Где и как искать этот ваш SSRF: первые шаги в багхантинге
Привет, меня зовут Олег Уланов (aka brain). Я занимаюсь пентестами веб-приложений и активно участвую в багбаунти, зарабатывая на чужих ошибках. Свой путь в наступательной безопасности я начал совсем недавно, но, несмотря на это, меньше чем за год мне удалось ворваться в топ-10 исследователей на...
Nuclei Fu
Привет, Хабр! Меня зовут Станислав Савченко, я ведущий эксперт базы знаний в CyberOK. За последний год в Nuclei было несколько крупных обновлений, которые принесли множество фич, таких как кодовая вставка, использование javascript в шаблонах, управление запросами через flow, внедрение подписи...
Arbiter Studio Polar 75 Pro: универсальная клавиатура с магнитными свитчами. Что за девайс?
Привет, Хабр! Это Виктор Сергеев из МТС Диджитал. Сегодня поговорим о клавиатуре Arbiter Studio Polar 75 Pro. Как раз про нее можно сказать, что клавиатура — это хорошо, клавиатура — это надежно. К тому же она и выглядит неплохо. Переключатели здесь — магнитные, они работают на основе датчиков...
Проблемы защиты персональных данных в мире искусственного интеллекта
Искусственный интеллект сейчас по большому счету везде. В любой отрасли нам говорят о том, что в ней используются нейросети, машинное обучение и другие направления ИИ. Не стали исключением и системы, связанные с обработкой персональных данных пользователей. В этой статье мы поговорим о том, как...
Безопасность «на берегу»: опыт внедрения подхода Secure by Design в ИТ-компании
Про Secure by Design в кибербезе не слышал только ленивый, но не только лишь все смогут объяснить, как на практике выглядит процесс внедрения этого подхода в крупной ИТ-компании. Чтобы разобраться в этом, мы поговорили с Романом Паниным — руководителем направления архитектуры ИБ в крупной...
Apple Pro Weekly News (09.09 – 15.09.24)
Прошла презентация Apple, но о чём компания не рассказала на ней? Вышли в релиз iOS 18, iPadOS 18, watchOS 11, macOS 15 Sequoia, visionOS 2, tvOS 18, а также новое ПО для AirPods Pro 2 – рассказываем и показываем, что там нового. А также некоторые другие интересные новости за неделю в этом выпуске...
Измерение производительности NGFW
Как потенциальные потребители оценивают NGFW? Один из основных параметров –производительность. Этот параметр указывают все производители на своих сайтах и в маркетинговых листовках. Казалось бы, все просто, потребителю надо оценить свои задачи и выбрать продукт с подходящими для них параметрами...
Apache OFBiz CVE-2024-32113
Ранее в наших статьях мы уже упоминали Вам об уязвимостях CVE-2023-49070 и CVE-2023-51467 в Apache OFBiz, не прошло и пол года, как 05 августа 2024 была опубликована новая уязвимость с неправильным ограничением пути к закрытому каталогу CVE-2024-32113 (CVSS 3.x 9.8 баллов), затрагивающая версии...
WAF-экспресс, или Как закрыть RCE за два дня
Облачный WAF (web application firewall) — быстрый и эффективный способ защиты веб-приложений от кибератак. Доказано на практике: за два дня можно надежно прикрыть уязвимости простого сервиса. Для более сложных приложений за это время реально настроить WAF, запустить базовую фильтрацию и начать...
Госуслуги поощряют сбор логинов-паролей пользователей?
Недавно одно популярное приложение с Android потребовало у меня авторизация через Госуслуги. Сделало оно это очень просто - в своём окне оно запросило у меня логин-пароль от Госуслуг. То есть, я ввожу эти данные в окне приложения, они утекают создателям приложения, которые в этот момент могут...
Шифрование личных заметок
Персональная информация, в том числе пароли и кошельки — это главные секреты каждого человека. Эта информация должна быть максимально зашифрована и надёжно храниться. Раньше проблему решал текстовый файл, где хранились и пароли, и заметки, и который легко было зашифровать. Теперь с появлением кучи...
[Перевод] Портируем декодер AV1 с С на Rust для повышения быстродействия и безопасности
AV1 становится всё более значимым видеоформатом, которому требуется безопасный и производительный декодер. Исходя из этой идеи, мы в тандеме с командой из Immutant создали rav1d, портировав на Rust написанный на С декодер dav1d. Перед вами первая из двух статей, посвящённых решению этой задачи. —...
[Перевод] Безопасность приложений больших языковых моделей (LLM, GenAI)
Откройте для себя OWASP Top 10 для LLM и GenAI и изучите основные стратегии защиты ваших моделей и приложений искусственного интеллекта. Появление больших языковых моделей (LLMs) и технологий генеративного искусственного интеллекта (GenAI), таких как GPT-4, произвело революцию в различных отраслях...
Обучение в Stanford Online: Advanced Cybersecurity
Привет! Меня зовут Николай, я работаю в сфере с 2010 года. Это моя первая статья на Хабре. На основе своего опыта прохождения сертификации Stanford Online в 2023 году я расскажу про процессы поступления и обучения, структуру программы Advanced Cybersecurity и платформу онлайн обучения, опишу...
Японская диковинка из 2011: что за планшето-ноутбук с двумя дисплеями сделали Sony?
По правде сказать, недавние два месяца в моем блоге можно считать посвященными устройствам с ноутбучным форм-фактором. Мы успели отреставрировать и HP Jornada, и хакнуть электронный переводчик, дабы превратить его в мини-нетбук на ARM, да и раньше я писал статьи о ретро-ноутбуках с интересными...
Что на неделе: цифровой апокалипсис, новый iPhone, тройная «раскладушка» от Huawei
Всем привет! Врываюсь в ваши выходные с очередной подборкой самых громких новостей последней недели. Сегодня в меню: новые гаджеты — от айфона до Huawei, который можно сложить втрое (что??), свежая сводка о сервисах, которые ушли, но обещали вернуться, а также наша любимая рубрика — новости...
В погоне за тенями: геолокация изображения с помощью Shadow Finder Tool
GEOINT часто отнимает много времени, исследователи часами проводят время за просмотром фотографий, изучением спутниковых снимков и просмотром видов улиц. Но, относительно недавно появился инструмент, позволяющий сузить область поиска — Shadow Finder (используя высоту объекта и длину его тени (или...
Социальная инженерия или как усилия безопасников разбиваются о человеческий фактор
Специалисты по информационной безопасности создают системы, которые противостоят кибератакам. Они внедряют фаерволы, настраивают мониторинг, пишут политики безопасности и обучают сотрудников. Это мощная защита от внешних угроз. Но есть одна уязвимость, которая сводит на нет все усилия специалиста —...