Рубрика «OWASP»
Вайбкод и безопасность: как не задеплоить уязвимости вместе с фичами
2026-05-01 в 9:01, admin, рубрики: DevSecOps, llm, OWASP, ruvds_статьи, SAST, безопасность, безопасность веб-приложений, вайбкодинг, уязвимости, уязвимости и их эксплуатация
Prompt injection для смелых духом: от zero-click атаки на 1.4B устройств до философского джейлбрейка
2026-02-20 в 5:16, admin, рубрики: AI, ai-агенты, Anthropic, CVE, llm, OWASP, prompt injection, информационная безопасность, машинное обучение, уязвимостиSQL-инъекцию мы лечили 20 лет и вылечили. Prompt injection — фундаментально нерешаема. Это не я придумал. OWASP ставит её на первое место второй год подряд. Найдена в 73% продакшн AI-систем при аудитах.
Вы не за статистикой сюда пришли. Вы пришли за мясом. Ниже — 10 кейсов, которые не попали в типичный пересказ про Chevrolet за доллар. Тут пострашнее.
CVE-2026-21876: Как найти критический байпас широко использующегося WAF за 3 дня, если лень читать сорсы
2026-01-12 в 20:16, admin, рубрики: crs, CVE, modsecurity, OWASP, wafВообще, это мой первый опыт написания статьи на хабре, но с выпуска патча прошло несколько дней, и вдруг я решил поделиться самим процессом исследования.
Всем привет, я Daytrift Newgen, и вот моя простая и весьма смешная история обнаружения байпаса от начала исследований до патча и advisory.
Этап 0 - Начало и эпичный финал исследований
Еще где-то в конце 2025 года я решил попробовать вкатиться в исследования open-source продуктов и, недолго думая, выбрал тему байпасов WAF, ибо любой коллега знает, насколько такие продукты бывают противными :-)
«2 минуты на пентест вместо часа»: копнул, что за зверь этот HackGPT и где подвох
2025-11-12 в 4:58, admin, рубрики: HackGPT, OWASP, ИИ, кибербезопасностьПривет! Alsok на связи.
Все, кто хоть раз сталкивался с инфобезом, знают эту боль: ручные пентесты. Это долго, дорого, и пока эксперт ковыряет одно, в другом месте уже три новых дыры. Рутина съедает уйму времени.
И вот, на днях я натыкаюсь в своей ленте на классический «вау»-заголовок: «HackGPT провел тест на проникновение за 2 минуты, где экспертам требуется час».
Конечно, мой внутренний скептик сразу включился, и я пошел «тыкать палочкой», что это за чудо-инструмент нам выкатили. Делюсь тем, что нарыл.
Что это за зверь?
Оказалось, речь идет о HackGPT EnterpriseЧитать полностью »
AI Security с французским привкусом или разбор Securing Artificial Intelligence от ETSI. Часть 2
2025-06-19 в 8:37, admin, рубрики: OWASP, безопасность ии, информационная безопасность, промпт-инъекции, стандарты безопасностиВ прошлой части мы рассмотрели документы:
-
TR 104 066 «Security Testing of AI»,
-
TR 104 222 «Mitigation Strategy Report»,
-
TR 104 221 «Problem Statement»,
-
TR 104 048 «Data Supply Chain Security»,
-
TS 104 224 «Explicability & Transparency» –
в которых описываются проблемы тестирования безопасности, предотвращения рисков и объяснимости предиктивных ML‑моделей.
В этой части продолжим обозревать оставшиеся документы, тем более последние охватывают не только классический ML, но и генеративные модели.
Сегодня в программе разбор следующих отчетов ASI группы из ETSI:
Новости кибербезопасности за неделю со 2 по 8 июня 2025
2025-06-08 в 7:58, admin, рубрики: AstraLinux, auth0, GigaChat, microsoft, OWASP, WhatsApp, информационная безопасность, Новости, хакер, ципр
API-безопасность 2025: Прогноз и стратегии защиты на основе OWASP Top 10
2024-12-20 в 9:38, admin, рубрики: api, OWASP, pentest
Безопасность приложений больших языковых моделей (LLM, GenAI)
2024-09-15 в 8:16, admin, рубрики: genai, llm, OWASP, owasp top 10, securityOWASP Top 10 для приложений LLM и GenAI: Руководство для разработчиков и практиков
Откройте для себя OWASP Top 10 для LLM и GenAI и изучите основные стратегии защиты ваших моделей и приложений искусственного интеллекта.
Интервью с Лукой Сафоновым о программах Bug Bounty и непосредственно платформе BugBounty.ru
2023-01-31 в 10:43, admin, рубрики: bugbounty, bugbounty.ru, hackerone, OWASP, интервью, информационная безопасность, кибербезопасность, киберполигон, лука сафоновПосле ухода платформы HakerOne (h1) в России появилось несколько отечественных площадок Bug Bounty. Две из них информационная служба Хабра уже осветила, и вот настало время рассказать ещё об одной. На удивление, самую первую в России Bug Bounty площадку мы обозреваем самой последней. BugBounty.ru появилась ещё до ухода h1, до санкций и всех известных событий последнего года.
Что нового появилось в PVS-Studio в 2021 году
2021-12-31 в 11:50, admin, рубрики: .net 6, CLion, MISRA, OWASP, pvs-studio, safety, SAST, security, static analysis, Unreal Engine, visual studio 2022, Блог компании PVS-Studio
2021 вот-вот закончится, а значит, настало время подведения итогов! Сегодня мы поговорим о том, что нового появилось в анализаторе PVS-Studio за прошедший год. Устраивайтесь поудобнее, мы начинаем.