От классики до авангарда — наука во всех жанрах
Простые ошибки, ведущие к катастрофическим последствиям.
Предложение ведомств призвано улучшить безопасность новых версий программ.
Исследователи обнаружили более 20 слабых мест в платформах машинного обучения.
Hotjar и Business Insider – не единственные жертвы багов в системе аутентификации.
Действия Microsoft вынудили Северную Корею использовать системные файлы для атак на Windows.
Отключение макросов в Office привело к очередной лазейке для незаметного взлома.
Кибербандиты массово внедряют бэкдоры в файлы плагинов и тем оформления.
Критическая XSS-уязвимость настежь распахивает двери перед злоумышленниками.
CISA и ФБР призывают к срочным мерам по защите кода.
Как халатность властей КНР ставит под удар безопасность граждан.
Joomla играет в догонялки с хакерами, срочно исправляя уязвимости.
Recorded Future раскрывает деятельность хакеров, отслеживающих политическую отрасль Европы.
GPT-4 лучше и дешевле пентестеров в поиске уязвимостей.
CISA бьет тревогу: федеральные структуры обязаны разобраться с проблемой до 4 марта.
Новые исправления уязвимостей направлены на защиту данных и предотвращению взлома.
Использование SQL-инъекции и XSS стало главным оружием в руках злоумышленников.
Пользователям нужно срочно принять рекомендуемые меры защиты для сохранения контроля над системами.
Обход авторизации и межсайтовый скриптинг ставят под угрозу конфиденциальность данных.
Программное обеспечение для защиты сетей внезапно само стало источником проблем с безопасностью.
Исправленная ошибка использовала посетителей сайта как индикатор активации скрипта.
Zero-day в популярном почтовом клиенте обернулся потерей данных для тысяч пользователей.
Исследователи из Сингапура внесли неоценимый вклад в безопасность Битрикс.
От потенциальной жертвы требуется лишь открыть письмо, а преступники сами найдут нужный путь.
Даже премиальные темы порой могут принести владельцам сайтов неприятные сюрпризы.
Злоумышленники благодарят Supermicro за новые уязвимости в BMC-контроллерах.
Корпоративным пользователям NetScaler ADC и NetScaler Gateway нужно срочно обновить своё ПО до актуальной версии.
Несколько альтернативных сайтов Reddit на базе Lemmy были взломаны из-за уязвимости нулевого дня.
Злоумышленники могут читать и менять вашу почту.
Правительство США опубликовало список 25 слабых мест ПО, которые приводят к катастрофическим последствиям.
Срочно обновите уязвимый плагин, пока злоумышленники не развернули полезную нагрузку.
После публикации PoC-эксплойта наблюдалось большое число попыток захвата уязвимых сайтов.
Ошибка позволяет злоумышленнику за один клик получить полный контроль над сайтом.
И вновь зарубежные исследователи считают российских хакеров причастными к данным киберинцидентам.
Компании из Редмонда пора бы всерьёз задуматься о безопасности…
CERT раскрыла все найденные уязвимости и дала каждой подробную характеристику.
Патч безопасности затрагивает свыше десяти различных уязвимостей.
Пользователи сразу четырёх систем для работы с документами в опасности.
Уязвимости в API на сайте BrickLink позволяют киберпреступникам похищать аккаунты и взламывать серверы.
Сейчас данные CloudSEK продаются на одном из теневых форумов за $10 000.
Останутся ли востребованы живые программисты после создания ChatGPT?
Используя уязвимость, киберпреступники могут с легкостью провести XSS-атаку.
Настройка глубоких ссылок позволяет выполнить XSS-атаку и доставить дроппер на устройство.
Злоумышленник может незаметно внедриться в компьютер жертвы с помощью HTML-тегов.
А для жертв исход один – потеря своей криптовалюты.
Жертвами недобросовестных администраторов стали пользователи форума XSS.
Приложения для веб-разработки содержат ошибки, которые позволяют выполнить любую команду на сервере.
Компания устранила эту и еще семь менее значительных уязвимостей.
Изящная атака сводит на нет создание безопасного CSP, если сайт использует WordPress.
Хотя уязвимость была исправлена еще 15 февраля 2022 года, расширение Screencastify все еще представляет угрозу.
Кибервымогательская группировка BlackMatter готова заплатить до $100 тыс. за первоначальный доступ к корпоративным сетям.
Ранее о запрете тем, связанных с вымогательским ПО, объявила администрация площадки XSS.
