SaveWalterWhite — прохождение простой машины на платформе Aclabs.pro
Данный таск был активен в 6 сезоне CTF, который проходил на платформе ACLAbs. Это простая машина, однако имеет 5 флагов. Сначала раскрутим RFI до RCE, далее будем повышать привелегии, пройдемся по горизонтальному перемещению и в конце сбежим из контейнера. Кстати 12 июня стартует новый, 7 сезон на...
Автоматический DSP-премастеринг для аудиокассет на C++
Помните мою прошлую статью, где мы гоняли один и тот же современный альбом на четырёх типах лент через трёхголовочную Kenwood KX-1100G? Тот эксперимент показал: аналоговый звук жив, но характер цифрового мастера и точность калибровки деки часто влияют на результат сильнее, чем разница между Type I...
Кто ворует ваш GPU: атаки на открытые LLM-эндпоинты (Ollama, llama.cpp) — и при чём тут кража облачных ключей
Коротко тезис: открытый Ollama — это бесплатный GPU для атакующего, и охота за таким compute давно поставлена на поток. Но за май наша сеть ханипотов (приманки в DE/US/RU) зафиксировала не только воровство инференса, а нечто новое — использование LLM-эндпоинта как SSRF-плацдарма для кражи облачных...
Проверка возраста без персональных данных и биометрии: встраиваем в веб-страницу за 5 минут
Продолжаем рассказывать об альтернативном способе подтверждения возраста на веб-ресурсах без использования биометрии, интеграции с ЕБС и раскрытия персональных данных. О том, как это можно сделать, мы подробно писали в прошлой статье. Теперь разберемся, как реализовать подобный сценарий с помощью...
Кейс: тест DLP, с которого ничего не началось
Слепая дружба: CEO доверял ему всё, а DLP вычислил бэкдор на рабочем столе или как «неприкасаемый» сисадмин устроил себе клондайк из паролей и малвари. Привет! Я — Катя DLPшка. Недавно пришла в профессию и начала свой путь самурая аналитика в информационной безопасности Четыре года в вузе я наивно...
JSON Feed для DLE: Накормите нейросети тем, что они любят
Или: Как превратить ваш скучный XML-фид в изысканный JSON-десерт для AI-агентов и подписчиков Feedly 📡 Пролог: RSS не умер, он просто устал RSS был великим. Серьёзно. В 2000-х он позволил читать блоги без соцсетей, без алгоритмов, без рекламы. Это был открытый веб в чистом виде. Но время идёт. XML...
Купил Dongfeng Shine GS? Думаешь, у тебя гарантия 3 года или 100 тысяч на ВСЁ? #dongfeng
«Купил Dongfeng Shine GS? Думаешь, у тебя гарантия 3 года или 100 тысяч на ВСЁ? Поздравляю, ты попал на маркетинг. Сейчас расскажу, как не остаться с разбитой ходовой за свой счет через два года.» Что скрыто в договоре «Да, на двигатель и кузов гарантия настоящая — 100 тысяч или 3 года. Но смотрите...
Spark_news: «Почта России» запустила мобильную связь под своим брендом
...
Мифы о Mythos: как Anthropic пытается продать страх
Последние два месяца в кибербезопасности только и разговоров, что о Mythos. Новая модель Anthropic, которую компания отказалась выпускать в открытый доступ, слишком опасная, по заявлениям разработчиков: находит zero-day-уязвимости в каждой крупной операционной системе и каждом браузере, строит...
Промпт-инъекции в реальных данных, широкие права доступа и другие способы сломать ИИ-агента
Привет, Хабр! На связи команда Jay Guard — платформы, которая помогает безопасно использовать языковые модели и ИИ-агентов. Недавно мы опубликовали статью про AI-агента для HR-процессов. В комментариях почти сразу появились вопросы про данные — куда уходят персональные данные, что из этого видит...
4 дыры в защите персональных данных сотрудников, которые должен закрыть HR в 2026 году
Привет! С вами Руслан Нуриев, методолог-аналитик компании Directum. Хочу обсудить тему, игнорирование которой все чаще обходится компаниям очень дорого: безопасное хранение и передачу персональных данных кандидатов и сотрудников. Прольем свет на моменты из слепой зоны обработки ПДн в компании....
Делаем своё «цифровое королевство» прочным и устойчивым — инструкция для «чайников»
Халё‑малё (привет‑привет), мой вожделенный читатель! В наше, признаться, не очень спокойное время каждый, у кого есть телефон (а часто и компьютер), должен особенно заботиться о своём маленьком «цифровом королевстве». Вирусы, трояны, черви, а главное — телефонные мошенники постоянно хотят пожинать...
GuardDo Pixel: обзор телефона с секретом
GuardDo Pixel — это кастомная защищённая ОС для телефонов Pixel в лучших инженерных традициях безопасного софта: опенсорсная, защищённая ото всех, начиная с самих разработчиков, ориентированная на защиту пользователя, а не «национальной безопасности». Из текущей линейки разработок для защиты и...
JSON Feed для DLE: современный формат ленты для AI-агентов
Плагин для DataLife Engine (DLE), который генерирует ленту публикаций в формате JSON Feed 1.1 — структурированный и легковесный аналог RSS для нейросетей, поисковых систем и подписчиков. В 2026 году, когда AI-агенты (ChatGPT Search, Perplexity, Yandex GPT, Google SGE) становятся основными...
Я жуликам пообещал, поэтому пост (по факту статья, ибо много букв), пусть и не там где озвучил
Заходит ко мне коллега, и говорит: меня тут в чат добавили, я боюсь туда заходить (сказались годы запугиваний и утомительных бесед). Ну я пошел и зашел....
Scanbase.ru: Госдума ввела штрафы до 700 000 ₽ за авторизацию через иностранные сервисы: что изменить на сайте до конца июня
...
X-Real-IP, X-Forwarded-For и белый список WAF: разбор опасного мисконфига
Привет, Хабр. Меня зовут Аскар Добряков, ведущий эксперт направления защиты данных и приложений в К2 Кибербезопасность, занимаюсь WAF и цепочками обратных прокси. В одном из недавних проектов мы с коллегами натолкнулись на странную реакцию WAF: подставляешь в запрос X-Real-IP, а WAF принимает его...
Назад