| Date | Title | Description |
| 23.02.2026 | HackTheBox. Прохождение Falafel. Уровень — Сложный | Для начала добавим ip-адрес в файлик hosts.
sudo nano /etc/hosts
Проведем начальное сканирование masscan-ом, будем сканировать все TCP и UDP порты со скоростью 500 пакетов в секунду, через интерфейс tun0 и посмотрим результат.
sudo masscan ... |
| 16.02.2026 | Релиз дистрибутива для анализа вредоносного ПО REMnux 8.0 | В середине февраля 2026 года состоялся релиз специализированного Linux‑дистрибутива REMnux 8.0 на базе Ubuntu 24.04 (ранее использовалась сборка Ubuntu 20.04), предназначенного для изучения и обратного инжиниринга кода вредоносных программ.... |
| 16.02.2026 | HackTheBox. Прохождение FluxCapacitor. Уровень — Средний | Для начала добавим ip-адрес в файлик hosts.
sudo nano /etc/hosts
Проведем начальное сканирование masscan-ом, будем сканировать все TCP и UDP порты со скоростью 500 пакетов в секунду, через интерфейс tun0 и посмотрим результат.
sudo masscan ... |
| 07.02.2026 | Первый месяц в Bug Bounty: итоги, цифры и выученные уроки | Мой путь в ИБ начался с нуля - у меня не было опыта работы и образования в айти в целом, будь это системное администрирование или программирование. Я просто планомерно учился и сдавал сертификации. За три года у меня собрался определенный с... |
| 22.01.2026 | Что используют безопасники в Китае? Изучаем недавний слив | 你好, Хабр! Исследуем недавние сливы у Китайских пентестеров, опубликованные NetAskari. Исследователи получили доступ к данным об инструментарии и структуре отчетов в Китайской редтим-компании.Дисклеймер
Из оригинального исследования, к сожал... |
| 11.01.2026 | Insane прохождение Hack The Box коробки. Eloquia | Предисловие
Приветствую и приглашаю всех на увлекательное путешествие в мир сложнейшей лабы от Hack The Box этого сезона!
Меня зовут Ян, я пентестер с многолетним опытом. Сегодня я решил поделиться прохождением лабы Insane-сложности (высшей... |
| 08.01.2026 | Обзор сертификации HTB Certified Web Exploitation Specialist (HTB CWES, бывший CBBH) | После успешной сдачи OSCP и CRTP, я начал поиск вакансий в сфере пентестинга и заметил, что большинство работодателей ищут веб- и моб-пентестеров. Хваленый и суперпопулярный OSCP очень слабо покрывает направление веб-пентеста, а CRTP - это ... |
| 25.12.2025 | Вышел дистрибутив Parrot OS 7.0 для этического хакинга с ядром Linux 6.12 LTS и новыми инструментами для пентестов | 24 декабря 2025 года компания Parrot Security выпустила дистрибутив Parrot OS 7.0 (кодовое название Echo) на базе Debian 13 Trixie и ядра Linux 6.12 LTS, а также с поддержкой RISC‑V. Решение ориентировано на безопасность и предназначено для... |
| 23.12.2025 | Вооружаемся. iOS Пентест. Часть вторая | Привет, хабровчане! С вами на связи пентестер из компании Xilant - Ян.
В прошлой статье мы нескучно рассмотрели как получить джейлбрейк (JB) с рутом на некоторых устройствах iOS с чипом A11. Как я уже озвучил в первой части, рут на устройст... |
| 23.12.2025 | Ваш сайт вам больше не принадлежит: как CVE-2025-11953 отдает ключи хакерам | Итак, 5 ноября команда JFrog опубликовала предупреждение об уязвимости CVE-2025-11953 в инструментах командной строки проекта React Native Community CLI. React Native — это платформа которую используют тысячи разработчиков для создания моби... |
| 19.12.2025 | eWPTXv3: проверяем «экстремальность» экзамена от INE | Привет, Хабр. Сегодня мы расскажем вам о таком звере, как eWPTX (Web Application Penetration Testere Xtreme), сертификации для веб-пентестеров от INE Security. В данной статье мы с вами разберёмся:
что это за сертификация;
чему и как нас бу... |
| 19.12.2025 | Получаем красивый автомобильный номер при помощи TypeScript | Большинство людей не задумывается о случайном наборе букв и цифр, выдаваемых им Департаментом транспортных средств.