После атаки на Colonial Pipeline ожесточилась борьба с вымогательским ПО, и форум XSS решил «откреститься» от этой темы.
Полиция Нидерландов опубликовала на киберпреступных форумах «дружеские» предупреждения для хакеров.
Уязвимости на сайте одной из самых популярных олимпиад первого уровня позволяют подделать результаты.
О проблеме известно по меньшей мере с июня 2019 года, однако она все еще остается неисправленной.
Преступники используют Facebook для распространения вредоносных ссылок, перенаправляющих пользователей на мошеннические сайты.
Компания Palo Alto Networks устранила уязвимости в PAN-OS, операционной системе, использующейся межсетевыми экранами следующего поколения (NGFW) Palo Alto Networks.
XSS Auditor стала неэффективной для защиты от XSS-атак.
Из инструмента branch.io для разработчиков уязвимость перекочевала во множество сервисов и приложений.
Исследователь обнаружил XSS-уязвимости в iframe busters для поддержки расширяемой рекламы.
Речь идет о защите от XSS-атак.
Злоумышленники отправляли через виджет на первый взгляд безобидное сообщение, в котором был скрыт вредоносный код.
При включенном плагине разработчики и администраторы могут не знать о попытках эксплуатации уязвимостей в коде сайта.
Метод заключается в эксплуатации ошибки в регулярном выражении.
Ошибки позволяли выполнить код JavaScript в административной панели.
Ошибка позволяла злоумышленникам создавать рекламные объявления, похищающие персональные данные.
Ошибки существуют в течение двух лет и до сих пор не исправлены.
При обработке смайлов социальная сеть позволяла выполнение скриптового кода.
Эксперты представили концепт атаки на платежный сервис.
Некоммерческий архив XSS-уязвимостей позволит всем желающим делать поощрительные выплаты.
Размер вознаграждений варьируется от $25 до $1 тыс.
В настоящее время брешь остается неисправленной.
Брешь до сих пор остается неисправленной, ставя под угрозу пользователей и администраторов ресурса.
Брешь позволяла внедрить код JavaScript при публикации комментариев и осуществить межсайтовый скриптинг.
В настоящее время уязвимость является неисправленной.
Бреши позволяют злоумышленнику получить контроль над приложением и системой в целом.
По состоянию на 23 марта 2015 года уязвимость оставалась неисправленной.
На форуме, посвященном системам безопасных платежей, обнаружили уязвимость, позволяющую осуществить XSS-атаку.
Злоумышленник мог выполнить произвольный JavaScript сценарий в браузере пользователя.
В настоящее время брешь еще не исправлена.
Удаленный пользователь может выполнить произвольный JavaScript сценарий в контексте безопасности любого сайта.
Данная брешь является уже второй XSS-уязвимостью на сайте ПАСЕ - первая была выявлена в августе 2007 года.
По состоянию на 12:00 МСК 20 января брешь оставалась неисправленной, подвергая опасности как администраторов, так и посетителей ebrd.com.
По состоянию на 24 декабря нынешнего года бреши оставались неисправленными.
Бреши позволяют удаленному атакующему спровоцировать зависание рекламной службы и осуществить XSS-атаку.
Брешь присутствует на странице поиска по сайту финучреждения.
По состоянию на 15 декабря нынешнего года брешь на citibank.com все еще не была исправлена.
Брешь приводила к ошибкам в процессе проверки безопасности HTML-тегов в поле комментариев, что позволяло совершить XSS-атаку.
XSS-уязвимости часто игнорируются разработчиками и сотрудниками служб безопасности, что приводит к катастрофическим последствиям.
Среди прочего, бреши были обнаружены на сайтах «Лаборатории Касперского», «Ростелекома» и «Альфа-Банка».
Брешь позволяла атакующему осуществить XSS-атаку и внедрить код JavaScript в браузер жертвы.
По словам создателей проекта XSSposed, архив станет некой альтернативой и продолжением ранее существовавшего ресурса xssed.org.
Брешь на странице авторизации на портале WebVPN позволяла неавторизованному удаленному пользователю осуществить XSS-атаку.
ИБ-эксперты сообщили о наличии критических уязвимостей на сайте и ненадежных паролях пользователей.
Администрация официального web-сайта организации проигнорировала информацию об обнаруженных сторонними исследователями брешах.
Участники группировки обещают воспользоваться брешью в последующей атаке.
По данным раскрывшего бреши исследователя, уязвимой является только модель D-Link 2760N.
Бреши были обнаружены в нескольких онлайн-сервисах экспертами компании Break Security.
