#безопасность — Public Fediverse posts
Live and recent posts from across the Fediverse tagged #безопасность, aggregated by home.social.
-
Чувак заморочился 👉 https://youtu.be/_6XMPwSSq98 Вскрытие Яндекс браузера 👉 https://youtu.be/3QFjBrbInSA
-
Создал свой генератор случайных чисел на потоках
Я создал свой генератор случайных чисел, забудь про семена и формулы. Этот способ будет бесконечно генерировать случайные числа, не повторяясь...
https://habr.com/ru/articles/1040314/
#c# #криптография #криптографические_алгоритмы #рандомизация #рандомайзер #безопасность
-
Создал свой генератор случайных чисел на потоках
Я создал свой генератор случайных чисел, забудь про семена и формулы. Этот способ будет бесконечно генерировать случайные числа, не повторяясь...
https://habr.com/ru/articles/1040314/
#c# #криптография #криптографические_алгоритмы #рандомизация #рандомайзер #безопасность
-
Создал свой генератор случайных чисел на потоках
Я создал свой генератор случайных чисел, забудь про семена и формулы. Этот способ будет бесконечно генерировать случайные числа, не повторяясь...
https://habr.com/ru/articles/1040314/
#c# #криптография #криптографические_алгоритмы #рандомизация #рандомайзер #безопасность
-
Создал свой генератор случайных чисел на потоках
Я создал свой генератор случайных чисел, забудь про семена и формулы. Этот способ будет бесконечно генерировать случайные числа, не повторяясь...
https://habr.com/ru/articles/1040314/
#c# #криптография #криптографические_алгоритмы #рандомизация #рандомайзер #безопасность
-
SAST прямо в IDE: как Veai ищет уязвимости в Java/Kotlin-проекте и помогает их исправлять
Эта статья про SAST в IDE: как Veai проверяет Java/Kotlin-проект, показывает путь данных по коду и помогает исправлять найденные уязвимости, а не просто оставляет разработчику длинный список находок. Речь про статический анализ безопасности кода, недоверенные данные в Java/Kotlin, уязвимости в Spring/JPA/Kotlin coroutines и разбор найденных проблем без отдельного web UI, экспорта отчётов и ручного копирования цепочки вызовов в AI-чат. Если коротко про релиз 5.11: Veai собирает JVM-проект, запускает анализ безопасности и показывает уязвимости в панели результатов. Конкретную находку можно прикрепить к чату с агентом. Дальше уже не нужно самому собирать контекст по кускам: агент помогает понять, откуда пришли данные, где они используются опасно, как это воспроизвести, как исправить код и что проверить после фикса. Материал в первую очередь для Java/Kotlin-разработчиков. Но QA и аналитикам он тоже полезен: первым — чтобы понимать, какие сценарии проверять после фикса, вторым — чтобы переводить security-находку в риск, приоритет и критерии приёмки. Ниже пять практических вопросов, вокруг которых обычно и крутится SAST:
https://habr.com/ru/companies/veai/articles/1038330/
#безопасность #безопасность_данных #java #javascript #javascript_framework #kotlin #kotlin_native #аналитика #бенчмарки #бенчмарк_кода
-
SAST прямо в IDE: как Veai ищет уязвимости в Java/Kotlin-проекте и помогает их исправлять
Эта статья про SAST в IDE: как Veai проверяет Java/Kotlin-проект, показывает путь данных по коду и помогает исправлять найденные уязвимости, а не просто оставляет разработчику длинный список находок. Речь про статический анализ безопасности кода, недоверенные данные в Java/Kotlin, уязвимости в Spring/JPA/Kotlin coroutines и разбор найденных проблем без отдельного web UI, экспорта отчётов и ручного копирования цепочки вызовов в AI-чат. Если коротко про релиз 5.11: Veai собирает JVM-проект, запускает анализ безопасности и показывает уязвимости в панели результатов. Конкретную находку можно прикрепить к чату с агентом. Дальше уже не нужно самому собирать контекст по кускам: агент помогает понять, откуда пришли данные, где они используются опасно, как это воспроизвести, как исправить код и что проверить после фикса. Материал в первую очередь для Java/Kotlin-разработчиков. Но QA и аналитикам он тоже полезен: первым — чтобы понимать, какие сценарии проверять после фикса, вторым — чтобы переводить security-находку в риск, приоритет и критерии приёмки. Ниже пять практических вопросов, вокруг которых обычно и крутится SAST:
https://habr.com/ru/companies/veai/articles/1038330/
#безопасность #безопасность_данных #java #javascript #javascript_framework #kotlin #kotlin_native #аналитика #бенчмарки #бенчмарк_кода
-
SAST прямо в IDE: как Veai ищет уязвимости в Java/Kotlin-проекте и помогает их исправлять
Эта статья про SAST в IDE: как Veai проверяет Java/Kotlin-проект, показывает путь данных по коду и помогает исправлять найденные уязвимости, а не просто оставляет разработчику длинный список находок. Речь про статический анализ безопасности кода, недоверенные данные в Java/Kotlin, уязвимости в Spring/JPA/Kotlin coroutines и разбор найденных проблем без отдельного web UI, экспорта отчётов и ручного копирования цепочки вызовов в AI-чат. Если коротко про релиз 5.11: Veai собирает JVM-проект, запускает анализ безопасности и показывает уязвимости в панели результатов. Конкретную находку можно прикрепить к чату с агентом. Дальше уже не нужно самому собирать контекст по кускам: агент помогает понять, откуда пришли данные, где они используются опасно, как это воспроизвести, как исправить код и что проверить после фикса. Материал в первую очередь для Java/Kotlin-разработчиков. Но QA и аналитикам он тоже полезен: первым — чтобы понимать, какие сценарии проверять после фикса, вторым — чтобы переводить security-находку в риск, приоритет и критерии приёмки. Ниже пять практических вопросов, вокруг которых обычно и крутится SAST:
