😈 Bluetooth-атаки: как хакеры угоняют автомобили Skoda без физического взлома

‼️ В медиасистемах автомобилей Skoda обнаружены уязвимости, которые позволяют удаленно управлять функциями автомобилей — об этом сообщила компания PCAutomotive на конференции Black Hat Europe

Уязвимости, затрагивающие систему MIB3, позволяют выполнять произвольный код при каждом запуске устройства — это открывает возможность для получения данных о местоположении автомобиля через GPS, скорости движения, записи разговоров через встроенный микрофон, снятия скриншотов с экрана мультимедийной системы, а также воспроизведения любых звуков в салоне

— Специалисты PCAutomotive пояснили, что уязвимости могут быть использованы в комбинации для внедрения вредоносных программ в систему автомобиля

Для эксплуатации проблем аутентификация не требуется, а атакующий может находиться на расстоянии до 10 метров от автомобиля

🗣 Ссылка на чтиво

#Vulnerability #Bluetooth #PCAutomotive #BlackHat | 🧑‍💻 Этичный хакер

😈 Небезопасная загрузка файлов: полное руководство по поиску продвинутых уязвимостей при загрузке файлов

Уязвимости в загрузки файлов интересны для поиска, они по своей природе имеют большое влияние и в некоторых случаях могут даже привести к удаленному выполнению кода

В рамках сегодняшней статьи рассмотрим:
— Что такое уязвимости загрузки файлов?
— Выявление уязвимостей при загрузке файлов
— Эксплуатация простых уязвимостей загрузки файлов
— Продвинутая эксплуатация уязвимостей при загрузке файлов

🗄 Рассмотрим как простые, так и продвинутые уязвимости загрузки файлов. Кроме того, мы уделим внимание особым случаям, которые могут быть использованы в специфических условиях

🗣 Ссылка на чтиво

#Vulnerability #File | 🧑‍💻 Этичный хакер

😈 Призрачный администратор: как хакеры захватывают контроль над WordPress-сайтами

‼️ На более чем 5000 сайтов WordPress выявлена вредоносная кампания, в ходе которой злоумышленники создают фальшивые учётные записи администратора, устанавливают вредоносные плагины и похищают данные

— После компрометации сайта вредоносный скрипт из указанного домена создаёт учётную запись администратора с именем wpx_admin, а её данные сохраняются в коде

Затем скрипт загружает и активирует вредоносный плагин под названием plugin.php с того же домена

🗣 Ссылка на чтиво

#WordPress #Vulnerability #Malware #News #CSRF | 🧑‍💻 Этичный хакер

😈 Основы XSS и поиск уязвимых к XSS сайтов (Часть 1)

Межсайтовый скриптинг (XSS) (Cross-Site Scripting) — подтип атаки на веб-системы, заключающийся во внедрении в выдаваемую веб-системой страницу вредоносного кода (который будет выполнен на компьютере пользователя при открытии им этой страницы) и взаимодействии этого кода с веб-сервером злоумышленника

Самое главное, что нужно понимать про виды XSS то, что они бывают:
🗄 Хранимые (Постоянные):
— Введённое злоумышленником специально сформированное сообщение в гостевую книгу (комментарий, сообщение форума, профиль) которое сохраняется на сервере, загружается с сервера каждый раз, когда пользователи запрашивают отображение этой страницы.
— Злоумышленник получил доступ к данным сервера, например, через SQL инъекцию, и внедрил в выдаваемые пользователю данные злонамеренный JavaScript код (с ки-логерами или с BeEF).

🗄 Отражённые (Непостоянные):
— На сайте присутствует поиск, который вместе с результатами поиска показывает что-то вроде «Вы искали: [строка поиска]», при этом данные не фильтруются должным образом.

🗣 Ссылка на чтиво

#XSS #Vulnerability #Guide | 🧑‍💻 Этичный хакер