Создание эргономичных устройств: Опыт российского стартапа в сфере 3D-печати
Всем привет! И вот мы снова выходим на связь, чтобы поделиться изменениями за последний год. Мы Российский стартап из города Краснодар, специализирующийся на производстве эргономичных клавиатур, с использованием технологий 3D-печати. По ходу статьи мы расскажем вам, как изменился процесс...
Сканируем с умом — как находить уязвимости эффективно
Сканирование на уязвимости — это один из ключевых этапов в процессе управления уязвимостями. На первый взгляд, оно может показаться простой задачей, но на этом этапе есть множество нюансов, которые могут повлиять на точность и эффективность процесса. В этой статье я поделюсь своим опытом, разберу...
ConfKeeper — хранение конфигов и паролей Ваших проектов
Привет, Хабр! В этой статье будет обзор online менеджера паролей и конфигов для разработчиков, который помимо управления еще может шифровать данные, причем даже в двух режимах. Один безопаснее другого. Стало интересно? Добро пожаловать под кат. Читать далее...
Ставка на отечественное: ИБ-специалисты оценили российские DCAP-системы
DCAP входят в число базовых ИБ-инструментов. Почти каждый российский вендор включил систему файлового аудита в свою линейку продуктов. Однако «эталонный» функционал для российских систем еще формируется. Мы опросили более 100 ИБ-специалистов и узнали, какие возможности DCAP-систем востребованы...
Год прошел, а «дыры» все там же: аналитический обзор уязвимостей информационных систем российских компаний в 2024 году
Годы идут, ИТ стремительно развиваются, но что-то в этом мире остается неизменным. И это – «любимые» пентестерами «дыры» в информационной безопасности. Анализ результатов более 200 проектов 2024 года показал, что распространенные критичные проблемы вроде слабых паролей и устаревших версий ПО, о...
HTTP Request Smuggling: как особенности в обработке HTTP-заголовков приводят к атакам CL.TE и TE.CL
HTTP Request Smuggling или контрабанда HTTP-запросов — тип уязвимости, который возникает из-за несоответствий в обработке HTTP-запросов между фронтендом и бэкендом. Каким образом различия в интерпретации заголовков позволяют атакующим использовать эту уязвимость? Как HTTP Request Smuggling можно...
SSTI в Python под микроскопом: разбираем Python-шаблонизаторы
В статье разберем, какой импакт атакующие могут получить, используя SSTI (server-side template injection) в пяти самых популярных шаблонизаторах для Python: Jinja2, Django Templates, Mako, Chameleon, Tornado Templates. Отметим, что это не новый ресерч с rocket-science-векторами, а анализ работы уже...
Keycloak: как упростить аутентификацию и не сойти с ума?
Я Диана, системный аналитик в Clevertec и экс-преподаватель. В этой нескучной лекции расскажу: - Что такое Keycloak и для чего он нужен? - Как Keycloak помогает с межсистемной аутентификацией? - Какие плюсы и минусы у Keycloak при использовании в продакшене? - Какие альтернативы есть у Keycloak?...
Установка AmneziaVPN на Android TV
Всем привет! В этой статье я расскажу о том, как можно использовать AmneziaVPN на AndroidTV. При этом совершенно не важно для чего вы ее используете: для Self-hosted VPN, для AmneziaPremium, или с какими-то другими ключами. Лично у меня была и премиум подписка и мой личный VPN на собственном...
Сравниваем инструменты для эксплуатации Bluetooth
Приветствуем дорогих читателей! Продолжаем рубрику посвящённую разбору различных инструментов, атак и уязвимостей на беспроводные технологии. Данную статью мы посвящаем уязвимости в Bluetooth CVE-2023-45866, которая была нами затронута в одной из предыдущих статей. Рассмотрим некоторые инструменты...
Атака на уязвимую систему SkyTower Vulnhub. Эксплуатация уязвимостей и получение доступа к системе. Часть 5
Всех приветствую, читатели Хабра! Пятая часть анализа защищенности, правда в этот раз системы (серверной) Vulnhub. Да в этот раз, я поднял целую ОС на virtualbox, а не докер контейнер, соответсвенной в этой статье совершенно иной метод виртуализации, и соответсвенно способ атаки. Соответсвенно в...
Топ новостей инфобеза за март 2025 года
Всем привет! Время освежить в памяти ключевые ИБ-события прошлого месяца. Главным, несомненно, стал Signalgate от высших должностных лиц США, встряхнувший и без того бурлящее болото штатовской политики. А в инфобез-отношениях между Америкой и Россией также наметились сдвиги. В марте российская...
Схема взлома аккаунта на ГосУслугах
Понимаю, что тема с краю от Хабра стоит, но все же как сценарий для служб безопасности, да и процедур контроля ОЗОНА и МТС - имеет место быть. Да и лишний раз предупредить тоже стоит! Звонок от «Технический отдел» с телефона +7 (924) 420-64-71 (по whatsup) Уже это должно было насторожить, но...
Как устроен call for papers на OFFZONE: от заявки до выступления
Попасть на OFFZONE с докладом не самая простая задача. Каждый год мы получаем вопросы: как работает CFP? какие темы лучше выбирать? как правильно подать заявку? что получат спикеры? Мы поговорили с оунерами тематических зон и участниками CFP-комитета, собрали их ответы в статью. Если хотите...
Прятки в пикселях: методы встраивания тайных посланий в видеопоток
За последние годы стеганография прошла путь от простых методов сокрытия информации до сложных алгоритмов, использующих особенности человеческого восприятия. В прошлой статье я разобрал основы стеганографии и методы атак на стегосисистемы, а сегодня расскажу о семи ключевых способах встраивания...
F6 фиксирует более чем двукратный рост числа выставленных на продажу веб-шеллов для доступа к белорусским ресурсам
С начала 2025 года специалисты Threat Intelligence компании F6 зафиксировали более чем двукратный рост числа веб-шеллов, выставленных на продажу после загрузки на сайты в доменной зоне .by, по сравнению с аналогичным периодом 2024 года. Подробнее об этой тенденции, обнаруженной на теневом рынке в...
Оцифровка аналоговых воспоминаний
В 90-е годы прошлого тысячелетия в стране начался бум домашнего видео. Камеры из разделов научной фантастики и редких любителей киносъемки вошли почти в каждый дом. «Я всегда с собой беру ви-идеокамеру!» — пели в заставке популярной телепрограммы. На видео снимали детские утренники, последние...
[Перевод] CyberProof — Отчет об анализе глобальных угроз за 2025 год — Часть 3 — Прогнозы и рекомендации
Киберугрозы 2025: что нас ждет и как защититься? ИИ против ИИ, атаки на критические отрасли, хаос в цепочках поставок и размытые границы между хакерами, шпионами и активистами — мир кибербезопасности меняется. В 3-й части отчета CyberProof — самые актуальные прогнозы и четкие рекомендации: как...