Архивы рубрики ‘программы’

Выход за пределы песочницы в NodeJS

Автор: Lars Sorenson В этой статье мы рассмотрим внутреннее устройство интерпретатора NodeJS, и как воспользоваться этими знаниями для «побега» из песочницы. NodeJS представляет собой среду выполнения для JavaScript на базе движка V8 и позволяет разработчикам использовать один и тот

Как разводят на деньги и распространяют вредоносы «службы» технической поддержки

Вам когда-нибудь присылали электронное письмо или поступал звонок по телефону с предупреждением, что ваша система заражена вредоносными программами? Вначале звучит нечто угрожающее и пугающее. А дальше абонент на другом конце провода предлагает решить «внезапно»

Роль информационной безопасности в обеспечении непрерывности бизнеса

Автор: Яков Гродзенский, директор департамента информационной безопасности компании «Системный софт» Современный бизнес зависит от информационные технологий и остро нуждается в обеспечении бесперебойности процессов: даже час простоя сервисов в

Самые популярные методы социальной инженерии в 2018 году

За последние несколько лет кибермошенники, специализирующиеся на социальной инженерии, стали использовать более продвинутые методы для получения доступа к необходимой информации, учитывающие современную психологию как корпоративных служащих, так и человечества в

Сценарии атак с использованием технологии CORS

Автор: Milad Khoshdel Что такое CORS? Аббревиатура CORS расшифровывается как Cross-Origin Resource Sharing (Совместное использование ресурсов между разными источниками). Эта технология используется современными браузерами для проверки прав удаленного доступа к веб-ресурсам и службам и

От уязвимости XXE к чтению файлов уровня суперпользователя

Автор: Pieter Недавно во время одного из исследований в рамках программы Bug Bounty я столкнулся с системой, поддерживающей XML, которая выдавала очень интересные ответы при попытке эксплуатации уязвимости XXE. Никакой документации на этот XML-сервис не было за исключением статьи

Как повысить безопасность спутниковой системы на судне

Автор: Ken Munro Компания Satcoms является серьезным игроком в области кибербезопасности систем для морского судоходства. В прошлом спутниковая связь была очень дорогой и использовалась только в исключительно важных случаях. Электронная почта и социальные сети для судовой

Исследование безопасности облачного сервиса от DigitalOcean

Недавно компания DigitalOcean выпустила анонс о том, что сервис управления кластерами на базе Kubernetes доступен всем желающим. Так как мы большие фанаты продукции от DigitalOcean, я решил взглянуть, как обстоит дело с безопасностью нового сервиса по сравнению с другими облачными

Монстры внутри Middlebox’ов: Две новые утилиты для детектирования перехвата HTTPS-трафика

Авторы: Gabbi Fisher, Luke Valenta Перехват HTTPS-трафика остается распространенным явлением в интернете. Одно из наиболее детальных исследований, касающееся влияния этой практики, было обнародовано в статье «The Security Impact of HTTPS Interception». Кроме того, команда US-CERT предупреждает, что

Kubeletmein — утилита для повышения привилегий в кластерах Kubernetes

Автор: Marc Wickenden Kubeletmein – простая утилита для автоматизации техник, связанных с эксплуатацией протокола TLS агента kubelet, и расширения привилегий внутри кластера на базе Kubernetes. Чтобы понять предысторию вопроса, рекомендую ознакомиться со статьей «Kubelet hacking on GKE».