Выбираем базовые образы для приложений на .NET: минимум уязвимостей, максимум быстродействия
Микросервисы и контейнеры для их развертывания сейчас являются стандартом в крупных компаниях. Для разработчиков и DevOps-инженеров это удобный подход: он дает больше возможностей и ускоряет процессы. Но для специалистов по информационной безопасности микросервисная архитектура выглядит не так...
Трендовые уязвимости марта: обновляйтесь и импортозамещайтесь
Хабр, привет! Я Александр Леонов, и мы с командой аналитиков Positive Technologies каждый месяц изучаем информацию о недостатках безопасности из баз, бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода и определяем трендовые...
Топ самых интересных CVE за март 2024 года
Всем привет! Подводим итоги марта топом самых интересных CVE. Гвоздём программы ушедшего месяца, конечно же, стал бэкдор в XZ Utils, наделавший шуму в Linux-сообществе. Десятку по CVSS также выбила уязвимость в Atlassian Bamboo Data Center и Server на внедрение SQL-кода. Оригинальной уязвимостью...
Красавица и HTML Injection. Почему HTMLi не только про дефейс
Привет, Хабр. Сегодня мы посмотрим на достаточно тривиальную тему с совсем нетривиальной стороны. Пожалуй, для каждого вебера HTML-инъекции являются темой, которой зачастую уделяют не очень много внимания. Взять даже собеседования: когда в последний раз вас спрашивали не об XSS'ках, а об...
Как собрать контейнер и не вооружить хакера
Известно, что с контейнерами бывает огромное количество разнообразных проблем, в том числе, связанных с информационной безопасностью. Как их избежать и не дать взломщику лазеек в ваш сервис — разбираемся в этой статье. Привет, Хабр! Это Алексей Федулаев и Антон Жаболенко из Wildberries. Мы работаем...
Топ самых интересных CVE за февраль 2024 года
Всем привет. Подводим итоги последнего зимнего месяца подборкой самых интересных CVE. В феврале засветилась выбившая десяточку уязвимость на обход аутентификации в софте ConnectWise ScreenConnect. Также отметилась критическая уязвимость в плагине Bricks Builder для WordPress, активный эксплойт...
CVE-2024-1709 и массовая атака на медицинские учреждения США
В данной статье рассказывается о 0-day уязвимости CVE-2024-1709, позволяющей обойти аутентификацию и получить неограниченный доступ к серверам и компьютерам, которые управляются с помощью ПО удаленного рабочего стола ConnectWise ScreenConnect. Данное ПО повсеместно используется в медицинских и...
Комбинаторный ядерный взрыв: что грозит системе инвентаризации уязвимостей CVE в 2024 году
Если вы занимаетесь программированием или, скажем, системным администрированием уже не первый год, то вы наверняка видели аббревиатуру "CVE" в статьях или новостях об информационной безопасности. База CVE (Common Vulnerabilities and Exposures) — это самая известная и популярная в мире база данных...
Топ самых интересных CVE за январь 2024 года
Всем привет! Первый месяц года выдался богатым на любопытные CVE. Так, шуму наделала критическая уязвимость в Jenkins, к которой быстро опубликовали ворох эксплойтов. Также засветились CVE на GitLab на запись произвольных файлов и RCE в продуктах Cisco с потенциальным root-доступом. Критическими...
Как не облажаться при выборе российского NGFW
Исследование российского рынка NGFW показало, что только 16% опрошенных довольны установленными российскими межсетевыми экранами. Наше общение с клиентами это подтверждает. При этом ошибка при выборе межсетевого экрана нового поколения может стать фатальной, так как именно NGFW отвечает за...
CVSS 4.0: аналитический обзор новой версии популярного стандарта
Всем привет! В эфире команда Cyber Analytics Positive Technologies. В компании мы занимаемся разработкой методологии результативной кибербезопасности и подготовкой консалтинговых отчетов по проектам, связанным с проведением тестирований на проникновение и анализом защищенности. Мы сделали обзор...
История одной уязвимости в Google Chrome
Эта статья посвящена уязвимости, которую мне удалось обнаружить в браузере Google Chrome в конце прошлого года, а также рассказывает об истории её возникновения. Уязвимость существовала в течение продолжительного периода и была устранена 31 октября 2023 года. Компания Google оценила её в 16000$...
Как не стоит обрезать изображения. aCropalypse (CVE-2023-21036)
В январе 2023 года экспертами Саймон Ааронс и Дэвид Бьюкенен была обнаружена уязвимость в линейке смартфонов google pixel. При работе во встроенном редакторе изображений Markup и редактировании файлов .png данные исходника не удалялись полностью и подлежали восстановлению. Читать далее...
Как защититься от «бестелесных» веб-шеллов
В сегодняшней статье эксперты Сайбер ОК проведут вас за руку по лабиринту хакерских уловок и на пальцах объяснят, что такое "бестелесные" веб-шеллы и как защитить от них свои ресурсы. Читать далее...
Топ самых интересных CVE за декабрь 2023 года
Всем привет! По следам ушедшего года публикуем подборку самых интересных CVE за последний месяц 2023-го. В декабре засветился ворох уязвимостей в Chrome и Firefox, вынудивших компании выпускать экстренные патчи. А также критические уязвимости в OpenSSH, фреймворке Apache Struts и маршрутизаторе...
CVE-2023-35628 — zero-click RCE-уязвимость в Windows
Всем привет! В этой статье мы подробно рассмотрим одну интересную уязвимость удалённого выполнения кода CVE-2023-35628, раскрытую 12 декабря 2023-го года в рамках December 2023 Security Updates. Мы попросили российского эксперта в области информационной безопасности, признанного самым ценным...
Загрязненный — значит опасный: про уязвимость Prototype Pollution
Prototype Pollution (CVE-2023-45811, CVE-2023-38894, CVE-2019-10744) — не новая брешь, вы уже наверняка читали про нее и на Хабре, и на PortSwigger, и даже в научных журналах, но есть нюанс. Несмотря на большое количество публикаций, некоторые популярные решения до сих пор остаются уязвимыми для...
Топ самых интересных CVE за ноябрь 2023 года
В этой подборке представлены самые интересные уязвимости за ноябрь 2023 года. Подведем вместе итоги последнего месяца осени, поехали! Читать далее...
Назад