Международные стандарты безопасной разработки: ликбез
DevSecOps — это не просто модное словечко, а целая философия, объединяющая разработку, безопасность и операции. Но как применить эту философию на практике? Здесь на помощь приходят международные стандарты. В этой статье мы рассмотрим пять основных международных DevSecOps-стандартов: DSOMM, BSIMM,...
[Перевод] Атаки на понижение версии SMTP и MTA-STS
Когда был создан SMTP, он работал, передавая данный в открытом виде, поскольку тогда мы ещё не разработали решение для безопасной передачи данных, то, что мы называем сейчас «безопасность транспортного уровня» (transport layer security, TLS). Когда TLS наконец-то был готов, нам потребовалось...
[Перевод] XSS + Ошибки конфигурации OAuth = Кража токенов и захват аккаунта
В этой статье я расскажу о том, как мне удалось найти уязвимость для захвата аккаунта (Account Takeover, ATO) через ошибки конфигурации OAuth и украсть токены авторизации. Читать далее...
Standoff-онбординг: собираем команду, создаем баг-репорт и готовимся к соревнованиям
Всем привет! Это заключительный материал из нашего импровизированного цикла «Standoff-онбординг». В первой статье мы разобрали, как реализовывать фишинг и ломать внешний периметр, а во второй — взламывали внутренний периметр и АСУ ТП, а также говорили про дополнительные полезные источники и матрицу...
Подборка механических клавиатур: 5 беспроводных моделей для работы и творчества
Существует два основных вида клавиатур: мембранные и механические. Первые выбирают по внешнему виду, а вот со вторыми всё гораздо сложнее. Обе категории можно купить в магазине, но только одна из них допускает модификации или апгрейд. В механической клавиатуре можно заменить кейкапы, установить...
Выборочный роутинг по доменным именам на маршрутизаторах Keenetic
Эта статья предназначена для тех, кто хочет настроить выборочный роутинг на основе доменных имен на своих маршрутизаторах Keenetic. Основная цель — обойти блокировки по конкретным доменным именам, без необходимости добавлять сотни маршрутов в таблицу маршрутизации вручную. Такой подход значительно...
Станислав Кондрашов: советы главы Threads для эффективных публикаций контента
Глава Meta Threads поделилась главными советами для авторов контента о том, как и когда публиковать материалы....
Безопасность цепочек поставок ПО. Построение процессов с помощью OSS
Привет, Хабр! Рассказываем об одном из вариантов применения Open Source инструментов Software Supply Chain Security. Коллеги по цеху попросили выложить небольшой его обзор сюда:) Эта статья является краткой текстовой версией моего доклада с конференции PHD2. Если тема вас заинтересует, можете...
Прибыльный союз: зачем брендам яркие коллаборации
Инфлюенсеры и мебельный бизнес: строим партнёрство....
Умная тонировка, дисплеи-трансформеры и шаг пикселя в 0,3 мм – что мы увидели на выставке BOE IPC 2024
Мы посетили мероприятие BOE – одного из крупнейших производителей матриц для дисплеев в мире. Компания ежегодно делится новинками на выставке инновационных партнеров BOE Innovation Partner Conference 2024 (BOE IPC 2024) в Пекине. Мероприятие уникально тем, что демонстрирует реальные продукты, кои...
[Перевод] Крадем учетные данные Windows
В этой статье мы разберем различные сценарии получения паролей в системе Windows. Metasploit Metasploit поставляется со встроенным модулем, который помогает нам провести атаку на получение учетных данных пользователя в открытом виде. Поскольку это модуль после эксплуатации, его просто нужно связать...
Ливанский куш, взлом банка с последствиями
Эта статья про физическое проникновение в один из банков Ливана. Легальный проект, с неожиданной концовкой, который выполнял один из самых известных специалистов по физическому тестированию на проникновение Jason E. Street! Вся история — это набор фактов, смешанный с его личными комментариями с...
Главная индустриальная конференция по аналитике соцмедиа для бизнеса 6 ноября в Москве
Возможности аналитики соцмедиа для решения задач бизнеса....
ПО шагам: Защищаем сайт от парсеров и поведенческих ботов с помощью DNS-прокси
- контент не будет спаршен - с ВПН работает - выявит высокоуровневых JS ботов - реальных не заблокирует - фиксирование только настоящих просмотров - рекомендательная система будет работать изумительно Как интегрировать защиту, как выявить фейковых http ботов, как написать свой код верификации...
Apple Pro Weekly News (14.10 – 20.10.24)
Apple представила новый iPad mini 7, но что в нём нового? Какие новые возможности компания дала бизнесу, музыкантам, а что хочет сделать с сертификатами безопасности для сайтов? Немного о свежих бетах, багах в iPhone 16, а ещё про то, чем в России хотят заменить Apple Pay на iPhone. Какие...
Ноутбук с двумя экранами или два экрана для ноутбука — что выберете вы?
Хабр, привет! Это Антон Комаров, автор команды спецпроектов в МТС Диджитал. Сегодня поговорим о GPD Duo: что это за ноутбук и есть ли смысл в его покупке. Новый мощный GPD Duo с двумя дисплеями компания GPD анонсировала в начале этого года. Примерно неделю назад девайс появился на краудфандинговой...
Закон распределения делителей числа (расширенная версия)
В арифметике известны элементарные действия с числами (+), (–), (×), (/) и др., использование которых при заданных исходных данных дает нам возможность получать определенные результаты: сумму, разность, произведение, частное. Обратное действие с результатами в качестве исходных данных возможно...
PinkHash: Незабываемые розовые хеши
Розовый хеш — это как розовый слон, только хеш. Как превратить ваш обычный скучный хеш в голого эндокринолога, которого уже не забыть! А так же, как сделать свой собственный менеджер паролей, не доверяя пароли никаким внешним сервисам. К эндокринологам и многомерным антихристам...