Рубрика «безопасность»

в 15:04, , рубрики: bug bounty, cli, open source, python, безопасность, сканер

Give a man a gun and he can rob a bank. Give a man a bank and he can rob the world.

Предыстория

Занимаясь bug bounty, я постоянно сталкивался с одной проблемой — существующие инструменты либо устарели, либо закрытые, либо написаны так что добавить свой плагин целый квест. Nikto последний раз серьёзно обновлялся много лет назад, а современных асинхронных альтернатив на Python практически нет.

Так появился WebScan — асинхронный CLI-сканер безопасности на чистом Python с модульной архитектурой. За неделю с момента релиза проект получил внешних контрибьюторов и вырос до 15 плагинов.

Что умеет CLI-сканер

Читать полностью »

в 7:41, , рубрики: AI, безопасность

На третий день мой агент слил email одного клиента в переписку с другим клиентом. Это была не гипотетическая история из доклада на конференции. Это был мой код, в проде, делающий то, что я никогда не тестировал.

Я собрал support-агента на LangGraph и GPT-4o. Он умел искать по базе знаний, подтягивать детали аккаунта и готовить ответы. В staging он работал прекрасно. В проде ему понадобилось ровно 72 часа, чтобы вытащить PII одного пользователя в разговор с другим. Причина оказалась до неловкого простой: модель включила сырой контекст из базы данных прямо в ответ, и ничто в моём пайплайне это не проверяло.

Читать полностью »

в 9:01, , рубрики: linux, open source, ruvds_статьи, vds, vps, безопасность, бэкап, для начинающих, инструменты
Инструменты, которые должен знать каждый, кто арендует первый VDS - 1

Продолжаю серию подборок. Недавно рассказывал про онлайн-сервисы для сетевиковЧитать полностью »

в 18:34, , рубрики: C#, безопасность, криптографические алгоритмы, криптография, рандомайзер, рандомизация

Начнем с того, как компьютер сейчас генерирует случайные числа

Современные компьютеры используют так называемые псевдослучайные генераторы чисел (PRNG — Pseudorandom Number Generator). Эти алгоритмы создают последовательность чисел, которые кажутся случайными, хотя на самом деле они вычисляются на основе определенной формулы и начального значения — «семени». При этом «семя» может быть абсолютно любое, начиная от времени на компьютере, заканчивая шумом от молний (например, так работает сайт https://www.random.org).

Однако, у такого способа есть свои недостатки

Читать полностью »

в 16:59, , рубрики: android, DNS, sing-box, tun2socks, Tunguska, vpn, VPN-детект, xray, безопасность, маршрутизация

Безопасный Android-клиент для своих VPN-профилей

Tunguska — открытый Android-клиент для собственных VPN-профилей. Он умеет импортировать профили, выбирать sing-box или Xray + tun2socks, поднимать системный VPN-туннель Android, настраивать маршруты по приложениям и показывать состояние сессии.

Читать полностью »

в 21:12, , рубрики: ssh, безопасность, криптография, Программирование

О, вам нравится SSH? А перечислите-ка все флаги!

Приветствую

Все мы видели эти красивые схемыЧитать полностью »

в 9:15, , рубрики: Tailwind, безопасность, бэкдор, информационная безопасность, тестовое, тестовое задание

TL;DR:

В GitHub-репозитории для тестового задания был вредоносный код, спрятанный в tailwind.config.js. Сначала файл выглядел как обычный Tailwind-конфиг, но в конце была длинная обфусцированная JS-строка. При загрузке конфига код подключал fs, os, request, path, node:process и child_process, связывался с C2 на 78.142.218.26:1244 или 66.235.168.17:1244, отправлял минимальный фингерпринт машины, скачивал второй payload в ~/.vscode/f.js, создавал ~/.vscode/package.json, выполнял npm install и запускал payload в фоне через node/nohup. Иными словами, это был не обычный тестовый проект, а loader/downloader, замаскированный под frontend-задание.

Социальная часть

Читать полностью »

в 9:01, , рубрики: DevSecOps, llm, OWASP, ruvds_статьи, SAST, безопасность, безопасность веб-приложений, вайбкодинг, уязвимости, уязвимости и их эксплуатация
Вайбкод и безопасность: как не задеплоить уязвимости вместе с фичами - 1

Часть 1 — С чего всё началось (и немного теории)

Введение

Читать полностью »

в 10:15, , рубрики: автоматизация, безопасность, бизнес, деплой, интеграции, продуктовая разработка, управление проектами, управление разработкой

Бороздя просторы космоса Хабра, рабочих репозиториев и не только, в сегменте Java разработчиков и других JVM динозавров, была обнаружена извественная проблема, большинство фич закрыты фича-флагами в виде простых переменных в коде (иногда чересчур замедруенными). И в этом хаосе родилась идея просто менеджера флагов для разных приложений.

В мире кубов и контейнеров JVM приложения чувствуют себя немного странного когда речь заходит о вопросах: кто сожрал все ресурсы в кластере? или как же мне вывернуть приложение чтобы не рестартить его? Со вторым вопросом предлагаю ознакомится ближе.
Читать полностью »

в 12:15, , рубрики: AI, design by contract, embedded, NIST, PKI, TRNG, безопасность, контракты, криптография

Design by Contract Мейера не взлетел в 1986 из-за двойной работы. AI-агент убирает вторую половину. Я построил PKI-систему с аппаратным TRNG, формальными контрактами на криптографию и открытым репозиторием, чтобы это проверить.

1. Проблема: AI ломает быстрее, чем люди чинят

Читать полностью »

123...1020...173
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js