#FYI
Ну а чтобы вы совсем не превращались в овощей с нашим потоком "новостных" материалов, вот вам интересный вектор атаки с использованием CSV файлов.
Хотите запустить стороннее приложение или отправить GET запрос? - Запросто!
Полноценной атакой это назвать, конечно, сложно, но приложив немного усилий и социальной инженерии может оказаться крайне губительным инструментом для тех, кто открывает CSV с помощью excel.
https://georgemauer.net/2017/10/07/csv-injection.html
Ну а чтобы вы совсем не превращались в овощей с нашим потоком "новостных" материалов, вот вам интересный вектор атаки с использованием CSV файлов.
Хотите запустить стороннее приложение или отправить GET запрос? - Запросто!
Полноценной атакой это назвать, конечно, сложно, но приложив немного усилий и социальной инженерии может оказаться крайне губительным инструментом для тех, кто открывает CSV с помощью excel.
https://georgemauer.net/2017/10/07/csv-injection.html
#Событие #FYI
Вчера на закрытом мероприятии для партнёров, Positive Technologies отчиталась о завершении своего 16-17 финансового года (общий рост +30%).
Помимо этого:
- Показали новый продукт для работы с ГосСОПКой и КИИ.
- Представили новую услугу аудита систем, построенных на базе блокчеин.
- Назвали тренды грядущего 2018 года.
- Обозначили даты нового PHD - 15-16 мая.
Вчера на закрытом мероприятии для партнёров, Positive Technologies отчиталась о завершении своего 16-17 финансового года (общий рост +30%).
Помимо этого:
- Показали новый продукт для работы с ГосСОПКой и КИИ.
- Представили новую услугу аудита систем, построенных на базе блокчеин.
- Назвали тренды грядущего 2018 года.
- Обозначили даты нового PHD - 15-16 мая.
#FYI
Не знаем, как такой шедевр обошел нас стороной, но тем, кто хочет научиться взламывать frontend на Java, просмотр обязателен. Остальным - в качестве ознакомления с прекрасным :) Have fun!
https://www.youtube.com/watch?v=J0zb_CoPQws
Не знаем, как такой шедевр обошел нас стороной, но тем, кто хочет научиться взламывать frontend на Java, просмотр обязателен. Остальным - в качестве ознакомления с прекрасным :) Have fun!
https://www.youtube.com/watch?v=J0zb_CoPQws
YouTube
«МИРУ-МИР» (Короткометражный фильм) 2017
Группа международных террористов-хакеров прибывает в Москву, чтобы взломать новую российскую систему «МИР».
#Полезное #FYI
Под конец года только ленивые не выпустили свой отчет по итогам 2017.
Мы уже выкладывали отчеты от:
Positive Technologies
Cisco
PricewaterhouseCoopers (PwC)
И вот в нашу коллекцию добавляется отчет компании Group-IB.
Под конец года только ленивые не выпустили свой отчет по итогам 2017.
Мы уже выкладывали отчеты от:
Positive Technologies
Cisco
PricewaterhouseCoopers (PwC)
И вот в нашу коллекцию добавляется отчет компании Group-IB.
#FYI
Сколько зарабатывают безопасники? Немного аналитики от Андрея Прозорова.
Спойлеры:
- В открытом доступе публикуется лишь часть всех вакансий
- Уровень ЗП растет медленно
- В Москве и Санкт-Петербурге платят больше, увы и ах
- Неожиданно следующий по востребованности город - Сургут
- Сертификаты помогают зарабатывать больше
Сколько зарабатывают безопасники? Немного аналитики от Андрея Прозорова.
Спойлеры:
- В открытом доступе публикуется лишь часть всех вакансий
- Уровень ЗП растет медленно
- В Москве и Санкт-Петербурге платят больше, увы и ах
- Неожиданно следующий по востребованности город - Сургут
- Сертификаты помогают зарабатывать больше
#FYI
Необычная иньекция через Google Календарь, позволяющая с помощью эксплоита от команды Black Hills, автоматически создавать события в календаре жертвы (если такая функция у нее не отключена).
