Эволюция NGFW: тестируем новинку Sangfor NGAF
Всем привет! Меня зовут Дмитрий Шкуропат, я являюсь руководителем направления защиты информации в компании Nubes. Мы открываем цикл статей, в котором расскажем, как выбирали и тестировали для нашего защищенного публичного облака межсетевой экран нового поколения (NGFW). Читать далее...
ExpressVPN ответил на блокировку в России: «мы намерены бороться за российского пользователя»
В конце февраля многие российские пользователи VPN начали жаловаться на то, что их сервисы перестали работать. В первую очередь, на проблему жаловались юзеры ExpressVPN — как оказалось, этим сервисом пользуются многие иностранные журналисты, работающие в России, и проблема начала активно...
Обзор LMS.NetMap
Часто при проведении пентестов большой корпоративной инфрастуктуры нам не хватало визуального отображения сетевой инфраструктуры. Zenmap — это, конечно, хорошо, но с момента последнего релиза прошло уже около 8 лет. Другие свободные решения зачастую не отличаются функционалом, а платное решение...
[Перевод] Перевод: Rxss внутри атрибута href — Обход множества странных проверок для захвата аккаунтов
Вот конечная полезная нагрузка после обхода всех странных проверок - javascript://;%250a+alert(document.cookie,%27@www.redacted.com/%27) Если вам все еще интересно, как и почему использовалась именно эта полезная нагрузка и методология, обязательно дочитайте статью до конца, где я все подробно...
Не время витать в “облаках”
В нашем новом блоге речь пойдет про распространенные ошибки пользователей публичных облаков — мы подробно поговорим о публичных бакетах и репозиториях пользователей и покажем как и почему эти недостатки стоит устранять. Мы надеемся, что он поможет компаниям лучше понимать логику действий атакующих...
Легендарный игровой смартфон PlayStation — таких больше не делают! Оживляем и смотрим на Sony Ericsson Xperia Play
В наше время под игровыми смартфонами принято понимать девайсы с мощным железом, большими дисплеями, хорошим разрешением. И всё вроде бы отлично: полноценные порты таких игр, как Genshin Impact или PUBG, пытаются вывести смартфоны как класс полноценных устройств для игр. Но всю малину портит один...
Apple Pro Weekly News (06.03 – 12.03.23)
Это наш 50 выпуск, отметим его исчерпывающими подробностями про новый iPhone 14 в жёлтом цвете. А также множество новостей для тестировщиков и разработчиков, с рассказом, какие новинки нас ждут уже в самое ближайшее время в релизе. Сервис Apple для прослушивания классической музыки — уже в конце...
[recovery mode] Отвыкнуть от шума, или персональная камера сенсорной депривации
Я вырос в маленьком и закрытом военном городке, где самая длинная улица была 2 километра и по ней, в среднем, проезжала одна машина за две-три минуты. Когда я приехал поступать в МГУ, заселился в ДАСе на 15 этаже. После пятиэтажного городка это была очень впечатляющая перемена. Лето было жарким и...
Вас похекали! Как мы приносим клиентам дурные вести из Даркнета
Наверняка вы слышали, что в TOR не протолкнуться от сотрудников полиции и агентов ФБР. В то же время, говорят, что на Серьезные хакерские форумы пускают только своих, и безопасникам нечего ловить в даркнете. И в том, и в другом есть доля истины, но в чем она заключается? Есть ли польза от...
Как разминировать свой код на PHP (и не только)?
«Мины» в исходном коде — это не только уязвимости, но и прочие дефекты безопасности, которые так или иначе ухудшают качество софта. Какими путями «минируется» ваш код и какие типы «мин» наиболее актуальные? Поговорим об этом в контексте веб-программирования и PHP. О «минах» в коде расскажет Илья...
О машинном обучении с точки зрения ИБ: реальная обстановка
Привет! В эфире Александра Мурзина, руководитель отдела перспективных технологий Positive Technologies. Наша компания разрабатывает решения для информационной безопасности. В частности, моя команда помогает создавать средства защиты, которые применяют методы машинного обучения, а еще исследует...
Технология Li-Fi: безопасный и быстрый способ связи
В данной статье я постарался комплексно осветить принципы работы технологии LI-FI и её особенности, а также рассказать почему, как мне кажется, именно LI-FI является перспективным будущим для сферы информационной безопасности. Тык...
Больше одноплатников, производительных и специализированных: 5 нужных многим моделей, которые появились в марте
В последнее время производители электронных систем и компонентов стали наращивать темпы разработки и выпуска новых моделей. Это актуально, например, для одноплатных ПК, в марте вышло сразу несколько моделей, которые не стоит пропускать. Среди них, как обычно, есть производительные модели, а есть...
[Перевод] Перевод: Захват аккаунта: Эпическая история баг-баунти
Здравствуйте, друзья! Я вернулся после долгого перерыва с интересной ошибкой Account Takeover и тем, как я связал ее с XSS. Вы можете запутаться, поскольку это длинная статья, но не волнуйтесь, дочитайте до конца; в конце я все упростил для лучшего понимания. Читать далее...
Security Week 2311: уязвимости в умных дверных замках Akuvox
9 марта исследователи из компании Claroty опубликовали подробное исследование уязвимостей в умном дверном замке Akuvox E11. В отчете представлены 13 уязвимостей, которые сложно оценивать формальными методами, по шкале опасности. Проще сказать, что лучше такое IoT-устройство не использовать вовсе...
Достаточно ли защищен ваш GraphQL API?
На связи Юлия Полозкова, ведущий разработчик отдела архитектурных решений и перспективной разработки «БАРС Груп». В этой статье делюсь опытом, как обеспечить достаточный уровень кибербезопасности бизнес-приложений. Разбираю техники и средства защиты Graph API, такие как отключение интроспекции...
Как мы свой VPN поднимали
Всем привет, на связи команда Joy Dev. Я и мой коллега Артём - backend-разработчики, пишем на Ruby. Когда мы только начали работать, в компании использовались две сторонние службы VPN (не буду их называть), которые со временем перестали по определённым причинам работать. На одном из собраний наш...
Compliance-дайджест: что изменилось в ИБ-законодательстве в феврале
В свежем выпуске дайджеста расскажу о новостях из мира ИБ-комплаенса за прошедший февраль. Какие внеплановые проверки сможет проводить Роскомнадзор в отношении операторов персональных данных? В каких случаях нарушения при обращении с биометрическими персональными данными могут привести к штрафу, а...