Пентестинг

Информационная безопасность (ИБ), Пентестинг (pentesting), этичный хакинг и анализ на проникновения

Мошенники используют Олимпийские игры для кражи денег у юзеров

Мошенники уже нашли новый способ мошенничества. Злоумышленники используют предстоящие Олимпийские игры в Рио-де-Жанейро для кражи денег у юзеров. Они получают данные банковских карт, предлагая пользователям билеты на спортивные мероприятия с большой скидкой.

Хакеры из Anonymous заявили о начале кампании против банков по всему миру

Хакерская группа Anonymous заявила, что в течение 30 дней будет атаковать сайты центробанков по всему миру, сообщает Рейтер со ссылкой на видеообращение, опубликованное группой на YouTube.

В среду центробанк Греции заявил, что накануне Anonymous устроила кибератаку на его сайт. Атака длилась несколько минут, затем IT-специалисты банка смогли остановить ее. DDoS-атака затронула только веб-сайт банка, приводит агентство слова анонимного представителя банка.

Школьник взломал Instagram и заработал $10000

Школьник из Финляндии стал самым молодым обладателем награды Bug Bounty за всю историю Facebook, и даже за всю историю IT. Десятилетний парень по имени Яни (родители фамилию не говорят) нашёл способ удаления произвольных комментариев к сообщениям в соц. сети Instagram, сообщает финская газета Iltalehti.

Опасный target="_blank". Осторожно, новая уязвимость!

Большинство разработчиков сайтов, создают внешние ссылки через target="_blank" и не знают одного интересного нюанса — страница, на которую мы попадем таким образом, получит частичный контроль над ссылающейся на нее страницей через js свойство window.opener.
Через window.opener.location мы сможем сделать редирект на, к примеру, фишинговую страницу. Это своего рода tabnabbing, только более продвинутый. Так как жертва меньше всего ожидает подмены страницы, в открытой ранее, доверенной вкладке браузера.

Осторожно! Слежка за Вами через веб-камеру

Некий Антон Марчиков, создал онлайн-сервис, в котором показывает случайных людей, подглядывая за ними через веб-камеры. Для доступа к компьютерам жертв он использует программу LuminosityLink для удаленного доступа к компьютерным сетям, а объявление о запуске сервиса опубликовал на ресурсе 2CH (Двач).

Онлайн-трансляция ведется на ресурсе Synchtube. Видео загружается через YouTube, а зарабатывает Антон на добровольных пожертвованиях.

XSSPosed.org переименовали в OpenBugBounty.org и обновили сайт

Сайт для публикации найденных XSS (англ. Cross-Site Scripting — «межсайтовый скриптинг») XSSPosed.org переименовали в OpenBugBounty.org, обновили и сделали небольшой редизайн сайта. Сделали даже логотип жука :-) Сайт стал немного оранжевым, что сейчас даже смотрится намного веселее и приятнее...

Многие исследователи бескорыстно публикуют найденные XSS-уязвимости и это радует! Сайт постоянно обновляется и находятся новые ошибки для администраторов сайтов... А Вы используете такие сайты и публикуете ли найденные уязвимости?

Мошенники начали вымогать деньги у пользователей WhatsApp

Мошенники предлагают пользователям мессенджера WhatsApp подключить услугу видеозвонков, которая официально еще не была представлена. Переходя по «ядовитой» ссылке, жертва автоматически подписывается на дорогостоящие сервисы. Уловка обнаружена специалистами вирусной лаборатории ESET.

Слухи о появлении видеозвонков в WhatsApp появились еще в декабре прошлого года, однако официальных сообщений от разработчиков еще не поступало. Мошенники решили приблизить будущее и начали распространять ложную информацию о возможностях подключения уже сейчас.

Список OWASP Top-10

OWASP (Open Web Application Security Project) - это открытый проект по классификации уязвимостей веб-приложений. Сама классификация OWASP Top-10 обновляется раз в три года. Более подробно ознакомится с ней можно на оффициальном сайте www.owasp.org

Сейчас все пользуются такой классификацией:

  • A1 Injection (Инъекции)
  • A2 Broken Authentication and Session Management (Ошибки, обход аутентификации)

Курс этичного хакинга в опасности!!!

В учебном центре компании «ЭВРИКА» есть интересный курс этичного хакинга http://www.eureca.ru/edu/study/course/eccouncil/ceh/. Много сертификаций и учебных программ: Сертификация CCNA, Сертификация CCNP, Сертификация CCNA Service Provider и многие другие... Но сам сайт подвержен XSS угрозе, нашел я случайно и опубликовал на сайте xssposed.org с уязвимым URL. Надеюсь админы прочитают и исправят...

Основы использования социальной инженерии в Пентестинге

Сегодня я начну тему использования социальной инженерии в Пентестинге... Это тема не отдой статьи и разговора. Но начнем мы с малого... Упомяну я использование основных техник использования мошенниками социальной инженерии...

Многие техники основаны на работе нашего мозга и используются различные техники НЛП (нейро-лингвистическое программирование, от англ. Neuro-linguistic programming). Этими техниками являются:

RSS-материал