Авторизация OAuth 2.0 в PostgreSQL на примере Keycloak
Привет, Хабр! Мы продолжаем цикл статей о нововведениях СУБД Tantor Postgres 17.5.0, и сегодня поговорим о поддержке авторизации через OAuth 2.0 Device Authorization Flow — это современный и безопасный способ предоставления доступа, который позволяет приложениям запрашивать доступ к PostgreSQL от...
LNK- и BAT-файлы: фишинговая рассылка
Автор - Степан Панфилов, команда UserGate uFactor Привет, Хабр! На связи команда UserGate. Мы запускаем новую серию материалов, посвященных исследованию кибератак. Да, мы не только разрабатываем NGFW, но и, как положено серьезной ИБ-компании, анализируем актуальные угрозы. Сегодня мы рассмотрим два...
Стандартизация безопасной разработки: теория и практика
Всем привет! У нас новый автор - Виктор Дрынов, руководитель отдела безопасной разработки Angara Security. Сегодня он расскажет, как стандарты могут помочь минимизировать риски и повысить качество разработки Немного о требованиях регуляторов С чего стоит начать подход к безопасной разработке? С...
Строим безопасность, которая работает на бизнес: опыт Dodo Pizza
Когда компания только начинает свой рост, информационная безопасность почти неизбежно воспринимается как палки в колеса. Формальные согласования, запреты, новые правила — все это кажется лишним грузом. Но рано или поздно наступает момент, когда становится все сложнее стабильно и предсказуемо...
(Не) безопасный дайджест: бабушка-хакер, псевдо-ТП и клондайк краденных кредов
По традиции продолжаем делиться необычными и поучительными ИБ-инцидентами. В июльской подборке: настойчивые африканские вымогатели, шифровальщик, перечеркнувший вековую историю, и очередная «величайшая утечка в истории». Читать далее...
Smart Band 10: чем новый фитнес-браслет Xiaomi отличается от Smart Band 9
Каждый год Xiaomi выпускает новый фитнес-браслет, от поколения к поколению обещая революционные улучшения. На деле часто получается косметический апгрейд за те же деньги плюс пара-тройка новых спортивных режимов, которые чаще всего никто не использует. Дошло до того, что многие в принципе перестали...
Acer Switch One 10: как я спас необычный планшет-трансформер с барахолки. Что это за устройство?
Пару недель назад я описывал ноутбук-трансформер, который я нашел на барахолке. Модель — Acer Switch One 10, я его купил всего за 10 евро. Увы, у него был разбитый экран, но в остальном он выглядел живым. Дома у меня уже давненько пылился такой же, но с другой проблемой: материнская плата вроде...
Использование LLM в Access Management на примере OpenAM и Spring AI
В статье представлен практический пример решения автоматического анализа настроек системы управления доступом на базе OpenAM с использованием больших языковых моделей (LLM) через API Spring AI. Мы развернем систему управления доступом, запросим у LLM проанализировать конфигурацию и вернуть...
ElastAlert 2 на практике: как я создал универсальное правило для мониторинга событий
В наш век технологий обработка данных и мониторинг систем становятся критически важными. Поэтому для обеспечения бесперебойной работы я часто использую в своих проектах Elastic Stack (ранее известный как ELK Stack), позволяющий собирать, хранить и визуализировать огромные объемы данных. Этот подход...
Single Sign-On (SSO) для системных аналитиков: от основ до деталей OIDC, SAML и Kerberos
Системным аналитикам часто приходится проектировать процессы авторизации, выбирать протоколы и описывать требования к аутентификации. Но когда дело доходит до SSO (Single Sign‑On) — архитектурных решений становится неожиданно много: OIDC, SAML, Kerberos… Что из этого выбрать и почему? В статье —...
Apple Pro Weekly News (23.06 – 29.06.25)
Пока ждём третьей беты, изучаем, что было во второй бете и какие сервисы Apple обновились, а какие отмечают юбилеи. RuStore на iOS близко? Зато в ЕС Apple пошла на ещё одни уступки, ну почти. Множество слухов о грядущем: как будет меняться iPhone, когда ждать умные очки, где там AirTag 2, новый...
RF: как поиграть в любимые игры детства, если у консоли есть только антенный выход
Консоли. Консоли никогда не меняются. Они замирают в своей эпохе, как насекомые в каплях древесной смолы, и ждут часа, когда вас в очередной раз захлестнет приливом ностальгии. А вот экраны, на которые выводится картинка с ретро-девайсов, претерпевают изменения регулярно. Всего 15-20 лет назад в...
[Перевод] Как я убедил виртуальную машину, что у неё есть кулер
Зачем вообще этим заморачиваться? Некоторые образцы malware выполняют различные проверки, чтобы определить, запущены ли они в виртуальной машине. Один из самых частых способов — проверка наличия определённых аппаратных компонентов, обычно не эмулируемых в виртуальных средах. Один из таких...
HackTheBox Labs (Starting Point) — Dancing
Доброго времени суток! В этой статье мы подробно рассмотрим работу с протоколом SMB (Server Message Block) . Мы узнаем, как работать с этим протоколом и в конце попробуем добраться до флага. Внимание!!! Я настоятельно рекомендую сначала попробовать решить задачу самостоятельно, а в случае...
Комплексная защита веб-приложений: обзор взаимодействия разных типов ИБ-решений
Привет, Хабр! Я Андрей Дугин, руководитель центра сервисов кибербезопасности RED Security. Про тему кибербезопасности веб-приложений уже, казалось бы, рассказали все, что можно: термины XSS, SQL-инъекции, DDoS знакомы каждому в мире ИБ. Проблема в том, что знание отдельных уязвимостей и методов...
Что делать с раскрытыми паролями
Согласно исследованиям, около 41% авторизаций в интернете производятся с использованием скомпрометированных паролей. Повторное использование паролей — одна из главных проблем в информационной безопасности. Пользователи используют одинаковые пароли в среднем для четырёх учётных записей на разных...
Джейлбрейкаем чатботы: ChatGPT без фильтров
Привет!Сегодня мы копнём в одну из самых спорных и недооценённых тем в мире ИИ — джейлбрейки чатботов. То самое, что позволяет убрать встроенные тормоза и меньше читать “I'm sorry, I cannot help with that” и заставить чатбот говорить с вами как с взрослым человеком, а не как корпоративный...
36 стратагем Red Teaming. Часть 1. Стратагемы победоносных сражений и сражений при равновесии сил
Трудно переоценить значение стратегии и тактики в мире информационной безопасности. Атакующий выбирает момент, место и способ воздействия. Современные Red Team операции, имитирующие действия реальных нападающих, аналогично строятся не на хаотичных попытках прорыва, а на системном применении...