Но я не такой.
В Интернете я всегда стремлюсь получить понятный и запоминающийся цифровой идентификатор. Многие годы мне уда... |
| 04.12.2025 | В фокусе RVD: трендовые уязвимости ноября | Хабр, привет!
На связи команда инженер-аналитиков R-Vision. В ноябре нами было выявлено 13 трендовых уязвимостей. В дайджест вошли лишь те, что представляют наибольшую опасность по уровню риска, подтверждённой эксплуатации и практическому и... |
| 23.10.2025 | Кем работать в IT в 2025: владелец продукта | Рубрика «Кем работать в IT» — интервью с представителями IT-профессий, в которых специалисты рассказывают о тонкостях своей работы: плюсах, минусах, подводных камнях и заработной плате. Мы надеемся, что джунам и стажёрам она поможет больше ... |
| 30.07.2025 | BlinkOps Secures $50M: Revolutionizing Enterprise Cybersecurity with AI Micro-Agents | BlinkOps, a San Francisco firm, secured $50M in Series B funding. Total investment reached $90M. The company spearheads no-code security micro-agents. Its AI-driven platform automates complex cybersecurity workflows. Rapid Fortune 500 enter... |
| 28.07.2025 | BlinkOps raises $50M to expand deployment of no-code security micro-agents
Join theCUBE Alumni Trust Network
Send us a News Tip
EXTRACT THE SIGNAL FROM THE NOISE
Cookies | Enterprise cybersecurity automation platform Blink Operations Inc. today revealed that it has raised $50 million in new funding to accelerate its go-to-market efforts and scale updeployment of its no-code cybersecurity micro-agents platform... |
| 29.05.2025 | Ethical Hacking Services: Strengthening Cybersecurity in a Digital World | Share
Share
Share
Share
Email
Ethical hacking, also known as white-hat hacking, is the practice of identifying and exploiting vulnerabilities in computer systems or networks with the explicit permission of the owner to improve security. Eth... |
| 06.02.2025 | Будущее тестирования: какие навыки понадобятся Manual QA через 5 лет? | Мир тестирования ПО стремительно меняется, и чтобы оставаться востребованным специалистом, важно не просто следить за трендами, но и осваивать новые навыки. Давайте разберёмся, что будет актуально для QA-инженеров в ближайшие годы.1. Автома... |
| 05.02.2025 | Navigating the Kubernetes Landscape: A Developer's Guide | Kubernetes is the ocean of modern application deployment. For developers, diving into this vast sea can be daunting. Yet, with the right guide, navigating its depths becomes manageable. "Kubernetes для разработчиков" serves as tha... |
| 04.02.2025 | Топ-10 техник атак веб-приложений 2024 года | PortSwigger опубликовали топ-10 техник атак веб-приложений 2024 года, проекта, созданного усилиями сообщества, чтобы определить самые инновационные и важные исследования в области веб-безопасности, опубликованные за последний год.
Этот пост... |
| 31.01.2025 | Начинаем в багбаунти: распродажа уязвимостей в Juice Shop, или Как искать простейшие баги в веб-приложениях | Привет, меня зовут Анна Куренова (@SavAnna), в IT я уже девять лет. Начинала как разработчик и тестировщик, потом начала искать уязвимости и перешла в ИБ. Сейчас работаю DevSecOps-инженером и веду телеграм-канал 8ug8eer. В этой статье погов... |
| 30.01.2025 | Тренды SDET-направления в 2025 году | Итак, в прошлой части мы познакомились с организационными моментами в IT, а если точнее, в направлении SDET, с которыми нам предстоит встретиться в 2025 году.
Всем привет, меня зовут Данила, я SDET-специалист в компании SimbirSoft. Сегодня ... |
| 29.01.2025 | Разбор CVE-2024-42327, Zabbix | В недавнем времени выдалась возможность поковыряться с SQL injection в Zabbix ( — свободная система мониторинга статусов разнообразных сервисов компьютерной сети, серверов и сетевого оборудования, написанная Алексеем Владышевым).
