Рут в два клика. Разбираем опасную уязвимость в MacOS High Sierra

Основы регулярных выражений в JavaScript
https://habrahabr.ru/post/343798/

В прошлом году проблему Dirty COW исправили не до конца
https://goo.gl/JU2QhM

Работавший на АНБ хакер признался, что действительно брал домой секретные файлы
https://goo.gl/mGdXAe

Как я написал приложение, которое за 15 минут делало тоже самое, что и регулярное выражение за 5 дней
https://habrahabr.ru/post/343116/

[XSS] - PAYLOADS | DE XENOTIX FRAMEWORK [5000+ Payloads]

https://foro.tpx.mx/discussion/18/xss-payloads-de-xenotix-framework-5000-payloads

Власти США могут через суд принуждать компании внедрять бэкдоры
https://goo.gl/dRNnXK

DNS-туннель, PsExec, кейлоггер: разбираем схему и технические инструменты атаки
https://goo.gl/iYxGnB

🔥 Открыто публичное тестирование библиотеки LibProtection, позволяющей разработчикам использовать форматные и интерполированные строки, защищённые от атак инъекций. Исходники одной из её реализаций (для .NET Framework), открыты под MIT-лицензией:  https://github.com/LibProtection/libprotection-dotnet.

Для тестирования функциональности и поиска возможных байпассов также доступен тестовый сайт, имитирующий уязвимое приложение, защищённое с помощью библиотеки: http://playground.libprotection.org/.

Код Хаффмана. Как распаковать таблицы, сжатые Huffman Encoding, в Intel ME 11.x

Синтаксис регулярных выражений в js выглядит как /pattern/flags.
Но помимо флагов, можно вернуть текст шаблона (исходный) с помощью свойства source.

Вжух, скрываем javascript:alert() от злых защит:

location=/jav/.source+/ascript/.source+/:/.source+/alert/.source+/``/.source

#XSS

http://research.nvidia.com/publication/2017-12_Unsupervised-Image-to-Image-Translation
Нейросети научились изменять на фото время года и погодные условия.

Стали известны первые биткоиновые миллиардеры
https://geektimes.ru/post/296167/

Вредоносное ПО, вошедшее в историю. Часть III
https://geektimes.ru/post/295855/

Есть такая приложунька — AI.type, модная клавиатура, у которой, по словам её разработчиков, около 40 млн пользователей. Так вот, на сервере этого приложения обнаружили базу данных с информацией о пользователях, которую, судя по всему, передавала клавиатура с телефонов пользователей. 577 гигабайт данных, среди которых почти 11 млн адресов электронной почты и 374 (ТРИСТА СЕМЬДЕСЯТ ЧЕТЫРЕ) миллиона номеров телефонов. Также, например, там были обнаружены списки приложений, установленных на телефонах пользователей, IP адреса пользователей, имена пользователей, даты рождения и фото.  А также различную информацию об устройстве (IMEI, IMSI, производитель и модель, разрешение экрана, версия Android). Мало того, что какого хрена эта информация вообще собиралась, так еще и база данных не была зашифрована. Вот почему я не люблю все эти сторонние клавиатуры и всячески их избегаю (и вам рекомендую).

А, да, и что важно — похоже, что утекла информация только пользователей устройств с Android. Никогда такого не было, и вот опять.

http://www.zdnet.com/article/popular-virtual-keyboard-leaks-31-million-user-data/

А вот и презентации, в том числе с Web Village
https://2017.zeronights.ru/materials/

MailSploit — набор уязвимостей в 30 популярных почтовых клиентах (Apple Mail (macOS, iOS и watchOS), Mozilla Thunderbird, несколько почтовых клиентов Microsoft, Yahoo Mail, ProtonMail), который позволяет обмануть встроенные механизмы и подставить любой почтовый адрес
https://thehackernews.com/2017/12/email-spoofing-client.html