Ледибаг в деле. Как найти уязвимости в Android и попасть в топ белых хакеров Google

Ни для кого не секрет, что багхантинг с каждым годом набирает популярность, привлекая внимание как компаний, стремящихся повысить безопасность своих продуктов, так и белых хакеров, желающих применить свои технические навыки и заработать на поиске уязвимостей. Все больше компаний создают собственные...

Все блоги / Про интернет

Client-Side DoS, или, ещё одна уязвимость, за которую вам не заплатят

"В современном мире уже придумали так много всего, что мы можем использовать защитные механизмы против того, кто их внедрил" Привет Хабр! В этой небольшой статье хочу поделиться кейсом, с которым я столкнулся на одном из проектов во время работы, а также моими мыслями на этот счёт. С чего все...

Все блоги / Про интернет

Разбираем уязвимость в службе очереди сообщений Windows

В конце апреля 2023 был опубликован PoC для уязвимости CVE-2023-21769 в сервисе очереди сообщений MSMQ. Это одна из трёх уязвимостей, обнаруженных в MSMQ и запатченных в апрельском обновлении ОС Windows (1, 2, 3). Опубликованный PoC реализует уязвимость отказа в обслуживании сервиса MSMQ. Две...

Все блоги / Про интернет

Как багхантеры ищут уязвимости: лайфхаки и неочевидные нюансы

Багхантинг — очень интересное занятие (по моему скромному мнению 🙂). Никогда не знаешь, какую уязвимость удастся найти сегодня. Каждый белый хакер уникален и имеет собственный стиль. Тяжелым трудом он приобретает необходимые навыки и оттачивает техники поиска уязвимостей определенных классов. В...

Все блоги / Про интернет

Что такое катастрофический возврат и как регулярное выражение может стать причиной ReDoS-уязвимости?

Регулярные выражения – очень полезный и удобный инструмент для поиска и замены текста. Однако в некоторых случаях они могут привести к зависанию системы или даже стать причиной уязвимости к ReDoS-атакам. Читать далее...

Все блоги / Про интернет

Как Apple кинула студентов из России или очередная критика программы Apple Security Bounty

Привет, Хабр! Apple славятся заботой о своих пользователях в вопросах безопасности и удобства пользования. Они щедро вознаграждает исследователей безопасности, которые помогают исправить уязвимости в их продуктах. На международной арене у них одни из самых высоких вознаграждений. Однако все чаще их...

Все блоги / Про интернет

От DoS до RCE: о неуловимом векторе атак

Привет читателям блога компании DeteAct! Меня зовут Омар Ганиев, многие меня знают по нику «Beched». (D)DoS -- это не только "тупая" атака, которая отключает сайты, но и инструмент для проведения куда более хитроумных взломов, про которые я расскажу. Узнать!...

Все блоги / Про интернет