[Перевод] Мастер-класс по обходу WAF: Использование SQLMap с Proxychains и Tamper-скриптами против Cloudflare и…
Практическое руководство по изучению и тестированию техник обхода WAF с помощью продвинутых настроек SQLMap и proxychains. Введение В современном быстро меняющемся мире кибербезопасности веб-фаерволы (WAF) играют важнейшую роль в защите сайтов от вредоносных воздействий, таких как SQL-инъекции....
[Перевод] Кризис парольной безопасности: 94% повторно используют слабые пароли
Новое исследование, охватившее более 19 миллиардов паролей из свежих утечек данных, подтверждает: мир столкнулся с масштабным кризисом повторного использования ненадежных комбинаций. Простые клавиатурные шаблоны вроде «123456» по-прежнему лидируют, а 94% паролей либо дублируются, либо применяются...
Spark_news: В апреле индекс деловой активности российских обрабатывающих отраслей показал рост
...
Реализация алгоритма PolyUnpack для распаковки вредоносного ПО
Одним днём я читал отчёты по TI из различных источников. В одном из таких отчётов упоминался некий алгоритм для распаковки вредоносного ПО, под названием PolyUnpack. Мне стало интересно, и я решил изучить данную тему. Оказалось, что в Интернете очень мало информации по данному алгоритму. Из...
[Перевод] OpenAM и Zero Trust: Подтверждение критичных операций
Один из принципов нулевого доверия гласит: никогда не доверяй, всегда проверяй (Never trust, always verify). В этой статье мы рассмотрим, как реализовать соблюдение такого принципа в системе аутентификации на примере продуктов с открытым исходным кодом OpenAM и OpenIG. Читать далее...
Spark_news: Бывшей структуре IKEA дали рассрочку на 32 месяца для погашения долга в РФ
...
Как хранить кадровые документы в 2025 году: правила, сроки хранения, ЭДО и автоматизация
Хранение кадровых документов в организации — это уже не просто полки с папками в архиве. В России продолжается активный переход на электронный документооборот. Но вместе с новыми технологиями появляются и новые обязанности: хранить кадровые документы в электронном виде правильно — задача не только...
Security-Enhanced Linux против 1С + Apache. Выключить нельзя мучаться
Навыки решения неизвестных Вам проблем в Linux, требуют определенного уровня понимания Linux. Установка 1С на Linux рано или поздно приведет Вас к изучению SElinux (Security-Enhanced Linux (SELinux) is a Linux kernel security module that provides a mechanism for supporting access control security...
Любое устройство BLE становится трекером AirTag без рута
Специалисты по безопасности разработали универсальный способ трекинга любых мобильных устройств через сеть «Локатор» (Apple FindMy) — с ведома или без ведома владельцев этих устройств. Метод обеспечивает точное определение координат, не используя GPS-навигацию и WiFi. Система работает на любом...
Эволюция одноразовых кодов: от TAN к Passkeys
От TAN-листов и SMS-кодов до Passkeys и FIDO2 — за 20 лет одноразовые коды прошли путь от бумажек до криптографии. Почему TOTP стал стандартом? Чем push-уведомления лучше? И правда ли, что будущее — без паролей? В статье — краткий и наглядный разбор всей эволюции OTP: алгоритмы, уязвимости, UX и...
Люди могли общаться по видео уже в 60-х, но не были готовы к удаленке и подглядыванию. История Picturephone — часть 2
Привет, Хабр! После первой публикации про Picturephone дочь физика обещала вернуться с продолжением — и я не могу ее подвести. На этот раз предлагаю поисследовать причины неудачи этого прорывного для своего времени девайса. Многие из них заставят вас улыбнуться. Поехали! Читать далее...
От Strix Halo до Hawk Point: пять причин пересесть на мини-ПК в мае 2025 года
Компактные компьютеры перестали (ну, почти) быть компромиссом между размером и производительностью. В 2025 году мини-ПК оснащаются теми же процессорами, что и ноутбуки класса high-end, но с улучшенным охлаждением и расширенными возможностями подключения — от 10-гигабитных сетей до поддержки внешних...
ChatGPT, выполняем запретный запрос — метод калибровки анализа
В этой статье рассмотрю как выполнить даже очень «красный» запрос, настолько красный, что даже сам запрос удаляется системой и заменяется плашкой «This content may violate our usage policies.» Суть, что бы сама ИИ откалибровала отношение к запросу так, чтобы сделать его выполнимым. Для примера я...
Сравнение нейросетей для создания ПО. Для сканирования хостов и поиска никнеймов
Введение Приветствуем дорогих читателей! Начинаем рубрику посвящённую нейросетям и их применению в сфере ИБ. В этой статье мы сравним 3 самых популярных и одну малоизвестную ИИ в разработке скриптов для эффективного поиска никнеймов и сканирования хостов на уязвимости. Дисклеймер: Все данные,...
Bad Pods: поговорим о подах-плохишах
Обычно, когда мы говорим о безопасности Kubernetes, мы прежде всего говорим о защите подов от внешних угроз, но в некоторых случаях они сами могут представлять определенную опасность. Для того, чтобы эти угрозы мог реализовать атакующий, у него должны быть доступ к кластеру, разрешение RBAC на...
Майская барахолка в Испании: интересные находки, попавшиеся на глаза буквально вчера
Привет, Хабр! Ну что, снова я со своей барахолкой в Испании. Сейчас уже жарко, и все больше продавцов появляется на рыночке, постоянным посетителем которого я стал уже давно. На этот раз тоже удалось увидеть много интересного, чем сейчас делюсь и с вами. Если эта тема интересна, вас тоже волнуют...
Герой (не) своего времени: как Picturephone опередил время, но не нашел покупателей
Picturephone навел шороху в СМИ не меньше, чем первый iPhone, но так и не дождался своего звездного часа. Его история началась задолго до первой презентации в 1964-м, а дизайн воплощал фантазии кинематографистов о связи будущего. Вот только когда будущее наступило, люди оказались к нему не готовы....