https://habr.com/ru/companies/veai/articles/1038330/
#безопасность #безопасность_данных #java #javascript #javascript_framework #kotlin #kotlin_native #аналитика #бенчмарки #бенчмарк_кода
-
SAST прямо в IDE: как Veai ищет уязвимости в Java/Kotlin-проекте и помогает их исправлять
Эта статья про SAST в IDE: как Veai проверяет Java/Kotlin-проект, показывает путь данных по коду и помогает исправлять найденные уязвимости, а не просто оставляет разработчику длинный список находок. Речь про статический анализ безопасности кода, недоверенные данные в Java/Kotlin, уязвимости в Spring/JPA/Kotlin coroutines и разбор найденных проблем без отдельного web UI, экспорта отчётов и ручного копирования цепочки вызовов в AI-чат. Если коротко про релиз 5.11: Veai собирает JVM-проект, запускает анализ безопасности и показывает уязвимости в панели результатов. Конкретную находку можно прикрепить к чату с агентом. Дальше уже не нужно самому собирать контекст по кускам: агент помогает понять, откуда пришли данные, где они используются опасно, как это воспроизвести, как исправить код и что проверить после фикса. Материал в первую очередь для Java/Kotlin-разработчиков. Но QA и аналитикам он тоже полезен: первым — чтобы понимать, какие сценарии проверять после фикса, вторым — чтобы переводить security-находку в риск, приоритет и критерии приёмки. Ниже пять практических вопросов, вокруг которых обычно и крутится SAST:
https://habr.com/ru/companies/veai/articles/1038330/
#безопасность #безопасность_данных #java #javascript #javascript_framework #kotlin #kotlin_native #аналитика #бенчмарки #бенчмарк_кода
-
Архитектура безопасности во frontend-приложениях: Server Actions и защита данных в эпоху Next.js
Мир frontend-разработки за последние несколько лет изменился коренным образом. Если еще пять лет назад стандартом де-факто были одностраничные приложения (SPA), где вся логика выполнялась в браузере, а сервер был просто REST API, то сегодня мы наблюдаем массовый переход к гибридным архитектурам. Next.js с его Server Components и Server Actions стал не просто популярным фреймворком, а промышленным стандартом для enterprise-приложений. Этот переход принес с собой множество преимуществ: улучшенную производительность, лучший SEO, упрощенную разработку. Однако он же изменил и модель угроз, с которыми сталкиваются разработчики. Привычные методы защиты, основанные на JWT в заголовках и CORS-политиках, больше не обеспечивают полную безопасность. Серверная логика теперь исполняется в непосредственной близости от клиента, а граница между фронтендом и бэкендом стала размытой (для некоторых сценариев). По данным исследований Snyk и других security-вендоров, 39% облачных средств содержали уязвимые версии React и Next.js в 2024-2025 годах. Это не просто статистика. Это реальные приложения, обрабатывающие данные пользователей, платежную информацию и конфиденциальные бизнес-данные. Уязвимость CVE-2025-55182, получившая максимальный рейтинг CVSS 10.0, показала, насколько критичными могут быть последствия недостаточного внимания к безопасности в современных frontend-приложениях. React Server Components (RSC) стали новым стандартом, но вместе с ними пришли новые векторы атак. Server Actions, предоставляющие удобный способ вызова серверной логики прямо из компонентов, фактически являются публичными HTTP-эндпоинтами. При неправильной конфигурации они могут стать лазейкой для злоумышленников. Традиционный подход security through obscurity здесь не работает: скрытие эндпоинтов не защитит от целенаправленного перебора.
https://habr.com/ru/companies/simbirsoft/articles/1039136/
#безопасность #архитектура #nextjs #react #react_server_components #server_actions #security #security_through_obscurity
-
Архитектура безопасности во frontend-приложениях: Server Actions и защита данных в эпоху Next.js
Мир frontend-разработки за последние несколько лет изменился коренным образом. Если еще пять лет назад стандартом де-факто были одностраничные приложения (SPA), где вся логика выполнялась в браузере, а сервер был просто REST API, то сегодня мы наблюдаем массовый переход к гибридным архитектурам. Next.js с его Server Components и Server Actions стал не просто популярным фреймворком, а промышленным стандартом для enterprise-приложений. Этот переход принес с собой множество преимуществ: улучшенную производительность, лучший SEO, упрощенную разработку. Однако он же изменил и модель угроз, с которыми сталкиваются разработчики. Привычные методы защиты, основанные на JWT в заголовках и CORS-политиках, больше не обеспечивают полную безопасность. Серверная логика теперь исполняется в непосредственной близости от клиента, а граница между фронтендом и бэкендом стала размытой (для некоторых сценариев). По данным исследований Snyk и других security-вендоров, 39% облачных средств содержали уязвимые версии React и Next.js в 2024-2025 годах. Это не просто статистика. Это реальные приложения, обрабатывающие данные пользователей, платежную информацию и конфиденциальные бизнес-данные. Уязвимость CVE-2025-55182, получившая максимальный рейтинг CVSS 10.0, показала, насколько критичными могут быть последствия недостаточного внимания к безопасности в современных frontend-приложениях. React Server Components (RSC) стали новым стандартом, но вместе с ними пришли новые векторы атак. Server Actions, предоставляющие удобный способ вызова серверной логики прямо из компонентов, фактически являются публичными HTTP-эндпоинтами. При неправильной конфигурации они могут стать лазейкой для злоумышленников. Традиционный подход security through obscurity здесь не работает: скрытие эндпоинтов не защитит от целенаправленного перебора.