Исследователь решил продемонстрировать эксплуатацию бреши разработчикам антивирусного ПО.
По данным хостинговой компании Firehost, за последних три месяца число таких нападений выросло на 160%.
На этой неделе Yahoo устранила XSS-уязвимости своего email-приложения, тем не менее, проблема все еще актуальна.
В браузере устранены 2 уязвимости XSS атаки и одна уязвимость раскрытия важных данных.
Для эксплуатации уязвимости злоумышленнику достаточно разместить специально сформированную ссылку на целевом ресурсе.
Устраненные уязвимости позволяли раскрыть важные данные о пользователях и осуществить XSS атаку.
Демонстрация PoC кода для создания скриншотов с использованием XSS уязвимости и возможноcтей HTML5.
Исследователи обнаружили уязвимости на сайтах ВТБ24, Хоум кредит, Эксим, Райффайзен, Сбербанк и других банков.
Исследователь безопасности разместил в YouTube ролик, содержащий описание эксплуатации уязвимости в LiveJournal.
Уязвимость межсайтового скриптинга существует из-за некорректной обработки специальных символов в URI.
Согласно утверждениям специалиста, его код предназначен для хищения личных данных, куки файлов и проведения фишинга через XSS уязвимость.
Исследователь Фил Пурвианс обнаружил XSS уязвимость в Skype для iPhone.
Хакер под псевдонимом Invectus опубликовал ссылки на 20 скомпрометированных web-страниц.
Компания Mail.ru устранила уязвимость, которая позволяла захватывать учетные записи пользователей службы ICQ.
Компания Veracode объявила о запуске нового сервиса, который поможет корпоративным клиентам находить и исправлять уязвимости на сайтах.
Используя DOM Snitch, web-разработчики, тестеры и простые пользователи могут наблюдать за изменениями DOM в реальном времени без необходимости анализировать JavaScript при помощи отладчика или аналогичного инструмента.
Одна из уже закрытых уязвимостей имела место в профиле пользователей, в поле “О себе” вашего номера. Вторая уязвимость присутствовала в сервисе блогов, причем недостаточно фильтровалось именно тело сообщения.
Неизвестные исследователи обнаружили уязвимость на сайте Apple и использовали ее для рекламы Windows 7.
На прошлой неделе стало известно об XSS-уязвимости в популярном движке веб-разработки Ruby On Rails. Уязвимость добралась до многих популярных сервисов, в том числе и до Twitter.
Данная уязвимость позволяет злоумышленникам вставлять вредоносные JavaScript в сообщения, путем добавления кода в поля API сторонних разработчиков приложений.
Вместо того чтобы перенести образец вредоносного кода в виде текста, сотрудники New York Times интегрировали его в интернет-страницу. Статья оказалась пораженной той же уязвимостью, о которой повествовала.
Обнаруженная XSS-уязвимость позволяет злоумышленнику перехватывать входные реквизиты пользователей или получать их файлы-cookie, открывающие доступ в администраторский интерфейс системы.
Эксплуатация уязвимости ведет к перехвату идентификационных файлов cookie, которые сервер отдает легальным пользователям. В Netcraft сообщают, что перехват возможен из-за наличия XSS-уязвимости на сайте Yahoo HotJobs (hotjobs.yahoo.com).
Одним из наиболее значимых нововведений в IE8 в плане повышения уровня защиты станут интегрированные средства предупреждения XSS-атак.
В популярной социальной сети ВКонтакте.ру, в сервисе Приложения обнаружена XSS-уязвимость.
Данные, представленные в документе Internet Security Threat Report за второе полугодие 2007 года, неутешительны. Число атак на пользователей интернета продолжает расти, а киберпреступники используют все новые способы обмана доверчивых жертв.
White Hat Security сообщает, что 9 из 10 популярных сайтов имеют уязвимости. В результате сканирования разных публичных веб-ресурсов было обнаружено в среднем по 7 уязвимостей на каждом.
Livejournal.com уязвим к XSS атакам, которые могут позволить злоумышленнику получить доступ к учетным данным целевого пользователя.
Авторы утверждают, что патчи безопасности для flash-клиента не могут обеспечить решение данной проблемы: вредоносный код генерируется уже при создании файлов во многих популярных пакетах, в том числе DreamWeaver, Breeze и Camtasia.
Крис Марлоу пытался предупредить PayPal об обнаруженной уязвимости еще в июне 2004 года, но представитель PayPal, с которым он общался, не понимал что такое XSS уязвимость.