Увидел нес... |
| 24.01.2025 | The Fragile Fortress of Privacy: Navigating the Crossroads of AI and Encryption | In the digital age, privacy is a fortress under siege. Recent revelations about vulnerabilities in popular communication platforms and the looming presence of artificial intelligence (AI) threaten to erode the walls of this fortress. As we ... |
| 23.01.2025 | Техническое собеседование фронтенд-разработчика: советы от тимлида | Я Данил Соломин, лид команды фронтенд-разработки в компании-подрядчике «Газпром нефти» и ревьюер на курсе «Мидл фронтенд-разработчик» в Яндекс Практикуме. Однажды, проводя четвёртое за день собеседование на роль мидл фронтенд-разработчика, ... |
| 23.01.2025 | В Cloudflare нашли уязвимость, с помощью которой можно отслеживать местоположение пользователей Signal, Discord и X | 15-летний исследователь безопасности под никнеймом hackermondev заявил, что нашёл в Cloudflare уязвимости, с помощью которой можно отслеживать местоположение пользователей Signal, Discord и X. Команда Cloudflare уже исправила ошибку.
Для ос... |
| 16.01.2025 | BSCP в 2025 | Привет Хабр!
Меня зовут Алексей, я являюсь ведущим специалистом по тестированию приложений. В канун нового года мной было решено выполнить усилие над собой в атмосфере наступающих праздников и предпринять попытку сдачи экзамена BSCP (Burp S... |
| 01.01.2025 | 60 тест-кейсов для тестирования API | Программный интерфейс приложения (API) – основа современного мира. Многие действия, которые вы выполняете на цифровых платформах, используют API, и тестирование этих API является ключом к обеспечению хорошего пользовательского опыта в прогр... |
| 26.12.2024 | MITM атаки | Введение
Приветствуем дорогих читателей! Мы продолжаем рубрику статей “Без про-v-ода” посвящённую беспроводным технологиям, атакам на них и методами защиты. В этой статье мы рассмотрим различные инструменты для MITM-атак и проверим актуальн... |
| 23.12.2024 | $2200 ATO, который большинство охотников за багами упустили, слишком рано отказавшись от цели | Охота за багами – это смесь как технических навыков, так и упорства с любопытством. Иногда самые простые баги остаются незамеченными из-за простых предположений. Эта история не о каком-то революционном эксплойте; она о терпении и о том, поч... |
| 19.12.2024 | Атаки на GitHub-разработчика в 2024 году | Тренд «Platform Engineering», предложенный аналитическими агентствами, стал интересен не только компаниям, которые трансформируют свои процессы, команды и инструменты согласно новым подходам. Этот тренд также интересует и злоумышленников, к... |
| 11.12.2024 | Небезопасная десериализация в PHP: Как создать собственный эксплойт | Привет, Хабр! Сегодня мы познакомимся с уязвимостями небезопасной десериализации в PHP, научимся писать эксплойты для эксплуатации уязвимости в рамках тестирований на проникновение и попробуем себя в анализе кода.Что такое сериализация
Сери... |
| 05.12.2024 | Разбор полетов: Взлом Metasploitble3 | Metasploitable3 — умышленно уязвимая машина для проведения тестирования на взлом
Metasploitable3 является бесплатной виртуальной машиной, которая позволяет симулировать атаки в значительной степени используя Metasploit. Она применялась людь... |
| 03.12.2024 | Bridging the Gap: The Rise of BloodHound and Couchbase's Capella AI Services | In the digital age, security and efficiency are paramount. Two recent developments highlight this trend: BloodHound, a tool for analyzing Active Directory, and Couchbase's Capella AI Services, designed to streamline AI deployment. Both inno... |
| 03.12.2024 | Active Directory под прицелом: ищем следы злоумышленников в корпоративной сети с помощью BloodHound | Привет, Хабр! На связи Дмитрий Неверов, руководитель направления тестирования внутренней инфраструктуры в Бастионе. Недавно я выпустил книгу «Идём по киберследу», представляющую собой практическое руководство по BloodHound — инструменту для... |
| 02.12.2024 | Охота за уязвимостями File Upload. Особенности | В этом блоге я расскажу о некоторых уязвимостях при загрузке файлов.
