Web-уязвимости весны
Привет! Меня зовут Владимир и я старший исследователь веб‑угроз. В начале 2025 года я автоматизировал поиск и агрегацию данных по web-уязвимостям и теперь с радостью готов поделиться с вами статистикой web CVE и PoC за весну 2025. Ну и слегка разбавил сухие цифры дополнительной аналитикой. Читать...
Как выбрать сертифицированную ОС на российском рынке. Часть 2
Продолжаем обсуждать, на что обращать внимание при выборе сертифицированных ОС на российском рынке. В прошлой части мы остановились на вопросе "Если все сертифицированные операционные системы обеспечивают одни и те же функции по защите информации, то нет разницы, какую покупать?". На самом деле...
[Перевод] CVE-2024-4577: Не может быть, PHP опять под атакой
Orange Tsai недавно запостил про «Одну из уязвимостей PHP, которая влияет на XAMPP, развернутый с настройками по умолчанию», и нам было интересно рассказать немного об этом. XAMPP - очень популярный способ администраторов и разработчиков развернуть Apache, PHP и множество других инструментов, и...
Предупрежден — значит вооружен: подборка открытых ресурсов с информацией о выявленных уязвимостях
Мы уже писали о методах борьбы с DDoS и «слабых местах» Wi-Fi. Сегодня продолжим тему и поговорим о ресурсах, где можно найти актуальную информацию о сетевых уязвимостях и не только. Это — наша компактная подборка открытых баз, которые предлагают собственные API для получения данных и отправки...
Уязвимость XXE в .NET 6 SDK: с чем боролись…
Современный .NET даёт разработчикам защиту от XXE из коробки: парсишь себе XML и не забиваешь голову всякими DTD, сущностями и связанной с ними безопасностью. Разве не прекрасно? Однако жизнь — штука с иронией... Под катом — разбор по кусочкам XXE из .NET 6 SDK: код, причины дефекта безопасности,...
Парсинг string в enum ценой в 50 Гб: разбираем уязвимость CVE-2020-36620
В этой заметке разберём уязвимость CVE-2020-36620 и посмотрим, как NuGet-пакет для конвертации string в enum может сделать C# приложение уязвимым к DoS-атакам. Читать дальше →...
Под капотом SAST: как инструменты анализа кода ищут дефекты безопасности
Сегодня речь о том, как SAST-решения ищут дефекты безопасности. Расскажу, как разные подходы к поиску потенциальных уязвимостей дополняют друг друга, зачем нужен каждый из них и как теория ложится на практику. Статья написана на основе доклада "Под капотом SAST: как инструменты анализа кода ищут...
Уязвимости из-за обработки XML-файлов: XXE в C# приложениях в теории и на практике
Как простая обработка XML-файлов может стать дефектом безопасности? Каким образом блог, развёрнутый на вашей машине, может стать причиной утечки данных? Сегодня мы ответим на эти вопросы и разберём, что такое XXE и как эта уязвимость выглядит в теории и на практике. Читать дальше →...
2021 год: новый рекорд по количеству уязвимостей
Привет, Хабр! Сегодня мы хотим поделиться интересной статистикой о количестве уязвимостей, которые были обнаружены в самом различном ПО на протяжении 2021 года. И хотя он еще не закончился, мы уверенно приближаемся к новому рекорду. Показатели уже выше, чем в прошлом, позапрошлом и других годах....