session hijacking

Персональный токен доступа (PAT), случайно слитый в историю чата ChatGPT, оставался валидным несколько месяцев и давал admin-доступ к production-репозиториям нескольких организаций. Кейс описан Obsidian Security - двух низкоприоритетных API-вызовов хватило для маппинга всего доступного...

На bug bounty в финтехе я потратил три минуты на обнаружение CRLF injection в эндпоинте редиректа - и два часа на эскалацию до XSS через HTTP response splitting с захватом сессии администратора. Триажер поставил Medium, хотя цепочка вела до полного session hijacking через подставленный...

Три из четырёх вторжений в 2024 году обошлись без единого эксплойта. Атакующие просто вошли с валидными учётными данными. Среднее время от входа до латерального перемещения - 62 минуты, рекорд - 51 секунда. Проблема не в стенах, а в дверях: identity стала главным вектором компрометации. Каждая...

То, что суперчасто упоминается в моих статьях. Давайте развернём эту конфетку. Всё о MITM атаках: история, развитие и всё, что нужно знать Введение: от первых сетевых уязвимостей до современных методов перехвата В эпоху, когда компьютерные сети только начинали формироваться, безопасность...