Битфлипаем зашифрованный JSON, не зная структуры: разбор демозадачи с T-CTF 2025
Проводим третий T-CTF для ИТ-специалистов, которые хорошо разбираются в коде. Соревнования пройдут онлайн и офлайн 19—20 апреля, так что пока есть время подготовиться. В статье расскажем, что нового будет в этом году, и разберем одно демозадание. Если вы уже ко всему готовы, переходите на страницу...
Безопасность без боли: плагины, которые упрощают жизнь разработчикам
Привет, меня зовут Владислав Феофилактов, я разработчик команды интеграции продукта PT Application Inspector. В этой статье вместе с коллегой Даниилом Бакиным мы расскажем о безопасной разработке приложений, подходе shift left и о том, как сделать жизнь разработчиков и AppSec-специалистов проще, а...
[Перевод] Глобальный ущерб от ковида равен десяти триллионам долларов. Можете представить ущерб от кибер-пандемии?
Глобальный экономический ущерб от COVID-19 оценивается в 10-12 триллионово долларов. Представьте себе, что может случится в результате киберпандемии. В сентябре 2024 года в Бедфорде, штат Песильвания, США состоялся семинар “Новые парадигмы безопасности”, материалы которого были опубликованы в...
Рабочее место программиста: мой опыт
В статье представлен личный опыт органзации рабочего места программиста. Кейс супер базовый, но в очередной раз позволит задуматься "Действительно ли мне комфортно за рабочим местом и влияет ли это на мою продуктивнось?". Читать далее...
Что такое DPI Engine?
Для людей, кто знаком с термином DPI (Deep Packet Inspection), в большинстве случаев возникает неприятная ассоциация: блокировки, регуляторы, цензура, закручивание гаек. На самом деле, DPI – это только название технологии, суть которой заключается в глубоком анализе трафика. Под глубоким анализом...
[Перевод] Угон сессий с помощью IDOR и XSS
Представьте себе платформу, предназначенную для обработки конфиденциальной информации — например, страховых заявлений или идентификации личности. Такие места часто превращаются в золотую жилу для атакующих. Именно на это я и наткнулся, исследуя функцию загрузки файлов на портале, связанном со...
Wireshark на службе защитников
Как узнать, что происходит в вашей сети, если внешние защитные рубежи не спасают от внутренних угроз? Анализ сетевого трафика — мощный инструмент, который позволяет выявлять подозрительную активность, расследовать инциденты и настраивать системы защиты так, чтобы злоумышленникам не осталось лазеек....
Разбор трех популярных фейковых USB-флэшек с маркетплейсов
Все три – хиты продаж. Поизучаем их немного и посмотрим на общее положение дел с подделками на меркетплейсах. Поддельная Kingston заявленной емкостью 512 ГБ – самая популярная флэшка на всех маркетплейсах. К ней в компанию взял более реалистичный вариант – Borofone 128 ГБ. Подумал, раз в России...
Шатаем ActiveMQ
Пожалуйста обновите ActiveMQ после прочтения этой статьи. Рассказ об одной известной атаке на инфраструктуру крупных ИТ-проектов — брокер сообщений Apache ActiveMQ. Читать далее...
[Перевод] Как ИИ-агенты меняют атаки с украденными учётными данными
Атаки с подбором учётных данных оказали огромное влияние в 2024 году, подпитываемые замкнутым кругом заражений инфостилерами и утечек данных. Однако ситуация может стать ещё хуже с появлением Computer‑Using Agents (CUA) — нового типа ИИ‑агентов, обеспечивающих дешёвую и малозатратную автоматизацию...
Potatoes, EternalBlue, PrintNightmare: способы детектирования уязвимостей протокола SMB
Всем привет! Меня зовут Влад Кузнецов, я аналитик SOC в К2 Кибербезопасность. SMB — один из самых распространенных протоколов сетевой коммуникации для безопасного управления файлами и различными службами удаленного сервера. Несмотря на свою незаменимость, протокол SMB может быть отличной лазейкой...
[Перевод] Ликбез по разрешениям в Android
В быстро меняющемся мире мобильных технологий операционная система Android занимает особое место благодаря своей универсальности и обширному спектру возможностей. Одним из ключевых элементов, обеспечивающих безопасность и неприкосновенность личных данных пользователей Android, является система...
[Перевод] Rust: объясняем Владение и Субструктурные типы на пальцах
Системы типов помогают разработчикам создавать надежные и безопасные программы. Однако такие термины, как «субструктурные типы» или «владение», нередко кажутся сложными и трудными для понимания, особенно для тех, кто не сталкивался с теорией типов в академической среде. Новый перевод от команды...
[Перевод] Взлом гиганта: как я нашел уязвимость в поддомене Google и попал в «зал славы» багхантеров
Будни багхантера — это непрерывная охота за уязвимостями, успех в которой зависит не только от опыта и навыков, но и от банального везения. Недавно мне попалась по-настоящему крупная добыча: я обнаружил XSS-уязвимость (межсайтовый скриптинг) в одном из поддоменов Google. В статье расскажу, как мне...
Есть ли необходимость в автоматизации тестирования на проникновение
Несмотря на постоянно растущий спрос на решения для информационной безопасности, число успешных кибератак на организации по всему миру ежегодно увеличивается. По нашим данным, в 2023 году этот показатель вырос на 18%, и, судя по тенденциям 2024 года, этот рост продолжится. Одна из причин –...
Что важно учесть при написании отчета по пентесту и за что платит заказчик – делимся экспертизой
После завершения любого проекта (по пентесту, анализу защищенности, Red Teaming и др.) специалисты приступают к самому душному увлекательному этапу – к написанию отчета. Казалось бы, ничего особенного – нужно всего лишь свести в единый документ все свои достижения. Но правда жизни такова, что...
Три мушкетера из мира DevSecOps. Внедряем инструменты для развития AppSec-процессов
Привет, Хабр! С вами Максим Коровенков, DevSecOps Lead в Купер.техе. Продолжаем цикл статей про построение DevSecOps с нуля. Это большой гайд from zero to, надеюсь, hero. Читать далее...
Фундаментальная проблема TLS/SSL или как потерять доверие к доверенным центрам
Сегодня HTTPS считается де-факто стандартом для безопасного сёрфинга веб-страниц, но знаете ли вы о подводных камнях, на которые мы натыкаемся в самый неудобный момент? Сегодняшняя статья расскажет о самой главной из них, а так же о способе её исправления. Поехали!...