Рубрика «уязвимости»

Ваш сайт вам больше не принадлежит: как CVE-2025-11953 отдает ключи хакерам

2025-12-23 в 8:00, admin, рубрики: CVE, react native, selectel, атаки на библиотеки, атаки на инфраструктуру, информационная безопасность, информационные технологии, уязвимости, фреймворки

Читать полностью »

Как я нашёл уязвимость в JavaScript-движке, или Почему корень из нуля чуть не сломал браузеры

2025-12-23 в 7:01, admin, рубрики: javascript, V8, браузеры, уязвимости

Читать полностью »

Обвели вокруг пальца, или Как мы обманывали сканеры отпечатков

2025-12-17 в 5:19, admin, рубрики: защищенность встраиваемых систем, информационная безопасность, отпечатки пальцев, сканеры отпечатков пальцев, уязвимости

Всем привет! С вами исследовательская лаборатория BI.ZONE. Большую часть времени мы исследуем защищенность встраиваемых систем, а еще у нас бывают проекты по тестированию биометрических систем. В августе на конференции OFFZONE 2025 мы выступили с докладом о тестировании сканеров отпечатков пальцев. Доклад и презентацию к нему можно посмотреть по ссылке. А специально для тех, кто любит читать длинные тексты, весь этот интересный процесс мы описали в нашей новой статье.

Несколько слов о сути проекта

Читать полностью »

Bug Bounty Минцифры: как найти критическую уязвимость и получить дырку от бублика в награду

2025-12-07 в 13:15, admin, рубрики: багбаунти, багхантинг, Минцифры, уязвимости

Привет, Хабровчане!

Решил написать небольшую заметку о моем личном опыте взаимодействия с багбаунти программой Минцифры РФ. На самом деле у меня наберется много интересных историй так или иначе связанных с багбаунти, но некоторые из них являются особо примечательными. Об одной из них и пойдет речь в данной статье.

Для начала немного расскажу о себе. Опыт в ИБ у меня обширный и разнообразный. В данной сфере я уже чуть более 13 лет. Поработал на многих участках кибербеза, начиная от так называемого«папирсека» (специалист, отвечающий за подготовку всех необходимых документов по ИБЧитать полностью »

Лувр, dadada, Трамп и стикер: человеческий фактор в ИБ

2025-11-07 в 11:13, admin, рубрики: взлом, Лувр, пароли, уязвимости, хакеры

В октябре 2025 года Лувр пережил дерзкое ограбление. Размер ущерба составил €88 миллионов. На днях вскрылись шокирующие детали: треть залов без камер, охрана на устаревших датчиках и серверы на Windows Server 2003. Но ключевой уязвимостью оказался пароль от системы видеонаблюдения — LOUVRE, зафиксированный в официальном отчёте национального агентства штатных информационных систем.

Выходит, для взлома такого известного музея, сокровищницы мировой культуры, хватило одного-единственного слова. Ни хитроумных алгоритмов, ни дорогостоящего шпионского оборудования не понадобилось.

Читать полностью »

Рунет в стране кошмаров: ТОП-АНТИТОП уязвимостей октября

2025-11-05 в 15:00, admin, рубрики: bind9, CVE, rce, WSUS, информационная безопасность, патч, рунет, уязвимости, эксплойт

Читать полностью »

Bug bounty в РФ: когда вендор молчит, а платформа подыгрывает

2025-10-24 в 18:01, admin, рубрики: bug bounty, max, standoff 365, арбитраж, багхантинг, национальный мессенджер, персональные данные, уязвимости, ФЗ-152

Привет!

Не так давно я влился в компанию «белых хакеров», и несмотря на то, что считаю себя в данной области «новичком» — за определённый период всё же почерпнул некоторый опыт, которым хочу поделиться с другими новичками, и, возможно получить какую‑то рецензию от «бывалых» на свою статью (кстати сказать — тоже первую).

Мое «поле»:

*Платформа Bug Bounty*:	Standoff365 (АО «Позитив Текнолоджиз»)
*Выбранный объект исследования:*	Читать полностью »

Анализ смарт-контрактов на примере Solidity

2025-10-22 в 8:55, admin, рубрики: appsec, cybersecurity, DeFi, machinelearning, smartcontract, безопасная разработка, безопасный код, уязвимости

Блокчейн-индустрия переживает период беспрецедентного роста. Общая стоимость заблокированных активов (total value locked, TVL) в децентрализованных финансовых протоколах превышала 200 млрд долларов по состоянию на 2024 год [1 Читать полностью »

В фокусе RVD: трендовые уязвимости сентября

2025-10-07 в 10:58, admin, рубрики: chromium, Cisco, postgresql, vulnerability management, информационная безопасность, кибербезопасность, управление уязвимостями, уязвимости, эксплуатация уязвимостей

Вендоры и исследователи по кибербезопасности традиционно не спешат раскрывать технические детали уязвимостей сразу после их обнаружения. Причина в том, что публикация рабочего PoC (proof of concept) резко повышает вероятность массовой эксплуатации. Компании предпочитают выиграть время, чтобы пользователи успели установить обновления, и только после этого публикуют подробные отчёты.

Однако даже без раскрытия PoC можно определить уязвимости, которые представляют реальную опасность и требуют оперативной реакции.

Аналитики R-VisionЧитать полностью »