Прощай, reCAPTCHA! Как я защитил формы входа с помощью бесплатной и невидимой CAPTCHA от Cloudflare
Привет, Хабр! На связи разработчик Peakline — аналитической платформы для Strava. Сегодня я хочу поделиться опытом внедрения Cloudflare Turnstile в веб-приложение на FastAPI. Это решение позволило мне отказаться от назойливых CAPTCHA, улучшить пользовательский опыт и при этом надежно защитить формы...
Новости кибербезопасности за неделю с 30 июня по 6 июля 2025
Всё самое интересное из мира кибербезопасности /** с моими комментариями. На этой неделе новости про то, почему теперь свой телефон лучше вообще никому не давать, про критическую уязвимость в sudo, про молодой талант, который работает на Microsoft, про планируемые нововведения в IOS и другие только...
Как я почти продал ник за $9500 в Telegram
Друзья, сегодня хочу поделиться историей, которая заставила меня на полчаса поверить в чудеса. А заодно разобрать новую схему мошенничества, которая показала мне, что преступники тоже эволюционируют. Читать далее...
[Перевод] Как CAPTCHA используются для установки стиллеров и троянов
Волна поддельных страниц CAPTCHA, которые обманывают пользователей, заставляя их вставлять вредоносные команды в диалоговое окно «Выполнить» (Windows Run). Используются файлы (например, MP3, PDF) с внедрённым запутанным JavaScript, распространяемым через фишинговые письма, вредоносную рекламу...
Еще раз об SVG-виджетах в tcl/tk
После выхода первой статьи про svg-виджеты для tcl/tk прошло более года. За это время вышел не только tcl/tk версии 9.0, но и сам пэт-проект возмужал и продолжает взрослеть. Напомним, что проект svgwidgets, примеры и интерпретаторы tcl/tk с необходимыми пакетами для работы с svg-виджетами можно...
Топ новостей инфобеза за июнь 2025 года
Всем привет! Подводим итоги июня дайджестом ключевых ИБ-новостей. В середине месяца прогремела беспрецедентная 16-миллиардная утечка паролей, которой не было — сенсация оказалась не более чем журналистской уткой. Из реальных событий, Claude показал неплохие результаты в сценарии с багхантингом....
Прощайте, Excel-пароли; привет, прозрачный аудит! Внедряем в инфраструктуру PAM-инструмент
Если в компании налажен контроль доступа к внутренним ИТ-ресурсам, хорошо не только спецам по ИБ, но и многим другим. Например, лидам, которые отвечают за доступы к базам данных в своих командах. И новым сотрудникам, избавленным от необходимости вручную собирать логины-пароли, а затем где-то их...
[Перевод] Кибербезопасность: Тикaющая бомба замедленного действия
Если вы работаете в сфере физической безопасности, вы наверняка сталкивались с этим: камера, система контроля доступа или устройство обнаружения вторжений, установленные несколько лет назад и до сих пор функционирующие без единого обновления. Это распространённая ситуация, которую специалисты по...
РКН против использования Google Analytics, но если Вашему бизнесу очень нужно, есть легальный вариант
Бизнес – такая штука, где все нужно считать. Я не только о расходах, выручке и чистой прибыли: это классика. Если у вашей компании есть сайт, то с большой долей вероятности вам искренне любопытно знать, сколько посетителей на него заходит, что их привлекает больше всего, что их совсем не интересует...
Разбор заданий AI CTF на Positive Hack Days Fest. Часть 1
Машинное обучение применяется везде: модели советуют врачам лекарства, помогают банкам ловить мошенников и пишут код вместо программистов. Проблемы с безопасностью в таких системах могут стоить денег, данных и репутации. Поэтому с 2019 года на конференции по безопасности PHDays мы проводим...
Мультивселенная киберполигонов в РФ: часть первая. Интервью с руководителем киберполигона Innostage Дмитрием Матвеевым
Идея этого материала была у меня давно, ещё в 2021 году, когда я впервые попал на Standoff, и тогда я даже записал интервью с представителем Positive Technologies, но в итоге не получилось, потому что звук оказался очень плохим, даже с диктофона. Поэтому по прошествии четырёх лет я решил сделать...
Атака на вайбкодеров — лоадер через Cursor
Приветствую, Хабр! Вчера меня усадили за Win-машину и попросили посмотреть смартконтракт на Solidity в Cursor. Я зашел во встроенный магазин расширений и установил соответствующий плагин из топа поиска. Из заголовка понятно, что ничего я не получил, а лишь заразился в два клика. Читать далее...
Мы устроили им красочную зарубу в финале, или итоги IV Международного киберчемпионата по информационной безопасности
Всем привет! В этом материале мы подводим итоги IV Международного киберчемпионата по информационной безопасности. Он стал рекордным по количеству участников: мы собрали 190 заявок из 26 стран мира, из них отобрали 117 команд (40 команд было в 2024 году). За победу сражались около 500...
DevOps в 2025 году: отдельные дисциплины, машинное обучение и прогноз на будущее
Привет! Меня зовут Константин Полуэктов, я solution architect в Yandex Cloud и технический эксперт в онлайн-магистратуре от Яндекса и ИТМО «DevOps-инженер облачных сервисов». В этой статье я расскажу о сфере DevOps: что изменилось за последние годы и чего ждать в будущем. Читать далее...
Инструмент оценки рисков безопасности: что нужно учесть при выборе
Привет, Хабр! Меня зовут Ирина Созинова, я эксперт по информационной безопасности в Авито. Моя прошлая публикация была о том, как мы выстраиваем в Авито процесс оценки рисков безопасности. В этой же статье рассказываю, на какой функционал стоит обратить внимание при выборе инструмента в целом и что...
Практический опыт построения надежной защиты российских веб-приложений
Современные веб-приложения требуют не только высокой производительности, но и надёжной защиты — от классических SQL-инъекций до сложных атак, включая перегрузку API. В условиях растущих киберугроз и ограничений на использование западного программного обеспечения особенно важно выбрать эффективную...
[Перевод] Риски безопасности в цепочках поставок ИИ
Даннаяпубликация является переводом статьи Matt Maloney — «Security risks in AI supply chains». Компании всё чаще вынуждены внедрять передовые технологии ИИ, чтобы не отставать от конкурентов. Однако спешка в этом деле может привести к ошибкам и угрозам безопасности. Новый отчёт Коалиции...
No-code-разработка и ML-помощники – инструменты аналитиков SOC нового поколения
Давайте представим, как могло бы выглядеть рабочее место SOC-аналитика будущего. В том числе рассмотрим, какие были бы полезны в реагировании и расследовании ML-помощники: некоторые из упомянутых в статье мы уже внедрили в наши продукты, а некоторые – еще в планах или могут послужить в качестве...