https://habr.com/ru/companies/simbirsoft/articles/1039136/
#безопасность #архитектура #nextjs #react #react_server_components #server_actions #security #security_through_obscurity
-
Архитектура безопасности во frontend-приложениях: Server Actions и защита данных в эпоху Next.js
Мир frontend-разработки за последние несколько лет изменился коренным образом. Если еще пять лет назад стандартом де-факто были одностраничные приложения (SPA), где вся логика выполнялась в браузере, а сервер был просто REST API, то сегодня мы наблюдаем массовый переход к гибридным архитектурам. Next.js с его Server Components и Server Actions стал не просто популярным фреймворком, а промышленным стандартом для enterprise-приложений. Этот переход принес с собой множество преимуществ: улучшенную производительность, лучший SEO, упрощенную разработку. Однако он же изменил и модель угроз, с которыми сталкиваются разработчики. Привычные методы защиты, основанные на JWT в заголовках и CORS-политиках, больше не обеспечивают полную безопасность. Серверная логика теперь исполняется в непосредственной близости от клиента, а граница между фронтендом и бэкендом стала размытой (для некоторых сценариев). По данным исследований Snyk и других security-вендоров, 39% облачных средств содержали уязвимые версии React и Next.js в 2024-2025 годах. Это не просто статистика. Это реальные приложения, обрабатывающие данные пользователей, платежную информацию и конфиденциальные бизнес-данные. Уязвимость CVE-2025-55182, получившая максимальный рейтинг CVSS 10.0, показала, насколько критичными могут быть последствия недостаточного внимания к безопасности в современных frontend-приложениях. React Server Components (RSC) стали новым стандартом, но вместе с ними пришли новые векторы атак. Server Actions, предоставляющие удобный способ вызова серверной логики прямо из компонентов, фактически являются публичными HTTP-эндпоинтами. При неправильной конфигурации они могут стать лазейкой для злоумышленников. Традиционный подход security through obscurity здесь не работает: скрытие эндпоинтов не защитит от целенаправленного перебора.
https://habr.com/ru/companies/simbirsoft/articles/1039136/
#безопасность #архитектура #nextjs #react #react_server_components #server_actions #security #security_through_obscurity
-
Архитектура безопасности во frontend-приложениях: Server Actions и защита данных в эпоху Next.js
Мир frontend-разработки за последние несколько лет изменился коренным образом. Если еще пять лет назад стандартом де-факто были одностраничные приложения (SPA), где вся логика выполнялась в браузере, а сервер был просто REST API, то сегодня мы наблюдаем массовый переход к гибридным архитектурам. Next.js с его Server Components и Server Actions стал не просто популярным фреймворком, а промышленным стандартом для enterprise-приложений. Этот переход принес с собой множество преимуществ: улучшенную производительность, лучший SEO, упрощенную разработку. Однако он же изменил и модель угроз, с которыми сталкиваются разработчики. Привычные методы защиты, основанные на JWT в заголовках и CORS-политиках, больше не обеспечивают полную безопасность. Серверная логика теперь исполняется в непосредственной близости от клиента, а граница между фронтендом и бэкендом стала размытой (для некоторых сценариев). По данным исследований Snyk и других security-вендоров, 39% облачных средств содержали уязвимые версии React и Next.js в 2024-2025 годах. Это не просто статистика. Это реальные приложения, обрабатывающие данные пользователей, платежную информацию и конфиденциальные бизнес-данные. Уязвимость CVE-2025-55182, получившая максимальный рейтинг CVSS 10.0, показала, насколько критичными могут быть последствия недостаточного внимания к безопасности в современных frontend-приложениях. React Server Components (RSC) стали новым стандартом, но вместе с ними пришли новые векторы атак. Server Actions, предоставляющие удобный способ вызова серверной логики прямо из компонентов, фактически являются публичными HTTP-эндпоинтами. При неправильной конфигурации они могут стать лазейкой для злоумышленников. Традиционный подход security through obscurity здесь не работает: скрытие эндпоинтов не защитит от целенаправленного перебора.
https://habr.com/ru/companies/simbirsoft/articles/1039136/
#безопасность #архитектура #nextjs #react #react_server_components #server_actions #security #security_through_obscurity
-
Как я разработал PoC-конструктор для приложений Android
Как рутинная разработка PoC-приложений под Android привела к созданию собственного конструктора нагрузок: от зарождения идеи до появления DexRunner и DEXLab – инструментов для быстрой сборки, доставки и исполнения DEX-нагрузок прямо на устройстве без вмешательств в логику приложения.
https://habr.com/ru/companies/secware/articles/1039108/
#безопасность #vscode_extension #mobile_security #research #мобильная_безопасность #dex #android_security #android #poc #payload
-
Как я разработал PoC-конструктор для приложений Android
Как рутинная разработка PoC-приложений под Android привела к созданию собственного конструктора нагрузок: от зарождения идеи до появления DexRunner и DEXLab – инструментов для быстрой сборки, доставки и исполнения DEX-нагрузок прямо на устройстве без вмешательств в логику приложения.
https://habr.com/ru/companies/secware/articles/1039108/
#безопасность #vscode_extension #mobile_security #research #мобильная_безопасность #dex #android_security #android #poc #payload
-
Как я разработал PoC-конструктор для приложений Android
Как рутинная разработка PoC-приложений под Android привела к созданию собственного конструктора нагрузок: от зарождения идеи до появления DexRunner и DEXLab – инструментов для быстрой сборки, доставки и исполнения DEX-нагрузок прямо на устройстве без вмешательств в логику приложения.
https://habr.com/ru/companies/secware/articles/1039108/
#безопасность #vscode_extension #mobile_security #research #мобильная_безопасность #dex #android_security #android #poc #payload
-
Как я разработал PoC-конструктор для приложений Android
Как рутинная разработка PoC-приложений под Android привела к созданию собственного конструктора нагрузок: от зарождения идеи до появления DexRunner и DEXLab – инструментов для быстрой сборки, доставки и исполнения DEX-нагрузок прямо на устройстве без вмешательств в логику приложения.
