Для подписчиковКак найти уязвимости там, где их ещё никто не искал? Попробуй перевести POST-запрос, например, для аутентификации в JSON- или XML-формат. Идея в том, что разработчики часто оставляют различные способы аутентификации, обычно, для дальнейшего использования сторонними приложениями. А так как эта функциональность не на виду, часто она не защищена от банальных инъекций. а если в дело вступает XML - чтение произвольных файлов на сервере практически гарантированно!
Компания Uber пополнила ряды компаний, имеющих собственные программы поощрения исследователей за найденные уязвимости. В Uber планируют проводить специальные трехмесячные сезоны поисков багов, первый из которых стартует 1 мая 2016 года.
Вымогательское ПО – настоящий тренд последнего времени, новые шифровальщики и хитрости в данной области появляются едва ли не каждый день. На этот раз стало известно, что вымогатель Surprise начал применять TeamViewer для заражения своих жертв, а шифрование другого вредоноса — Xorist напротив пало под натиском экспертов.
Уязвимость, о которой разработчики ядра Linux знали ещё два года назад, по-прежнему не исправлена во многих устройствах на базе Android. В результате миллионы мобильных телефонов беззащитны перед атакой, которая позволяет вредоносному коду обойти модель безопасности Android и получить полные администраторские права.
Компания Apple провела презентацию, на которой были показаны два новых продукта — iPhone SE и iPad Pro с диагональю экрана 9,7 дюймов. И тот, и другой начнут продаваться в апреле. А вот апдейта iOS до версии 9.3 можно ждать уже сегодня.
Для подписчиковМы выбрали пять необычных браузеров. Они интересны не потому, что лучше Chrome или Firefox. Часто — совсем наоборот. Но для их существования всегда есть веская причина. Кто-то не хочет бросать дело, начатое четверть века назад, кто-то болеет за операционную систему, о которой забыли авторы всех прочих браузеров, а кто-то — за миллионы долларов, обещанные инвесторами из Кремниевой долины.
По замыслу разработчиков Apple, подпись ECDSA должна предотвращать модификацию сообщения, однако в действительности этой меры совершенно недостаточно. Работа, опубликованная американскими исследователями, показывает, как они воспользовались этой слабостью, чтобы пробить все остальные уровни защиты протокола iMessage.
Специалисты Group-IB представили отчет о деятельности группировки Buhtrap, которая не так давно поменяла «почерк» и теперь грабит российские и украинские банки, а не их клиентов. Хакерам уже удалось похитить порядка 1,8 млрд рублей.
В 2014 году исследователи из университета Карнеги-Меллона разработали атаку Rowhammer. Ее суть сводилась к тому, что определенное воздействие на ячейки памяти может привести к тому, что электромагнитное излучение повлияет на соседние ячейки, и значения битов в них изменятся. Новое исследование компании Third I/O показало, что атаки такого рода могут влиять и на новейшую память DDR3 и DDR4.