Небезопасная аутентификация. Ищем баги в приложениях с Single Sign-On на базе SAML
2016-02-09 12:30 Михаил Егоров Для подписчиков Перед тобой практическое руководство по аудиту безопасности веб-приложений с поддержкой Single Sign-On — технологии, которая позволяет логиниться в веб-приложение через сторонний сайт. Мы подробно расскажем, какие инструменты нужно использовать для пентестов, на наличие каких уязвимостей нужно проверять приложение: XXE, атаки через преобразования, XPath-инъекции, ошибки при проверке подписи, атаки XSW, атаки на зашифрованные assertions и многое другое. Велком!
Компания Oracle выпустила экстренное обновление Java для Windows
2016-02-10 09:30 Мария Нефёдова
Oralce выпустила внеплановое обновление для Java SE 6, 7 и 8, закрывающее серьезную уязвимость в инсталляторе для Windows (CVE-2016-0603). Не новую, по сути, проблему обнаружил германский исследователь Стефан Кантак (Stefan Kanthak). Уязвимость заключается в том, что инсталлятор может загружать и исполнять DLL-файлы из своей директории, а это, как правило, папка «Downloads».
Киберпреступники грабят банки, используя сложные АРТ-техники
2016-02-10 10:30 Мария Нефёдова
В ходе саммита Security Analyst Summit эксперты команды GReAT (Global Research & Analysis Team) «Лаборатории Касперского» рассказали, что хакеры берут на вооружение всё более сложные техники. В последнее время злоумышленники стали применять трюки, которые ранее можно было увидеть только в исполнении APT-группировок.
Хочешь взломать Facebook своей девушки и читерить в Hearthstone? Опасайся малвари
2016-02-10 12:00 Мария Нефёдова
Сразу два вредоносных приложения, ориентированные на наивных (или отчаявшихся) пользователей обнаружили эксперты в области информационной безопасности. Первый инструмент предлагает взломать чужой аккаунт Facebook, второй — получить «god mode» в популярной игре Hearthstone компании Blizzard.
Гаджеты команды ][. Какими смартфонами, планшетами и умными часами пользуются сотрудники журнала
2016-02-10 12:03 Евгений Зобнин Для подписчиков Читая наш журнал, особенно многочисленные статьи рубрики X-Mobile о рутинге, джейлбрейке, архитектуре Android и настройке производительности, ты мог подумать, что все мы здесь пользуемся рутованными смартфонами с несколькими операционками и взломанными айфонами с кучей софта для вардрайвинга. Если так, то добро пожаловать под кат, ибо там ты узнаешь, что на самом деле предпочитают использовать сотрудники ][, находясь вдали от дома.