RU

Жизненный цикл API-токенов: От генерации до компрометации

JWT не защищает от кражи. Подпись гарантирует, что токен не подделан, но не мешает злоумышленнику использовать его, если тот оказался в чужих руках. В…

jwtjwt tokenjwt authjwt authenticationappsecsecurityfrontendfront-endfront-end разработкаfrontend-разработка
Habr
RU

Сколько Shadow API спрятано в ваших продуктах и как вывести их из тени

Теневые API редко появляются из злого умысла. Чаще это побочный эффект быстрой разработки: временный маршрут для пилота, отдельная точка доступа для м…

codescoringshadow apiapi securityappsecинформационная безопасностьowaspapi gatewayаудит безопасностиуязвимости api
Habr
RU

DevSecOps на практике: райтапы заданий с митапа CyberCamp глазами тех, кто их придумал

В марте состоялся второй эпизод DevSecOps-митапа CyberCamp, в программу которого вошли киберучения на платформе Jet CyberCamp. Три задания, максимальн…

cybercampdevsecopscybersecurityинформационная безопасностьибappsecctfkubernetessastуязвимости
Habr
RU

Роадмап по информационной безопасности

Цивилизация... Какие у вас ассоциации с этим словом? А если написать его по-другому, например, на английском. Вот так - Civilization... Ядерный Ганди?…

информационная безопасностьsocпентестмежсетевой экранкриптографияappsecdevsecops
Habr
RU

Рантайм-безопасность на Go и eBPF: что это за класс инструментов и зачем он нужен

Антивирус и сканер проверяют систему в какой-то момент и уходят. А между двумя проверками остаётся окно, и в нём обычно и случается компрометация. Ран…

ebpf linux что этоebpfядро linuxappsec
Habr
RU

ASOC from scrap. Как реализовать автоматизацию DevSecOps контролей за несколько вечеров, используя OpenSource и LLM

Привет, Хабр! Сегодня я хочу поделиться своим опытом разработки ASOC платформы. В статье я расскажу о преимуществах такого решения, затем оп…

pythonfastapipostgresqlgrafanaappsecdevopsasocбезопасная разработка
Habr
RU

Я нанял себе AI-пентестера: как LLM помогают мне искать уязвимости быстрее

Привет, друзья! Сегодня хочу поговорить об одной из самых обсуждаемых тем последних лет — использовании AI в пентесте. За последние два года вокруг LL…

информационная безопасностьai-агентыmcp-serverпентестhexstrike aibugbountyуязвимостиoffensive securityappsecии
Habr
RU

Безопасность Bitrix без иллюзий — 10 проблем для которых не нужен новый CVE

Когда говорят о безопасности, обсуждение быстро сводится к CVE/BDU Какая версия уязвима? Существует ли публичный эксплойт? И успел ли вендор выпустить…

bitrixbitrix24vulnerability managementбезопасность веб-приложенийинформационная безопасностьappsecdevsecopsкибербезопасностьуправление уязвимостямиcybersecurity
Habr