Web-crawler 3D моделей для печати
Есть у каждого такая железка. Купил вроде бы «для дела», а потом годами используешь как угодно, только не «для дела». У меня это мини ПК CHUWI CoreBox с Ubuntu под капотом. Он был и прокси, и NAS, и VPN, и сервером Lineage 2 (три человека играли, один из них я, второй — жена), и даже чем‑то вроде...
Как тестировать конфигурацию Nginx: корректность и информационная безопасность
При разработке сложной системы часто приходится сталкиваться с необходимостью использования nginx в качестве reverse proxy. Один из частых сценариев использования это роутинг, список правил, регулирующих путь запроса во внутренние системы или путь между внутренними подсистемами. Зачастую быстро...
Python для этичного хакера: проверяем форму авторизации через Username Enumeration
Автоматизация — лучший друг пентестера. Сегодня практикуемся в написании кастомных эксплойтов на Python для решения задач Web Security Academy. Разберем лабораторию «Username enumeration via different responses»: проанализируем логику ошибок бэкенда, обойдем форму аутентификации без использования...
Скважины, потоки и GC: как Java помогает качать нефть и сохранять ИТ-ресурсы и кадры
Многие промышленные системы ТЭК десятилетиями держались на Java. И это помогло им избежать полного ребилда. Если коротко: нефтегазовые компании в России не стали переписывать свои системы с нуля — они просто остались на Java. Только теперь — на отечественной. Читать далее...
Как встроить нейроинтерфейс для управления ИИ-приложением: от электроники до API
Когда мы говорим «нейроинтерфейс», большинство сразу представляет себе что-то вроде Neuralink или фантастические сцены из «Джонни Мнемоника». Но на деле между идеей и практикой — не пропасть, а куча микроконтроллеров, кода, биопотенциалов и кофе. В этой статье я покажу, как можно построить рабочий...
Ищу слитые в опен сорс токены ботов
Многие люди публикуют свои проекты на github-подобных git-хостингах, для обеспечения общего доступа (это даёт множество преимуществ во многих случаях). Часто, ввиду неопытности, при публикации, люди сливают чувствительные данные (в частности токены Telegram-ботов). Читать далее...
RBACX — универсальный RBAC/ABAC-движок авторизации для Python
RBACX — авторизация без боли в Python-проектах Когда доступ «размазан» по вьюхам и миддлварам, ревью и тесты превращаются в квест - появляется мотивация все это унифицировать. Я написал RBACX — лёгкий движок, где правила описываются декларативно (JSON/YAML), а проверка прав — это один понятный...
Невидимая война: почему найти скрытые данные сложнее, чем их спрятать
Привет, Хабр! В прошлый раз мы написали свой стегоанализатор и научились находить следы простого LSB-внедрения. На первый взгляд может показаться, что задача решена: есть алгоритм, есть анализатор, запускаем проверку и получаем ответ. Но в реальности всё гораздо сложнее. Стегоанализ — это не...
ChameleonLab: Как мы создаём сайт для desktop-приложения на PHP без баз данных и CMS, с планами на Python API
Привет, Хабр! Мы — команда проекта ChameleonLab, и это история о том, как мы начали создавать полномасштабный образовательный центр по стеганографии и криптографии, отправной точкой которого стал наш desktop-инструмент. По просьбам пользователей мы начали трансформацию в онлайн-сервис. Расскажем,...
Как написать свой TCP-порт-сканер на Python: опыт, код и примеры использования
В этой статье мы разберём, как написать свой многопоточный TCP-порт-сканер на Python. Несмотря на то, что существуют готовые инструменты вроде nmap или masscan, иногда требуется минималистичное решение: встроить проверку в CI/CD, автоматизировать аудит небольшой сети или использовать сканер как...
WebP: Идеальный хамелеон? Разбор формата и LSB-стеганография в режиме Lossless
Всем привет! Мы продолжаем наш цикл статей, посвященный практической стеганографии в самых, казалось бы, обыденных файлах. Мы уже научились прятать данные в «слепых зонах» документов MS Office, внедрять «файлы-призраки» в EPUB и даже создавать скрытые каналы данных внутри PDF. В комментариях к...
Отладка «Тетрисом»: Пошаговый гайд по созданию и сокрытию классической игры в вашем проекте
Привет, Хабр! У каждого разработчика в серьезном проекте наступает момент, когда хочется отвлечься и написать что-то для души. Что-то простое, классическое, но в то же время увлекательное. Часто такие "внутренние пет-проекты" становятся «пасхальными яйцами» — секретами для самых любопытных...
Как НЕ нужно писать автотесты на Python
Разбираем самые странные антипаттерны в автотестах на Python: от sleep(0.1) и стрелочек вниз до глобальных курсоров и "фреймворков" на 3500 строк. Почему так делать не стоит и какие есть взрослые альтернативы. Читать далее...
Цифровые призраки: Полное руководство по поиску скрытых данных и история создания нашего «детектора лжи»
Предыстория. Представьте, вы — руководитель службы безопасности. В понедельник утром на стол ложится отчёт: за выходные у конкурентов появился детальный план вашего нового продукта. Вы поднимаете логи. Ничего. Системы DLP молчат. Сетевой сканер не зафиксировал отправку больших архивов или...
Ожившие фото: Создаем приватный стеганографический аудиоплеер на Python и PyQt6
Привет, Хабр! Вы когда-нибудь хотели, чтобы ваши фотографии могли рассказывать истории? Не в переносном смысле, а буквально. А что, если бы эти истории были предназначены только для вас? Представьте, что вы отправляете другу обычный с виду PNG-файл, но внутри него скрыто личное аудиопоздравление,...
Невидимые чернила в цифровом мире: технология сокрытия данных в DOCX/XLSX
Привет, Хабр! Стеганография — искусство сокрытия информации — чаще всего ассоциируется с изображениями и аудиофайлами. Но что если нам нужно спрятать данные не в медиафайле, а в обычном офисном документе, например, в .docx или .xlsx? На первый взгляд, задача кажется сложной. Документы имеют строгую...
Используем Python и metasploit для автоматизации рутинных задач эксплуатации
Эксплуатация уязвимостей — это не обязательно тысяча ручных шагов. Особенно, если есть Python и Metasploit. В этой статье я расскажу, как автоматизировать атаку и постэксплуатацию так, чтобы всё работало, а вы — отдыхали. Читать далее...
Балансируя на грани: как внедрить Differential Privacy в аналитические пайплайны на Python
В этой статье я расскажу, как добавить механизмы Differential Privacy (DP) в ваши ETL‑ и аналитические пайплайны на Python, чтобы защитить пользовательские данные и при этом сохранить качество ключевых метрик. Пошаговые примеры с реальным кодом, советы по настройке ε‑бюджета и интеграции в Airflow...
Назад