Новые протоколы шифрования трафика
Несмотря на запрет отдельных сервисов, протоколы VPN по-прежнему широко используются в корпоративной среде и частными лицами. В последнее время использование стало затруднено из-за того, что зашифрованный трафик распознаётся и теряется на каналах связи. Выходом из этой ситуации может быть...
Как я адаптировал v2rayN для России или российские источники geo файлов для v2ray/sing-box/etc
Сегодня был выпущен мажорный релиз v2rayN v7.0, а вместе с ним и моя серия коммитов, которые добавляют поддержку пресета "Россия". Для его работы так же был создан российский источник geo файлов для v2ray/sing-box/etc. Читать далее...
История и развитие CAPTCHA
Мы начали с текстовой CAPTCHA и пришли к простой галочке, которую нужно поставить, совершенствуя систему после каждого сбоя. Вы заходите на сайт, чтобы купить билеты на самолет. Перед тем как нажать кнопку «Отправить», вам нужно поставить галочку в поле с вопросом: «Вы не робот?» На первый взгляд...
[Перевод] Как я получил $5000 за Out-of-Scope XSS
Несколько месяцев назад я получил приглашение участвовать в частной программе bug bounty на платформе HackerOne. Сначала я провел свои обычные тесты и обнаружил различные уязвимости, такие как недостаток управления доступом (BAC), утечка авторизационных токенов других пользователей и т.д. После...
Межсетевые экраны в 2024 году
Статья посвящена межсетевым экранам (МЭ) в 2024 году, их функционалу, архитектуре, и ключевым параметрам. Автор рассматривает функциональные возможности присущие межсетевым экранам на момент 2024 года без привязки к конкретным производителям. В статье рассмотрена архитектура и аппаратные...
Тестирование на проникновение в веб-приложение VAmPI
Привет, уважаемый читатель! В рамках данной статьи мы узнаем: * Какие API уязвимости есть в VAmPI? * Из-за чего эти уязвимости существуют и эксплуатируются? * Какие есть способы защитить веб-приложение? * Какой есть дополнительный материал для самостоятельного изучения? Ссылка на GitHub VAmPI:...
Как я на барахолке мини-ПК нашел: сюрприз, который пригодился в ежедневной работе. Что за девайс?
Привет, Хабр! Это Антон Комаров, автор команды спецпроектов в МТС Диджитал. Люди постоянно спрашивают меня, знаю ли я Тайлера Дардена что интересного любитель электроники может найти на барахолках. Например, год назад, прогуливаясь по барахолке в Барселоне (совмещал на отдыхе приятное с полезным),...
Что значит «SafeCode»: о чём расскажут на конференции по безопасности приложений
«Безопасный код» — понятие широкое. Так что по названию онлайн-конференции SafeCode 2024 может быть непонятно: о чём пойдёт речь в докладах? Для кого это будет? Для начала стоит подчеркнуть, что конференция не просто «о безопасности», а конкретно «о безопасности приложений». То есть из множества...
Как работать с Permissions для чтения и записи файлов в Android 13+ на примере React Native
В МойОфис мы разрабатываем iOS- и Android-приложения цифрового рабочего пространства Squadus с помощью кроссплатформенного фреймворка React Native. В функциональность нашего приложения входит загрузка и отправка различных вложений другим пользователям. В какой-то момент мы получили фидбек, что...
Нос по ветру: как наш DNS-сниффер помогает искать Blind-уязвимости
Всем привет! В блоге центра исследования киберугроз Solar 4RAYS мы продолжаем делиться результатами расследований инцидентов, полезными инструментами для ИБ-специалистов и другими практическими материалами, часть которых мы размещаем и здесь. Сегодняшняя статья от специалистов нашего отдела анализа...
Что скрывается за кулисами CTF-турнира: наш опыт проведения соревнования
Привет, Хабр! Я Ваня, ведущий инженер по информационной безопасности в Selectel. 10 ноября мы провели свой первый CTF-турнир в рамках конференции Selectel Tech Day 2024. Участникам предстояло разгадать семь задач по информационной безопасности — например, найти в море сокровище, приготовить блюдо...
Поймай уязвимость своими руками: пользовательские аннотации C# кода
Думаю, для многих не секрет, что уязвимости в проекте могут оказать на него крайне негативное влияние. Существует ряд способов по борьбе с уязвимостями, начиная с ручного поиска и заканчивая использованием специализированных инструментов. Об одном из таких инструментов пойдёт речь в статье. Читать...
Отзывы: Гольфстрим, Delta, Цезарь Сателит, Рустелематика, ЕТЦ-охрана. Какую охранную сигнализацию выбрать?
Всем привет! Я Дима, работаю закупщиком электронных компонентов и на досуге пишу статьи на Хабр. Итак, ситуация: нам суперсрочно понадобилась охранная система. Мы находимся в маленьком БЦ, и к соседям пару дней назад пытался кто-то залезть. Конторка у нас небольшая, и я отвечаю практически за всю...
AnkerMake 5M: продвинутый 3D-принтер с камерой, облачным хранилищем моделей и автонастройкой
Привет, мир Хабр! Это Сергей Ребров, автор команды спецпроектов в МТС Диджитал. Совсем недавно я писал, как сражался с 3D-принтером QIDI TECH X-PLUS3 и что из этого получилось. Закончил на том, что если неполадки проявятся снова, мне придется вернуть девайс. Собственно, так я и поступил. Я потратил...
Linux, LogSpace, ML: как SIEM обретал новую технологичность
Помните, когда-то мы раскрыли неочевидную связь между гастритом… и системой выявления инцидентов? За это время MaxPatrol SIEM обновился 17 раз (не считая хотфиксов), перешагнул отметку в 650 инсталляций, включая географически распределенные, и приобрел множество новых фич. Я, Иван Прохоров, отвечаю...
Капитализм Vs Инфономика
В статье я хотел рассказать о том, что наш уровень экономического развития ограничивается капиталистической системой общественных отношений. Это мой личный взгляд на мир, но люди, которые не понимают, что проигрывают, играя друг с другом в игры с неполной информацией, возможно, могут не успеть...
Как мощная DDoS-атака не стала для нас форс-мажором. Ну почти
Привет, Хабр. 19 июня мы в Т1 Облако отражали первую массированную DDoS-атаку одновременно на множество IP-адресов, зарегистрированных на нас. Ботнет атаковал наш транспортный, сетевой и прикладной уровень. На пике мы зафиксировали более 50 Гбит/с. входящего трафика. Длилось это не самое приятное...
Определяем местоположение по коммитам в git
Вот вам карты «возможного» местоположения разработчиков Telegram и React для затравки. Telegram Desktop. Всего 205 человек. Из них 3 основные. Из них два (работают с 2014 и 2019) в районе Самара-Кавказ (Армения, Грузия, Азербайджан) и один (работает с 2018) вероятно в Турции. ReactJS. Всего 1854...