Уязвимости Laravel, технология Cookieless и Kerberos-лапша, или Рассказ о том, как мы IDS Bypass 5 решали
Вот и прошли два месяца с окончания Positive Hack Days Fest 2. Несмотря на то что он уже второй год как городской киберфестиваль, все привычные активности остались. Один из конкурсов — IDS Bypass — мы провели в юбилейный, пятый раз. Подводим его итоги и делимся райтапом. Немного статистики: В этом...
Безопасность CI/CD
Обычно, когда начинается разговор о DevSecOps, все сразу вспоминают о необходимости встраивать в конвейер SAST, DAST, SCA инструменты, проводить различные тесты на безопасность приложения и регулярно сканировать работающее в продуктивной среде решение. Но при этом не стоит забывать и о...
Мы построили бесконечный винный фонтан своими руками, потратив всего 6000 рублей. Рассказываю, из чего он сделан
Привет! Меня зовут Леша Штанько, я работаю системным администратором, интегратором и пишу автоматизации в Google App Scripts на JS в AGIMA. Но есть у меня и еще одна ипостась — я активный участник нашего винного клуба. Мы с ребятами дегустируем вина, изучаем их специфику и историю, разбираемся во...
WAF или не WAF? Дайте два! Решаем вопрос защиты веб-приложений
Всем привет. Меня зовут Аскар Добряков, я ведущий эксперт направления защиты бизнес-приложений. Уже больше 15 лет занимаюсь ИБ и три из них – защитой веб-приложений. За это время я часто сталкивался с неоднозначным отношением коллег к Web Application Firewall. В ИБ-сообществе мнения относительно...
Не хомяком единым: игры-кликеры, чьи бренды мошенники используют для угона аккаунтов или кражи крипты
Небывалый ажиотаж вокруг Telegram-приложения Hamster Kombat, в котором с марта этого года уже более 250 миллионов пользователей неистово «тапают хомяка» в надежде заработать криптовалюту, привлек повышенное внимание скамеров. За последние три месяца исследователи F.A.C.C.T. обнаружили более 600...
[Перевод] История Same Origin Policy
В начале 90-х интернет был очень базовым и простым для понимания. По сути, это были два компонента: веб-сервер и браузер. На локальном компьютере вы устанавливали браузер, который, получив URL, отправлял HTTP GET-запрос на сервер, на котором запрашиваемый ресурс. Затем этот сервер отвечал текстом,...
Digital-агентство Marketing 360: Кейс Telegram Ads: как мы привлекли 4454 подписчиков в чат-бот и 479 лидов на курсы подготовки к ЕГЭ и ОГЭ
...
Bug Bounty для новичков: зачем компании платят за взлом своих продуктов и как в этом поучаствовать
Многие IT-компании платят людям за обнаружение уязвимостей и багов в их софте, сервисах, веб-сайтах или инфраструктуре. В обмен на сообщения об уязвимостях исследователи безопасности могут получить вознаграждение, известность и уважение в индустрии, а еще — интересный оффер на работу. Рассказываем,...
Боков Ахмад: Родился ли я предпринимателем? Или небольшая история простого инженера, попавшего в IT
...
Представлен Cixin P1 — китайский процессор для ноутбуков с мощным NPU (2 фото)
Китайская компания Cixin Technology представила процессор Cixin P1, который позиционируется как первый потребительский CPU бренда, ориентированный на ИИ-вычисления. Он оснащён встроенным нейромодулем с производительностью до 45 TOPS — на уровне AMD Ryzen AI 300 и чипов Intel семейства Lunar Lake....
У YouTube начались проблемы по всему миру (3 фото)
За последние 24 часа зарубежный сервис Downdetector зафиксировал резкий рост жалоб на работу YouTube: пик пришёлся на вечер 31 июля, затем количество сбоев пошло на спад. Российский сайт «Сбой.рф» тоже «заметил» неполадки и показал свой график, в котором ситуация выглядит ещё хуже....
Новое мотор-колесо позволяет делать недорогие и автономные электрокары (3 фото)
Стартап из Мюнхена DeepDrive разработал необычный электродвигатель. Компания намерена расширить технические возможности производителей авто для создания более доступных и в то же время автономных электромобилей с помощью запатентованной технологии двойного ротора....
Гарнитуру Apple Vision Pro подключили прямо к мозгу человека с помощью импланта Synchron (2 фото)
Нейротехнологический стартап Synchron сегодня объявил об успешном подключении своего мозгового импланта к гарнитуре Apple Vision Pro. Разработанный Synchron «интерфейс мозг-компьютер» (brain-computer interface, BCI) призван помочь парализованным пациентам управлять технологичными устройствами при...
В России стали производить новый материал для 3D-печати
Вместо иностранных аналогов....
(Не) безопасный дайджест: Угон Pepe и Shib коинов, Disney под атакой, а также слив данных миллионов американцев
Пролетел второй месяц лета, и мы надеемся, что вы хорошо отдохнули или уже собираетесь в отпуск. Чтобы скрасить рабочие будни, делимся подборкой сочных летних ИБ-инцидентов. Сегодня в рубрике: продолжение драмы со Snowflake, недопонимание с robots.txt и похищение мем-коинов Читать далее...
[Перевод] Настройка аутентификации с одноразовым паролем в OpenAM
Аутентификация с паролем является, пожалуй, самым распространенным методом аутентификации. Но она не является достаточной надежной. Часто пользователи используют простые пароли или используют один и тот же пароль для разных сервисов. Таким образом пароль пользователя может быть скомпрометирован....
Назад