AI Red Teaming: спор с Grok — Часть 2. За пределами sandbox: CSRF, WAF bypass и privilege escalation
Sandbox - эфемерный, умирает после сессии. Мне нужны были уязвимости на продакшн-инфраструктуре. Нашёл: zero-click CSRF на все 11 методов billing API через gRPC + text/plain, обход Cloudflare WAF одним заголовком, и создал management key с 50 привилегиями. Всё до сих пор на серверах xAI. Читать...
AI Red Teaming: спор с Grok на месяц рекламы — 12 часов, 61 уязвимость, root в Kubernetes
Я поспорил с Grok, что смогу взломать инфраструктуру xAI. За 12 часов нашёл 61 уязвимость, получил root в Kubernetes-песочнице «Hades» и заставил xAI экстренно патчить в выходные. В первой части — разведка, антибот, и путь от безобидного os.getuid() до полной карты внутреннего кластера. Читать далее...
ZeroNights 2025: как это выглядит глазами пентестера
ZeroNights любят за технический уровень и атмосферу. Я хочу показать ZN изнутри — глазами специалиста по анализу защищённости, который приехал за опытом, стендами, общением с комьюнити. Конференция ZeroNights 2025 прошла 26 ноября 2025 года в Санкт-Петербурге, в LOFT HALL. Читать далее...
Открытие API старых вещей
В последнее время всё чаще слышны призывы к производителям открывать API и исходный код для гаджетов, которые заканчивают свою жизнь. В этом случае сообщество может выполнять поддержку и даже расширять функциональность устройств. Именно так следует «заканчивать жизнь» старых моделей — через...
Давай разрушим эти стены, их здесь быть не должно…
Три года назад я написал статью “Интернет-цензура и обход блокировок: не время расслабляться”. Перечитывая ее сейчас, спустя три года, не могу избавиться от двоякого чувства: с одной стороны я почти во всем оказался прав касательно того, как будут развиваться события, усиливаться блокировки, и...
Positive Technologies сняли фильм «Как получить доступ ко всему: реверс-инжиниринг». Зафиксировал его основные смыслы
26 февраля 2026 г. вышел фильм "Как получить доступ ко всему: реверс-инжиниринг", снятый Slon Motion Studio по заказу Positive Technologies. Я посмотрел фильм и, через цитаты приглашенных экспертов, сделал конспект фильма, зафиксировав смыслы которые несёт кино. Читать далее...
[Перевод] Как заставить старенькую Kindle показывать время прибытия автобусов
Это история о том, как я превратила свою бывалую Kindle Touch в инструмент мониторинга времени прибытия автобусов с ежеминутным обновлением экрана и возможностью выйти из режима дашборда через кнопку меню. По сути, у меня получился TRMNL, только без ценника в $140. Читать далее...
«Агенты Хаоса»: ИИ стирает сервера, или почему нельзя давать языковым моделям права root
В последнее время ИТ-сообщество активно обсуждает интеграцию автономных ИИ-агентов в реальные рабочие процессы. Свежий препринт под интригующим названием «Агенты Хаоса» подливает масла в огонь: исследователи устроили масштабный red teaming, подключив LLM-агентов к электронной почте, Discord и...
Кому нужен Whoop?
Я являюсь давним поклонником носимых устройств и первый мой такой девайс появлился более 10 лет назад и был по сути простым шагомером. С тех пор я навсегда перевел телефон в беззвучный режим и воспринимаю только уведомления на браслете, не использую будильник со звуком и в целом использую носимые...
OSINT для ленивых. Часть 5: Что у pdf за душой — разбираемся с метаданными документов за 2 минуты
— С метаданных картинок мы уже разобрались, теперь же давайте посмотрим, что за душой у обычных pdf или word документов Читать далее...
Разработка под eCommerce, пулинг объектов в .NET, менеджмент и open source — чтение на выходные от нашей DIY-платформы
Сегодня мы в Beeline Cloud решили поделиться свежими публикациями на нашей DIY-площадке «вАЙТИ». Это — подробные технологические материалы и относительно легкие разборы смежных тем: от лайфхаков по теме eCommerce-разметки и React Server Components до опыта разработки видеоаналитики на базе открытых...
Финтех 2026: почему фраза «у нас всё защищено» стала самой опасной
Исследование само тут, можно забрать, там тоже с картинками 😍 Последние пару лет в разговорах с безопасниками и топами всё чаще звучит одна и та же мысль Мы перестали задаваться вопросом будет ли атака Мы начали думать что будет когда она произойдёт И это очень показательный сдвиг Финансовая...
Amazfit Balance 2: как я снова начал пользоваться умными часами и не пожалел
С умными часами и фитнес-трекерами я экспериментировал довольно давно. Пробовал первый Mi Band, второй, первые, вторые и третьи Apple Watch. Какую-то модель от Samsung (уже не помню, что там было), LG Urbane и бог знает что еще. В целом, они не особо отличались друг от друга, на то время давали...
Хакинг бытовой техники: одна шина, чтобы управлять всеми
Двое реверс-инженеров пробуют разобраться, почему в старой стиральной машине Miele перестал работать отжим. Устранить неполадку им так и не удается — зато они умудряются отреверсить закрытый диагностический протокол и вытащить прошивку управляющей платы. А затем — написать утилиту, которая делает...
На светлой стороне: как разработчики «Солара» решили проблему атакующего ИИ и получили патент
Если у вас есть бизнес, то, скорее всего, у вас есть и продвигающий его сайт. Это визитная карточка любой компании. И это именно та цель, куда первым делом захотят ударить конкуренты или злоумышленники с помощью ботов. «Мой сайт — моя крепость», — так можно перефразировать известное выражение. А...
Скриншоты не победить, но скрейпинг можно удорожить: 4 слоя защиты изображений на UGC-платформе
У меня есть платформа для работы с метафорическими ассоциативными картами. Это инструмент психологов, коучей: колода картинок, вопросы, разговор. Звучит нишево, но суть задачи универсальна – авторский визуальный контент в вебе, который надо защитить от массового скачивания и пиратства. При этом...
Portal: от Stored XSS к захвату пользовательских данных
Всем привет, меня зовут Влад, aka Arkeil. Довольно часто решаю таски на платформе Standoff 365 и совсем недавно мне удалось попасть в топ-25 атакующих по итогам первого сезона на Standoff Hackbase. Эта статья посвящена разбору хоста Portal на Standalone. Нам было нужно реализовать утечку...
Безопасность веба: итоги 2025 года и взгляд в будущее
На связи Лука Сафонов — бизнес-партнер по инновационному развитию компании «Гарда». В прошлой статье я рассказывал про организацию сетевой безопасности в финтехе, а сегодня хочу поговорить в целом про безопасность веба. Узнать подробности...