Источник: https://www.blackhillsinfosec.com/google-calendar-event-injection-mailsniper/
Необычная иньекция через Google Календарь, позволяющая с помощью эксплоита от команды Black Hills, автоматически создавать события в календаре жертвы (если такая функция у нее не отключена).
Источник: https://www.blackhillsinfosec.com/google-calendar-event-injection-mailsniper/
Black Hills Information Security
Google Calendar Event Injection with MailSniper - Black Hills Information Security
Beau Bullock & Michael Felch // Source: https://chrome.google.com/webstore/detail/google-calendar-by-google/gmbgaklkmjakoegficnlkhebmhkjfich Overview Google Calendar is one of the many features provided to those who sign up for a Google account along with…
#FYI
Раз речь пошла о команде Black Hills, вот еще одна из их свежих разработок - фреймфорк, позволяющий с помощью фишинга получить учетные данные пользователей, даже не смотря на недавно представленный механизм Advanced Protection от Google, использующий физические токены.
Справедливости ради стоит отметить, что трюк не сработает, если ваш браузер поддерживает протокол U2F. Google Chrome, например, умеет в U2F уже из коробки, а для FireFox придется ставить дополнение...
Источник: GitHub
Раз речь пошла о команде Black Hills, вот еще одна из их свежих разработок - фреймфорк, позволяющий с помощью фишинга получить учетные данные пользователей, даже не смотря на недавно представленный механизм Advanced Protection от Google, использующий физические токены.
Справедливости ради стоит отметить, что трюк не сработает, если ваш браузер поддерживает протокол U2F. Google Chrome, например, умеет в U2F уже из коробки, а для FireFox придется ставить дополнение...
Источник: GitHub
#FYI #Событие
В твиттере есть чувак с именем главного героя сериала Mr.Robot, который частенько реверсит различные мобильные приложения и публикует обнаруженные им бекдоры, позволяющие разработчикам следить за пользователями.
Например вчера, в одном из предустановленных приложений на смартфоны OnePlus он нашел бекдор, позволяющий получить root доступ по простой ADB команде.
https://twitter.com/fs0c131y/status/930115188988182531
Со слов Эллиота, бекдор присутствует на всех последних моделях OnePlus.
В твиттере есть чувак с именем главного героя сериала Mr.Robot, который частенько реверсит различные мобильные приложения и публикует обнаруженные им бекдоры, позволяющие разработчикам следить за пользователями.
Например вчера, в одном из предустановленных приложений на смартфоны OnePlus он нашел бекдор, позволяющий получить root доступ по простой ADB команде.
https://twitter.com/fs0c131y/status/930115188988182531
Со слов Эллиота, бекдор присутствует на всех последних моделях OnePlus.
Twitter
Elliot Alderson
Hey @OnePlus! I don't think this EngineerMode APK must be in an user build...🤦♂️ This app is a system app made by @Qualcomm and customised by @OnePlus. It's used by the operator in the factory to test the devices.
#FYI
Любопытный анализ безопасности Chrome и Safari от Антона (Bo0oM) с бонусом в виде демонстрации уязвимости UXSS в каждом из них.
https://bo0om.ru/chrome-and-safari-uxss
Любопытный анализ безопасности Chrome и Safari от Антона (Bo0oM) с бонусом в виде демонстрации уязвимости UXSS в каждом из них.
https://bo0om.ru/chrome-and-safari-uxss
Взрывной блог
Комикс о UXSS в Safari и Chrome | Взрывной блог
#FYI
Вот вам правило на ночь, дорогие вы наши, хорошие: Не копируйте команды в терминал, пишите от руки! Иначе ненароком можно и лишнего накопировать...
https://thejh.net/misc/website-terminal-copy-paste
Вот вам правило на ночь, дорогие вы наши, хорошие: Не копируйте команды в терминал, пишите от руки! Иначе ненароком можно и лишнего накопировать...
https://thejh.net/misc/website-terminal-copy-paste