Пользовательские аннотации PVS-Studio теперь и в Java
Начиная с версии PVS-Studio 7.38, Java анализатор вслед за двумя братьями C# и C++ поддерживает пользовательские аннотации в формате JSON. Зачем они нужны и что с ними можно делать, рассмотрим в этой статье. Читать далее...
Новости кибербезопасности за неделю с 4 по 10 августа 2025
Всё самое интересное из мира кибербезопасности /** с моими комментариями. На этой неделе новости про новый вектор атаки из BIOS, который нельзя обнаружить антивирусами, Минцифры придумали особый формат интернета в условиях ограничений, Электронный документооборот - новый эффективный канал...
Как провести инвентаризацию информационных систем с персональными данными (ПДн)
После 30 мая в связи с вступлением в силу изменений в законе о защите персональных данных (152-ФЗ) многие компании озаботились соответствием требованиям этого закона, но не знают с чего начать и за что хвататься. Начинать я рекомендую с инвентаризации. Инвентаризация информационных систем...
[Перевод] Stealth Mode: 10 Bash-трюков для скрытого хакинга
В мире этичного хакинга, быть невидимым зачастую так же важно, как и получить первичный доступ. Подумайте сами: если вы проникнете в систему, но оставите за собой следы в логах, идентификаторах процессов и временных метках файлов, то практически оставите свою подпись на месте преступления. Этот...
DRP и ASM: две стороны проактивной защиты от цифровых угроз
Всем привет! В сегодняшней обзорной статье мы поговорим о DRP и ASM-решениях. Что это такое, для чего они нужны бизнесу, и чем грозит их отсутствие. DRP (Digital Risk Protection) и ASM (Attack Surface Management) — это инструменты проактивной киберзащиты. Их ключевая задача — раннее обнаружение в...
Shade BIOS: полная маскировка вредоносного ПО UEFI
На конференции Black Hat USA 2025 исследователь Shota Matsuo представил доклад о новом классе угроз под названием Shade — платформе для загрузки зловредного ПО из UEFI, способной обходить почти все современные средства защиты. Я постарался сделать краткий обзор Shade. Читать далее...
Новый приказ ФСТЭК: что нужно знать разработчикам Al-сервисов для госсектора
Привет! Меня зовут Андрей, я руковожу отделом продуктов клиентской безопасности в Selectel. С 1 марта 2026 года в России начнут действовать новые требования к безопасности AI-систем в госсекторе. ФСТЭК утвердила Приказ №117 — первый документ, который официально регулирует создание и внедрение...
Безопасник, перелогинься! Гид для тех, кто хочет из ИТ перейти в ИБ
Для таких высококонкурентных сфер, как ИТ, карьерное развитие невозможно без непрерывного обучения. Внутри этой концепции есть два тренда: Upskilling, то есть углубление и расширение имеющихся навыков, и Reskilling — смена карьерного трека. Причины задуматься о переквалификации могут быть разными —...
Топ новостей инфобеза за июль 2025 года
Всем привет! Подводим итоги ключевых ИБ-новостей июля. В прошлом месяце в наших краях был нанесён удар по старичку XSS — сайт был перехвачен, главный админ арестован, и подоспело расследование от Кребса по его идентичности. Тем временем в Великобритании идут эксперименты над популяцией: под...
Приоритизация уязвимостей без дорогих платформ на Budibase
Приоритизация уязвимостей является важным этапом, входе которого необходимо оценить риск и последовательность устранения уязвимостей в приоритете - от самого критического до самого низкого риска. В предыдущей статье я описывал визуализацию уязвимостей с помощью Budibase, в этой статье я опишу...
Уязвимости XXE в разрезе Java
В этой статье мы рассмотрим дефект безопасности XXE в контексте Java. Поговорим о причинах возникновения и возможных последствиях, посмотрим на примеры и, конечно, обсудим способы защиты. Читать далее...
[Перевод] От страницы входа до полного захвата админ-панели
В этом отчете я делюсь историей о том, как простая страница входа привела к получению полного административного доступа. Всё началось с базовой разведки и превратилось в одну из самых серьезных уязвимостей, которые я обнаружил. Вот как это произошло. Читать далее...
Уволившийся сотрудник
Привет, Хабр! Меня зовут Александр, я лидер команды DevSup (это как DevOps, только с функцией поддержки больших клиентов которым Saas не подходит) в IT-компании ПравоТех. Мы создаем ИТ-решения для автоматизации юридической функции. Будучи разработчиком таких систем, мы понимаем, что наши клиенты...
Как я нашёл критическую уязвимость на Суточно.ру и получил «целых» 25 000 рублей
Сегодня я бы хотел рассказать о моем самом недооцененном кейсе за почти 5 лет работы. За это время мне удалось поработать со многими гигантами IT-рынка, которые платили достойные вознаграждения. Однако случай, о котором пойдет речь, оставил после себя крайне неприятный осадок. Несмотря на то, что...
Делай карьеру в ИБ: что должен знать и уметь специалист по управлению уязвимостями перед собеседованием
В стремительно меняющемся цифровом мире управление уязвимостями – уже не просто техническая задача, а жизненно важный аспект успеха любой организации. Компаниям, которые хотят оставаться на шаг впереди потенциальных киберугроз, нужны спецы, которые могут не только выявлять слабые места в системе,...
Роль каталога данных в безопасности T Data Platform
Привет, Хабр! На связи Дима Пичугин, тимлид в направлении комплаенса и безопасности данных. В статье рассказываю о пользе, которую подразделение информационной безопасности Т-Банка получило от каталога данных Data Detective и процессов вокруг него. Как человек, который стоял у истоков появления...
Как мы видим купольную защиту с PAM. практический подход
Целевые кибератаки сегодня представляют одну из наиболее сложных и длительных угроз для корпоративной ИТ-инфраструктуры. Практически во всех таких инцидентах одна из ключевых целей злоумышленников — это получение или эскалация привилегированного доступа. Злоумышленники действуют не силой, а путем...
В фокусе RVD: трендовые уязвимости июля
Хабр, привет! На связи команда инженер-аналитиков отдела по инструментальному анализу защищенности компании R-Vision. Мы подготовили свежий дайджест трендовых уязвимостей, обнаруженных в июле 2025 года. В нем собраны наиболее опасные уязвимости, которые уже сейчас активно эксплуатируются в атаках и...
Назад