сериала и открыла новый сайт в виде текстовой консоли на JavaScript, которая имитирует Linux с сообщением загрузчика GRUB.

Тысячи фанатов сериала сразу расчехлили свои инструменты для пентестинга и принялись искать уязвимости. Найти баг стало делом чести.
Читать полностью »

в 14:23, , рубрики: avira, ESET, kaspersky antivirus, malwarebytes, Trend Micro, антивирусы, Блог компании Positive Technologies, информационная безопасность, уязвимости

Антивирус как угроза - 1

Большинство людей не рассматривают средства антивирусной защиты как источник дополнительной угрозы. Антивирусы воспринимаются как доверенные приложения, которые за счет некоторых потерь производительности способны обеспечить защиту информационной системы от самых разных атак. В результате антивирус часто оказывается единственным средством защиты конечных пользователей, а связка из нескольких антивирусов — основным решением для безопасности предприятия.

Но, как и любые сложные программы, антивирусы подвержены уязвимостям. При этом процессы антивирусных продуктов, как правило, являются доверенными и выполняются в привилегированном режиме, с высокими правами доступа. Это делает антивирусы интересной мишенью для злоумышленников, поскольку их эксплуатация может приводить к компрометации всей системы.Читать полностью »

в 9:38, , рубрики: Google Hack Database, дорки, информационная безопасность, уязвимости

Любой поиск уязвимостей на веб-ресурсах начинается с разведки и сбора информации.
Разведка может быть как активной — брутфорс файлов и директорий сайта, запуск сканеров уязвимостей, ручной просмотр сайта, так и пассивной — поиск информации в разных поисковых системах. Иногда бывает так, что уязвимость становится известна еще до открытия первой страницы сайта.

Читать полностью »

в 15:37, , рубрики: squid, Блог компании Positive Technologies, информационная безопасность, прокси, прокси-сервер, уязвимости

Серьезная уязвимость прокси-сервера Squid позволяет «отравить кэш» - 1

Цзянь-Цзюнь Чэнь (Jianjun Chen) — аспирант китайского Университета Цинхуа — обнаружил опасную уязвимость в популярном прокси-сервере Squid. Как ему удалось выяснить, система не соответствует стандарту RFC 7230, а также некорректно работает при парсинге и обработке заголовка Host в HTTP-запросах. В результате злоумышленник может сформировать зловредный пакет и с помощью него осуществить атаку cache poisoning.Читать полностью »

в 11:36, , рубрики: IDS/IPS Suricata, Блог компании Positive Technologies, информационная безопасность, статистика, угрозы, уязвимости

Обязательный атрибут защиты для большой компании — IDS/IPS (система обнаружения и предотвращения вторжений). На рынке большое количество коммерческих и open-source решений, и каждое из них имеет свои достоинства и недостатки. Но общее во всех решениях — необходимость своевременного обновления правил обнаружения угроз. Большинство IDS/IPS позволяют использовать правила, разработанные для Snort. Одним из самых известных поставщиков правил является компания Emerging Threats, ставшая частью Proofpoint.
Мы решили собрать статистику по выпуску правил для наборов pro (коммерческая версия) и open (open-source версия) Emerging Threats для Suricata, так как их синтаксис аналогичен Snort, но при этом немного расширен, что дает больше возможностей.

Со страницы rules.emergingthreats.net/changelogs были собраны журналы обновлений правил suricata и suricata-1.3 начиная с 2015 года. Первое, что нас интересовало, — какое количество правил выпускалось для выявления эксплуатации уязвимостей. В эту категорию попали правила с привязкой к CVE, правила классов attack response и exploit.Читать полностью »

в 9:00, , рубрики: android, iphone, siri, Блог компании Positive Technologies, информационная безопасность, обход блокировки, смартфоны, уязвимости

Критическая уязвимость iOS 9 позволяет обходить экран блокировки c помощью голосового помощника Siri - 1

Исследователь безопасности под ником VIdeosdebarraquito выложил на YouTube видео с демонстрацией обхода экрана блокировки iPhone 6S и 6S Plus с помощью голосового помощника Siri и функции 3D Touch. Поскольку механизм распознавания силы нажатия 3D Touch присутствует только в этих устройствах, то уязвимы именно они.

Любой человек, имеющий физический доступ к устройству, может получить доступ к личным данным его владельца, включая фото и список контактов. Уязвимость присутствует в iOS 9.2 и более поздних версиях, включая свежий релиз iOS 9.3.1.Читать полностью »

в 9:11, , рубрики: TrendMicro, антивирусы, Блог компании Positive Technologies, информационная безопасность, уязвимости

Критическая уязвимость в антивирусе TrendMicro позволяет осуществлять удаленное выполнение кода - 1

Исследователь из команды Google Project Zero Тэвис Орманди (Tavis Omandy) опубликовал информацию о критической уязвимости в антивирусе TrendMicro. Как выяснил эксперт, ошибка в коде программного продукта приводила к запуску отладочной консоли Node.js — с его помощью злоумышленники могли отправлять команды для удаленного исполнения на компьютеры с установленным антивирусом. Сам Орманди в своем сообщении назвал ошибку «нелепой».Читать полностью »

в 12:26, , рубрики: IT-стандарты, SSL, Блог компании HOSTING.cafe, Веб-разработка, информационная безопасность, криптография, тестирование ssl, уязвимости

От переводчика.

Привет! В последнее время было обнаружено довольно много уязвимостей, связанных с SSL, поэтому мне захотелось сделать перевод статьи, в которой собран список инструментов для тестирования SSL, TLS и различных уязвимостей. В статье довольно много терминов, поэтому хочу извиниться, если что-то перевела не совсем корректно. Если вы можете предложить лучший вариант перевода, пожалуйста, напишите в личные сообщения.

imageЧитать полностью »

в 13:20, , рубрики: android, sim-карта, Блог компании Positive Technologies, информационная безопасность, Мобильный веб, перехват SIM-команд, Разработка под android, уязвимости

Эмуляция и перехват SIM-команд через SIM Toolkit на Android 5.1 и ниже (CVE-2015-3843) - 1

Я обнаружил эту уязвимость, исследуя возможность перехвата одноразовых паролей, которые отправлялись банком поставщику телекоммуникационных услуг, а затем поступали на специальное приложение SIM-карты и выводились на пользовательский интерфейс Android.Читать полностью »

в 8:55, , рубрики: adobe, adobe flash, flash, flashplayer, Блог компании НеоБИТ, информационная безопасность, поиск уязвимостей, уязвимости

Решето под названием Adobe Flash - 1 Пока еще широко распространенный продукт Flash Player компании Adobe печально известен своей безопасностью. Регулярно становится известно об очередной zero-day уязвимости во Flash, используемой хакерами в APT-кампаниях. 2015 год выдался особенно урожайным на такие уязвимости. Большая доля критических RCE-уязвимостей были вызваны некорректной работой с памятью: была возможна запись в освобожденную память в куче процесса Flash.

В этой статье мы поисследовали безопасность Adobe Flash и выяснили, что многие его «дыры в безопасности» — хронические, и решить их можно разве что переписыванием кода с нуля, в то время как разработчики ставят заплатку на заплатку, что, конечно, не повышает уровень безопасности. А еще мы продемонстрируем некоторые найденные нами и незакрытые на данный момент уязвимости!
Читать полностью »

1...10...202122...30...33
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js