Анатомия безопасности XMPP
Решал я таски на Root-Me и попалась таска XMPP - authentication. Основная цель таски состояла в том, чтобы по захвату пакетов вытащить пароль, который использовался при аунтефикации и я начал искать документацию к тому, как работает аунтефикация клиента. Читать далее...
Intent, WebView и биометрия: как безобидные функции становятся инструментами хакеров
Из-за санкций и удаления приложений из App Store и Google Play российские организации были вынуждены отойти от привычных всем репозиториев, предоставив злоумышленникам больше возможностей для обмана пользователей: загрузка и обновление приложений по внешним ссылкам даже для банковских клиентов...
Исследую роутеры с «вечным VPN» с российских маркетплейсов: admin:admin, открытые порты и доступ к соседям
Привет, Хабр! Меня зовут Иван Глинкин, я занимаюсь инфраструктурным тестированием и аппаратным хакингом в Бастионе. Недавно наткнулся на интересное предложение на российских маркетплейсах — роутеры с предустановленным «пожизненным» VPN. Звучит заманчиво: купил, включил и сразу получаешь безлимитный...
Как работать с биометрическими персональными данными
К концу 2024 года количество зарегистрированных биометрических образцов достигло 1,8 миллионов. Компании прибегают к использованию биометрических данных для упрощения работы с клиентами. Например, благодаря биометрической идентификации пользователю не нужно запоминать пароль — вместо него можно...
Данные на экспорт: как устроена защита персональных данных в Московском экспортном центре
Если вы разобрались, как работать с китайскими заводами, смогли продать авторские валенки в Дубай и даже однажды экспортировали лед в Исландию — значит, у вас есть выдержка. А значит и требования к защите персональных данных вы точно сможете понять. Тем более, что 1 июня 2025 года вступили в силу...
Telegram как канал доставки ВПО: сценарии атак, IoC и практический разбор
Telegram давно превратился из просто мессенджера в полноценную экосистему — с ботами, файлами, внешними ссылками и тысячами активных сообществ. Всё это делает его удобной средой не только для общения, но и для злоумышленников. Мошеннические схемы как с использованием ВПО, так и без него становятся...
Когда Terraform не нужен: работаем с инфраструктурой через Ansible
Здравствуйте. Меня зовут Николай, и сегодня я расскажу, как мне пригодились Ansible и Python для работы с Yandex Cloud, и совсем не пригодился Terraform. Как это было...
HTB Academy — Network Enumeration With NMAP — Решение задач
Внимание!!! В статье показано пошаговое решение модуля Network Enumeration with Nmap. Я настоятельно рекомендую сначала попробовать решить задачу самостоятельно, а в случае затруднений обратиться к подробному пошаговому руководству. Это позволит вам лучше понять процесс и развить собственные...
Web-уязвимости весны
Привет! Меня зовут Владимир и я старший исследователь веб‑угроз. В начале 2025 года я автоматизировал поиск и агрегацию данных по web-уязвимостям и теперь с радостью готов поделиться с вами статистикой web CVE и PoC за весну 2025. Ну и слегка разбавил сухие цифры дополнительной аналитикой. Читать...
Айрат Даллас: Стадионы будущего: как 5G и IoT трансформируют опыт посещения спортивных мероприятий
...
Finepromo: Кейс: Как точечная сегментация в VK Ads дала санаторию в 2 раза больше лидов на 40% дешевле
...
[Перевод] Развивающиеся стратегии кибербезопасности
Организации всё чаще обращаются к подходам, ориентированным на человека, поскольку две трети (68 %) инцидентов в сфере кибербезопасности связаны с человеческим фактором. Атакующие смещают фокус с сетей и систем на взлом людей через методы социальной инженерии, используя человеческие ошибки как...
Чем бомбили Иран: путь GBU-57 и будущее глубинных боеприпасов
В ночь на 22 июня 2025 года двенадцать 13-тонных бомб GBU-57 сорвались с люков B-2, пробили девяностометровый известняк над иранским Форду и превратили когда-то неприступный урановый бункер в груду искорёженного металла. Возник ключевой вопрос: за счёт какой инженерной хитрости одиночная авиабомба...
Кликджекинг по двойному щелчку. Новый приём обманного UI
Кликджекинг (подделка UI) — известный приём обмана пользователей интернета, когда поверх видимой страницы располагается невидимый слой, куда загружается фальшивка. То есть пользователю кажется, что он вводит пароль на доверенной странице, но на самом деле вводит его в стороннюю форму, которая...
Burp suite: 18 расширений
Burp Suite — это мощный инструмент для тестирования безопасности веб-приложений, и его функциональность можно значительно расширить с помощью плагинов (расширений). Вот топ расширений для Burp Suite, которые полезны для пентестеров и исследователей безопасности: Читать далее...
Математика бэкдора в Dual EC DRBG
Dual EC DRBG - нашумевшая схема генератора псевдослучайных чисел, который был стандартизован, несмотря на потенциальный бэкдор. Математическая часть данного бэкдора интересна и сама по себе, но особенно - как важная веха в истории современной криптографии. Статья посвящена математической части...
Жаркая барахолка под Валенсией: винтажный hi-tech, ноутбуки и гитары
Привет, Хабр! В Испании становится все жарче, но барахолка пока не снижает активности — все эти рынки и рыночки продолжают нормально работать. В августе будет совсем ужас, но пока что терпимо. О чем я вообще? Да сегодня в очередной раз выбрался на барахолку под Валенсией и встретил несколько...
Macbook Pro 2012 года в реалиях 2025-го: насколько он жизнеспособен сейчас?
Пару лет назад я сделал одну из самых странных покупок: Macbook Pro mid 2012. И как оказалось, это была просто великолепная покупка: ноутбук и по сей день способен выполнять несложные задачи, радуя вполне адекватной производительностью. А ещё тут дизайн, который стал уже современной классикой. В...