Как я случайно обнаружил баг в Авито и заработал 1000₽ (совершенно не специально)
Дисклеймер: Всё описанное ниже — реальная история о том, как географические особенности Калининграда, человеческая забывчивость и автоматизация платформы создали идеальный шторм. Это не инструкция к действию, а кейс для размышления о corner cases в сложных системах. Читать далее...
«Перевёл — и тишина»: как решить социальную проблему переводов по номеру
Есть один сценарий, который знаком каждому, кто хотя бы раз отправлял деньги знакомому, фрилансеру, курьеру, мастеру или клиенту: Вы переводите — и человек пропадает. Или наоборот: клиент оплатил — и тишина. Не потому что кто-то мошенник. А потому что бытовые переводы — это хаос коммуникаций:...
Защита от SYN-flood: теория, практика и где искать подвох
Провайдер Panix в Нью‑Йорке внедрил систему блокировки спама по «чёрному списку» хостов, после чего стал мишенью затяжной SYN‑flood DDoS‑атаки, начавшейся 6 сентября 1996 года и на несколько дней фактически парализовавшей его почтовые, веб-серверы и серверы новостей, а также системы логина и DNS....
Репозиторий доверенного ПО: инхаус или аутсорс?
На SOC Forum одним из самых горячих дискуссий стала тема, которая ещё пять лет назад казалась нишевой, а сегодня напрямую влияет на устойчивость критической инфраструктуры: создание доверенных репозиториев ПО. В дискуссии приняли участие: Федор Герасимов, лидер сообщества FinDevSecOps, эксперты...
Топ новостей инфобеза за ноябрь 2025 года
Всем привет! Ноябрь выдался богатым на интересные события, так что давайте подводить его итоги. Прошлый месяц принёс крупнейший сбой в работе Cloudflare с 2019-го, а также массовые заражения пакетов в экосистеме npm свежей версией червя Shai-Hulud, оказавшимся мощнее и продвинутее прежнего. Кроме...
То, что обычно не показывают: как выглядит Wi-Fi взлом изнутри (схемы, примеры, анализ)
Безопасность Wi-Fi остаётся одной из тех тем, где одновременно сосуществуют мифы, неоправданные ожидания и огромное количество недопонимания. Кто-то уверен, что WPA2 и тем более WPA3 взломать невозможно, потому что «это же криптография». Кто-то считает, что всё решается набором трёх команд в Kali....
Не «без очереди», а без совести: разбираем схему продажи фальшивых медсправок в мессенджерах
В эпоху цифровизации Telegram превратился не только в удобный мессенджер, но и в плодородную почву для мошенников. Особенно уязвимы те, кто ищет быстрые решения бюрократических задач — например, получение медицинских справок для водительских прав. С приближением конца 2025 года ситуация...
Как перевести CI/CD-пайплайн из режима с хранением секретов в коде на механизм с динамическими паролями
Привет, Хабр! Я Руслан Гайфутдинов, ведущий пресейл-инженер в команде системы управления секретами StarVault в Orion soft. Сегодня я хотел бы рассказать о том, как обеспечить соответствие требованиям безопасной разработки и защитить учетные записи от компрометации, используя хранилище секретов. В...
Продам всё, что на фото. Недорого
Привет, с вами снова отдел реагирования и цифровой криминалистики Angara MTDR. Наш эксперт Александр Гантимуров, руководитель направления обратной разработки Angara MTDR, исследовал вредоносные APK-файлы, которые активно используют злоумышленники в социальных сетях и мессенджерах под видом срочной...
Детальный разбор стандарта NIST SP 800-232 со схемами преобразований. Часть 2
Приветствую, Хабр! Напомню, что в августе текущего года Институт стандартов и технологий США NIST выпустил стандарт NIST SP 800-232 [1], описывающий четыре низкоресурсных криптографических алгоритма на базе семейства алгоритмов Ascon: · алгоритм аутентифицированного шифрования с присоединенными...
Веб уязвимости осени
Привет! Меня зовут Владимир и я эксперт по тестированию на проникновение, в этой статье зароемся в цифры по свежим, и не очень, веб-вулнам. Читать далее...
Как я чуть не потеряла деньги на Авито. UX-разбор мошеннической схемы глазами продуктового дизайнера
Привет! Меня зовут Лера, я продуктовый дизайнер, последние годы работаю с облачными платформами и сложными интерфейсами. Я пишу как человек, который впервые продавал товар на Авито — и как продуктовый дизайнер, работающий с UX-паттернами и пользовательскими сценариями. Контекст и справка В 2025...
Гаджет-компаньон для путешественника: тестирую чемодан AOTOS L2, который превращается в самокат
Вы когда-нибудь мчались по бесконечным коридорам аэропорта на чемодане? Нет, это не сцена из фантастического фильма. Это будни с гаджетом, который переосмысливает понятие «умного багажа» — гибридным чемоданом-самокатом AOTOS L2. Протестировала его в реальной поездке и делюсь впечатлениями: что из...
Web-crawler 3D моделей для печати
Есть у каждого такая железка. Купил вроде бы «для дела», а потом годами используешь как угодно, только не «для дела». У меня это мини ПК CHUWI CoreBox с Ubuntu под капотом. Он был и прокси, и NAS, и VPN, и сервером Lineage 2 (три человека играли, один из них я, второй — жена), и даже чем‑то вроде...
Как я построил полностью изолированную пентест-лабораторию и почему ИИ нельзя доверять
Как я построил полностью изолированную пентест-лабораторию и почему ИИ нельзя доверять Уже месяц я изучаю создание пентест-инструментов (назовем это так, чтобы с модерацией проблем не было :-)) по книге "Black Hat Go", и до недавних пор я тестировал малварь на своём хосте, ибо в них нет ничего...
Антивирус в конце 2025-го: когда хватает Microsoft Defender, а когда уже пора ставить ESET или Kaspersky
Сегодня Windows уже не та, что в нулевых: у большинства пользователей на компьютере по умолчанию есть вполне вменяемый защитник — Microsoft Defender. При этом рынок платных антивирусов живёт и чувствует себя неплохо, а ESET, Kaspersky, Bitdefender и другие продолжают собирать награды в независимых...
Топ самых интересных CVE за ноябрь 2025 года
Всем привет! Пока мир знакомится с новогодним подарком в лице React2Shell и ловит флешбэки в ноябрь 2021-го, давайте подведём итоги этого ноября дайджестом главных CVE прошлого месяца и вспомним его добрым словом. В ОС Android версий с 13 по 16 включительно закрыли 0-click под RCE, связанный с...
Почему ритейл продолжает терять деньги из-за неэффективной ИБ — и что с этим делать
Информационная безопасность в ритейле всегда была сложным аспектом бизнеса. В отличие от многих других отраслей, здесь любой сбой моментально становится финансовым: если остановился сайт или платёжный шлюз, клиент буквально разворачивается и уходит. Если не работает кассовое ПО — магазин стоит....