Для подписчиковВ этом райтапе я покажу, как производить запись данных в Redis благодаря ошибке в настройках Nginx. Также мы проанализируем исходники веб‑приложений, чтобы найти ряд векторов для атаки: LFI, повышение роли пользователя и RCE. Для повышения привилегий будем эксплуатировать уязвимость f-строки в Python и получим скрытые данные приложения.
Исследователи из компании Certitude обнаружили, что брандмауэр Cloudflare, а также защиту от DDoS-атак можно обойти, атаковав других пользователей изнутри самой платформы. Проблема возникает из-за общей инфраструктуры, к которой имеют доступ все арендаторы (tenant), что позволяет злоумышленникам атаковать клиентов Cloudflare через Cloudflare.
На прошлой неделе компания Cisco предупредила клиентов об уязвимости нулевого дня в IOS и IOS XE, которую уже пытаются эксплуатировать злоумышленники.
Стало известно, что в мае текущего года китайская группировка Storm-0558 похитила по меньшей мере 60 000 писем из учетных записей Outlook, принадлежащих чиновникам Госдепартамента США, находящимся в Восточной Азии, Тихоокеанском регионе и странах Европы. Напомним, что эта атака стала возможной из-за компрометации учетной записи инженера Microsoft.
СМИ обнаружили, что компания Microsoft прикрыла одну из излюбленных «лазеек» пользователей и запретила активировать Windows 10 или Windows 11 старыми ключами от Windows 7 и Windows 8.
Скетч из статьи Лин Кларк «Создание и работа с модулями WebAssembly» WebAssembly (Wasm) — это бинарный формат для безопасного и эффективного выполнения портативных программ в стековой виртуальной машине (в браузере или на сервере). Как и ASM.js, представляет собой низкоуровневый код. Есть ещё WAT — WebAssembly Text, человекочитаемая версия бинарного кода. WebAssembly — не столько язык программирования, сколько цель компиляции, новый вид ассемблера, который работает близко к железу, принимая…
Большие числа != большим числам.Число 100 большое? Зависит от ситуации. Сравниваем ли мы его с 0,001, или с 100000? Как и многое в жизни, понятие «большой» относительно.В этом посте мы объясним, насколько большим должно быть «большое» и докажем, что вы, скорее всего, ошибаетесь насчёт закона больших чисел.Закон больших чисел (ЗБЧ)Проведём эксперимент: будем бросать кубик, как делали это на уроках знакомства с вероятностями. Будем продолжать совершать тысячи бросков, каждый раз вычисляя среднее…
Привет, Хабр! Мы не раз и не два писали о том, что торговый конфликт США и Китая негативно действует на электронную промышленность последнего. Но, как оказалось, в эту игру можно играть вдвоем. На днях стало известно, что у одного из крупнейших производителей памяти в США значительные проблемы. Речь о большом убытке компании Micron, который последовал после продолжительного периода со значительной прибылью. Собственно, ничего хорошего в этом нет, поскольку последствия отразятся на глобальном…
Изучая безопасность мессенджера Telegram, меня поразила одна его "особенность" при работе с ботами - выяснилось, что при добавлении в канал бота никак нельзя ограничить его в правах на удаление подписчиков. То есть, говоря прямо, любой бот может вычистить всю аудиторию канала за считанные минуты.Добавлять ботов в Telegram-каналы можно только как администраторов с целью автоматизации выполнения различных сервисных действий - например, планирование публикации постов и сбор всевозможной а…