Forwarded from IT и безопасность
Режим проверки правописания в Chrome и Edge отправляет пароли в Google и Microsoft
Исследователи из компании otto-js обнаружили необычное поведение браузеров Google Chrome и Microsoft Edge — если у пользователя включена расширенная проверка правописания, то его пароли могут отправляться в Google или Microsoft.
Браузеры в этом режиме рассматривают строку ввода пароля как обычное текстовое поле, поэтому активируют для него проверку правописания. Вводимый пользователем пароль отправляется на серверы Google или Microsoft как обычный текст. Поэтому пароль может быть перехвачен или скомпрометирован.
У этой проблемы на настоящий момент только одно решение: разработчикам сайтов нужно изменить разметку поля пароля, изменив его с обычного текстового на защищённое. Либо можно отключить расширенную проверку правописания в браузерах.
@blancvpn
Исследователи из компании otto-js обнаружили необычное поведение браузеров Google Chrome и Microsoft Edge — если у пользователя включена расширенная проверка правописания, то его пароли могут отправляться в Google или Microsoft.
Браузеры в этом режиме рассматривают строку ввода пароля как обычное текстовое поле, поэтому активируют для него проверку правописания. Вводимый пользователем пароль отправляется на серверы Google или Microsoft как обычный текст. Поэтому пароль может быть перехвачен или скомпрометирован.
У этой проблемы на настоящий момент только одно решение: разработчикам сайтов нужно изменить разметку поля пароля, изменив его с обычного текстового на защищённое. Либо можно отключить расширенную проверку правописания в браузерах.
@blancvpn
Всем доброго времени суток, коллеги! Рад официально объявить о начале сотрудничества с NetRunner 👾
Там я буду в роли соорганизатора и тимлид команды редакторов статей. Я тоже буду по возможности выкладывать/писать статьи. Советую перейти, чтобы видеть более эксклюзивный контент!
Я рад присоединиться к команде данного ИБ сообщества!
Там я буду в роли соорганизатора и тимлид команды редакторов статей. Я тоже буду по возможности выкладывать/писать статьи. Советую перейти, чтобы видеть более эксклюзивный контент!
Я рад присоединиться к команде данного ИБ сообщества!
🎉6🔥2👍1
This media is not supported in your browser
VIEW IN TELEGRAM
#Linux #CVE
LPE 0day exploit
CVE-2022-37706
This 0-day is gonna take any user to root privileges very easily and instantly.
The exploit is tested on Ubuntu 22.04, but should work just fine on any distro.
LPE 0day exploit
CVE-2022-37706
This 0-day is gonna take any user to root privileges very easily and instantly.
The exploit is tested on Ubuntu 22.04, but should work just fine on any distro.
❤2👍1
#Windows
Vulnerable AD
Создайте уязвимыйAD, который позволит вам протестировать большинство атак на Active Directory в локальной лаборатории.
Vulnerable AD
Создайте уязвимыйAD, который позволит вам протестировать большинство атак на Active Directory в локальной лаборатории.
😱3
#Windows
Detection Lab
Эта тестовая среда была разработана с учетом интересов защитников. Его основная цель - позволить пользователю быстро создать домен Windows, который поставляется с предварительно загруженными инструментами безопасности и некоторыми лучшими практиками, когда речь идет о конфигурации системного журнала. Он может быть легко изменен для удовлетворения большинства потребностей или расширен для включения дополнительных узлов.
Detection Lab
Эта тестовая среда была разработана с учетом интересов защитников. Его основная цель - позволить пользователю быстро создать домен Windows, который поставляется с предварительно загруженными инструментами безопасности и некоторыми лучшими практиками, когда речь идет о конфигурации системного журнала. Он может быть легко изменен для удовлетворения большинства потребностей или расширен для включения дополнительных узлов.
Forwarded from S.E.Book
Forwarded from NETRUNNER GROUP (Сергей Зыбнев)
#ЦиклСтатей_Сети
Не много БАЗЫ по HTTP/HTTPS 😚
Так же все пишу что бы было понятно лично мне (Вам будет понятно тоже)
1. HTTP PROTOCOL
2. HTTPS (SSL Certificate)
При изучении соблюдайте порядок ❤️
Не много БАЗЫ по HTTP/HTTPS 😚
Так же все пишу что бы было понятно лично мне (Вам будет понятно тоже)
1. HTTP PROTOCOL
2. HTTPS (SSL Certificate)
При изучении соблюдайте порядок ❤️
😱1
Forwarded from NETRUNNER GROUP (Tripini FKYL)
#ЦиклСтатей_Сети
Сегодня о TLS 😁
Постарался описать все предельно ясно
Что такое TLS протокол простыми словами
Соблюдайте порядок при прочтении статей (это можно сделать по хэштегу) ❤️
Сегодня о TLS 😁
Постарался описать все предельно ясно
Что такое TLS протокол простыми словами
Соблюдайте порядок при прочтении статей (это можно сделать по хэштегу) ❤️
🔥1
Forwarded from NETRUNNER GROUP (Tripini FKYL)
#ЦиклСтатей_Сети
Продолжаем изучать сети 🕸️
Сегодня: Что такое DNS-сервер простыми словами?
