Поднимаем свой Jabber/XMPP сервер в 2025 году
WhatsApp в России депутаты обещают заблокировать уже в очень скором времени. Доверие к Telegram у многих довольно сильно было подорвано после публикации расследования одного издания об особенностях их протокола в купе с подробностями о том, кто владеет их сетевой инфраструктурой и с кем он связан,...
Большой разлив чая: сервис анонимных слухов о мужиках Tea спалил персданные пользовательниц
Оказалось, тысячи присланных для верификации селфи и даже водительских прав хранились онлайн в незашифрованном виде и без пароля. Читать далее...
[Перевод] От согласия на использование Cookie, до выполнения команд: реальный вектор от SQLi + утечки персональных данных до RCE
Привет, я nav1n0x — администратор баз данных по профессии, исследователь безопасности, а также баг-хантер по призванию, с фокусом на уязвимости, которые часто остаются незамеченными. Мне нравится исследовать логику приложений, забытые параметры и превращать свои предположения в критические находки...
[Перевод] Обнаружение уязвимостей агентов ИИ. Часть III: Утечка данных
Как риск усиливается в мультимодальных AI-агентах, когда скрытые инструкции, встроенные в безобидно выглядящие изображения или документы, могут инициировать утечку конфиденциальных данных без какого-либо взаимодействия с пользователем. Давайте разбираться...
Берём анализы на болезни TLS у Гемотеста
17 июля я сдал анализы крови в компании Гемотест. Спустя полтора дня мне пришёл email с результатами на адрес, который я указал перед сдачей. К счастью, с анализами было всё хорошо: у меня нет ВИЧ, гепатита B, гепатита C, сифилиса, ура! PDF с анализами было заверено приложенной электронной подписью...
Магия KNOX и её разоблачение: изучаем OEMConfig от Samsung
Настало время, когда каждый из нас может попробовать OEMConfig от Samsung под названием Knox Service Plugin. OEMConfig — это специфические настройки устройства от производителя, которые доступны на его устройствах. Пока они есть только на Samsung. Если не согласны, пишите в комментариях....
Работа с JWT-токенами в браузере без боли и страданий
Приветствую, дорогой читатель! Хочу поделиться решением наболевшей проблемы — автоматическим обновлением access-токена при истечении его срока действия. Читать далее...
Каждая третья крупная компания в России работает с фрилансерами на постоянной основе
Исследование Solar Staff, TenChat и Всероссийского бизнес центра....
Пентестерская Одиссея. Часть 2
Всем привет! Возвращаемся к рассказу об одном увлекательном пентесте. В предыдущей части мы смогли при помощи фишинговой рассылки через учётку пользователя в Exchange получить доступ в инфраструктуру клиента. Эта часть будет про поднятие привилегий в домене. Пентестерская Одиссея. Часть 1 Читать...
Начинаем в багбаунти: топ-10 (или нет?) инструментов для профессионального похека
Привет, Хабр! На связи Сергей Зыбнев aka poxek. Начинал свой путь в багбаунти как сисадмин, потом заведовал WAF'ами в МТС, затем несколько пентестерских компаний, а теперь работаю в Бастионе и профессионально ломаю то, что раньше защищал. Последние четыре года веду Telegram-канал Похек, где...
Почтовая корова? Как поднять свой почтовый сервер Mailcow
В мире, где ваша деловая переписка зависит от чужих алгоритмов и сомнительной репутации общих IP-адресов, полный контроль — это не прихоть, а фундамент цифровой независимости. Нас годами убеждали, что управлять своей почтой — удел корпораций. Но это не так. Имея надежную платформу и правильные...
Всё о стриминге музыки на Яндекс Станции и не только
В статье я расскажу об особенностях стриминга музыки в разных современных протоколах. А также о том, как с помощью Home Assistant отправить Яндекс Музыку с колонок Яндекса на внешнюю акустику и как передать свою музыку на колонки Яндекса. Читать далее...
[Перевод] SonarQube: базовая настройка и анализ качества кода с помощью FastAPI
Ошибки в коде— не всегда вопрос невнимательности. Часто они кроются в архитектурных решениях, устаревших практиках и банальном отсутствии инструментов контроля качества. В этой статье — практический разбор того, как настроить и использовать SonarQube с FastAPI, чтобы находить баги, уязвимости и...
Выставка «Истоки русского PR»: забытые секреты дореволюционного продвижения
22 июля в Музее предпринимателей, меценатов и благотворителей открылась выставка «Истоки русского PR» — проект, посвященный дореволюционным коммуникациям....
Pebble возвращается: как культовые часы оживают благодаря новым приложениям и энтузиастам
В 2012 году Pebble буквально ворвались на рынок умных часов через Kickstarter, собрав рекордные 10,3 млн долларов и став пионером в сегменте носимых устройств. Они предлагали удобный интерфейс, длительную автономность и широкие возможности для кастомизации задолго до появления Apple Watch. К...
Как устроены цифровые сертификаты
Цифровой сертификат является неотъемлемой частью систем информационной безопасности, при этом зачастую вскользь упоминаясь как сопутствующий элемент более крупных технологий и протоколов. Рассмотрим сертификаты как независимые единицы: их структуру, области применения и жизненный цикл. Читать далее...
«Запах мысли» или «анонимность в эру нейросетей»
Прежде всего "Запах мысли" — это название рассказа Роберта Шекли. Если не знакомы с ним — настоятельно советую прочитать, там всего несколько страниц, но большой простор для "подумать". Вкратце: на некой планете обитают хищники без зрения, слуха и обоняния, но умеющие читать мысли. И чтобы выжить...
Как придумать и реализовать спецпроект с блогером
Делаем работающие креативы с инфлюенсерами....