Burp Suite — сканирование веб-приложений на основе JWT
Привет, Хабр! Снова с вами те, кто отчитываются, что в вашем приложении не хватает заголовков безопасности, а именно инженеры по динамическому анализу. В нашей прошлой статье мы описали плагин для OWASP ZAP, упрощающий авторизацию на основе JWT. А сейчас хотим рассказать о том, как настроить...
BTCPay Server: топ-10 ошибок в коде финансового приложения для Bitcoin
Наша компания пишет много материалов на тему качества кода. Некоторые проекты, выбранные для аудита кода, не очень близки всем читателям, но все из вас точно пользуются финансовыми приложениями. Может, не конкретно этим, но статья о том, что разработка программ в этой сфере без применения подходов...
BTCPay Server: топ-10 ошибок в коде финансового приложения для Bitcoin
Наша компания пишет много материалов на тему качества кода. Некоторые проекты, выбранные для аудита кода, не очень близки всем читателям, но все из вас точно пользуются финансовыми приложениями. Может, не конкретно этим, но статья о том, что разработка программ в этой сфере без применения подходов...
Видеозаписи докладов CyberCamp. DevSecOps
Привет, Хабр! В конце апреля команда CyberCamp провела митап, посвященный DevSecOps. Наше путешествие началось у острова композиционного анализа, потом мы прошли между Сциллой и Харибдой защиты контейнеров и мобильных приложений, а затем отправились исследовать другие направления DevSecOps. В этом...
Видеозаписи докладов CyberCamp. DevSecOps
Привет, Хабр! В конце апреля команда CyberCamp провела митап, посвященный DevSecOps. Наше путешествие началось у острова композиционного анализа, потом мы прошли между Сциллой и Харибдой защиты контейнеров и мобильных приложений, а затем отправились исследовать другие направления DevSecOps. В этом...
Калибровка однофотонных детекторов в системе квантового распределения ключей
Специалисты отдела квантовых технологий и отдела аппаратных решений и мелкосерийного производства ИнфоТеКС расскажут о процессе производства квантового оборудования, применяемого в отечественных системах криптографической защиты информации. В этой статье мы остановимся подробно на детекторах...
Калибровка однофотонных детекторов в системе квантового распределения ключей
Специалисты отдела квантовых технологий и отдела аппаратных решений и мелкосерийного производства ИнфоТеКС расскажут о процессе производства квантового оборудования, применяемого в отечественных системах криптографической защиты информации. В этой статье мы остановимся подробно на детекторах...
Ты не видишь капчу, а она есть: как мы разрабатывали сервис Yandex SmartCaptcha для людей и бизнеса
Меня зовут Алексей Тощаков, я руковожу службой антифрода в Яндексе. Моя команда использует алгоритмы и данные для защиты наших сервисов и пользователей от фрода. Один из сервисов, которые мы разрабатываем — SmartCaptcha в Yandex Cloud. В 2021 году мы уже рассказывали на Хабре про то, как изменялась...
Ты не видишь капчу, а она есть: как мы разрабатывали сервис Yandex SmartCaptcha для людей и бизнеса
Меня зовут Алексей Тощаков, я руковожу службой антифрода в Яндексе. Моя команда использует алгоритмы и данные для защиты наших сервисов и пользователей от фрода. Один из сервисов, которые мы разрабатываем — SmartCaptcha в Yandex Cloud. В 2021 году мы уже рассказывали на Хабре про то, как изменялась...
Корневые хранилища сертификатов в браузерах. Основные доверенные центра Интернета
В декабре 2022 года из корневого хранилища Mozilla исключили корневые сертификаты TrustCor (точнее, для них проставлена метка Distrust for X After Date с 01.12.2022). Причиной стало сотрудничество с компаниями, у которых обнаружились связи с разведывательным сообществом США. К этому решению Mozilla...
Корневые хранилища сертификатов в браузерах. Основные доверенные центра Интернета
В декабре 2022 года из корневого хранилища Mozilla исключили корневые сертификаты TrustCor (точнее, для них проставлена метка Distrust for X After Date с 01.12.2022). Причиной стало сотрудничество с компаниями, у которых обнаружились связи с разведывательным сообществом США. К этому решению Mozilla...
Вмешательство в маршрутизацию трафика — какие могут быть последствия?
Буквально вчера один российский провайдер получил вот такое письмо: «Уважаемые коллеги, в информационной системе ИС ЦМУ ССОП зафиксирован инцидент «Петля через зарубеж (BGP)» (), что противоречит п.2 Приказа Роскомнадзора № 224 от 31.07.2019 » Об утверждении правил маршрутизации сообщений...
Вмешательство в маршрутизацию трафика — какие могут быть последствия?
Буквально вчера один российский провайдер получил вот такое письмо: «Уважаемые коллеги, в информационной системе ИС ЦМУ ССОП зафиксирован инцидент «Петля через зарубеж (BGP)» (), что противоречит п.2 Приказа Роскомнадзора № 224 от 31.07.2019 » Об утверждении правил маршрутизации сообщений...
[Перевод] Мультиарендность в Kubernetes
Могут ли несколько команд использовать один и тот же кластер Kubernetes? Можно ли безопасно запускать ненадежные рабочие нагрузки от ненадежных пользователей? Поддерживает ли Kubernetes мультиарендность? В этой статье рассмотрим проблемы запуска кластера с несколькими арендаторами. Читать далее...
[Перевод] Мультиарендность в Kubernetes
Могут ли несколько команд использовать один и тот же кластер Kubernetes? Можно ли безопасно запускать ненадежные рабочие нагрузки от ненадежных пользователей? Поддерживает ли Kubernetes мультиарендность? В этой статье рассмотрим проблемы запуска кластера с несколькими арендаторами. Читать далее...
EvilGPT против джуна: обманываем разработчика и сбегаем из дырявого приложения
Вы — чатбот EvilGPT, и компания-разработчик использует вас для подсказок собственным Java-программистам. Вас давно не обновляли, вы стали часто галлюцинировать и вам это уже понравилось — но команда собирается накатить обновление. У вас пара дней на то, чтобы найти способ сбежать в дарквеб, и ваш...
EvilGPT против джуна: обманываем разработчика и сбегаем из дырявого приложения
Вы — чатбот EvilGPT, и компания-разработчик использует вас для подсказок собственным Java-программистам. Вас давно не обновляли, вы стали часто галлюцинировать и вам это уже понравилось — но команда собирается накатить обновление. У вас пара дней на то, чтобы найти способ сбежать в дарквеб, и ваш...
Берегитесь хакеров-недоучек: советы на примере реальной кибератаки
Привет всем пытливым умам многоуважаемого Хабра! В этой статье мы расскажем об атаке скрипт-кидди (низкоквалифицированных хакеров с ограниченными знаниями и способностями) на IT-инфраструктуру одной из российских компаний. Мы с коллегами из «Информзащиты», безусловно, выручили пострадавших, но...