Введение:
Во многих приложениях существует функция загрузки файлов. Однако её реализация отличается в зависимости от специфики использования. Некоторые приложения позволяю... |
| 21.11.2024 | Navigating the Complexities of VPN and WAF Solutions | In the digital age, securing connections and applications is paramount. Two critical components in this realm are VPNs (Virtual Private Networks) and WAFs (Web Application Firewalls). Each serves a unique purpose, yet both are essential for... |
| 20.11.2024 | Что делать, если WAF не позволяет создать кастомное правило для JSON: готовое решение | Сегодня расскажем вам о нестандартном подходе к защите веб-приложений с помощью PT Application Firewall PRO (PT AF PRO). Мы с коллегами столкнулись с интересной задачей: как защитить уязвимое приложение от вредоносных JSON-запросов. PT Appl... |
| 06.11.2024 | Начинаем в багбаунти: доступно об уязвимостях типа Broken Access Control | Привет, меня зовут Александр (aka bytehope). Прежде чем прийти к багхантингу, я пять лет занимался коммерческой разработкой. Однако меня всегда больше интересовал поиск уязвимостей, поэтому сейчас свое свободное время я провожу на площадках... |
| 05.11.2024 | Полный захват аккаунта в одной из крупнейших компаний электронной коммерции | Привет всем,
Сегодня я хочу поделиться своим опытом обнаружения уязвимости, позволяющей захватить учетную запись (ATO) с помощью отравления ссылки для сброса пароля. Во время участия в программе, охватывающей миллионы пользователей — крупно... |
| 01.11.2024 | Рекогносцировка для баг-баунти: 8 инструментов необходимых для эффективного сбора информации | Содержание
Важность рекогносцировки
Автоматизированные инструменты
Заключение
Всем известно, что рекогносцировка является важнейшим этапом в баг-баунти и тестировании веб-приложений на проникновение. Охотники за уязвимостями, проводящие кач... |
| 29.10.2024 | The Thrill of the Hunt: Navigating the Bug Bounty Landscape | In the digital age, vulnerabilities lurk in every corner of the internet. Bug bounty programs are the modern-day treasure hunts, where ethical hackers seek out these hidden flaws for rewards. This article dives into the world of bug hunting... |
| 29.10.2024 | Вознаграждение в $20 300 за 200 часов хакерского марафона | Вернемся к июлю 2023 года: вместе с Мохаммадом Никуи мы решили посвятить 100 часов работе над публичной программой Bug Bounty на платформе BugCrowd. Мы занимались ею неполный рабочий день, уделяя по 4–6 часов ежедневно. Выбрали программу от... |
| 28.10.2024 | Unmasking Web Application Vulnerabilities: A Deep Dive into VAmPI | In the digital age, web applications are the backbone of countless services. However, with great power comes great responsibility. The VAmPI web application serves as a case study, revealing critical vulnerabilities that can compromise user... |
| 27.10.2024 | Как я получил $5000 за Out-of-Scope XSS | Несколько месяцев назад я получил приглашение участвовать в частной программе bug bounty на платформе HackerOne. Сначала я провел свои обычные тесты и обнаружил различные уязвимости, такие как недостаток управления доступом (BAC), утечка ав... |
| 26.10.2024 | Тестирование на проникновение в веб-приложении VAmPI | Привет, уважаемый читатель!
В рамках данной статьи мы узнаем:
Какие API уязвимости есть в VAmPI?
Из-за чего эти уязвимости существуют и эксплуатируются?
Какие есть способы защитить веб-приложение?
Какой есть дополнительный материал для само... |
| 25.10.2024 | Нос по ветру: как наш DNS-сниффер помогает искать Blind-уязвимости | Всем привет! В блоге центра исследования киберугроз Solar 4RAYS мы продолжаем делиться результатами расследований инцидентов, полезными инструментами для ИБ-специалистов и другими практическими материалами, часть которых мы размещаем и здес... |
| 18.10.2024 | The Rise of Game Development with Common Lisp: Crafting Dungeons and Interfaces | In the realm of game development, innovation is the lifeblood. Enter Common Lisp, a language often overshadowed by more mainstream options. Yet, it offers a unique approach to game design, particularly through the Entity-Component-System (E... |
| 17.10.2024 | Настройка BurpSuite professional на Ubuntu 24 | На данном практическом занятии мы рассмотрим процесс установки и начальной настройки BurpSuite Professional на Ubuntu 24 (22).
