Для подписчиковСегодня я покажу, как можно захватить контроль над сервером, повысив привилегии через Terraform — популярный инструмент управления инфраструктурой. По дороге используем уязвимость во фреймворке Next.js, после чего проэксплуатируем LFI и добудем учетные данные.
Управление по контролю за иностранными активами при Министерстве финансов США (OFAC) наложило санкции на компанию Matrix LLC, работающую под брендом Operation Zero, а также на ее владельца Сергея Зеленюка и еще пять связанных с ними лиц и организаций. Санкции применены в рамках закона PAIPA, направленного против кражи интеллектуальной собственности. Это первый случай использования закона с момента его принятия.
Для подписчиковПокопавшись в своем ящике инструментов, я нашел несколько жемчужин, которыми решил поделиться. Сбор информации о таргете, поиск скрытых путей и секретных данных, сканирование XSS и альтернатива Burp.
Аналитики ThreatFabric обнаружили новый Android-троян Massiv, который маскируется под IPTV-приложения и нацелен на кражу банковских данных через захват полного контроля над устройством.
Исследователи из компании OX Security обнаружили серьезные уязвимости в четырех популярных расширениях для Visual Studio Code: Live Server, Code Runner, Markdown Preview Enhanced и Microsoft Live Preview. Суммарное число установок этих расширений превышает 125 млн, а найденные баги позволяют похищать локальные файлы и удаленно выполнять код.
Представители Anthropic заявили, что три китайские ИИ-компании провели масштабные кампании по дистилляции модели Claude, сгенерировав свыше 16 млн запросов через 24 000 фейковых аккаунтов.
Разработчики Notepad++ внедрили механизм «двойной блокировки» (double-lock) в систему обновлений, чтобы окончательно устранить проблемы, которые ранее привели к компрометации цепочки поставок.
В Wikipedia приняли решение заблокировать archive[.]today и удалить более 695 000 ссылок на этот архивный сервис. Причиной стала DDoS-атака на блог независимого исследователя, а также обнаруженные факты подделки архивных снимков веб-страниц.
Для подписчиковСегодня мы изучим старые графические оболочки для MS-DOS, протестируем наиболее известные из них и вспомним совсем забытые проекты, которые в свое время пытались сделать работу с компьютером более наглядной и удобной. Посмотрим, что они умели на практике, чем отличались друг от друга и почему одни из них получили известность, а другие остались на обочине истории.