AI-безопасность: зачем нужен слой на C рядом с Python-детекторами
Python-решения для AI-безопасности добавляют 50-200мс задержки и сотни зависимостей. SENTINEL Shield — слой на чистом C: 0 зависимостей,...
Как не стоит проектировать API (или как Mak.by сливает адреса своих пользователей)
P.S. в ходе написания статьи не было использовано ни одно ИИ. В один день я захотел посмотреть как работают купоны в приложении Mak.by в программистском смысле. Для этого я просто посмотрел какие запросы отправляет приложение на сервер с помощью тулы для перехвата HTTP трафика. Читать далее...
OWASP Top 10 for Agentic Applications for 2026: Разбор главных угроз завтрашнего дня
Привет, Хабр! С вами снова Сергей Зыбнев, автор теле... а об этом позже. После нашего глубокого погружения в OWASP AI Testing Guide, пришло время заглянуть в будущее, которое наступит менее чем через месяц. Сегодня мы разберем еще один важнейший документ от OWASP, который смотрит на шаг вперед —...
Обзор неявных возможностей дисковой подсистемы Windows 11
В своей повседневной жизни мы, как правило, пользуемся только самыми примитивными функциями Windows по работе с данными. Мы создаём документы, копируем файлы, переименовываем каталоги и делаем множество других операций, доступных на расстоянии пары кликов в стандартном интерфейсе Windows. Но...
Wazuh SCA: от CIS Benchmarks до кастомных политик. Закрываем дыры в конфигах
Привет, защитники! На связи Pensecfort. В видео я разобрал, что такое SCA (Security Configuration Assessment) в Wazuh — ваш личный системный аудитор, который автоматически проверяет серверы на соответствие стандартам безопасности (CIS, NIST, PCI DSS и вашим внутренним политикам). Wazuh из коробки...
Осваиваем ML WAF: от текстовых правил к машинному обучению
Всем привет, меня зовут Семён. Я пишу на С++ и работаю в группе Антиробота. Антиробот — это сервис, который на уровне L7 защищает нас от парсеров и DDoS-атак. Разрабатывать его начали более 10 лет назад — сначала он предназначался только для защиты Поиска, затем был внутренним инструментом, который...
Kubernetes с поддержкой confidential containers (CoCo). Хакеры и облачные провайдеры останутся ни с чем
Kubernetes, который нельзя взломать. Знакомьтесь с Confidential Containers - технология, которая скрывает ваши контейнеры ото всех. В посте мы разберем: 1. Секреты архитектуры невидимых подов 2. Волшебство аппаратного шифрования (TEE) на практике 3. Kata Containers как ключ к конфиденциальности 4....
Архитектура Rootless Podman: Полное руководство по контейнерам
Контейнеры без root, где каждый процесс запускается от имени обычного пользователя. Как это работает? Как обычный пользователь может изолировать процессы, создавать сетевые пространства и управлять хранилищем без единой привилегии? Давайте разберемся, что скрывается за rootless Podman :) Читать...
Taint-анализ в C и C++ анализаторе PVS-Studio
Ваш код принимает данные извне? Поздравляем, вы вступили на минное поле! Любой непроверенный ввод от пользователя может привести к уязвимости, и найти все "растяжки" вручную в большом проекте почти невозможно. Но есть "сапёр" — статический анализатор. Инструмент нашего "сапёра" — taint-анализ (aka...
Как работает Blind LDAP Injection — на примере реального CTF-задания
Всем привет! Меня зовут Ян, я старший специалист по пентестам в компании Xilant. Сегодня предлагаю вместе разобраться с довольно сложным CTF-заданием, посвящённому слепой LDAP-инъекции (Blind LDAP Injection). Оно будет особенно интересным, ведь его смогли решить всего около 50 человек из примерно...
Как я создала аккаунт с именем «NULL» и мне стали приходить уведомления о покупке доменов другими пользователями
Всем привет. Меня зовут Аня (SavAnna) я работаю AppSec и как хобби занимаюсь багбаунти. Багбаунти - отличный способ отдохнуть от своих сервисов и сменить фокус с "защиты" на "нападение". Не всегда баги ищутся целенаправленно - иногда это происходит случайно. Хочу показать, что много странных и...
Денежная ловушка или эксплуатация BAC биллинга
Всем привет. Меня зовут Аня (SavAnna) я работаю AppSec и как хобби занимаюсь багбаунти. Хочу рассказать историю, когда сочетание простых багов, которые может найти каждый приводило к высокому импакту. В одном сервисе, где можно было создавать и оплачивать заказы были найдены IDOR CRUD счета на...
Компрометация PKI: Когда Red Team получает «ключи от королевства»
Анализ теоретическо-практических векторов атаки при утечке корневых и промежуточных сертификатов в модели угроз направленного взлома. В практике тестирования на проникновение (penetration testing) традиционно большое внимание уделяется эксплуатации уязвимостей в программном обеспечении, слабостях в...
Kernel-hack-drill и новый эксплойт для CVE-2024-50264 в ядре Linux
Некоторые уязвимости, связанные с повреждением памяти, невероятно сложны для эксплуатации. Они могут вызывать состояния гонки, приводить к сбоям системы и накладывать разные ограничения, которые усложняют жизнь исследователя. Работа с такими «хрупкими» багами требует значительно больше времени и...
Используем сами, рекомендуем другим: об используемых в VK инструментах безопасности и новых сервисах VK Cloud
Привет, Хабр. Меня зовут Дмитрий Куколев. Я руководитель VK SOC. В этой статье я расскажу о мерах обеспечения надежности и защиты VK Cloud, о собственных ИБ-продуктах и новых сервисах безопасности для пользователей нашего облака. Читать далее...
Neuro Scale 2025: как Яндекс собирает облако будущего
24 сентября прошла конференция Yandex Neuro Scale 2025 — главное событие Yandex Cloud, собравшее более 10 000 участников онлайн и офлайн. Переименование флагманской конференции с Yandex Scale на Yandex Neuro Scale отражает стратегический поворот компании к искусственному интеллекту как ключевому...
Чем грозит вашему проекту установка пакетов «вслепую»
Доброго дня, читатель! Меня зовут Александр Роут, я фронтенд‑разработчик в Домклик. В сентябре 2025 года в экосистеме npm произошёл тревожный инцидент: злоумышленники получили доступ к репозиториям нескольких популярных пакетов и внедрили в них вредоносный код. Этот код мог подменять адреса...
Как не спалиться: разбор IDS Bypass на PHDays 2025
На Positive Hack Days любят белых хакеров, которые умеют не только атаковать, но и делать это тихо. Настолько тихо, что даже IDS ничего не заподозрит. Конкурс IDS Bypass именно об этом. Не просто получить флаг, а сделать это так, чтобы не сработало ни одно правило детектирования. В этом году мы...
Назад