Соблюдайте порядок при изучении ❤️
Продолжаем изучать сети 🕸️
Сегодня: Что такое DNS-сервер простыми словами?
Соблюдайте порядок при изучении ❤️
❤1
Forwarded from NETRUNNER GROUP (Сергей Зыбнев)
#ЦиклСтатей_Сети
В прошлой статье мы изучили DNS-серверы, в продолжение вам: Что такое ресурсные записи DNS простыми словами? 🤔
При изучении соблюдайте порядок ❤️
В прошлой статье мы изучили DNS-серверы, в продолжение вам: Что такое ресурсные записи DNS простыми словами? 🤔
При изучении соблюдайте порядок ❤️
Telegraph
Что такое ресурсные записи DNS простыми словами
Что такое ресурсные записи DNS простыми словами Как мы знаем из прошлой статьи DNS - это "Телефонная книга Интернета". В роли номера телефона в ней выступает IP-адрес. Информация о домене хранится на DNS-серверах. Что бы внести её в систему DNS, нужно прописать…
👍3
Всем доброго времени суток, коллеги!
Сегодня будет пост про всем нам знакомый nmap.
A Complete Guide to Nmap
Сегодня будет пост про всем нам знакомый nmap.
A Complete Guide to Nmap
Telegraph
A Complete Guide to Nmap
Эта статья написана, чтобы стать максимально подробным гайдом по nmap.
🔥3
Forwarded from Monkey Hacker
#exploit
0-day RCE vulnerability on Microsoft Exchange Server✉️
Кратко: была найдена новая уязвимость в Microsoft Exchange Server
Как ее задетектить у себя на сервере?
🔸Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter "*.log" | Select-String -Pattern 'powershell.*autodiscover\.json.*\@.*200
Сканер по данной уязвимости:
🔸https://github.com/VNCERT-CC/0dayex-checker
Все подробности можно посмотреть здесь:
🔸https://www.gteltsc.vn/blog/warning-new-attack-campaign-utilized-a-new-0day-rce-vulnerability-on-microsoft-exchange-server-12715.html
0-day RCE vulnerability on Microsoft Exchange Server✉️
Кратко: была найдена новая уязвимость в Microsoft Exchange Server
Как ее задетектить у себя на сервере?
🔸Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter "*.log" | Select-String -Pattern 'powershell.*autodiscover\.json.*\@.*200
Сканер по данной уязвимости:
🔸https://github.com/VNCERT-CC/0dayex-checker
Все подробности можно посмотреть здесь:
🔸https://www.gteltsc.vn/blog/warning-new-attack-campaign-utilized-a-new-0day-rce-vulnerability-on-microsoft-exchange-server-12715.html
GitHub
GitHub - VNCERT-CC/0dayex-checker: Zeroday Microsoft Exchange Server checker (Virtual Patching checker)
Zeroday Microsoft Exchange Server checker (Virtual Patching checker) - VNCERT-CC/0dayex-checker
👍3
#BugBounty
Как начать заниматься багхантингом веб-приложений
Компании могут проверять свои продукты, сервисы или инфраструктуру на реальность взлома разными способами: это и пентест (тестирование на проникновение), и редтиминг (Red Team, проверка возможностей компании по выявлению и предотвращению вторжения), и bug bounty (набор условий, в соответствии с которыми белые хакеры получают от организаций вознаграждение за уязвимости, найденные в их IT-сетях, системах и приложениях). Дыры в программном обеспечении могут обернуться убытками для компаний и компрометацией персональных данных (а иногда и финансовыми потерями) для пользователей.
Как начать заниматься багхантингом веб-приложений
Компании могут проверять свои продукты, сервисы или инфраструктуру на реальность взлома разными способами: это и пентест (тестирование на проникновение), и редтиминг (Red Team, проверка возможностей компании по выявлению и предотвращению вторжения), и bug bounty (набор условий, в соответствии с которыми белые хакеры получают от организаций вознаграждение за уязвимости, найденные в их IT-сетях, системах и приложениях). Дыры в программном обеспечении могут обернуться убытками для компаний и компрометацией персональных данных (а иногда и финансовыми потерями) для пользователей.