AI Red Teaming: спор с Grok — Часть 2. За пределами sandbox: CSRF, WAF bypass и privilege escalation
Sandbox - эфемерный, умирает после сессии. Мне нужны были уязвимости на продакшн-инфраструктуре. Нашёл: zero-click CSRF на все 11 методов billing API через gRPC + text/plain, обход Cloudflare WAF одним заголовком, и создал management key с 50 привилегиями. Всё до сих пор на серверах xAI. Читать...
Эпоха «белых списков»: почему ваши конфиги в декабре 2025 года начали превращаться в тыкву, и что нас ждет…
Всем привет, декабрь 2025-го принес нам не только предновогоднюю суету, но и явное ощущение того, что гайки закручиваются на новый уровень. Если раньше блокировки напоминали стрельбу по площадям, то сейчас мы видим признаки внедрения концепции Default Deny (запрещено всё, что не разрешено). Пока...
Пентест gRPC
В последнее время в современных веб-приложениях с микросервисной архитектурой всё чаще в качестве API используется фреймворк удалённого вызова процедур gRPC. Данный фреймворк чаще всего использует protocol buffers(protobuf) в качестве языка определения интерфейсов и в качестве основного формата...