Рубрика «OWASP»

в 20:16, , рубрики: crs, CVE, modsecurity, OWASP, waf

Вообще, это мой первый опыт написания статьи на хабре, но с выпуска патча прошло несколько дней, и вдруг я решил поделиться самим процессом исследования.

Всем привет, я Daytrift Newgen, и вот моя простая и весьма смешная история обнаружения байпаса от начала исследований до патча и advisory.

Этап 0 - Начало и эпичный финал исследований

Еще где-то в конце 2025 года я решил попробовать вкатиться в исследования open-source продуктов и, недолго думая, выбрал тему байпасов WAF, ибо любой коллега знает, насколько такие продукты бывают противными :-)

Читать полностью »

в 4:58, , рубрики: HackGPT, OWASP, ИИ, кибербезопасность

Привет! Alsok на связи.

Все, кто хоть раз сталкивался с инфобезом, знают эту боль: ручные пентесты. Это долго, дорого, и пока эксперт ковыряет одно, в другом месте уже три новых дыры. Рутина съедает уйму времени.

И вот, на днях я натыкаюсь в своей ленте на классический «вау»-заголовок: «HackGPT провел тест на проникновение за 2 минуты, где экспертам требуется час».

Конечно, мой внутренний скептик сразу включился, и я пошел «тыкать палочкой», что это за чудо-инструмент нам выкатили. Делюсь тем, что нарыл.

Что это за зверь?

Оказалось, речь идет о HackGPT EnterpriseЧитать полностью »

в 8:37, , рубрики: OWASP, безопасность ии, информационная безопасность, промпт-инъекции, стандарты безопасности

В прошлой части мы рассмотрели документы:

  • TR 104 066 «Security Testing of AI»,

  • TR 104 222 «Mitigation Strategy Report»,

  • TR 104 221 «Problem Statement»,

  • TR 104 048 «Data Supply Chain Security»,

  • TS 104 224 «Explicability & Transparency» –

в которых описываются проблемы тестирования безопасности, предотвращения рисков и объяснимости предиктивных ML‑моделей.

В этой части продолжим обозревать оставшиеся документы, тем более последние охватывают не только классический ML, но и генеративные модели.

Сегодня в программе разбор следующих отчетов ASI группы из ETSI:

в 7:58, , рубрики: AstraLinux, auth0, GigaChat, microsoft, OWASP, WhatsApp, информационная безопасность, Новости, хакер, ципр
Новости кибербезопасности за неделю со 2 по 8 июня 2025 - 1

Всё самое интересное из мира кибербезопасности /** с моими комментариями

1) СкороЧитать полностью »

в 9:38, , рубрики: api, OWASP, pentest

в 8:16, , рубрики: genai, llm, OWASP, owasp top 10, security

OWASP Top 10 для приложений LLM и GenAI: Руководство для разработчиков и практиков

Откройте для себя OWASP Top 10 для LLM и GenAI и изучите основные стратегии защиты ваших моделей и приложений искусственного интеллекта. 

Читать полностью »

в 10:43, , рубрики: bugbounty, bugbounty.ru, hackerone, OWASP, интервью, информационная безопасность, кибербезопасность, киберполигон, лука сафонов

После ухода платформы HakerOne (h1) в России появилось несколько отечественных площадок Bug Bounty. Две из них информационная служба Хабра уже осветила, и вот настало время рассказать ещё об одной. На удивление, самую первую в России Bug Bounty площадку мы обозреваем самой последней. BugBounty.ru появилась ещё до ухода h1, до санкций и всех известных событий последнего года.

Читать полностью »

в 11:50, , рубрики: .net 6, CLion, MISRA, OWASP, pvs-studio, safety, SAST, security, static analysis, Unreal Engine, visual studio 2022, Блог компании PVS-Studio

0905_PVS-Studio_2021_ru/image1.png

2021 вот-вот закончится, а значит, настало время подведения итогов! Сегодня мы поговорим о том, что нового появилось в анализаторе PVS-Studio за прошедший год. Устраивайтесь поудобнее, мы начинаем.

Читать полностью »

в 7:53, , рубрики: OWASP, аудит безопасности, аудит внутренней сети, аудит сайта, Блог компании Бастион, информационная безопасность, социальная инженерия, Тестирование IT-систем, Тестирование веб-сервисов, тестирование на проникновение, уязвимости, финансы, фишинг
«Кража» со взломом: пентест финансовой организации - 1

В этом посте мы расскажем, как сломанная логика, самописные сервисы и графические пароли могут привести к захвату сетевой инфраструктуры компании, полной потере денег и пользовательских данных.

Читать полностью »

в 21:44, , рубрики: OWASP, безопасность через неясность, Блог компании GlobalSign, информационная безопасность, камуфляж, модель швейцарского сыра, обфускация, порты, Программирование, симметричное шифрование, эшелонированная оборона

В информационной безопасности мы выработали ряд аксиом, с которыми не принято спорить:

  • Никогда не внедряйте собственную криптографию.
  • Всегда используйте TLS.
  • Безопасность через неясность (security by obscurity) — это плохо.

И тому подобное. Большинство из них в целом верны. Однако мне начинает казаться, что люди слепо следуют этим аксиомам как культу карго. И многие на самом деле не думают об исключениях из правил. В этой статье я выскажу свои возражения против идеи «безопасность через неясность — это плохо».

Риск, эшелонированная оборона и швейцарский сыр

Одной из главных задач ИБ является снижение рисков. Согласно методологии OWASP, риск возникновения проблемы рассчитывается по формуле:

Риск = Вероятность * Воздействие

По этой формуле, проблема удалённого выполнения кода (RCE) представляет больший риск, чем проблема межсайтового скриптинга, поскольку RCE несёт большее воздействие. Здесь всё просто. Но что насчёт метрики вероятности?Читать полностью »

123...4
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js