https://habr.com/ru/companies/secware/articles/1039108/
#безопасность #vscode_extension #mobile_security #research #мобильная_безопасность #dex #android_security #android #poc #payload
-
Open-source VPN клиент Tunguska
Tunguska — открытый Android-клиент для собственных VPN-профилей. Фокус — на безопасность. Он умеет импортировать профили, выбирать sing-box или Xray + tun2socks, поднимать системный VPN-туннель Android, настраивать маршруты по приложениям и показывать состояние сессии. Это клиент для людей, у которых уже есть свои профили, свои серверы или свой провайдер. Я начал писать его из-за российской практики вокруг VPN. Сетевые блокировки никуда не делись, но теперь часть проблем приходит уже с телефона: приложение видит активный VPN, отправляет этот признак на сервер, а при трафике через туннель ещё и светит выходной IP или адрес VPS. Площадки должны делиться сведениями о новых выявленных VPN с регулятором; в такой схеме выходной IP может попасть в общие списки блокировки. Tunguska решает часть выявленных обществом проблем и предоставляет удобные шаблоны для конфигурации из РФ.
https://habr.com/ru/articles/1039264/
#VPN #Android #Tunguska #singbox #Xray #tun2socks #маршрутизация #VPNдетект #DNS #безопасность
-
Open-source VPN клиент Tunguska
Tunguska — открытый Android-клиент для собственных VPN-профилей. Фокус — на безопасность. Он умеет импортировать профили, выбирать sing-box или Xray + tun2socks, поднимать системный VPN-туннель Android, настраивать маршруты по приложениям и показывать состояние сессии. Это клиент для людей, у которых уже есть свои профили, свои серверы или свой провайдер. Я начал писать его из-за российской практики вокруг VPN. Сетевые блокировки никуда не делись, но теперь часть проблем приходит уже с телефона: приложение видит активный VPN, отправляет этот признак на сервер, а при трафике через туннель ещё и светит выходной IP или адрес VPS. Площадки должны делиться сведениями о новых выявленных VPN с регулятором; в такой схеме выходной IP может попасть в общие списки блокировки. Tunguska решает часть выявленных обществом проблем и предоставляет удобные шаблоны для конфигурации из РФ.
https://habr.com/ru/articles/1039264/
#VPN #Android #Tunguska #singbox #Xray #tun2socks #маршрутизация #VPNдетект #DNS #безопасность
-
Open-source VPN клиент Tunguska
Tunguska — открытый Android-клиент для собственных VPN-профилей. Фокус — на безопасность. Он умеет импортировать профили, выбирать sing-box или Xray + tun2socks, поднимать системный VPN-туннель Android, настраивать маршруты по приложениям и показывать состояние сессии. Это клиент для людей, у которых уже есть свои профили, свои серверы или свой провайдер. Я начал писать его из-за российской практики вокруг VPN. Сетевые блокировки никуда не делись, но теперь часть проблем приходит уже с телефона: приложение видит активный VPN, отправляет этот признак на сервер, а при трафике через туннель ещё и светит выходной IP или адрес VPS. Площадки должны делиться сведениями о новых выявленных VPN с регулятором; в такой схеме выходной IP может попасть в общие списки блокировки. Tunguska решает часть выявленных обществом проблем и предоставляет удобные шаблоны для конфигурации из РФ.
https://habr.com/ru/articles/1039264/
#VPN #Android #Tunguska #singbox #Xray #tun2socks #маршрутизация #VPNдетект #DNS #безопасность
-
Open-source VPN клиент Tunguska
Tunguska — открытый Android-клиент для собственных VPN-профилей. Фокус — на безопасность. Он умеет импортировать профили, выбирать sing-box или Xray + tun2socks, поднимать системный VPN-туннель Android, настраивать маршруты по приложениям и показывать состояние сессии. Это клиент для людей, у которых уже есть свои профили, свои серверы или свой провайдер. Я начал писать его из-за российской практики вокруг VPN. Сетевые блокировки никуда не делись, но теперь часть проблем приходит уже с телефона: приложение видит активный VPN, отправляет этот признак на сервер, а при трафике через туннель ещё и светит выходной IP или адрес VPS. Площадки должны делиться сведениями о новых выявленных VPN с регулятором; в такой схеме выходной IP может попасть в общие списки блокировки. Tunguska решает часть выявленных обществом проблем и предоставляет удобные шаблоны для конфигурации из РФ.
https://habr.com/ru/articles/1039264/
#VPN #Android #Tunguska #singbox #Xray #tun2socks #маршрутизация #VPNдетект #DNS #безопасность
-
Книга: «Современный Java Concurrency. Глубокое погружение в Virtual Threads, Structured Concurrency и Scoped Values»
Привет, Хаброжители! Добро пожаловать в будущее Java! Изучите главное новшество Java 21 — виртуальные потоки. Помните, как приходилось бороться с высокой стоимостью создания потоков, сталкиваться с ограничениями масштабируемости и трудностями при попытке достичь высокой пропускной способности? Те дни прошли! Это практическое руководство проведет вас от Java 1.0 до прорывных достижений Project Loom.
-
Книга: «Современный Java Concurrency. Глубокое погружение в Virtual Threads, Structured Concurrency и Scoped Values»
Привет, Хаброжители! Добро пожаловать в будущее Java! Изучите главное новшество Java 21 — виртуальные потоки. Помните, как приходилось бороться с высокой стоимостью создания потоков, сталкиваться с ограничениями масштабируемости и трудностями при попытке достичь высокой пропускной способности? Те дни прошли! Это практическое руководство проведет вас от Java 1.0 до прорывных достижений Project Loom.