BurpSuite — это мощный и широко используемый инструмент для тестирования безопасности веб-приложений, который пом... |
| 15.10.2024 | The Silent Threat of Cache Poisoning: Understanding and Mitigating Risks | In the digital landscape, speed is king. Web caching serves as the turbocharger for online experiences, allowing users to access data swiftly. However, this convenience comes with a dark side: cache poisoning. This insidious attack can comp... |
| 15.10.2024 | Атаки на веб-кэширование. Отравление кэша: теория и практика | Кэширование — это эффективное архитектурное решение, которое сегодня используется на всех уровнях вычислительных систем, начиная от кэша процессора и жесткого диска до кэша веб-сервера и обратных прокси-серверов. Именно о последних пойдёт р... |
| 10.10.2024 | Методология баг-баунти: гайд для охотников за багами | Эта статья основана на моем опыте веб-хакера, но описанные в ней принципы в целом применимы ко всем дисциплинам хакинга. В основном она предназначена для начинающих хакеров и для людей, которые уже нашли несколько багов, но хотят сделать св... |
| 03.10.2024 | Standoff-онбординг: знакомство, фишинг и взлом внешнего периметра | Привет, Хабр! Если вы это читаете — значит, вы интересуетесь кибербитвой Standoff. Эта статья первая из цикла, цель которого познакомить с платформой всех, кто мечтает поучаствовать в кибербитве впервые. Интересно будет и матерым игрокам — ... |
| 03.10.2024 | Daily Deal: The 2024 All-in-One Ethical Hacking Bundle | The 2024 All-in-One Ethical Hacking Bundle has 18 courses to help you learn more about penetration testing, social engineering, network security and ethical hacking. Courses cover Metasploit, Nmap, Wireshark, Burp Suite, Splunk, and more. I... |
| 01.10.2024 | WAF для Вебсокетов: рабочее решение или иллюзия? | Есть мнение, что в силу особенностей вебсокетов, WAF не может их нормально анализировать и защищать. Давайте попробуем разобраться, насколько это утверждение справедливо.
Сперва несколько слов о том что есть вебсокет и где он применяется.Кр... |
| 26.09.2024 | История одного веб-сервиса: как забытые ресурсы могут стать дверью во внутреннюю сеть | Недавно мы рассказывали об успешном участии экспертов УЦСБ в премии для специалистов по тестированию на проникновение Pentest Award и обещали вернуться с детальным описанием интересных кейсов, с которыми участвовали наши пентестеры.
В этой ... |
| 22.09.2024 | The Rising Tide of Adversarial Attacks on AI: A Call to Action | In the world of artificial intelligence (AI), a storm is brewing. Adversarial attacks on machine learning (ML) models are not just increasing; they are evolving. As AI becomes more integrated into our daily lives, the vulnerabilities of the... |
| 20.09.2024 | Adversarial attacks on AI models are rising: what should you do now? | Join our daily and weekly newsletters for the latest updates and exclusive content on industry-leading AI coverage. Learn More
Adversarial attacks on machine learning (ML) models are growing in intensity, frequency and sophistication with m... |
| 17.09.2024 | Где и как искать этот ваш SSRF: первые шаги в багхантинге | Привет, меня зовут Олег Уланов (aka brain). Я занимаюсь пентестами веб-приложений и активно участвую в багбаунти, зарабатывая на чужих ошибках. Свой путь в наступательной безопасности я начал совсем недавно, но, несмотря на это, меньше чем ... |
| 17.09.2024 | Misconfigured ServiceNow Knowledge Bases Expose Confidential Information | Users of ServiceNow, a cloud-based platform used to manage IT services and processes, could be unknowingly exposing confidential information, including names, phone numbers, internal system details, and active credentials.
Misconfiguration ... |
| 01.09.2024 | Снифферы трафика в мобильном тестировании: Обзор инструментов и их особенности | Можно заметить, что инструменты сниффинга трафика незаменимы в мобильном тестировании, предоставляя возможность оперативно и грамотно подходить к исследованиям сетевых взаимодействий, осуществляемых приложениями. К числу таких инструментов,... |
| 29.07.2024 | The Cybersecurity Battlefield: Insights from Student Hackers and Ransomware Evolution | In the digital age, cybersecurity is the new frontier. It’s a battlefield where the stakes are high, and the players are diverse. From student hackers testing their skills in competitions to sophisticated ransomware groups targeting corpora... |
| 28.07.2024 | Студенческий опыт Standoff — на шаг ближе к вершинам | Привет, Хабр! На связи лаборатория кибербезопасности AP Security и сегодня наши стажёры делятся своим важным профессиональным опытом.
