Вы используете устаревший браузер. Этот и другие сайты могут отображаться в нем неправильно. Необходимо обновить браузер или попробовать использовать другой.
В этом райтапе я покажу, как искать и эксплуатировать уязвимости use after free и path hijacking для повышения прав в системе. А для начала заюзаем SSRF для отправки фишинговой ссылки с вредоносным макросом, чтобы проникнуть на хост.
А поможет нам в этом тренировочная машина Gofer с площадки...
В этой статье мы получим доступ к веб‑серверу через RCE-уязвимость и эксплуатацию SQL-инъекции в PostgreSQL. Затем воспользуемся фреймворком Jupyter для выполнения произвольного кода и повысим привилегии в SatTrack.
Наша цель — захват прав суперпользователя на тренировочной машине Jupiter с...
Cisco предупреждает о критической уязвимости нулевого дня, затрагивающей IOS XE. Патчей для этой проблемы, получившей максимальную оценку по шкале CVSS (10 баллов из 10 возможных), пока нет, и ее уже активно эксплуатируют хакеры.
Уязвимость получила идентификатор CVE-2023-20198 и связана с...
В этом райтапе я покажу сразу несколько видов атак на веб‑приложения: мы проэксплуатируем XSS и SSRF, затем проведем инъекцию NoSQL, а получив доступ к скрытому сайту, найдем уязвимость внедрения команд и обойдем фильтр, чтобы получить RCE. Закончим трейсингом пользовательского процесса в Linux...
В ходе масштабной кампании хакеры скомпрометировали около 2000 тысяч серверов Citrix NetScaler, используя для этого критическую RCE-уязвимость CVE-2023-3519 (9,8 балла по шкале CVSS). Больше всего от этих атак пострадали европейские страны.
Эксперты из ИБ-компании Fox-IT Голландского института...
Akamai предупреждает, что e-commerce сайты, работающие под управлением Adobe Magento 2, становятся жертвами вредоносной кампании Xurum, начавшейся еще в январе 2023 года.
В своих атаках хакеры эксплуатируют уже исправленную критическую уязвимость CVE-2022-24086 (9,8 балла по шкале CVSS) в Adobe...
Как изучить PHP с нуля и стать бэкенд-разработчиком в 2023 году? Рассказываем с использованием дорожной карты по PHP:
Основы PHP
HTTP
Встроенные интерфейсы и классы
Базы данных
Фреймворки
API
Кэширование
Фоновое выполнение
Git
Заключение
PHP программирование с нуля
Синтаксис языка лежит в...
Веб-приложения с небезопасными прямыми ссылками на объекты (IDOR, Insecure direct object references) подвергаются значительным рискам взлома, предупреждают специалисты Агентства по кибербезопасности и защите инфраструктуры США (CISA), совместно с Австралийским центром кибербезопасности (ACSC) и...
Архитектура веб-приложения – это высокоуровневая структура, определяющая способ функционирования, результативности и масштабирования вашего продукта и бизнеса. В наше время на этапе выбора архитектуры веб-приложения компании часто теряются в многообразии вариантов, доступных на рынке разработки...
Сбер создал веб-приложение на основе технологий PWA (Progressive Web Application) и WebAuthn (Web Authentication), которые позволяют создать ярлык на рабочем столе смартфона и использовать сайт как обычное приложение для смартфона. Технологию PWA уже используют Twitter, Instagram, Pinterest...
В этом райтапе я покажу приемы, которые используются при атаках на веб‑приложения, в первую очередь — работающие на Ruby on Rails. Начнем со сканирования сайта, найдем и проэксплуатируем XSS, затем получим доступ к хосту через RCE. Для повышения привилегий на атакуемой машине разберемся с...
Добро пожаловать в будущее! Это статья о футуристических веб-интерфейсах JavaScript.
Мы представили 7 передовых веб-интерфейсов JavaScript, которые вы можете добавить в ваш проект и заставить пользователей расстаться со своими деньгами. >:- )
1. Web Speech
Web Speech API позволяет вам...
Автоматизация тестирования веб-приложений является неотъемлемой частью процесса разработки ПО. Многие QA-специалисты сталкиваются с трудностями при выборе инструментов для автоматизации. C подобной задачей столкнулась и наша команда тестирования.
Зачастую одним из главных вызовов автоматизации...
В этом райтапе я покажу, как написать вредоносный плагин для doas — замены sudo, которая считается более безопасной. Но прежде, чем будем захватывать систему, мы проникнем в нее благодаря RCE в Tiny File Manager, а затем напишем свой плагин для sqlmap, чтобы повысить привилегии.
Полигоном для...
В этом райтапе я покажу, как реверсить библиотеку .NET DLL, чтобы найти уязвимость в ней. По пути проэксплуатируем уязвимость LFI в веб‑сайте, а при повышении привилегий задействуем технику GTFOBins для приложения .NET, запущенного в Linux.
warning
Подключаться к машинам с HTB рекомендуется...
Веб-разработчику может быть сложно идти в ногу с новейшими технологиями и трендами веб-дизайна.
Однако, поскольку CSS является фундаментальной частью интерфейсной веб-разработки, доступ к нужным инструментам CSS может существенно повлиять на производительность и креативность разработчика.
В...
Веб-дизайн является одной из самых динамичных и быстро развивающихся отраслей IT-сферы. Чтобы всегда оставаться в курсе последних тенденций и технических инноваций, важно постоянно усовершенствовать свои знания и навыки. Один из способов насыщать свой ум новой информацией – чтение книг. Мы...
Открыт набор на онлайн-курсы по IT и информационной безопасности в Академии Кодебай. Команда компании является одной из сильнейших команд этичных хакеров в RU-сегменте. В ходе обучения наши ученики изучают лекционный материал, выполняют практические задачи, пишут собственные программы, а также...
В этом райтапе я покажу, как эксплуатировать уязвимость в приложении на Ruby, возникшую из‑за непроверенной десериализации. По дороге для продвижения заюзаем баг в pdfkit и поищем учетные данные на удаленном хосте.
Наша цель — захват рута на тренировочной машине Precious с площадки Hack The...
Компания Apple устранила три уязвимости нулевого дня, которые уже использовались в атаках на пользователей iPhone, Mac и iPad. Все три ошибки были обнаружены в движке WebKit и получили идентификаторы CVE-2023-32409, CVE-2023-28204 и CVE-2023-32373.
Первая уязвимость представляет собой побег из...
Уведомление об удалении DMCA применяется к месту физического размещения контента. В отношении контента, размещенного за пределами США юридически не обязаны соблюдать их. При желании вы можете добавить жалобу на публикацию.
Правила форума
Просить других участников поставить лайк запрещено! Зарабатывайте лайки, делясь хорошими вещами!
Просить ссылки у других участников запрещено!
Никакого троллинга. Не публикуйте подстрекательские посты только для того, чтобы разозлить людей.
Категорически запрещено обманывать других участников пустым скрытым текстом (пользователь будет забанен)