-
Книга: «Современный Java Concurrency. Глубокое погружение в Virtual Threads, Structured Concurrency и Scoped Values»
Привет, Хаброжители! Добро пожаловать в будущее Java! Изучите главное новшество Java 21 — виртуальные потоки. Помните, как приходилось бороться с высокой стоимостью создания потоков, сталкиваться с ограничениями масштабируемости и трудностями при попытке достичь высокой пропускной способности? Те дни прошли! Это практическое руководство проведет вас от Java 1.0 до прорывных достижений Project Loom.
-
Книга: «Современный Java Concurrency. Глубокое погружение в Virtual Threads, Structured Concurrency и Scoped Values»
Привет, Хаброжители! Добро пожаловать в будущее Java! Изучите главное новшество Java 21 — виртуальные потоки. Помните, как приходилось бороться с высокой стоимостью создания потоков, сталкиваться с ограничениями масштабируемости и трудностями при попытке достичь высокой пропускной способности? Те дни прошли! Это практическое руководство проведет вас от Java 1.0 до прорывных достижений Project Loom.
-
Вредоносная атака на Laravel-Lang
В четыре проекта Laravel-Lang был внедрён вредоносный код, предположительно, ворующий креды с устройств, на которых он запускался. Под удар попали популярные проекты - Lang, Actions, Attributes и HTTP Statuses. Инцидент касается не только Laravel... Узнать подробности
https://habr.com/ru/articles/1038542/
#безопасность #вредоносы #взлом #несанкционированный_доступ #laravel #composer #github #репозитории #кража_данных #хакеры
-
Вредоносная атака на Laravel-Lang
В четыре проекта Laravel-Lang был внедрён вредоносный код, предположительно, ворующий креды с устройств, на которых он запускался. Под удар попали популярные проекты - Lang, Actions, Attributes и HTTP Statuses. Инцидент касается не только Laravel... Узнать подробности
https://habr.com/ru/articles/1038542/
#безопасность #вредоносы #взлом #несанкционированный_доступ #laravel #composer #github #репозитории #кража_данных #хакеры
-
Вредоносная атака на Laravel-Lang
В четыре проекта Laravel-Lang был внедрён вредоносный код, предположительно, ворующий креды с устройств, на которых он запускался. Под удар попали популярные проекты - Lang, Actions, Attributes и HTTP Statuses. Инцидент касается не только Laravel... Узнать подробности
https://habr.com/ru/articles/1038542/
#безопасность #вредоносы #взлом #несанкционированный_доступ #laravel #composer #github #репозитории #кража_данных #хакеры
-
Вредоносная атака на Laravel-Lang
В четыре проекта Laravel-Lang был внедрён вредоносный код, предположительно, ворующий креды с устройств, на которых он запускался. Под удар попали популярные проекты - Lang, Actions, Attributes и HTTP Statuses. Инцидент касается не только Laravel... Узнать подробности
https://habr.com/ru/articles/1038542/
#безопасность #вредоносы #взлом #несанкционированный_доступ #laravel #composer #github #репозитории #кража_данных #хакеры
-
CyLab Security Academy: как Carnegie Mellon превратила CTF в полноценную обучающую платформу
Вход в кибербезопасность почти всегда начинается с одной и той же проблемы: непонятно, с чего именно начинать. Теория без практики быстро забывается, а реальные инструменты и уязвимости выглядят пугающе сложными. На этом фоне CTF-платформы (Capture The Flag) стали стандартной точкой входа. Однако большинство из них плохо подходят для новичков: задачи либо слишком абстрактные, либо требуют уже сформированной базы. Именно здесь появляется picoCTF — образовательная платформа, разработанная при участии Carnegie Mellon University, которая пытается решить эту проблему системно. Разберёмся, как она устроена, чему на самом деле учит и где проходят её границы.
https://habr.com/ru/articles/1017168/
#информационная_безопасность #кибербезопасность #обучение #навыки #навыки_и_умения #безопасность_данных #безопасность_сайтов #безопасность #безопасность_linux #безопасность_мобильных_приложений
-
CyLab Security Academy: как Carnegie Mellon превратила CTF в полноценную обучающую платформу
Вход в кибербезопасность почти всегда начинается с одной и той же проблемы: непонятно, с чего именно начинать. Теория без практики быстро забывается, а реальные инструменты и уязвимости выглядят пугающе сложными. На этом фоне CTF-платформы (Capture The Flag) стали стандартной точкой входа. Однако большинство из них плохо подходят для новичков: задачи либо слишком абстрактные, либо требуют уже сформированной базы. Именно здесь появляется picoCTF — образовательная платформа, разработанная при участии Carnegie Mellon University, которая пытается решить эту проблему системно. Разберёмся, как она устроена, чему на самом деле учит и где проходят её границы.
https://habr.com/ru/articles/1017168/
#информационная_безопасность #кибербезопасность #обучение #навыки #навыки_и_умения #безопасность_данных #безопасность_сайтов #безопасность #безопасность_linux #безопасность_мобильных_приложений
-
CyLab Security Academy: как Carnegie Mellon превратила CTF в полноценную обучающую платформу
Вход в кибербезопасность почти всегда начинается с одной и той же проблемы: непонятно, с чего именно начинать. Теория без практики быстро забывается, а реальные инструменты и уязвимости выглядят пугающе сложными. На этом фоне CTF-платформы (Capture The Flag) стали стандартной точкой входа. Однако большинство из них плохо подходят для новичков: задачи либо слишком абстрактные, либо требуют уже сформированной базы. Именно здесь появляется picoCTF — образовательная платформа, разработанная при участии Carnegie Mellon University, которая пытается решить эту проблему системно. Разберёмся, как она устроена, чему на самом деле учит и где проходят её границы.
