Для подписчиковВ этой статье я расскажу о сканировании API веб‑приложений с помощью утилиты Nuclei. Для демонстрации мы будем атаковать заведомо уязвимое приложение, использующее OpenAPI. По дороге научимся писать кастомные шаблоны для Nuclei, которые помогут искать уязвимости на автомате.
Американские власти обвиняют 39-летнего гражданина Великобритании Роберта Уэстбрука (Robert Westbrook) во взломе пяти публичных компаний ради получения доступа к конфиденциальной информации об их доходах. Уэстбрук использовал ворованные данные для инсайдерской торговли, что в итоге принесло ему 3,75 млн долларов США.
Успей приобрести второй бумажный спецвыпуск «Хакера» — настоящий артефакт для всех, кто увлекается технологиями и кибербезопасностью. Сборник включает 240 страниц с лучшими материалами за 2017–2019 годы и может стать не только хорошим дополнением к твоему архиву, но и отличным подарком.
Следственный комитет РФ сообщил, что в Москве возбуждено уголовное дело в отношении создателей анонимной платежной системы UAPS и криптовалютной биржи Cryptex, через которые только в 2023 году прошло более 112 млрд рублей. По версии следователей, основными клиентами сервисов были киберпреступники и хакеры, а незаконный доход фигурантов дела оценивается в 3,7 млрд рублей.
Компания DrayTek выпустила патчи для нескольких моделей своих маршрутизаторов, в общей сложности устранив 14 уязвимостей. Одна из проблем оценивается как критическая (10 баллов из 10 возможных по шкале CVSS) и допускает удаленное выполнение произвольного кода.
Облачный хостинг-провайдер Rackspace пострадал от утечки данных, в результате которой были раскрыты «ограниченные» клиентские данные. Злоумышленники скомпрометировали Rackspace через уязвимость нулевого дня в стороннем инструменте платформы ScienceLogic SL1.
Исследователи предупреждают, что хакеры уже активно эксплуатируют недавно раскрытую RCE-уязвимость в Zimbra. Проблема осложняется тем, что уязвимость можно использовать при помощи простой отправки на SMTP-сервер специально подготовленных писем.
Для подписчиковПротокол OpenID Connect — это наследник OAuth. Поскольку у OAuth есть множество проблем, в том числе с безопасностью, ему на смену приходит более совершенный вариант. Но и он при неправильном обращении может оставлять лазейку для злоумышленников. В этой статье мы разберем такие проблемы в OpenID Connect и покажем их на примере лабы PortSwigger.
Национальный институт стандартов и технологий США (The National Institute of Standards and Technology, NIST), федеральный орган, устанавливающий технологические стандарты для правительственных учреждений, организаций по стандартизации и частных компаний, предложил пересмотреть некоторые из требований к паролям. В частности, предлагается отказаться от обязательного сброса, требований или ограничений на использование определенных символов, а также контрольных вопросов.