Сканирование периметра компании VK с помощью open-source решений
Всем привет! Зовут меня Владимир, я работаю специалистом информационной безопасности в бизнес‑юните Mail.ru компании VK. Запустить сканер внешнего периметра было одной из моих важных задач. Сделать это можно было двумя способами разобрать и использовать то, что было сделано раньше или создать...
[Перевод] Поиск доступных конфиденциальных API ключей в JS-файлах
Сегодня мы узнаем, как найти открытые API токены в JS файлах. Они представляют риск, поскольку могут предоставить возможность несанкционированного доступа к базе данных компании или платным услугам. Это также распространенная уязвимость в системе безопасности, возникающая из-за неопытности и...
[Перевод] Что «чёрный ящик» может рассказать нам о крушении самолёта?
Одна из самых важных улик после авиакатастрофы — это так называемый «чёрный ящик». На самом деле этих удивительно прочных устройств два: речевой самописец кабины пилотов и регистратор полётных данных. И обычно они оранжевого, а не чёрного цвета. В пятницу федеральные следователи извлекли «чёрные...
Искусство НЕпрохождения собесов в IT
Почему я вообще решил написать эту статью. Какого права имею...и вообще столько уже сказано на эту тему. Я бы хотел изложить исключительно свой (чей же ещё) опыт на данную тему т.к. у автора уже в районе 100 собеседований за спиной или в районе этого. Я трудоустраивался со сроком с момента подачи...
Как сделать безопасным код сайта на Битрикс: шпаргалка по основным уязвимостям
Привет! Меня зовут Анастасия Соколенко, я отвечаю за безопасную разработку в Битрикс24. Вместе с коллегами мы не только проверяем код, который пишут наши разработчики, но и учим их делать его максимально безопасным. Конечно, большинство разработчиков знакомы с разными уязвимостями веб-приложений,...
[Перевод] Как мы взломали цепочку поставок и получили 50 тысяч долларов
В 2021 году я только начинал свой путь в наступательной безопасности. Я уже взломал довольно много компаний и получал стабильный доход охотой за баг-баунти — практикой этичного хакинга, при которой исследователи безопасности находят уязвимости и сообщают о них, получая за это вознаграждение. Однако...
Смартфон «из коробки» — большие риски маленького гаджета
Покупая и эксплуатируя очередной смартфон, мы соглашаемся на то, что производитель будет устанавливать границы нашей конфиденциальности и сам будет решать, какие данные получать и кому в дальнейшем передавать для анализа. Самим производителем и с его разрешения сторонними приложениями собирается...
Пентест системы печати. Атакуем
В предыдущей статье мы начали разговор о пентесте системы печати. Мы рассмотрели, на каких протоколах и языках строится взаимодействие с принтерами, попробовали поискать открытые порты, через которые можно с ними взаимодействовать, а также познакомились с инструментом PRET. Теперь давайте перейдём...
Тишина как оружие: DDoS-атаки, приставленные к виску медиаресурсов
Хабр, привет! Я Ильгиза, в 2022 году нырнула в море ИТ и кибербезопасности из деловой журналистики. Сейчас я PR-менеджер в ИБ-компании - гуманитарий, который упаковывает техническую экспертизу своих коллег в читабельные статьи. Недавно меня сильно тригернули очередные массовые DDoS-атаки на...
Использование машинного обучения для выявления скрытых угроз веб-безопасности
Анализ большого объема логов ‒ сложный и длительный процесс, и обычные алгоритмы редко выявляют больше, чем система активной защиты. Поэтому логичным и перспективным решением становится применение машинного обучения. В этой статье рассмотрены варианты применения ML-моделей для анализа веб-угроз,...
Три причины не выбрасывать старый айфон
Привет, Хабр! Меня зовут Виталий, в Positive Technologies занимаюсь расследованиями инцидентов, произошедших с мобильными устройствами. Всего мобильной криминалистикой занимаюсь уже больше шести лет. За это время я исследовал много разных телефонов: от самых простых вариантов — без запароленного...
Hadoop на микросервисах или история одного пет-проекта
Столкнувшись с концепцией Big Data некоторое время назад, у меня возник очевидный вопрос: как это можно «потрогать» своими собственными руками, где и как можно посмотреть программное обеспечение, составляющее данный концепт, разобраться с его конфигурацией, а в силу того, что я являюсь специалистом...
Фишинг «для своих»: нюансы организации учебных рассылок
Привет, Хабр! Сегодня поговорим о фишинге, но не о том, который используют злоумышленники, а о его «белой», легальной версии — учебных фишинговых рассылках. Как специалист по информационной безопасности, я часто сталкиваюсь с вопросом: «А нужно ли нам это?». Давайте разберемся, с какими подводными...
Поиск потенциальных уязвимостей в коде, часть 2: практика
В прошлый раз мы ознакомились с общими подходами в поиске уязвимостей безопасности в приложениях. В этот раз спустимся ближе к земле и посмотрим на то, как мы реализовали эти механизмы в нашем статическом анализаторе для Java. Читать далее...
Уничтожаем камеру видеонаблюдения РУВЕР: ИК-прожектор, УФ-лампа, фонарь и электрошокер
В прошлый раз мы сжигали камеру лазером, а на этот раз будем засвечивать ее ИК/УФ/видимым фонарем, бить шокером и заливать аэрозолью! Интересно, что из этого сможет ей навредить? Читать далее...
CPTS – как стать хакером с нуля
Привет! Я специалист по тестированию на проникновение (пентестер) в компании «Ти Хантер». Недавно я сдал экзамен на международную сертификацию HTB Certified Penetration Testing Specialist (CPTS) и перед этим прошёл связанный с сертификацией курс Penetration Tester на платформе Hack The Box Academy....
Архитектура хостинга 1С: как решить проблемы безопасности
Сегодня на рынке хостинга 1С существует множество предложений. Но все ли они на практике обеспечивают необходимые меры защиты? С увеличением числа кибератак становится очевидно: ситуация требует более серьёзного подхода. Однако многие компании до сих пор не уделяют достаточного внимания актуальным...
Илон Маск заинтересовался взломом AI-агента на $50000
AI-агенты, способные самостоятельно обращаться к функциям системы для решения задач, набирают популярность. На прошлой неделе OWASP опубликовал гайд об угрозах для AI-агентов и примеры уязвимостей на базе популярных фреймворков. Участник лаборатории ИТМО AI Security Lab Александр Буянтуев предложил...