https://habr.com/ru/articles/1017168/
#информационная_безопасность #кибербезопасность #обучение #навыки #навыки_и_умения #безопасность_данных #безопасность_сайтов #безопасность #безопасность_linux #безопасность_мобильных_приложений
-
CyLab Security Academy: как Carnegie Mellon превратила CTF в полноценную обучающую платформу
Вход в кибербезопасность почти всегда начинается с одной и той же проблемы: непонятно, с чего именно начинать. Теория без практики быстро забывается, а реальные инструменты и уязвимости выглядят пугающе сложными. На этом фоне CTF-платформы (Capture The Flag) стали стандартной точкой входа. Однако большинство из них плохо подходят для новичков: задачи либо слишком абстрактные, либо требуют уже сформированной базы. Именно здесь появляется picoCTF — образовательная платформа, разработанная при участии Carnegie Mellon University, которая пытается решить эту проблему системно. Разберёмся, как она устроена, чему на самом деле учит и где проходят её границы.
https://habr.com/ru/articles/1017168/
#информационная_безопасность #кибербезопасность #обучение #навыки #навыки_и_умения #безопасность_данных #безопасность_сайтов #безопасность #безопасность_linux #безопасность_мобильных_приложений
-
Статический анализ, заряженный ИИ: как LLM ищут уязвимости в коде и где их границы
Привет, Хабр! На связи Денис Макрушин из команды SourceCraft . Индустрия AppSec десятилетиями жила в жёстком конфликте между полнотой и точностью поиска угроз. Классические SAST-инструменты генерируют шум, на ручной разбор которого уходит больше времени, чем на реальную работу с угрозами. Релиз Claude Code Security от Anthropic заметно встряхнул индустрию кибербезопасности: капитализация традиционных вендоров просела, а генеральный директор крупного игрока Snyk заявил, что будущее компании теперь должен определять ИИ-центричный лидер. Рынок переопределил ценность инструмента безопасности. Раньше она измерялась количеством поддерживаемых правил и языков. Сегодня формула изменилась: важна цепочка — нашёл, объяснил, помог исправить . Здесь на сцену выходят LLM — не как замена классическому анализатору, а как дополнительный слой интерпретации. Так формируется новая категория — AI SAST. В этой статье разберём, как именно LLM работают с кодом, почему «скормить репозиторий в промт» — плохая идея, какие инженерные метрики действительно важны и как мы исследуем и внедряем новые возможности автономного поиска и исправления дефектов в коде для добавления в продукты SourceCraft Security.
-
Статический анализ, заряженный ИИ: как LLM ищут уязвимости в коде и где их границы
Привет, Хабр! На связи Денис Макрушин из команды SourceCraft . Индустрия AppSec десятилетиями жила в жёстком конфликте между полнотой и точностью поиска угроз. Классические SAST-инструменты генерируют шум, на ручной разбор которого уходит больше времени, чем на реальную работу с угрозами. Релиз Claude Code Security от Anthropic заметно встряхнул индустрию кибербезопасности: капитализация традиционных вендоров просела, а генеральный директор крупного игрока Snyk заявил, что будущее компании теперь должен определять ИИ-центричный лидер. Рынок переопределил ценность инструмента безопасности. Раньше она измерялась количеством поддерживаемых правил и языков. Сегодня формула изменилась: важна цепочка — нашёл, объяснил, помог исправить . Здесь на сцену выходят LLM — не как замена классическому анализатору, а как дополнительный слой интерпретации. Так формируется новая категория — AI SAST. В этой статье разберём, как именно LLM работают с кодом, почему «скормить репозиторий в промт» — плохая идея, какие инженерные метрики действительно важны и как мы исследуем и внедряем новые возможности автономного поиска и исправления дефектов в коде для добавления в продукты SourceCraft Security.
-
Статический анализ, заряженный ИИ: как LLM ищут уязвимости в коде и где их границы
Привет, Хабр! На связи Денис Макрушин из команды SourceCraft . Индустрия AppSec десятилетиями жила в жёстком конфликте между полнотой и точностью поиска угроз. Классические SAST-инструменты генерируют шум, на ручной разбор которого уходит больше времени, чем на реальную работу с угрозами. Релиз Claude Code Security от Anthropic заметно встряхнул индустрию кибербезопасности: капитализация традиционных вендоров просела, а генеральный директор крупного игрока Snyk заявил, что будущее компании теперь должен определять ИИ-центричный лидер. Рынок переопределил ценность инструмента безопасности. Раньше она измерялась количеством поддерживаемых правил и языков. Сегодня формула изменилась: важна цепочка — нашёл, объяснил, помог исправить . Здесь на сцену выходят LLM — не как замена классическому анализатору, а как дополнительный слой интерпретации. Так формируется новая категория — AI SAST. В этой статье разберём, как именно LLM работают с кодом, почему «скормить репозиторий в промт» — плохая идея, какие инженерные метрики действительно важны и как мы исследуем и внедряем новые возможности автономного поиска и исправления дефектов в коде для добавления в продукты SourceCraft Security.
-
Статический анализ, заряженный ИИ: как LLM ищут уязвимости в коде и где их границы
Привет, Хабр! На связи Денис Макрушин из команды SourceCraft . Индустрия AppSec десятилетиями жила в жёстком конфликте между полнотой и точностью поиска угроз. Классические SAST-инструменты генерируют шум, на ручной разбор которого уходит больше времени, чем на реальную работу с угрозами. Релиз Claude Code Security от Anthropic заметно встряхнул индустрию кибербезопасности: капитализация традиционных вендоров просела, а генеральный директор крупного игрока Snyk заявил, что будущее компании теперь должен определять ИИ-центричный лидер. Рынок переопределил ценность инструмента безопасности. Раньше она измерялась количеством поддерживаемых правил и языков. Сегодня формула изменилась: важна цепочка — нашёл, объяснил, помог исправить . Здесь на сцену выходят LLM — не как замена классическому анализатору, а как дополнительный слой интерпретации. Так формируется новая категория — AI SAST. В этой статье разберём, как именно LLM работают с кодом, почему «скормить репозиторий в промт» — плохая идея, какие инженерные метрики действительно важны и как мы исследуем и внедряем новые возможности автономного поиска и исправления дефектов в коде для добавления в продукты SourceCraft Security.
