Управление уязвимостями с помощью no-code решения на Budibase
В данном цикле статей я опишу реализацию дашбордов по уязвимостям на no-code решении Budibase, разберу собственную систему приоритизации уязвимостей, покажу, как повысить эффективность устранения угроз с помощью EPSS, и как объединить данные из разных решений в области кибербезопасности. Основная...
RISC-V и безопасность: анализ методов защиты открытой архитектуры
Информации в данной статье не стоит стопроцентно и безоговорочно доверять. Я и мой товарищ, который помогал мне со сбором информации, только изучаем тему микроэлектроники не являемся экспертами в отрасли процессорных архитектур, в особенности RISC-V, отчего в данной статье могут быть ошибки, в виду...
[Перевод] Бесплатный инструмент Autoswagger находит уязвимости API, которые злоумышленники надеются, что вы пропустите
API-интерфейсы — основа современных приложений и одна из самых уязвимых частей инфраструктуры организации. Это делает их излюбленной целью злоумышленников. Тревожно, что подобные уязвимости настолько легко эксплуатировать, что этому можно научить человека без технического образования за один день....
Новости кибербезопасности за неделю с 28 июля по 3 августа 2025
Всё самое интересное из мира кибербезопасности /** с моими комментариями. Столько взломов, сколько было на этой неделе, я не припомню. Я думаю, что если на следующей неделе взломы будут продолжаться в такой же динамике, то можно начинать говорить о начале Первой Международной Кибервойны (WCW1). Ещё...
КУСь нашего контрагента
Привет, друзья! Меня зовут Дмитрий, и я инженер отдела Compliance и безопасности данных в Ozon. Моя работа сфокусирована на разработке, введении и при необходимости модернизации требований ИБ к контрагентам, выстраивании процессов взаимодействия с партнерами. Читать далее...
Тестируем новую версию менеджера паролей Пассворк: обзор изменений от интерфейса до доступа по API
Привет, Хабр! Меня зовут Кирилл Белов (@KirillBelovTest на Хабре), я инженер по автоматизации тестирования. На работе я администрирую виртуальные машины и часто задумываюсь о том, насколько надежен доступ к той или иной виртуалке или сервису, который на ней запущен. На Хабре у меня уже почти два...
Как защититься и восстановиться после атаки шифровальщика
Привет, Хабр! Меня зовут Женя Шмидт, я менеджер продуктов информационной безопасности в Selectel. Представьте: вы получили письмо с темой «Специальные условия для сотрудников компании» и файлом во вложении. Отправителем значится ваш работодатель. Вы кликаете на документ, но вместо бонусов и скидок...
Сетевая OSI-модель: простое объяснение уровней
Сейчас основная модель, на которой работает большинство сетевых взаимодействий, — это TCP/IP. Она проще, компактнее, и используется повсеместно. Но вот в чем фокус: в любой серьезной сертификации, на каждом первом техсобесе, да и просто для адекватного понимания кибербезопасности, вам нужно знать...
Вызовы при построении архитектуры безопасности Цифрового рубля
Алексей Новиков, руководитель управления информационной безопасности R-Style Softlab, о практических вызовах, связанных с архитектурой и защитой цифрового рубля. Читать далее...
[Перевод] [Перевод] Никто не останется позади — Руководство по ручному патчингу угнанного сервера SharePoint/Exchange
Данная публикация - перевод статьи Jang - No[one|thing] will be left behind — Manual guide to patch your the exiled SharePoint/Exchange server. ! Все приведённые в данном материале примеры эксплоитов предназначены исключительно для изучения и проработки мер безопасности. Их использование в...
[Перевод] [Перевод] Поиск способов закрепления в Linux (Часть 3). Systemd, таймеры и Cron
Данная публикация - перевод серии статей от Pepe Berba - Hunting for Persistence in Linux. ! Все приведённые в данном материале примеры эксплоитов предназначены исключительно для изучения и проработки мер безопасности. Их использование в злонамеренных целях строго запрещено и противоречит...
Новости кибербезопасности за неделю с 21 по 27 июля 2025
Всё самое интересное из мира кибербезопасности /** с моими комментариями. На этой неделе новости про милый вредонос для Linux, Америка рассказала о своих стратегических планах в ИИ, Британия запретила платить хакерам, Google занялась безопасностью open source и другие только самые важные и...
Новые правила обезличивания персональных данных с 1 сентября 2025 года
С 1 сентября 2025 года в силу вступают важные изменения в законодательстве России о персональных данных, касающиеся обезличивания (анонимизации) персональной информации. Цель - установить чёткие правила обезличивания и дать бизнесу и государству новые возможности для безопасного использования...
[Перевод] От согласия на использование Cookie, до выполнения команд: реальный вектор от SQLi + утечки персональных данных до RCE
Привет, я nav1n0x — администратор баз данных по профессии, исследователь безопасности, а также баг-хантер по призванию, с фокусом на уязвимости, которые часто остаются незамеченными. Мне нравится исследовать логику приложений, забытые параметры и превращать свои предположения в критические находки...
Начинаем в багбаунти: топ-10 (или нет?) инструментов для профессионального похека
Привет, Хабр! На связи Сергей Зыбнев aka poxek. Начинал свой путь в багбаунти как сисадмин, потом заведовал WAF'ами в МТС, затем несколько пентестерских компаний, а теперь работаю в Бастионе и профессионально ломаю то, что раньше защищал. Последние четыре года веду Telegram-канал Похек, где...
Как устроены цифровые сертификаты
Цифровой сертификат является неотъемлемой частью систем информационной безопасности, при этом зачастую вскользь упоминаясь как сопутствующий элемент более крупных технологий и протоколов. Рассмотрим сертификаты как независимые единицы: их структуру, области применения и жизненный цикл. Читать далее...
За неделю от ночных кошмаров до спокойного сна: как я автоматизировал защиту от AI-хакеров
Никто не любит быть тем парнем, который говорит "а давайте еще и защиту поставим". Особенно когда речь идет о блестящем новом AI-продукте, который должен был запуститься "еще вчера". Но когда твой корпоративный чат-бот начинает выдавать системные промпты направо и налево, а в 2 ночи тебе в Telegram...
[Перевод] Не научилась писать код, но стала пентестером. Интервью с этичным хакером
Привет, Хабр! Мы с очередным рассказом из подкаста Darknet Diaries – историей Рейчел Тобак, специалиста в области социальной инженерии. Ее называют этичным хакером: она изучает, как действуют преступники и как ведет себя жертва во время атаки. Рейчел рассказала, как начиналась ее карьера в...