Жизненный цикл API-токенов: От генерации до компрометации
JWT не защищает от кражи. Подпись гарантирует, что токен не подделан, но не мешает злоумышленнику использовать его, если тот оказался в чужих руках. В…
Tech news from the best sources
JWT не защищает от кражи. Подпись гарантирует, что токен не подделан, но не мешает злоумышленнику использовать его, если тот оказался в чужих руках. В…
Теневые API редко появляются из злого умысла. Чаще это побочный эффект быстрой разработки: временный маршрут для пилота, отдельная точка доступа для м…
В марте состоялся второй эпизод DevSecOps-митапа CyberCamp, в программу которого вошли киберучения на платформе Jet CyberCamp. Три задания, максимальн…
I built a web front end for an Nmap-based port scanner: a FastAPI backend, a React dashboard, background scan jobs, a plugin system, the works. It ran…
Цивилизация... Какие у вас ассоциации с этим словом? А если написать его по-другому, например, на английском. Вот так - Civilization... Ядерный Ганди?…
Hook An indie dev just built the exact thing every enterprise security team has nightmares about — an LLM with read/write access to your iMessage, Tea…
The 2025 Verizon DBIR has a number that should change how you think about security training budgets. The median phishing click rate after years of rep…
Agentic AI applications — LLM-powered systems that take autonomous action against external tools, services, and APIs based on model reasoning rather t…
When Your AI Assistant Gets Hijacked Mid-Flight If you've handed your coding agent an automated task and walked away, this story should make you a lit…
The Attack Is Simpler Than You Think Researchers at Palo Alto Networks Unit 42 documented a technique they're calling phantom squatting : attackers re…
AI coding agents can't tell the difference between a legitimate bug report and one with hidden instructions buried inside it. That gap is now being ex…
The App Store Has an API Key Problem and "Move Fast" Culture Is to Blame Sixty-three percent of iOS AI chatbot apps studied are leaking secrets in net…
Tool Descriptions Are Now a Threat Vector. Act Accordingly. Microsoft's own incident response team just demonstrated that you can manipulate an AI age…
Your AI Agents Are Privileged Identities. You're Treating Them Like Interns. Enterprises are handing autonomous AI systems the keys to critical workfl…
Антивирус и сканер проверяют систему в какой-то момент и уходят. А между двумя проверками остаётся окно, и в нём обычно и случается компрометация. Ран…
Привет, Хабр! Сегодня я хочу поделиться своим опытом разработки ASOC платформы. В статье я расскажу о преимуществах такого решения, затем оп…
The Trust Problem Hiding in Your Automated Pipeline The moment you give an AI agent the ability to act — clone, configure, execute — you've created a …
The mobile app authentication best practices question is the single hardest one to answer well in mobile application security, because the answers tha…
A flaw in Amazon Q Developer let malicious repositories inject rogue Model Context Protocol (MCP) configurations into the agentic coding assistant's p…
Привет, друзья! Сегодня хочу поговорить об одной из самых обсуждаемых тем последних лет — использовании AI в пентесте. За последние два года вокруг LL…
A few weeks ago I published corridor-lab — a Docker lab that proved a triage mismatch: a service that stores nothing sensitive can become high-priorit…
When that AWS service account gets compromised, who do you call? A question that shouldn't be hard. If you're in security or platform engineering, you…
The Incident Microsoft's threat intelligence team has attributed a supply chain attack targeting the Mastra AI ecosystem to Sapphire Sleet (also track…
In development, we are used to understanding threat modelling as a structured method to make applications and other software secure. And in this, “sec…
AI coding tools have done something nobody planned for: they've made the security review cycle the bottleneck. Not CI. Not deployment. Security. Snyk'…
Когда говорят о безопасности, обсуждение быстро сводится к CVE/BDU Какая версия уязвима? Существует ли публичный эксплойт? И успел ли вендор выпустить…
Your AI coding agent can read files, run shell commands, and call external APIs. That's also the exact description of an arbitrary code execution prim…
Introduction: The Comfortable Lie There's a comfortable story developers tell themselves: "I'm using a modern framework. It handles all that low-level…
Coming to Python from Java or C++? You might have a dangerous assumption about data encapsulation. Look at this typical snippet used for "secure" stat…
Your phone buzzes. A WhatsApp message lands. Gemini reads it. And now Gemini is compromised. That's the essence of what researchers found in a class o…