-
[Перевод] Введениев в микроядро Sel4
Предлагаю вашему вниманию перевод seL4 Whitepaper, который является хорошим введением в одно из самых известных микроядер для ОС — seL4 (лицензия GPLv2). Здесь не только специфика seL4 и микроядер, но и много полезного материала в целом по безопасности, формальной верификации, виртуализации и системам жёсткого реального времени.
https://habr.com/ru/articles/1036890/
#sel4 #микроядро #microkernel #верификация #secure #realtime #безопасность #capability #операционные_системы #производительность
-
[Перевод] Введениев в микроядро Sel4
Предлагаю вашему вниманию перевод seL4 Whitepaper, который является хорошим введением в одно из самых известных микроядер для ОС — seL4 (лицензия GPLv2). Здесь не только специфика seL4 и микроядер, но и много полезного материала в целом по безопасности, формальной верификации, виртуализации и системам жёсткого реального времени.
https://habr.com/ru/articles/1036890/
#sel4 #микроядро #microkernel #верификация #secure #realtime #безопасность #capability #операционные_системы #производительность
-
[Перевод] Введениев в микроядро Sel4
Предлагаю вашему вниманию перевод seL4 Whitepaper, который является хорошим введением в одно из самых известных микроядер для ОС — seL4 (лицензия GPLv2). Здесь не только специфика seL4 и микроядер, но и много полезного материала в целом по безопасности, формальной верификации, виртуализации и системам жёсткого реального времени.
https://habr.com/ru/articles/1036890/
#sel4 #микроядро #microkernel #верификация #secure #realtime #безопасность #capability #операционные_системы #производительность
-
[Перевод] Введениев в микроядро Sel4
Предлагаю вашему вниманию перевод seL4 Whitepaper, который является хорошим введением в одно из самых известных микроядер для ОС — seL4 (лицензия GPLv2). Здесь не только специфика seL4 и микроядер, но и много полезного материала в целом по безопасности, формальной верификации, виртуализации и системам жёсткого реального времени.
https://habr.com/ru/articles/1036890/
#sel4 #микроядро #microkernel #верификация #secure #realtime #безопасность #capability #операционные_системы #производительность
-
Как стартер-кит может стать стандартом разработки
6-я статья из цикла туториалов о кастомизации своего бизнес-портала в Битрикс24. Во всех наших туториалах мы опираемся на стартовый шаблон-репозиторий AI-starter-kit: https://github.com/bitrix-tools/b24-ai-starter . Это подготовленная для ИИ-ассистированной разработки база, которую удобно довести до работающего приложения с нужными функциями. Сегодня рассказываем, почему ещё стартер-кит упрощает создание приложений и почему он может стать стандартом разработки.
https://habr.com/ru/companies/bitrix/articles/1036740/
#aiагенты #ииассистированная_разработка #starter_kit #boilerplate #docker #cicd #observability #bitrix24 #telemetry #безопасность
-
Как стартер-кит может стать стандартом разработки
6-я статья из цикла туториалов о кастомизации своего бизнес-портала в Битрикс24. Во всех наших туториалах мы опираемся на стартовый шаблон-репозиторий AI-starter-kit: https://github.com/bitrix-tools/b24-ai-starter . Это подготовленная для ИИ-ассистированной разработки база, которую удобно довести до работающего приложения с нужными функциями. Сегодня рассказываем, почему ещё стартер-кит упрощает создание приложений и почему он может стать стандартом разработки.
https://habr.com/ru/companies/bitrix/articles/1036740/
#aiагенты #ииассистированная_разработка #starter_kit #boilerplate #docker #cicd #observability #bitrix24 #telemetry #безопасность
-
Как стартер-кит может стать стандартом разработки
6-я статья из цикла туториалов о кастомизации своего бизнес-портала в Битрикс24. Во всех наших туториалах мы опираемся на стартовый шаблон-репозиторий AI-starter-kit: https://github.com/bitrix-tools/b24-ai-starter . Это подготовленная для ИИ-ассистированной разработки база, которую удобно довести до работающего приложения с нужными функциями. Сегодня рассказываем, почему ещё стартер-кит упрощает создание приложений и почему он может стать стандартом разработки.
https://habr.com/ru/companies/bitrix/articles/1036740/
#aiагенты #ииассистированная_разработка #starter_kit #boilerplate #docker #cicd #observability #bitrix24 #telemetry #безопасность
-
Как стартер-кит может стать стандартом разработки
6-я статья из цикла туториалов о кастомизации своего бизнес-портала в Битрикс24. Во всех наших туториалах мы опираемся на стартовый шаблон-репозиторий AI-starter-kit: https://github.com/bitrix-tools/b24-ai-starter . Это подготовленная для ИИ-ассистированной разработки база, которую удобно довести до работающего приложения с нужными функциями. Сегодня рассказываем, почему ещё стартер-кит упрощает создание приложений и почему он может стать стандартом разработки.
