Bug Bounty Минцифры: как найти критическую уязвимость и получить дырку от бублика в награду

Привет, Хабровчане! Решил написать небольшую заметку о моем личном опыте взаимодействия с багбаунти программой Минцифры РФ. На самом деле у меня наберется много интересных историй так или иначе связанных с багбаунти, но некоторые из них являются особо примечательными. Об одной из них и пойдет речь в данной статье. Для начала немного расскажу о себе. Опыт в ИБ у меня обширный и разнообразный. В данной сфере я уже чуть более 13 лет. Поработал на многих участках кибербеза, начиная от так называемого "папирсека" ( специалист, отвечающий за подготовку всех необходимых документов по ИБ ) до application security инженера. Работал и в органах государственной власти, и в компаниях с государственным участием и в чистой коммерции. В общем небольшое представление об ИБ имею.

https://habr.com/ru/articles/974184/

#багхантинг #багбаунти #минцифры #уязвимости

Топ самых интересных CVE за ноябрь 2025 года

Всем привет! Пока мир знакомится с новогодним подарком в лице React2Shell и ловит флешбэки в ноябрь 2021-го, давайте подведём итоги этого ноября дайджестом главных CVE прошлого месяца и вспомним его добрым словом. В ОС Android версий с 13 по 16 включительно закрыли 0-click под RCE, связанный с недостаточной проверкой входных данных. Схожую уязвимость обнаружили и в библиотеке Javascript expr-eval c произвольным кодом в контексте приложения. Произвольными командами отметился и Cisco UCCX. Критических CVE под разное произвольное в ноябре в целом было много: пострадали также 7-Zip, Gladinet Triofox, Fortinet FortiWeb и Google Chrome. Обо всём этом и других ключевых уязвимостях последнего осеннего месяца читайте под катом!

https://habr.com/ru/companies/tomhunter/articles/972146/

#cve #vulnerability #vulnerability_assessment #vulnerabilities #vulnerability_research #уязвимости #уязвимость_нулевого_дня #уязвимости_и_их_эксплуатация

В фокусе RVD: трендовые уязвимости ноября

Хабр, привет! На связи команда инженер-аналитиков R-Vision. В ноябре нами было выявлено 13 трендовых уязвимостей. В дайджест вошли лишь те, что представляют наибольшую опасность по уровню риска, подтверждённой эксплуатации и практическому интересу для специалистов информационной безопасности. Полный перечень уязвимостей доступен в Базе уязвимостей RVD (R-Vision Vulnerability Database) , которая используется в продукте R-Vision VM. Данные поступают в базу из более чем 300 источников и автоматически обновляются каждые 8 часов. Это позволяет обеспечивать актуальность и полноту представленной информации. Каждая уязвимость проходит проверку в лаборатории R-Vision, где развёрнуто более 700 тестовых стендов.

https://habr.com/ru/companies/rvision/articles/973202/

#уязвимости #информационная_безопасность #кибербезопасность #управление_уязвимостями #эксплуатация_уязвимостей #vulnerability_management

Уязвимые серверы, или Как много «новогодних ёлок» у вас в инфраструктуре

Привет, это снова Angara Security и наши эксперты по киберразведке Angara MTDR. Сегодня мы расскажем, что можно узнать об инфраструктуре компании, используя легитимные онлайн-сервисы, и дадим советы, как защитить организацию от неприятных сюрпризов.

https://habr.com/ru/companies/angarasecurity/articles/972204/

#киберразведка #итинфраструктура #gitlab #shodan #уязвимости #0day

«Хакер»: самые важные новости мира безопасности за ноябрь

В этом месяце: роутеры Keenetic обновляются самостоятельно, Microsoft борется с KMS-активацией Windows, Минцифры дополнило «белые списки» сайтов, маршрутизаторы Asus подверглись массовому взлому, исследователи сумели собрать личные данные 3,5 миллиарда пользователей WhatsApp, а также другие важные и интересные события ноября.