Каждый, кто хотя бы немного знаком со сферой ИБ или краем уха слышал про Positive Hack Days, припоминает б... |
| 27.07.2024 | Wildberries Boosts Bug Bounty Rewards: A New Era for Cybersecurity Enthusiasts | In the digital landscape, vulnerabilities lurk like shadows. Companies are increasingly aware of the need to illuminate these dark corners. Wildberries, a major player in the Russian e-commerce scene, has taken a bold step. They are doublin... |
| 20.07.2024 | Место забавных ситуаций в жизни или сертификация у PT | Забавная по сути своей ситуация получилась при работе с Positive Technologies. Согласно требованиям партнерских программ, я проходил необходимые сертификации на их сайте edu.ptsecurity.com и по старой доброй привычке решил просмотреть тела ... |
| 10.07.2024 | Brighton Park Capital Investing $112 Million In PortSwigger | Brighton Park Capital, an investment firm focused on entrepreneur-led, growth-stage companies within the software, healthcare, and tech-enabled services businesses space, announced a $112 million investment in PortSwigger – which is a renow... |
| 09.07.2024 | Зачем искать поверхность атаки для своего проекта | Любые программные системы включают в себя нужные и не очень нужные пакеты. Получается огромный объём кода (для одного несложного сайта npm list -a выдаёт список из 4256 зависимостей). А так как «весь код — это ваш код», то такие зависимости... |
| 28.06.2024 | PortSwigger: Securing the Web, One Byte at a Time | PortSwigger, a UK-based cybersecurity company, recently secured a hefty sum of funding to bolster its efforts in the web security space. With €104.7 million from Brighton Park Capital, the company is set to double down on its mission to pro... |
| 27.06.2024 | Vulnerability detection provider PortSwigger raises $112M
Your vote of support is important to us and it helps us keep the content FREE.
One click below supports our mission to provide free, deep, and... | PortSwigger Ltd., the company behind one of the industry’s most popular cybersecurity testing tools, today disclosed that it has raised $112 million in funding.
The capital was provided by private equity firm Brighton Park Capital. It marks... |
| 27.06.2024 | UK-based PortSwigger raises €104.7 million to double down in the web security space | Cheshire-based PortSwigger, an application security software provider, announced it has raised €104.7 million from Brighton Park Capital, an investment firm focused on entrepreneur-led, growth-stage companies within the software, healthcare... |
| 24.06.2024 | XSS в Sappy (частичный writeup) | Введение
Недавно прошел Google CTF, после которого были выложены исходные коды и exploit'ы к заданиям.
В этой статье я хотел бы подробнее рассмотреть web task с недавно прошедшего Google CTF, который называется "Sappy".
На момент ... |
| 20.06.2024 | Сравнение зарубежных и отечественных площадок для белых хакеров по сложности | Привет, Хабр! Продолжая “рекламную кампанию” информационной безопасности для заинтересовавшихся, хочу затронуть тему площадок для Также их называют белыми хакерами." data-abbr="этичных">этичных хакеров (и не только для них... |
| 18.06.2024 | CTF — для начинающих | Как начать играть в CTF? Что почитать? Чему можно будет научиться? CTF
Capture The Flag (CTF) – это не просто развлечение, а настоящие спортивные состязания по «спортивному хакингу». Участникам предлагаются задачи, где нужно найти и использ... |
| 13.06.2024 | Осваиваем DOM Invader: ищем DOM XSS и Prototype Pollution на примере пяти лабораторных и одной уязвимости на Хабре | Привет, Хабр! Сегодня мы познакомимся с DOM XSS и Prototype Pollution, рассмотрим примеры уязвимостей на Bug Bounty и научимся использовать инструмент DOM Invader, который заметно упростит поиск таких уязвимостей.
Материал будет интересен с... |
| 10.06.2024 | Анализируем HTTP трафик в Wireshark | Анализатор пакетов Wireshark является одним из основных инструментов, используемых как сетевыми инженерами и администраторами, так и разработчиками и тестировщиками приложений для решения проблем с сетевыми протоколами.