https://habr.com/ru/companies/bitrix/articles/1036740/
#aiагенты #ииассистированная_разработка #starter_kit #boilerplate #docker #cicd #observability #bitrix24 #telemetry #безопасность
-
[Перевод] Изнурительно подробное руководство по SSH (лишь те аспекты, которые я нахожу полезными)
О, вам нравится SSH? А перечислите-ка все флаги! Приветствую Все мы видели эти красивые схемы , демонстрирующие, как в SSH устроен проброс портов. Но, если мы с вами мыслим хотя бы немного схоже, то эти схемы оставляют у вас больше вопросов, чем дают ответов. Если вы за «красных» в области компьютерной безопасности, то, чтобы обрести в сети суперсилу и в дальнейшем бесчинствовать, вы должны понимать сеть лучше, чем те, кто её проектировал. Один из инструментов, наделяющих вас такой суперсилой — SSH. Но иногда нам мешают добиться поставленных целей сам синтаксис инструмента и другие концепции, на основе которых этот инструмент работает. Чтобы вы могли бесчинствовать эффективнее, не срывая сроков, я собрал для вас длинный список присущих SSH штук , которые я нахожу полезными. Хорошо, если вы его тоже почитаете, но составлял я его в основном для себя. Заметил, что сам я качественно усваиваю те или иные концепции, только если, изучая информацию, повторяю упражнения на клавиатуре. В этом посте я, в сущности, рассказываю, чему научился таким образом. Должен отметить, что во всех этих примерах я демонстрирую проброс портов при помощи веб-сервера, но таких же результатов можно добиться и при помощи почти любого сервиса, в частности, RDP, SQL, т.д.
-
[Перевод] Изнурительно подробное руководство по SSH (лишь те аспекты, которые я нахожу полезными)
О, вам нравится SSH? А перечислите-ка все флаги! Приветствую Все мы видели эти красивые схемы , демонстрирующие, как в SSH устроен проброс портов. Но, если мы с вами мыслим хотя бы немного схоже, то эти схемы оставляют у вас больше вопросов, чем дают ответов. Если вы за «красных» в области компьютерной безопасности, то, чтобы обрести в сети суперсилу и в дальнейшем бесчинствовать, вы должны понимать сеть лучше, чем те, кто её проектировал. Один из инструментов, наделяющих вас такой суперсилой — SSH. Но иногда нам мешают добиться поставленных целей сам синтаксис инструмента и другие концепции, на основе которых этот инструмент работает. Чтобы вы могли бесчинствовать эффективнее, не срывая сроков, я собрал для вас длинный список присущих SSH штук , которые я нахожу полезными. Хорошо, если вы его тоже почитаете, но составлял я его в основном для себя. Заметил, что сам я качественно усваиваю те или иные концепции, только если, изучая информацию, повторяю упражнения на клавиатуре. В этом посте я, в сущности, рассказываю, чему научился таким образом. Должен отметить, что во всех этих примерах я демонстрирую проброс портов при помощи веб-сервера, но таких же результатов можно добиться и при помощи почти любого сервиса, в частности, RDP, SQL, т.д.
-
[Перевод] Изнурительно подробное руководство по SSH (лишь те аспекты, которые я нахожу полезными)
О, вам нравится SSH? А перечислите-ка все флаги! Приветствую Все мы видели эти красивые схемы , демонстрирующие, как в SSH устроен проброс портов. Но, если мы с вами мыслим хотя бы немного схоже, то эти схемы оставляют у вас больше вопросов, чем дают ответов. Если вы за «красных» в области компьютерной безопасности, то, чтобы обрести в сети суперсилу и в дальнейшем бесчинствовать, вы должны понимать сеть лучше, чем те, кто её проектировал. Один из инструментов, наделяющих вас такой суперсилой — SSH. Но иногда нам мешают добиться поставленных целей сам синтаксис инструмента и другие концепции, на основе которых этот инструмент работает. Чтобы вы могли бесчинствовать эффективнее, не срывая сроков, я собрал для вас длинный список присущих SSH штук , которые я нахожу полезными. Хорошо, если вы его тоже почитаете, но составлял я его в основном для себя. Заметил, что сам я качественно усваиваю те или иные концепции, только если, изучая информацию, повторяю упражнения на клавиатуре. В этом посте я, в сущности, рассказываю, чему научился таким образом. Должен отметить, что во всех этих примерах я демонстрирую проброс портов при помощи веб-сервера, но таких же результатов можно добиться и при помощи почти любого сервиса, в частности, RDP, SQL, т.д.
-
[Перевод] Изнурительно подробное руководство по SSH (лишь те аспекты, которые я нахожу полезными)
О, вам нравится SSH? А перечислите-ка все флаги! Приветствую Все мы видели эти красивые схемы , демонстрирующие, как в SSH устроен проброс портов. Но, если мы с вами мыслим хотя бы немного схоже, то эти схемы оставляют у вас больше вопросов, чем дают ответов. Если вы за «красных» в области компьютерной безопасности, то, чтобы обрести в сети суперсилу и в дальнейшем бесчинствовать, вы должны понимать сеть лучше, чем те, кто её проектировал. Один из инструментов, наделяющих вас такой суперсилой — SSH. Но иногда нам мешают добиться поставленных целей сам синтаксис инструмента и другие концепции, на основе которых этот инструмент работает. Чтобы вы могли бесчинствовать эффективнее, не срывая сроков, я собрал для вас длинный список присущих SSH штук , которые я нахожу полезными. Хорошо, если вы его тоже почитаете, но составлял я его в основном для себя. Заметил, что сам я качественно усваиваю те или иные концепции, только если, изучая информацию, повторяю упражнения на клавиатуре. В этом посте я, в сущности, рассказываю, чему научился таким образом. Должен отметить, что во всех этих примерах я демонстрирую проброс портов при помощи веб-сервера, но таких же результатов можно добиться и при помощи почти любого сервиса, в частности, RDP, SQL, т.д.
-
Нейросуфлер
Всех нас очаровывают возможности ИИ описывать происходящее перед видеокамерой, особенно часто встречаются презентации Gemini. Но пока мы нигде не встречали ответа к вопросу – А зачем? Но вот в Спецлабе придумали собственное применение... Читать, как убивали человеческий фактор...
https://habr.com/ru/companies/speclab/articles/1035564/
#событийное_видеонаблюдение #нейросети #системы_видеонаблюдение #ССТВ #CCTV #безопасность #оператор_видеонаблюдения #оператор_видеоконтроля