OpenAI представила Daybreak: связка GPT-5.5 и Codex для поиска уязвимостей и автоматического патчинга
OpenAI анонсировала Daybreak — связку GPT-5.5 и Codex для defense-команд: автоматический поиск уязвимостей, валидация в sandbox и one-click патчи через Codex. Три уровня доступа, верхний тир (GPT-5.5-Cyber для пентеста и red team) — только по верификации; с 1 июня 2026 потребуется...
[Перевод] ИИ против ИИ: кибербезопасность в эпоху мгновенного ПО
ИИ всё лучше находит уязвимости в коде — и всё лучше их закрывает. Те же самые технологии работают и за нападающих, и за защитников, и кто кого — пока открытый вопрос. Разбираем пять неизвестных, от которых зависит исход этой гонки, и заглядываем в мир, где программы создаются и удаляются на лету,...
Immunefi: разочарование в Web3-хантинге и почему проект вам не заплатит (а платформа ничего с этим не сделает)
50 дней назад я отправил critical-репорт через Immunefi. Проект ни разу не ответил. Письменные ответы mediation team о том, как на самом деле устроены vault, SLA и медиация на крупнейшей Web3 bug bounty платформе. Читать далее...
Поиск уязвимостей ПО: базовый минимум или роскошный максимум
Привет, Хабр! Меня зовут Артем, я являюсь руководителем центра технической экспертизы по анализу защищенности в AKTIV.CONSULTING. Сегодня я хочу затронуть тему поиска уязвимостей программного обеспечения при эксплуатации и разобраться, чем это является на практике: базовым минимумом или все-таки...
Анализ юридических рисков в области HR-технологий: баги, ИИ, персональные данные
Всем привет! На связи снова Карьерный Хакер, амбассадор здравого смысла на рынке труда и в HR Tech :) Обзор, как я поймала баги в популярной ATS разлетелся по сети, что доказывает, думаю, насколько тема является общественно важной. Ведь из-за таких ошибок соискатели могут так и не найти работу и...
Portal: от Stored XSS к захвату пользовательских данных
Всем привет, меня зовут Влад, aka Arkeil. Довольно часто решаю таски на платформе Standoff 365 и совсем недавно мне удалось попасть в топ-25 атакующих по итогам первого сезона на Standoff Hackbase. Эта статья посвящена разбору хоста Portal на Standalone. Нам было нужно реализовать утечку...
Как защищать данные, когда денег на ИБ мало: топ-5 Open Source сканеров для поиска уязвимостей
Привет, Хабр! Меня зовут Виктор Иевлев, руководитель отдела информационной безопасности группы компаний «Гарда». Сегодня хочу поговорить о поиске и управлении уязвимостями. Стоит начать с того, что процесс управления уязвимостями – это непрерывный цикл, включающий в себя поиск, оценку, мониторинг и...
Bug hunting, как новая этика ИБ: философия открытых дверей
В информационной безопасности есть множество инструментов контроля качества: внутренние тесты, внешние аудиты, пентесты. Но у всех этих методов есть общее ограничение — они формализованы. Атакующие же редко действуют по чек-листам. Их сценарии непредсказуемы, мотивация разнообразна, а креативность...
[Перевод] Вершим правосудие на GitHub, помечая мошенников с помощью граффити
Уже много лет опенсорсные проекты позволяют нам «украшать» графики активности на GitHub фальшивыми историями коммитов Git. Но знали ли вы, что подобные граффити можно также размещать в профилях других пользователей? К примеру, в графиках активности нескольких фишеров я оставил вот такую «черную...
Смешивать, но не взбалтывать. Как мы добавили Sec между Dev и Ops
Привет, Хабр! Меня зовут Натали Дуботолкова, я старший инженер по разработке безопасного программного обеспечения в Basis. Хочу рассказать о том, как мы задумались над интеграцией работы безопасников непосредственно в процесс разработки и к чему это привело, а также о том, какие методы и...
[Перевод] Небезопасная загрузка файлов: полное руководство по поиску продвинутых уязвимостей при загрузке файлов
Содержание - Что такое уязвимости загрузки файлов? - Выявление уязвимостей при загрузке файлов - Эксплуатация простых уязвимостей загрузки файлов - Продвинутая эксплуатация уязвимостей при загрузке файлов - Заключение Уязвимости в загрузки файлов интересны для поиска, они по своей природе имеют...
[Перевод] Полное руководство по поиску уязвимостей с помощью Shodan и Censys
Содержание: - Важность разведки - Что такое поисковые системы, что такое Shodan и Censys? - Основные операторы поиска - Продвинутые операторы поиска - Более интересные способы использования - Заключение Читать далее...
Клуб охотников за ошибками: а что вы знаете о современном багхантинге?
Безопасная разработка для современного IT — важнее некуда. Однако создание крупных решений становится сложнее, обновления — всё быстрее. Трудно отловить все баги, убедиться, что пользовательский опыт и ценные данные безупречно защищены. Поэтому всё чаще компании не только развивают внутреннее...
Адаптируем фаззинг для поиска уязвимостей
Фаззинг — очень популярная методика тестирования программного обеспечения случайными входными данными. В сети огромное количество материалов о том, как находить дефекты ПО с его помощью. При этом в публичном пространстве почти нет статей и выступлений о том, как искать уязвимости с помощью...
МТС RED ART: обзор перспективных security-исследований
Всем привет! Меня зовут Денис Макрушин, я отвечаю за создание технологий кибербезопасности в MTC RED и возглавляю команду перспективных исследований МТС RED ART (Advanced Research Team). Сегодня проведу разбор самых интересных исследований первого квартала 2024. Под катом — новые методы поиска...
Что используют в работе «белые хакеры»: инструменты для кибербезопасности и проведения пентестов
В арсенале специалистов по информационной безопасности и пентесту есть много инструментов и методов для защиты безопасности информационных систем и сетей. Рассказываем о популярных. Читать далее...
Обзор OWASP ZAP. Сканер для поиска уязвимостей в веб-приложениях
Сегодня почти у каждой организации есть собственный веб-сайт. Вместе с ростом интернета возрастают и атаки на веб-сайты, становясь все более серьезнее и масштабнее. Однако существует обширный список инструментов, которые могут производить сканирование и находить уязвимости в веб-приложениях. Одним...
Создаем кибер-разведку в компании на основе OSINT
Привет ХАБР. Тема, которой посвящена эта статья с одной стороны важна, ведь в кибер-пространстве «неспокойно». Каждый день приходят новости, что ту или иную компанию взломали хакеры, получили дампы или зашифровали данные. Защищаться от кибер-угроз, выстраивая целую инфраструктуру из всевозможных...
Назад