Как одна кривая регулярка может «положить» ваш сервер: разбираем уязвимость ReDoS
Алерты кричат о 100% загрузке CPU, API лежит, но сетевой трафик на нуле? Знакомьтесь, это ReDoS — атака, при которой безобидная строка из 30 символов и одна неоптимальная регулярка заставляют сервер уйти в вычисления на десятилетия. В этой статье разбираем «катастрофического возврата»...
Случайный апокалипсис: Как 99 строк кода Роберта Морриса навсегда изменили интернет
Представьте себе интернет 1988 года: всего 60 000 узлов, ламповая атмосфера полного доверия между университетами и военными базами, а пароли спокойно пересылаются открытым текстом. Никаких шифровальщиков, ботнетов и DDoS-атак. Но 2 ноября 23-летний аспирант Корнеллского университета Роберт Моррис...
Почему уязвимости годами живут в инфраструктуре: честный разговор
Дмитрий Беляев, CISO, подкастер, человек, который устал читать красивые отчёты Я провёл подкаст с двумя людьми, которых в нашем цеху представлять не нужно. Александр Леонов - тот самый, кого первым вспоминают, когда речь заходит об управлении уязвимостями в русскоязычном сообществе. И Рустам...
(Не)безопасный eBPF: что маркетологи забыли упомянуть об уязвимостях
eBPF называют «безопасным по умолчанию». Но что, если это не так? Все хвалят eBPF за «безопасность и изоляцию». Но что если данные из вашей eBPF-мапы может прочитать любой процесс с правами root? Я не буду учить писать свой eBPF-хелпер. Я покажу практический пример демонстрации этой уязвимости....
Цена одной опечатки: Как три неверные буквы сорвали киберограбление на миллиард долларов
Взлом системы SWIFT часто кажется чем-то из области голливудской фантастики, но в 2016 году группировка Lazarus доказала обратное. В этой статье мы шаг за шагом разберем архитектуру одной из самых дерзких APT-атак в истории: на Центробанк Бангладеш. Вы узнаете, как хакеры использовали целевой...
Mythos: модель, о которой Anthropic не говорит. Реверс по жертвам — от 27-летней дыры в OpenBSD до побега из песочницы
1 мая 2026 года команда из трёх человек принесла в Apple Park 55-страничный отчёт. Внутри — рабочий эксплойт kernel memory corruption на macOS 26.4.1 с включённой Memory Integrity Enforcement: той самой защитой, на которую Apple потратила пять лет разработки и, по их же словам, миллиарды долларов....
Веб vs Мобилка: кто в опасности? Сравниваем безопасность двух миров
Спойлер: оба, но по-разному - и это важно понимать. Каждый раз, когда слышим «у нас все нормально с безопасностью, мы же не банк», что-то внутри сжимается. За этой фразой обычно стоят токены аутентификации в SharedPreferences, SQL-запросы без параметризации и Firebase без правил доступа. Эта статья...
Страшно, когда не видно: темные тайны систем виртуализации
Привет, Хабр! Меня зовут Данил Зарипов, я эксперт центра безопасности (PT ESC) Positive Technologies. Эту статью мы подготовили вместе с моим коллегой Кириллом Масловым, продуктовым экспертом по направлению Asset Management. Мы закрываем наш цикл статей про аудит ИТ-активов, и сегодня поговорим о...
LNK — это гораздо больше, чем просто ярлык к файлу
Вы всегда знаете, что скрывается за простым ярлыком? Почему злоумышленники часто используют вредоносные ярлыки для заражения? Сегодня попытаемся разобраться, почему и как простой ярлык может привести к компрометации, как исследовать такие подозрительные файлы и почему эту угрозу так сложно...
[Перевод] Mythos «обнаружил» CVE, уже находящийся в его обучающих данных, но это всё равно тревожит
Anthropic попала в заголовки прессы, заявив, что Claude Mythos создала «первый удалённый эксплойт ядра, обнаруженный и использованный ИИ». Мы решили изучить, как ей это удалось, и нашли 20-летний баг, скрывавшийся на ровном месте. Давайте разберёмся, что, по нашему мнению, сделала Mythos, и что это...
Гонка ИИ-вооружений — как LLM вносят уязвимости в код и как другие LLM их находят
Ваш ИИ-агент только что выдал строчку. И она выглядит… подозрительно? Указатель без проверки на NULL, сериализация через pickle без валидации и логика базы данных, никак не защищённая от SQL-инъекций. Заметить одну-две таких подстав легко, но если строк больше 5 тысяч? А сколько коллег нажали...
В фокусе RVD: трендовые уязвимости апреля
Хабр, привет! На связи команда инженер-аналитиков R-Vision. Мы проанализировали широкий спектр уязвимостей, выявленных в апреле 2026 года, и включили в дайджест лишь те, что представляют наибольший практический интерес по уровню риска, подтверждённой эксплуатации и актуальности для специалистов по...
Топ самых интересных CVE за апрель 2026 года
Собрали самые интересные CVE апреля в нашу традиционную подборку. Критическими уязвимостями под RCE в прошлом месяце отметились Microsoft Azure и Bing, а также Mozilla Firefox и Thunderbird. Месяц не обошёлся и без критических уязвимостей в продуктах от Cisco: в IMC и SSM On-Prem исправили обход...
[Перевод] ИИ против ИИ: кибербезопасность в эпоху мгновенного ПО
ИИ всё лучше находит уязвимости в коде — и всё лучше их закрывает. Те же самые технологии работают и за нападающих, и за защитников, и кто кого — пока открытый вопрос. Разбираем пять неизвестных, от которых зависит исход этой гонки, и заглядываем в мир, где программы создаются и удаляются на лету,...
А сейчас я покажу, откуда на вайбкод готовилось нападение
Вайбкод это круто, пока не открываешь первый отчёт сканера безопасности и не видишь 234 проблемы. В статье разберём, как выстроить пайплайн вокруг LLM-проекта: подключить SAST-инструменты, настроить Quality Gate как блокировщик деплоя и использовать модель для исправлений — не вместо инструментов,...
Безопасность приложений на Typescript от А до Я: гайд по защите от очевидных и не очень уязвимостей
Я часто замечаю, насколько некоторые разработчики халатно относятся к вопросам безопасности своих приложений. И начинают задумываться о методах защиты только тогда, когда уже приходится переписывать большую часть приложения. Сегодня мы пройдемся по классическим и не только методам атаки, посмотрим,...
Поговорим о планировании внедрения DevSecOps
DevSecOps по-прежнему часто сводят к подключению сканеров в CI/CD. Дальше сценарий предсказуем: пайплайн замедляется, отчёты копятся, команда теряет к ним интерес. Проблема обычно не в инструментах, а в том, что их внедряют поверх неизменённых процессов. В статье — о том, как подойти к DevSecOps...
ИИ против ИИ: кто победит в кибербезопасности
Привет! Меня зовут Денис, я руковожу группой мониторинга и анализа инцидентов информационной безопасности. Мы отслеживаем события в инфраструктуре, ищем подозрительную активность, расследуем инциденты, взаимодействуем с внешним SOC и помогаем сотрудникам разбираться с вопросами киберграмотности. За...
Назад