Для подписчиковВ этом райтапе я покажу, как эксплуатировать уязвимость SSTI в шаблонизаторе Django, на примере получения учетки пользователя. Затем, авторизовавшись в системе, мы получим контекст другого пользователя через подмену файлов Django Cache. Для повышения привилегий расшифруем бэкапы и найдем учетные данные.
В рамках январского «вторника обновлений» компания Microsoft исправила две уязвимости в драйвере ntfs.sys, который управляет файловой системой NTFS в Windows. Эти проблемы нашел специалист Positive Technologies Сергей Тарасов. Обе уязвимости давали злоумышленникам шанс захватить полный контроль над системой через эскалацию привилегий до уровня SYSTEM.
Специалисты компании Check Point сообщили о новой волне атак ботнета GoBruteforcer. Теперь злоумышленники нацелились на базы данных криптовалютных и блокчейн-проектов, пытаясь скомпрометировать их серверы и сделать частью ботнета для брутфорса паролей к FTP, MySQL, PostgreSQL и phpMyAdmin на Linux-серверах.
Компания Microsoft сообщила о ликвидации RedVDS — крупной платформы по продаже виртуальных серверов, ущерб от работы которой превышает 40 млн долларов только в США. Компания подала иски в американские и британские суды, добилась изъятия инфраструктуры RedVDS, закрыла доступ к маркетплейсу и клиентскому порталу. Операция проводилась совместно с Европолом и немецкими властями.
Роскомнадзор частично блокирует Telegram — регулятор замедлил загрузку видео в мессенджере. Об этом «Москве 24» сообщил неназванный источник на телекоммуникационном рынке. Заместитель председателя комитета по информационной политике, информационным технологиям и связи Андрей Свинцов объяснил замедление мессенджера недостаточным сотрудничеством с властями РФ.
Хорошие новости для всех, кто годами просил нас вернуть бумажный «Хакер»: мы запускаем ежеквартальные выпуски журнала, и «Хакер» возвращается к формату периодического издания. Первый номер уже готовится к печати, и предварительные заказы открыты. До 1 февраля действует специальная цена — 1000 рублей. Не упусти момент, потом станет дороже!
Для подписчиков«Проблема» в легком оранжевом пуховике деловито сновала по помещению клуба, без спроса хватая расставленные на столах древние компы, перебирая разложенные тут и там стопками дискеты и добавляя еще больше беспорядка в царивший вокруг первозданный хаос. Маша и Иван, тоже решившие прийти в этот ответственный день пораньше, растерянно взирали на происходящее со стороны, не решаясь вмешиваться, а Серёга и вовсе спрятался за стойкой, изо всех сил пытаясь слиться с окружающим пейзажем.
Европейское космическое агентство (ЕКА) подтвердило очередную масштабную утечку данных и сообщило СМИ, что в связи с этим инцидентом уже начато уголовное расследование. Злоумышленники утверждают, что похитили 500 ГБ важных данных, включая информацию об операционных процедурах, космических аппаратах и миссиях, документацию по подсистемам и проприетарные материалы подрядчиков — SpaceX, Airbus Group, Thales Alenia Space и других.
Правительство РФ формирует оперативный штаб по борьбе с интернет-мошенничеством. Вице-премьер и руководитель аппарата правительства Дмитрий Григоренко рассказал журналистам о задачах новой структуры и ее составе.