xss

Обход авторизации и межсайтовый скриптинг ставят под угрозу конфиденциальность данных. В популярном плагине POST SMTP для WordPress , используемом более чем на 300 000 веб-сайтах были обнаружены две серьёзные уязвимости. Эти недостатки могут позволить злоумышленникам получить полный контроль...

Интересны акки до 2018 года регистрации xss, wwh, probiv! Без репутации! Предложения скидывайте в тг @wirkingo

Программное обеспечение для защиты сетей внезапно само стало источником проблем с безопасностью. 1450 доступных из Интернета экземпляров pfSense подвержены атакам внедрения команд ( Command Injection ) и межсайтовому скриптингу ( XSS ). Эти уязвимости, при их сочетании, могут позволить...

Исправленная ошибка использовала посетителей сайта как индикатор активации скрипта. Плагин Accelerated Mobile Pages ( AMP ) для WordPress , используемый более чем на 100 000 сайтах, недавно исправил уязвимость , позволявшую злоумышленнику внедрять вредоносные скрипты, которые активировались...

Zero-day в популярном почтовом клиенте обернулся потерей данных для тысяч пользователей. В почтовом программном обеспечении Zimbra обнаружена zero-day уязвимость, которую эксплуатировали четыре разные группы хакеров для кражи данных электронной почты, пользовательских учётных данных и...

Исследователи из Сингапура внесли неоценимый вклад в безопасность Битрикс. В продукте Битрикс24 , популярном облачном решении для автоматизации бизнес-процессов и взаимодействия с клиентами, недавно были обнаружены сразу 8 критических уязвимостей, способные привести к целому спектру...

От потенциальной жертвы требуется лишь открыть письмо, а преступники сами найдут нужный путь. Киберпреступники под псевдонимом Winter Vivern были замечены в эксплуатации уязвимости нулевого дня в программном обеспечении для обмена почтой Roundcube Webmail . Атаки были впервые зафиксированы...

Даже премиальные темы порой могут принести владельцам сайтов неприятные сюрпризы. Продолжающаяся операция по внедрению вредоносного кода Balada Injector привела к заражению более 17 000 сайтов на WordPress , эксплуатируя известные уязвимости в платных плагинах с темами оформления...

Злоумышленники благодарят Supermicro за новые уязвимости в BMC-контроллерах. Исследователи из ИБ-компании Binarly обнаружили 7 уязвимостей в контроллерах управления основной платой (Baseboard Management Controller, BMC ) от компании Supermicro, которые могут создать опасные последствия...

Корпоративным пользователям NetScaler ADC и NetScaler Gateway нужно срочно обновить своё ПО до актуальной версии. Компания Citrix предупреждает пользователей о ряде критических ошибок безопасности в NetScaler ADC и NetScaler Gateway , которая, по их словам, активно используется в...

Несколько альтернативных сайтов Reddit на базе Lemmy были взломаны из-за уязвимости нулевого дня. В последние дни несколько сайтов, построенных на открытом программном обеспечении Lemmy, были взломаны злоумышленниками, которые, по-видимому, использовали уязвимость нулевого дня. Lemmy -...

Злоумышленники могут читать и менять вашу почту. Компания Zimbra , разработчик популярного программного обеспечения для электронной почты, предупредила о критической уязвимости в своём продукте, которая активно эксплуатируется злоумышленниками. “В Zimbra Collaboration Suite версии 8.8.15...

Правительство США опубликовало список 25 слабых мест ПО, которые приводят к катастрофическим последствиям. Правительство США составило рейтинг самых распространенных и значимых слабых мест программного обеспечения, которые приводят к опасным уязвимостям в системах и приложениях. Список CWE...

Срочно обновите уязвимый плагин, пока злоумышленники не развернули полезную нагрузку. Более 40 тысяч сайтов на WordPress подвержены риску из-за уязвимости в плагине «Beautiful Cookie Consent Banner», который используется для добавления баннеров с запросом согласия на использование...

После публикации PoC-эксплойта наблюдалось большое число попыток захвата уязвимых сайтов. Хакеры начали активно использовать недавно исправленную уязвимость в плагине WordPress Advanced Custom Fields через 24 часа после того, как PoC -эксплойт был выложен в сеть. XSS -уязвимость...

Ошибка позволяет злоумышленнику за один клик получить полный контроль над сайтом. Исследователи безопасности из компании Patchstack , специализирующейся на безопасности платформы WordPress , обнаружили уязвимость в плагине Advanced Custom Fields (ACF) для WordPress, которая позволяет...

Компании из Редмонда пора бы всерьёз задуматься о безопасности… Появились подробности о недавно исправленной уязвимости в Azure Service Fabric Explorer (SFX), которая могла привести к удаленному выполнению кода неавторизованным злоумышленником. Отслеживаемая компанией Orca Security под...

CERT раскрыла все найденные уязвимости и дала каждой подробную характеристику. Немецкий поставщик решений для промышленной автоматизации Wago недавно выпустил исправления для нескольких своих программируемых логических контроллеров (ПЛК) для устранения сразу четырех уязвимостей. В том числе...

Патч безопасности затрагивает свыше десяти различных уязвимостей. Splunk Enterprise - это платформа для сбора, хранения, анализа и визуализации больших объемов данных, используемая для мониторинга и анализа работы IT-инфраструктуры, а также для получения оперативной информации о...

Пользователи сразу четырёх систем для работы с документами в опасности. 7 февраля компания Rapid7 сообщила в своём блоге об обнаружении сразу нескольких уязвимостей в четырех разных офисных пакетах: LogicalDOC, Mayan, ONLYOFFICE и OpenKM. 8 найденных уязвимостей используют принцип...

Уязвимости в API на сайте BrickLink позволяют киберпреступникам похищать аккаунты и взламывать серверы. BrickLink – это крупнейшее в мире онлайн-сообщество поклонников LEGO, в котором зарегистрировано более миллиона участников. В API сайта сообщества специалисты Salt Security обнаружили две...

Сейчас данные CloudSEK продаются на одном из теневых форумов за $10 000. Индийская ИБ-компания CloudSEK сообщила , что неизвестные хакеры получили доступ к ее серверу Confluence, используя украденные учетные данные от аккаунта Jira одного из сотрудников. Хотя из вики Confluence была...

Останутся ли востребованы живые программисты после создания ChatGPT. На прошлой неделе компания OpenAI , разработчик нейросети DALL-E, представила чат-бота ChatGPT, который работает прямо в браузере. Одна из особенностей чат-бота заключается в том, что он понимает даже абстрактный вопрос в...

*** Скрытый текст: У Вас недостаточно прав для просмотра скрытого текста. Посетите тему на форуме! *** Доброго времени суток форумчанин. Сегодня мы рассмотрим на примере уязвимости вида XSS для перехвата сессии пользователя к определённому сайту. Сложность атаки средняя. *** Скрытый текст: У...

Deface сайта можно сделать, если вы получили доступ к ftp, залили shell и тд, но также это можно сделать с помощью обычной XSS. В этой статье я хочу рассказать, как использовать Stored XSS для того, чтобы изменить содержимое главной страницы сайта или определенной страницы для того, чтобы...