Blackhole: mock server с ground truth для тестирования black-box сканеров
Выложил Blackhole — Python ASGI mock server для тестирования black-box сканеров, обучения и воспроизводимых бенчмарков. Пока вайбили с Уроборосом родился релиз в другом жанре, о нем ниже. Он offtopic но да простит меня Хабр великий и могучий, не смог удержаться. Читать далее...
API и Security Testing на собеседованиях: полный разбор с примерами задач
Привет, Хабр! В прошлой статье я разобрал 5 техник тест-дизайна, которые спрашивают на собеседованиях. Статья будет полезна и новичкам, и тем, кто хочет систематизировать знания перед собеседованием. Каждую тему объясняю с нуля - с аналогиями из жизни, и тут же даю профессиональную глубину. Читать...
Как AI убъет вашу базу: безопасность вайбкодинга в 2026
Не прошло и дня, как я писал про "AI-диспетчера" — генерируешь, проверяешь, мержишь. Выглядит замечательно. Но ни слова про секурити. А между тем, произошло достаточно инцидентов, чтобы понять: модель рабочая, но только если ты действительно проверяешь, а не делаешь вид. А если не проверяешь?...
На волне хайпа: Security-аудит AI-агента Clawdbot
2026 год. AI-агенты с доступом к вашему ПК — уже реальность. Но насколько это безопасно? Провёл комплексный аудит Clawdbot (~1300 файлов) по OWASP Agentic Top 10, STRIDE и CWE/SANS. Результаты: eval() включён по умолчанию, нет rate limiting, 50 реальных сценариев атак — от reverse shell до...
CVE-2026-21876: Как найти критический байпас широко использующегося WAF за 3 дня, если лень читать сорсы
Вообще, это мой первый опыт написания статьи на хабре, но с выпуска патча прошло несколько дней, и вдруг я решил поделиться самим процессом исследования. Всем привет, я Daytrift Newgen, и вот моя простая и весьма смешная история обнаружения байпаса от начала исследований до патча и advisory. Читать...
Что показали в OWASP Top Ten 2025
Привет, Хабр! Меня зовут Дмитрий Бахтенков. С 2020 я занимаюсь коммерческой разработкой на .NET, а также пишу для медиа «вАЙТИ». В сфере информационной безопасности существует множество уязвимостей, и разработчикам сложно понять, какие из них важнее учитывать при обучении или отладке процессов...
OWASP Top 10 for Agentic Applications for 2026: Разбор главных угроз завтрашнего дня
Привет, Хабр! С вами снова Сергей Зыбнев, автор теле... а об этом позже. После нашего глубокого погружения в OWASP AI Testing Guide, пришло время заглянуть в будущее, которое наступит менее чем через месяц. Сегодня мы разберем еще один важнейший документ от OWASP, который смотрит на шаг вперед —...
Веб уязвимости осени
Привет! Меня зовут Владимир и я эксперт по тестированию на проникновение, в этой статье зароемся в цифры по свежим, и не очень, веб-вулнам. Читать далее...
Секреты на клиенте: как снизить вероятность утечки с нуля до почти нуля
Мобильное приложение всегда оказывается на устройстве пользователя — а значит, потенциально доступ к нему может быть и у злоумышленника. Это значительно повышает требования к безопасности выпускаемых продуктов, поскольку в коде приложений неизбежно содержатся конфиденциальные данные, которые...
Top 10 угроз для Agentic AI
Пока мы обсуждали, prompt injections в LLM, хакеры перешли к атакам на агентные AI-системы. Если обычные LLM-приложения работают по принципу «запрос-ответ», то агентные AI-системы действуют автономно: запоминают информацию между сессиями, самостоятельно выбирают, какие инструменты использовать,...
OWASP Top 10 для LLM: разбор угроз
LLM встраивают в продакшн-системы, но подходят к ним как к обычным библиотекам — подключил API и забыл. Проблема в том, что языковая модель выполняет инструкции из пользовательского ввода, генерирует код, обращается к базам данных. Если не учитывать специфику этих систем, можно получить утечку...
Кража учётных данных AWS EC2: как SSRF превращает ваш сервер в пособника злоумышленников
Сегодня предлагаю тебе узнать, как одна уязвимость в веб-приложении может открыть злоумышленникам доступ к секретам всего облака. Не слабо, да!? Мы разберем механизм атаки через SSRF на службу метаданных EC2, покажем реальные примеры из практики и дадим конкретные рекомендации по защите, включая...
OWASP Top Ten 2021 через простые примеры на Java. И немного про SAST
В этой статье мы расскажем про категории OWASP Top Ten 2021 через призму срабатываний Java анализатора PVS-Studio. Так что, если у вас есть желание посмотреть на возможные паттерны уязвимостей в Java коде или узнать, что из себя представляют категории OWASP Top Ten, приятного чтения! Читать далее...
Топ OWASP Non-human identities: как обезопасить свои облака
С ростом автоматизации владельцы облачных инфраструктур всё чаще сталкиваются с угрозами, которые исходят от ботов, парсеров, агентов, сервисных и других подобных автоматизированных аккаунтов. По данным Google Cloud Threat Horizons Report, эксплуатация злоумышленниками таких непользовательских...
Web-уязвимости весны
Привет! Меня зовут Владимир и я старший исследователь веб‑угроз. В начале 2025 года я автоматизировал поиск и агрегацию данных по web-уязвимостям и теперь с радостью готов поделиться с вами статистикой web CVE и PoC за весну 2025. Ну и слегка разбавил сухие цифры дополнительной аналитикой. Читать...
AI Security с французским привкусом или разбор Securing Artificial Intelligence от ETSI. Часть 2
Во второй части обзора продолжим изучать отчёты комитета защиты ИИ Европейского института телекоммуникационных стандартов (ETSI), тем более последние охватывают не только классический ML, но и генеративные модели. Отбросив лишнее, попытаемся найти полезные рекомендации для безопасности систем на...
AI Security с французским привкусом или разбор Securing Artificial Intelligence от ETSI. Часть 1
Технологии искусственного интеллекта стремительно развиваются, но вместе с возможностями появляются и риски. Промпт‑инъекции, злоупотребление инструментами агентов, уязвимости в оркестрации сложных систем — спектр угроз для ИИ увеличивается. Пока США и Китай соревнуются в эффективности и качестве...
Новости кибербезопасности за неделю со 2 по 8 июня 2025
Всё самое интересное из мира кибербезопасности /** с моими комментариями. Это уже 20 выпуск моего еженедельного дайджеста! На этой неделе проходил ЦИПР и несколько интересных новостей от туда. WhatsApp всё догоняет, догоняет, но такими темпами никого не догонит. Критическая уязвимость в Auth0,...
Назад