[Перевод] Стратегия резервного копирования 3-2-1: технический разбор
У ransomware-операторов теперь есть план: сначала они охотятся за бэкапами, потом — за продакшеном. Перевод технического разбора правила 3-2-1 — что в нём всё ещё работает, что нет и зачем над ним надстроили «1-0». Читать далее...
Фишинг в 2026: как ИИ и дипфейки изменили методы атак, но не изменили способы защиты
Привет, Хабр! Находясь на мероприятии BI.ZONE Day, я слушал доклады и ходил между стендами, думая, чтобы такого спросить, не связанного с продуктами и технологиями компании, чьё было мероприятие. И тут меня привлекла презентация про фишинг, я не мог отказать себе в удовольствии задать несколько...
Кастомные вордлисты для самых маленьких
Ни для кого не секрет, что качественные вордлисты - это ключ к эффективному фаззингу и, как следствие, большему покрытию скоупа и хорошим файндингам во время пентеста и баг-баунти. Однако вордлисты в общем доступе далеко не всегда дадут достаточное покрытие, какими бы большими они ни были. У...
Гибридный режим: как быть технарём для себя и гуманитарием для других
(осознанное переключение между режимами как высший пилотаж мышления) Вместо вступления В первой статье развели алгоритмы и паттерны, показали, что гуманитарий — это не "нелогичный", а просто по-другому устроенный. Во второй разобрали ошибки технаря, который пытается вести за собой, игнорируя...
Думаем графами с IPAHound
Всем привет, меня зовут Михаил Сухов, я участник команды PT SWARM. Нам в команде все чаще встречается инфраструктура, построенная на базе альтернативных реализаций службы каталога Microsoft Active Directory. Одной из таких реализаций, заслуженно получившей большое распространение является FreeIPA....
Broken Authentication (Skills Assessment) — HTB Academy
Автор: B0rn2beR00T (специалист по тестированию на проникновение web-приложений) Приветствую, коллеги! Форма аутентификации присутствует во многих ПО. Она встречается в web-приложениях, интерфейсах сетевых железок, виртуализации, БД, файловых хранилищах, CRM и многом другом. Пользователь в такой...
Защищаем личные номера телефонов на маркетплейсах: соединяем клиента и исполнителя
Если вы развиваете маркетплейс или сервис, где клиент общается с выездными специалистами, то важно удерживать звонки внутри платформы. Когда мастер и клиент уходят в прямой контакт, компания теряет комиссию, историю общения и повторные продажи. Полностью избежать обмена номерами невозможно, при...
Теряет ли GitHub доверие индустрии?
Почему для некоторых GitHub перестал быть безопасным дефолтом, и что с этим делать - если вы, конечно, не хотите узнать об этом в день блокировки аккаунта или когда ваши закрытые репозитории могут общественным достоянием? Думаю, для многих GitHub почти стал именем нарицательным. Помню, как я не...
Почему ваша LLM-платформа — следующая цель: аудит безопасности AI-сервиса изнутри
Мы искали уязвимости в RAG-платформе с десятками тысяч пользователей — а нашли доступ ко всей инфраструктуре и API-ключам с бюджетом в сотни тысяч долларов. Две недели мы строили сложные цепочки: SSRF через LangChain, инъекции в промпты, HTTP smuggling, CVE в десериализации. Ни одна не дала...
[Перевод] Пять документов ломают ваш RAG: где реальная уязвимость и что с ней делать
RAG часто воспринимают как аккуратный способ «заземлить» LLM на документах и снизить риск галлюцинаций. Но у этой архитектуры есть менее очевидная проблема: контекст из базы знаний обычно считается доверенным, хотя именно через него в модель могут попасть вредоносные инструкции. В статье разбираем,...
Простой гайд как на одном и том же сервере иметь и панель 3X-UI за NGINX, и свой сервис
В 2026 для VPN нужна маскировка. А нет никакой лучшей маскировки, чем уже работающий легитимный сервис. Силами NGINX-streams и HTTP2 это сделать довольно легко. Читать далее...
Спираль эволюции веб-дизайна: от десктопной версии к адаптиву и обратно к многоликости
Или: Почему один сайт для всех — это как одна обувь на все случаи жизни 🧻 Пролог: Как мы дошли до жизни такой Помните старые добрые времена? Был отдельный сайт для компьютеров, отдельный m.site.ru для мобильных, отдельная версия для печати, а для КПК и вовсе своя. Это было неудобно поддерживать, но...
Окружайте, так удобнее промахиваться! Встроенные в Hugging Face проверки ML-моделей против одного сканера
В предыдущей статье "Сканеры ML-моделей: разбор инструментов и некоторых методов обхода их проверок" был представлен обзор основных статических сканеров артефактов ML-моделей. В выводах сканер ModelAudit был выделен как наиболее зрелое решение среди проанализированных конкурентов по следующим...
[Перевод] Проблемы санации SVG
Рендерер Scratch имеет долгую историю связанных с SVG уязвимостей. Их источником становится то, что Scratch парсит сгенерированный пользователем (то есть контролируемый нападающими) контент в элемент и добавляет его в основной документ для выполнения различных операций (например, для измерения...
Яндекс Плюс AdTech: как экосистемные решения обеспечили рост продаж билетов на фильм «Горыныч»
Измеряем вклад рекламной кампании в общий бокс-офис кинотеатрального релиза....
Молодые дизайнеры против алгоритмов: страх перед ИИ испытывает лишь каждый десятый
Условия рынка — вот где проблема....
Безопасность приложений на Typescript от А до Я: гайд по защите от очевидных и не очень уязвимостей
Я часто замечаю, насколько некоторые разработчики халатно относятся к вопросам безопасности своих приложений. И начинают задумываться о методах защиты только тогда, когда уже приходится переписывать большую часть приложения. Сегодня мы пройдемся по классическим и не только методам атаки, посмотрим,...
Доля рекламных бюджетов под управлением ИИ в Яндексе достигла 85%
Создаётся почти каждый третий рекламный баннер....