Через что вас взломают: векторы атак, zero-day, OWASP Top 10 и самые дорогие уязвимости в истории
Эксплойт - это инструмент, который превращает теоретическую уязвимость в реальную атаку. А уязвимости, есть в любом ПО: где-то их еще не нашли, где-то…
Tech news from the best sources
Эксплойт - это инструмент, который превращает теоретическую уязвимость в реальную атаку. А уязвимости, есть в любом ПО: где-то их еще не нашли, где-то…
Исследователи Sysdig описали первую в истории полностью автономную атаку программы-вымогателя, выполненную AI-агентом без участия человека. Под катом …
Привет, Хабр! Рабочие обсуждения давно ушли из почты и таск-трекеров в мессенджеры. Там собирают проектные группы и каналы, координируют инциденты, ки…
Мы делаем proxykey — credential proxy: настоящие API-ключи лежат у нас зашифрованными, а приложения и ИИ-агенты ходят с отзываемыми виртуальными токен…
Я женщина, поэтому даже в технической области я спокойно могу говорить на эти темы. (надеюсь в комментариях не обозлятся за это высказывание). Ответьт…
С 2022 года российский VM живет по своим правилам. Приказ ФСТЭК № 117 впервые ввел обязательные сроки устранения (сутки на критическую уязвимость), шт…
Глава Сбербанка Герман Греф считает, что сейчас настало время агентной экономики, и нельзя чрезмерно концентрироваться на рисках, связанных с ИИ, упус…
Привет, Хабр! Меня зовут Алиса, я методолог информационной безопасности в Ozon. Я занимаюсь построением и улучшением процессов ИБ начиная от регламент…
Почему мы отказались от «AI в каждой кнопке» и зато встроили AES-GCM в детское приложение Откуда вообще взялось MIO MIO — это история про собственные …
HTCE: как мы строим ИИ, который не верит без доказательств Большинство AI-систем сегодня стараются отвечать быстро и уверенно. HTCE строится иначе: эт…
Как дать пользователю выполнять JavaScript, Python и SQL прямо в браузере и не пожалеть? Разбираем восемь песочниц: Web Worker для JS, Pyodide для Pyt…
Как дать пользователю выполнять JavaScript, Python и SQL прямо в браузере и не пожалеть? Разбираем восемь песочниц: Web Worker для JS, Pyodide для Pyt…
48 тысяч новых уязвимостей за год, по 130+ в день. Закрыть все невозможно - значит, нужен процесс. Сейчас разберемся, что такое уязвимости и эксплойты…
У меня в ~/.config/secretkeys/ лежит очень важный OAuth-токен. У вас на машине, скорее всего, тоже есть аналогичные штуки: ключи от облака, GitHub PAT…
Инженеры узнают о межсайтовом скриптинге (Cross-Site Scripting, XSS) тремя способами. Счастливчики узнают о нем благодаря полезному анализу кода или п…
19 июня Линус Торвальдс влил merge, который убрал из ядра Linux функцию strncpy — шесть лет работы, 362 коммита, семьдесят человек ради одной функции …
Статья призвана не испортить праздник вайбкодинга, а сделать так, чтобы этот праздник не закончился публичным позором и потерями. Написана по мотивам …
После моей первой статьи про Pulse я не ожидал, честно говоря, примерно ничего. Но к моему удивлению увидел реакцию: немного поддержки, немного критик…
Автоматизируем проверку по стандартам OWASP и TDD-циклы в Cursor и Claude Code. Разберем как наконец таки заставить вашего ИИ агента писать эффективны…
“Мы маленькие, нас не взломают” - самая дорогая ошибка в малом бизнесе. Боту-сканеру плевать, банк вы или шиномонтаж: он дергает все двери подряд, и э…
Привет, Хаброжители! Контейнеризированные и облачные приложения постепенно становятся базой современной программной инфраструктуры. Глубокое концептуа…
Когда-то я опубликовал «Вариационные подходы к проблеме безопасности». Пришло время вспомнить. Суть идеи. Допустим, что вы злоумышленник, который хоче…
Справочник терминов, которые встречаются по всей серии. Термины расположены по алфавиту (сначала русские, затем латинские сокращения). Список будет по…
Серия будет выходить примерно по главе в неделю. Подписывайтесь, чтобы не пропустить. А пока расскажите в комментариях: вы пришли в тему с нуля или уж…
Это вступление к серии «Управление уязвимостями для самых маленьких. Если вы открыли этот текст на Хабре, то про управление уязвимостями уже наверняка…
Признайтесь: вы не знаете, кто у вас сейчас просит пароль. Вы делаете git push. Иногда выскакивает окошко. Иногда терминал молча ждёт ввода, и буквы н…
Предыстория 1 день назад я опубликовал первую статью про WebScan из Песочницы Хабра. Честно — не ожидал ничего особенного. Думал придут 50 человек, мо…
WebScan — асинхронный CLI-сканер безопасности на чистом Python. За неделю вырос до 15 плагинов: XSS, SQL инъекции, CORS, Path Traversal, SSRF, утечки …
На третий день в проде мой support-агент на LangGraph и GPT-4o слил email одного клиента в переписку с другим. Причина банальна: модель вставила сырой…
Чем больше у вас сбоев, тем больше зарабатывает подрядчик. И это не злой умысел. Так устроена типовая модель оплаты, где исполнителю платят за закрыты…