Реализация
Привет, Хаброжители! Мы открыли предзаказ на книгу «Грокаем проектирование реляционных баз данных» Цян Хао и Михаила Цикердекиса. Предлагаем ознакомиться с отрывком «Реализация». Завершив нормализацию базы данных, перейдем к следующему этапу — реализации. Знаний, полученных еще в главах 1 и 2,...
API и Security Testing на собеседованиях: полный разбор с примерами задач
Привет, Хабр! В прошлой статье я разобрал 5 техник тест-дизайна, которые спрашивают на собеседованиях. Статья будет полезна и новичкам, и тем, кто хочет систематизировать знания перед собеседованием. Каждую тему объясняю с нуля - с аналогиями из жизни, и тут же даю профессиональную глубину. Читать...
Как работают руткиты и можно ли им противодействовать на примере Singularity
Всем привет. Экспрементируя со способами закрепления на Linux системах в рамках разработки своей системы мониторига безопасности, я наткнулся на руткит с открытым исходным кодом Singularity. Он показался мне очень интересным, так как использует большое количество методов для сокрытия себя от...
Защита LLM за 3ms: как я построил open-source иммунную систему для AI
340% рост AI-атак за 2025 год, а защита LLM всё ещё — «закиньте промпт в облако, подождите 200ms». Я построил альтернативу: SENTINEL — open-source стек из C, Rust и Python, который фильтрует jailbreak за...
Как обновлять антивирусные базы и базы СОВ в Secret Net Studio 8.10 и 8.13
В Secret Net Studio 8.10 и 8.13 обновление антивирусных баз и баз СОВ через локальный источник часто вызывает сложности: при малейшей ошибке в структуре каталогов базы просто не применяются. В статье пошагово разобрана корректная схема подготовки локального репозитория, загрузки файлов и настройки...
Как я написал Telegram-бота для SEO-аудита и не дал ему стать инструментом для атак
Рекомендация по КДПВ: Практический гайд по созданию Telegram-бота для автоматизированного анализа сайта: broken links, базовый security-check, отчёты. Минимум теории — максимум рабочего кода. Читать далее...
Облачный хостинг может незаметно удалить файлы с HDD
При использовании облачного хостинга вроде OneDrive или Google Drive обычно предполагается резервное копирование. Кажется логичным, что облачное копирование должно повысить сохранность информации, сделав дубликаты файлов. К сожалению, иногда это не так. И после копирования в облако файлы удаляются...
Настраиваем безопасный DNS: приватность, DNSSEC и DoT на практике
DNS — один из самых недооценённых компонентов инфраструктуры. Он есть везде, но по умолчанию почти всегда небезопасен: запросы ходят в открытом виде, легко подменяются, логируются провайдерами и могут использоваться для атак. В этой статье покажу, как настроить безопасный и приватный DNS-резолвер...
HackTheBox. Прохождение Bashed. Для новичков. Ультра-легкий
Прохождение одной из самой легкой машины на платформе HackTheBox под названием Bashed. Предварительно нужно подключиться к площадке HackTheBox по VPN. Желательно использоваться отдельную виртуальную машину. Читать далее...
[Перевод] Физик проанализировала более 100 000 «исправленных» багов ядра Linux
В вашем ядре сейчас есть баги, которые не найдут в течение многих лет. Я знаю это, потому что проанализировала 125 183 из них, каждая в 20-летней git-истории ядра Linux помечена прослеживаемым тегом Fixes:. Средний баг ядра существует 2,1 года. А некоторые подсистемы намного хуже: драйверы CAN‑шины...
vCISO — это сотрудник или услуга?
Виртуальный директор по информационной безопасности (vCISO) — это внешний эксперт высшего уровня, который берет на себя стратегическое руководство программой информационной безопасности организации на условиях частичной занятости или проектной работы. В отличие от штатного директора по ИБ, который...
Администратор может читать переписку сотрудников в Bitrix24. Это нормально?
В коробочной версии Bitrix24 функция «Авторизоваться под пользователем» является штатной и удобной для администрирования. Однако в корпоративной среде с требованиями ИБ и compliance она порождает интересную инженерную задачу: где проходит граница прикладной безопасности? Разбираем архитектуру...
Совместный вебинар двух компаний: как правильно собирать ПДн участников
Недавно получил хороший вопрос от подписчика моего телеграмм-канала. Решил поделиться разбором и тут. Ситуация следующая: две организации (назовём их А и Б) решили провести совместный вебинар. Регистрацию делают на сайте компании А. Собирают ФИО, телефон, email, должность, компанию. А после...
Дипломированный взлом V$ дипломатический шантаж
Что происходит, когда мир цифрового бизнеса сталкивается с самой циничной из возможных правд? Когда оказывается, что кибервымогатели — не безликие монстры из темной сети, а прагматичные переговорщики, готовые дать скидку за скорость оплаты? Отчет Sophos на 3400 жертв раскрывает шокирующие детали:...
Как я сломал регулярку ManageEngine и прикрутил Telegram к ADAudit за 5 минут
ADAudit Plus умеет отправлять алерты по SMS. Telegram — это почти SMS, если закрыть глаза. Осталось убедить в этом сам ADAudit. Спойлер: ему всё равно, что отправлять, лишь бы URL проходил валидацию. А валидация там — та ещё боль. Если вы когда-нибудь пытались настроить Telegram-оповещения в...
Анонимная сеть «Hidden Lake»: текущее состояние, развитие и перспективы
С последней статьи о Hidden Lake прошло больше года. За это время сеть успела достаточно сильно измениться - были переименованы и структуризованы сервисы, была переосмыслена концепция адаптеров и прикладных приложений, был написан клиент для работы с узлом HL, было улучшено покрытие тестами,...
Если “телега” больше не поедет: план Б для вайбкодеров, если заблокируют все мессенджеры
В интернете нулевых любой школьник мог поднять P2P-хаб на домашнем компьютере. Не было пользовательских соглашений на 50 страниц. Ты сам писал правила, сам модерировал чат и сам решал, кого пускать, а кого банить. Ностальгируя, мне захотелось переизобрести P2P-хабы прошлого прямо в браузере. Без...
3 неочевидные и абсурдные причины, из-за которых ваш сайт или блог оштрафуют на 500 тысяч рублей
За публикацией обычной статьи или поста теперь могут скрываться юридические риски на сотни тысяч рублей. Написал на латинице слово — штраф до 500 тысяч, не спросил согласие спикера — еще 300 тысяч. Рассказываем про три недавних изменения в законодательстве, о которых должен знать каждый главред,...