При этом, не все уме... |
| 15.05.2024 | Что такое WAF и как с ним работать? Показываем на примере уязвимого веб-приложения | Информационная безопасность веб-приложений за последние несколько лет стала, наверное, одним из ключевых вопросов в IT. Для компаний стабильность работы систем — это репутация и отсутствие лишних издержек. Ежегодная статистика больших ИБ-ко... |
| 14.05.2024 | Методы расшифровки трафика | Добрый день, дорогие читатели Хабра!
Мы команда специалистов из компании ПМ. Довольно часто к нам приходят заказы на анализ защищенности или тестирование на проникновение веб-ресурсов. Первоначальным этапом при проведении работ является раз... |
| 03.05.2024 | Безопасность веб-приложений для самых маленьких фронтов | С первого взгляда кажется, что безопасность - это тема devops-а или бэкенда. Но разделить зоны ответственности в этом вопросе очень сложно. В этой статье я хотел бы поговорить о моментах, связанных именно с фронтендом - т.е. об атаках, кото... |
| 29.04.2024 | Раскрываем секретные функции: магия макросов в Burp Suite | Привет! Если ты думаешь, что знаешь всё о Burp Suite, я тебя удивлю! Этот мощный инструмент для тестирования веб-приложений скрывает в себе ещё больше возможностей, способных значительно упростить и ускорить работу. Сегодня мы изучим функци... |
| 12.04.2024 | Безопасная разработка: обзор основных инструментов | Привет! Меня зовут Иван, я инженер по кибербезопасности в достаточно крупной компании и автор курса «Специалист по информационной безопасности: веб-пентест». В этой сфере я уже около шести лет.
Сейчас занимаюсь тестированием безопасности пр... |
| 04.04.2024 | BSCP — разгадываем тайны сертификации от академии PortSwigger | Привет, Хабр! Меня зовут Никита, я пентестер, специализируюсь на веб-тестировании. Наверняка многие из вас задумывались о подтверждении своей экспертизы с помощью некоторых сертификаций. Сегодня хочу поговорить о популярной сертификации от ... |
| 03.04.2024 | Игра в безопасность Android-приложений | Давайте в общих чертах рассмотрим вопросы взлома и защиты Android-приложений.
В рамках статьи нас интересуют сами процессы взлома и защиты, а не конкретные методики работы с конкретными инструментами. Поэтому разберёмся с этими процессами и... |
| 02.04.2024 | Красавица и HTML Injection. Почему HTMLi не только про дефейс | Привет, Хабр. Сегодня мы посмотрим на достаточно тривиальную тему с совсем нетривиальной стороны. Пожалуй, для каждого вебера HTML-инъекции являются темой, которой зачастую уделяют не очень много внимания. Взять даже собеседования: когда в ... |
| 22.03.2024 | Tinkoff CTF 2024: разбор демозадания | В апреле пройдет второй Tinkoff CTF для ИТ-специалистов. В этой статье мы рассказываем о соревновании и разбираем одно из демозаданий CTF. Статья поможет лучше подготовиться, даже если вы никогда не участвовали в подобных мероприятиях.
Если... |
| 19.03.2024 | Перехват трафика мобильных приложений | Часто случается так что на необходимом сайте установлена защита от ботов. Например: QRATOR, Cloudflare, Akamai Bot Manager и пр. Можно потратить множество ресурсов на обход этих систем, но если у вашего ресурса есть мобильное приложение, то... |
| 09.03.2024 | Цифровой цейтнот: почему свежие ИБ-законопроекты не находят широкой поддержки — примеры и мнения | В мире растет число кибератак, и правительства отдельных стран принимают меры по противодействию злоумышленникам. Некоторые инициативы выглядят довольно строгими. Так, индийский регулятор обязал пострадавшие от хакерских атак компании предо... |
| 01.03.2024 | Аутентификация для WebSocket и SSE: до сих пор нет стандарта? | WebSocket и SSE появились более десяти лет назад, однако до сих пор в стандартах отсутствуют рекомендации по решению задачи аутентификации для подобных соединений.
В статье разберем особенности аутентификации применительно к протоколу WebSo... |
| 27.02.2024 | Исследование безопасности десктопных приложений на основе Electron
Инструменты и методы анализа
Особенности ручного тестирования приложений на основе Electron
Виды атак и примеры эксплуатации уязвимос... | Electron — фреймворк с открытым исходном кодом для создания кросс-платформенных десктопных приложений с помощью JavaScript, HTML и CSS. Это крутая технология, но с ней связаны многие ИБ-риски.
