Хакер под ником Vizor утверждает, что забанил «тысячи» игроков Call of Duty, воспользовавшись уязвимостью системы для борьбы с читерами. В прошлом месяце Activision отчиталась об исправлении бага в античите Ricochet, из-за которого система банила честных игроков CoD из-за двух слов в чате. Уязвимость скрывалась в системе обнаружения. Читать далее
Метка: уязвимость
Всем привет! Я Родин Максим, старший разработчик ГК Юзтех. С ростом количества прожитых лет проекты могут обрасти зоопарком разнообразных зависимостей. Все они со временем нуждаются в обновлении по разным причинам — плановый апгрейд зависимостей, переход на другую платформу, устранение уязвимостей, решение вопросов лицензии и прочее. В данной статье хочу поделиться опытом обновления этих самых зависимостей […]
Привет, Хабр! В прошлой статье мы уже разобрали устройство редактора кода VSCode и его особенности. Сегодня хочу рассказать про еще одну уязвимость в расширении, связанном с GitHub, рассмотреть функцию «туннелирование» в VSCode и варианты использования ее атакующими. После посмотрим, что можно сделать для детектирования подобных действий с помощью R-Vision SIEM. Начнем с функционала туннелирования, который […]
В мире поиска уязвимостей качество вашего отчёта может как помочь, так и навредить вам. Поиск уязвимости — это первый шаг, но написание отчета является самой важной частью охоты за уязвимостями. Хорошо составленный отчет не только помогает команде безопасности понять проблему, но и увеличивает ваши шансы на получение более высокого вознаграждения. Со временем я разработал структуру […]
Привет, меня зовут Александр (aka bytehope). Прежде чем прийти к багхантингу, я пять лет занимался коммерческой разработкой. Однако меня всегда больше интересовал поиск уязвимостей, поэтому сейчас свое свободное время я провожу на площадках багбаунти. Эту статью я решил посвятить уязвимостям, связанным с недостатками контроля прав (Broken Access Control). Вы узнаете, что это очень распространенный баг, […]
Сегодня в ТОП-5 — новая 0-day уязвимость в Windows, разбор 0-day уязвимости в Opera, обнаружение искусственным интеллектом 0-day уязвимости в SQLite, устранение 0-day уязвимоcти в Hybrid Backup Sync, новая уязвимость в WordPress. Читать далее
На прошлой неделе компания Synology, производитель популярных сетевых накопителей данных, выпустила обновление утилиты Synology Photos, закрывающее серьезную уязвимость. В случае если NAS доступен из Интернета и данная утилита на нем установлена, потенциальный злоумышленник может получить root-доступ. Какие-либо действия со стороны пользователя не требуются. Уязвимость была обнаружена нидерландскими исследователями из компании Midnight Blue в ходе конкурса […]
Привет всем, Сегодня я хочу поделиться своим опытом обнаружения уязвимости, позволяющей захватить учетную запись (ATO) с помощью отравления ссылки для сброса пароля. Во время участия в программе, охватывающей миллионы пользователей — крупной компании в сфере электронной коммерции, которую я буду называть redacted.com — я тестировал функции аутентификации и наткнулся на функцию «Запрос на сброс пароля». […]
В продолжение рассказа об уязвимостях, которые были обнаружены пентестерами УЦСБ и легли в основу кейсов на премии Pentest Award, публикуем разбор следующего реального примера. Расскажем, как в веб-приложении одной компании была обнаружена связка уязвимостей, позволявшая удалить любого зарегистрированного пользователя из системы. Читать далее
Nvidia сообщила о наличии критических уязвимостей в драйверах для своих видеокарт и настоятельно рекомендует пользователям установить последние версии ПО для RTX, Quadro, NVS, Tesla и GeForce. Читать далее