https://habr.com/ru/companies/xakep/articles/971574/

#Keenetic #Asus #маршрутизаторы #информационная_безопасность #уязвимости #Microsoft #Windows #кибератаки #утечки_данных #WhatsApp

Как тестировать конфигурацию Nginx: корректность и информационная безопасность

При разработке сложной системы часто приходится сталкиваться с необходимостью использования nginx в качестве reverse proxy. Один из частых сценариев использования это роутинг, список правил, регулирующих путь запроса во внутренние системы или путь между внутренними подсистемами. Зачастую быстро развивающиеся сервисы обрастают правилами, назначение которых не очевидно или имеет недокументированные особенности. Много объективных и не очень причин почему так случилось, но в какой то момент это все приходится приводить в порядок. Проверенный способ рефакторинга систем с недокументированным поведением: зафиксировать и вылечить упростить. Фиксировать будем тестами. Как проверить корректность вашей конфигурации Nginx'а? Как проверить ее безопасность и нет ли уязвимостей ? Какие есть для этого варианты, их плюсы, минусы, практическая применимость и как эти проверки встроить в CI пайплайн ? Постараюсь ответить на эти вопросы. Будет полезно, погнали. Погнали

https://habr.com/ru/articles/966914/

#perl #TestNginx #тестирование #reverseproxy #docker #python #рефакторинг #информационная_безопасность #уязвимости #nginx

Kerberos: атакуем трехголового пса

На сегодняшний день Active Direvtory является неотъемлемой частью функционирования любой корпоративной сети под управлением Windows. Протокол Kerberos используется в инфраструктуре Active Directory (AD) для аутентификации пользователей и сервисов. В этой статье мы поговорим о том, как работает этот протокол, и рассмотрим типовые атаки на него.

https://habr.com/ru/companies/otus/articles/967236/

#пентест #activedirectory #ntlm #Kerberos #Аутентификация #уязвимости #KDC #Атаки_на_инфраструктуру

Карты, деньги, два бага: погружаемся в программный взлом банкоматов

Всем привет! Вновь с вами аналитики из команды PT Cyber Analytics, и мы завершаем рассказ про исследование защищённости банкоматов. В первой части статьи мы подробно рассказали про устройство банкомата, принцип его работы и основные типы атак. Настало время перейти к самому интересному: логическим атакам. За нами, читатель! Мы расскажем, как же всё-таки взламывают банкоматы без шума и пыли.

https://habr.com/ru/companies/pt/articles/963094/

#логические_атаки #банкоматы #диспенсер #blackbox #уязвимости #баги #прошивка #atm #дамп_памяти #dmaатака

В фокусе RVD: трендовые уязвимости октября

Хабр, привет! Мы проанализировали широкий спектр уязвимостей за октябрь 2025 и собрали в дайджест те уязвимости, которые представляют наибольшую опасность — по уровню риска, подтверждённой эксплуатации и практическому интересу для специалистов информационной безопасности.

https://habr.com/ru/companies/rvision/articles/964824/

#уязвимости #информационная_безопасность #кибербезопасность #управление_уязвимостями #vulnerability_management #эксплуатация_уязвимостей

Лувр, dadada, Трамп и стикер: человеческий фактор в ИБ

В октябре 2025 года Лувр пережил дерзкое ограбление. Размер ущерба составил €88 миллионов. На днях вскрылись шокирующие детали: треть залов без камер, охрана на устаревших датчиках и серверы на Windows Server 2003. Но ключевой уязвимостью оказался пароль от системы видеонаблюдения — LOUVRE, зафиксированный в официальном отчёте национального агентства штатных информационных систем. Выходит, для взлома такого известного музея, сокровищницы мировой культуры, хватило одного-единственного слова. Ни хитроумных алгоритмов, ни дорогостоящего шпионского оборудования не понадобилось. Этот случай — не курьёзное исключение. Увы, пренебрежение основами безопасности — это болезнь, которая поразила всех — от Дональда Трампа и Марка Цукерберга до Пэрис Хилтон и Лизы Кудроу.

https://habr.com/ru/companies/cloud4y/articles/964116/

#взлом #лувр #хакеры #пароли #уязвимости