В статье я разберу основы безопасной работы с э... |
| 21.02.2024 | Standoff 365. Самое красивое недопустимое событие в деталях | Изображение сгенерировано ботом Kandinsky (https://t.me/kandinsky21_bot)
Привет, Хабр. Меня зовут Виктор, я работаю в компании «Инфосистемы Джет» пентестером и активно играю на киберполигоне Standoff 365 под ником VeeZy. Сегодня я хочу поде... |
| 02.02.2024 | Ладья на XSS: как я хакнул chess.com детским эксплойтом | Шахматы – это одно из многих моих хобби, за которыми я провожу свободное время, когда не ковыряюсь с какой-нибудь электроникой. При этом играю я так себе, и когда мне изрядно надоело проигрывать, я решил заняться тем, что у меня получается ... |
| 23.01.2024 | Эксплуатируем уязвимость внедрения шаблонов на стороне сервера в обход песочницы | Привет, Хабр, на связи лаборатория кибербезопасности компании AP Security! Сегодня речь пойдет о том, как можно использовать уязвимость внедрения шаблонов на стороне сервера (SSTI), когда сервер жертвы находится в изолированной среде (песоч... |
| 05.01.2024 | Ivanti warns of critical vulnerability in its popular line of endpoint protection software | Enlarge reader comments 20
Software maker Ivanti is urging users of its end-point security product to patch a critical vulnerability that makes it possible for unauthenticated attackers to execute malicious code inside affected networks.
Th... |
| 25.12.2023 | Загрязненный — значит опасный: про уязвимость Prototype Pollution | Prototype Pollution (CVE-2023-45811, CVE-2023-38894, CVE-2019-10744) — не новая брешь, вы уже наверняка читали про нее и на Хабре, и на PortSwigger, и даже в научных журналах, но есть нюанс. Несмотря на большое количество публикаций, некото... |
| 14.12.2023 | Кибер-соревнования для начинающих этичных хакеров | Привет, Хабр, Давно не виделись! Я - Никита, студент Бонча и инженер в «Газинформсервис» (подробнее обо мне в этой статье). Предлагаю немного ближе познакомиться c миром ИБ, а именно кибер-соревнованиями. В этом материале кратко расскажу ка... |
| 08.12.2023 | Безопасность Supply Chain. Глава 2: как злонамеренные библиотеки проникают в проект и как этому помешать | Bob: Alice, ты в прошлый раз меня убедила, что мне необходимо проверить свои сторонние зависимости в проекте на риски атак через цепочку поставок (Supply Chain). По итогу уже нашлось три подозрительные библиотеки. Я вообще не понимаю, как о... |
| 29.11.2023 | «Синее» возрождение: как blue team завоевать популярность | Привет, Хабр! На связи Макар Ляхнов, аналитик по информационной безопасности в Innostage. Я киберзащитник-специалист, чью профессию пока трудно назвать популярной. А для чего, казалось бы, выбирать защиту, когда есть все это веселье со взло... |
| 23.11.2023 | Как начать карьеру в пентесте: опыт сотрудника Angara Security | Мы продолжаем цикл материалов о старте карьеры в кибербезопасности.
Этот материал подготовил сотрудник отдела анализа защищенности Angara Security, по просьбе автора, мы не будем раскрывать его имя. Если после прочтения статьи будут вопросы... |
| 17.11.2023 | Пентест: суровая реальность, которая распадает мечты новичков | В последние годы пентестинг (проверка на проникновение) продолжает набирать популярность среди молодых специалистов в области информационной безопасности. Множество статей, книг и видеоматериалов предлагают искусственную и романтизированную... |
| 15.11.2023 | Пентесты: готовим рабочее окружение для атаки | Веб-пентест — это специализированная процедура, в ходе которой специалисты по кибербезопасности активно ищут и эксплуатируют уязвимости веб-системы. Цель такой симулированной атаки — выявить слабые звенья системы безопасности, которые могут... |
| 14.11.2023 | Импортозамещение сканеров web-уязвимостей: обзор актуальных DAST-решений8 | Привет, Хабр!
Поговорим о проблеме выбора DAST, который бы смог удовлетворить потребности регулярного поиска уязвимостей в web-инфраструктуре компании. Опытные пентестеры, специализирующиеся на web-приложениях, наверняка возразят: какой тут... |
