#поиск_уязвимостей — Public Fediverse posts

OpenAI представила Daybreak: связка GPT-5.5 и Codex для поиска уязвимостей и автоматического патчинга

OpenAI анонсировала Daybreak — связку GPT-5.5 и Codex для defense-команд: автоматический поиск уязвимостей, валидация в sandbox и one-click патчи через Codex. Три уровня доступа, верхний тир (GPT-5.5-Cyber для пентеста и red team) — только по верификации; с 1 июня 2026 потребуется phishing-resistant аутентификация. К запуску в Trusted Access for Cyber уже зарегистрированы тысячи защитников и сотни команд.

https://habr.com/ru/articles/1034028/

#OpenAI #Daybreak #GPT55 #Codex #кибербезопасность #поиск_уязвимостей #AIагенты

OpenAI представила Daybreak: связка GPT-5.5 и Codex для поиска уязвимостей и автоматического патчинга

OpenAI анонсировала Daybreak — связку GPT-5.5 и Codex для defense-команд: автоматический поиск уязвимостей, валидация в sandbox и one-click патчи через Codex. Три уровня доступа, верхний тир (GPT-5.5-Cyber для пентеста и red team) — только по верификации; с 1 июня 2026 потребуется phishing-resistant аутентификация. К запуску в Trusted Access for Cyber уже зарегистрированы тысячи защитников и сотни команд.

https://habr.com/ru/articles/1034028/

#OpenAI #Daybreak #GPT55 #Codex #кибербезопасность #поиск_уязвимостей #AIагенты

OpenAI представила Daybreak: связка GPT-5.5 и Codex для поиска уязвимостей и автоматического патчинга

OpenAI анонсировала Daybreak — связку GPT-5.5 и Codex для defense-команд: автоматический поиск уязвимостей, валидация в sandbox и one-click патчи через Codex. Три уровня доступа, верхний тир (GPT-5.5-Cyber для пентеста и red team) — только по верификации; с 1 июня 2026 потребуется phishing-resistant аутентификация. К запуску в Trusted Access for Cyber уже зарегистрированы тысячи защитников и сотни команд.

https://habr.com/ru/articles/1034028/

#OpenAI #Daybreak #GPT55 #Codex #кибербезопасность #поиск_уязвимостей #AIагенты

OpenAI представила Daybreak: связка GPT-5.5 и Codex для поиска уязвимостей и автоматического патчинга

OpenAI анонсировала Daybreak — связку GPT-5.5 и Codex для defense-команд: автоматический поиск уязвимостей, валидация в sandbox и one-click патчи через Codex. Три уровня доступа, верхний тир (GPT-5.5-Cyber для пентеста и red team) — только по верификации; с 1 июня 2026 потребуется phishing-resistant аутентификация. К запуску в Trusted Access for Cyber уже зарегистрированы тысячи защитников и сотни команд.

https://habr.com/ru/articles/1034028/

#OpenAI #Daybreak #GPT55 #Codex #кибербезопасность #поиск_уязвимостей #AIагенты

[Перевод] ИИ против ИИ: кибербезопасность в эпоху мгновенного ПО

ИИ всё лучше находит уязвимости в коде — и всё лучше их закрывает. Те же самые технологии работают и за нападающих, и за защитников, и кто кого — пока открытый вопрос. Разбираем пять неизвестных, от которых зависит исход этой гонки, и заглядываем в мир, где программы создаются и удаляются на лету, а сети начинают чинить себя сами.

https://habr.com/ru/companies/cloud4y/articles/1029844/

#кибербезопасность #искусственный_интеллект #ИИ #уязвимости #поиск_уязвимостей #безопасная_разработка #вайбкодинг #MCP #Брюс_Шнайер #DRaaS

[Перевод] ИИ против ИИ: кибербезопасность в эпоху мгновенного ПО

ИИ всё лучше находит уязвимости в коде — и всё лучше их закрывает. Те же самые технологии работают и за нападающих, и за защитников, и кто кого — пока открытый вопрос. Разбираем пять неизвестных, от которых зависит исход этой гонки, и заглядываем в мир, где программы создаются и удаляются на лету, а сети начинают чинить себя сами.

https://habr.com/ru/companies/cloud4y/articles/1029844/

#кибербезопасность #искусственный_интеллект #ИИ #уязвимости #поиск_уязвимостей #безопасная_разработка #вайбкодинг #MCP #Брюс_Шнайер #DRaaS

[Перевод] ИИ против ИИ: кибербезопасность в эпоху мгновенного ПО

ИИ всё лучше находит уязвимости в коде — и всё лучше их закрывает. Те же самые технологии работают и за нападающих, и за защитников, и кто кого — пока открытый вопрос. Разбираем пять неизвестных, от которых зависит исход этой гонки, и заглядываем в мир, где программы создаются и удаляются на лету, а сети начинают чинить себя сами.

https://habr.com/ru/companies/cloud4y/articles/1029844/

#кибербезопасность #искусственный_интеллект #ИИ #уязвимости #поиск_уязвимостей #безопасная_разработка #вайбкодинг #MCP #Брюс_Шнайер #DRaaS

[Перевод] ИИ против ИИ: кибербезопасность в эпоху мгновенного ПО

ИИ всё лучше находит уязвимости в коде — и всё лучше их закрывает. Те же самые технологии работают и за нападающих, и за защитников, и кто кого — пока открытый вопрос. Разбираем пять неизвестных, от которых зависит исход этой гонки, и заглядываем в мир, где программы создаются и удаляются на лету, а сети начинают чинить себя сами.

https://habr.com/ru/companies/cloud4y/articles/1029844/

#кибербезопасность #искусственный_интеллект #ИИ #уязвимости #поиск_уязвимостей #безопасная_разработка #вайбкодинг #MCP #Брюс_Шнайер #DRaaS

Immunefi: разочарование в Web3-хантинге и почему проект вам не заплатит (а платформа ничего с этим не сделает)

50 дней назад я отправил critical-репорт через Immunefi. Проект ни разу не ответил. Письменные ответы mediation team о том, как на самом деле устроены vault, SLA и медиация на крупнейшей Web3 bug bounty платформе.

https://habr.com/ru/articles/1030812/

#bug_bounty #immunefi #web3 #информационная_безопасность #смартконтракты #defi #white_hat #блокчейн #поиск_уязвимостей #пентест

Immunefi: разочарование в Web3-хантинге и почему проект вам не заплатит (а платформа ничего с этим не сделает)

50 дней назад я отправил critical-репорт через Immunefi. Проект ни разу не ответил. Письменные ответы mediation team о том, как на самом деле устроены vault, SLA и медиация на крупнейшей Web3 bug bounty платформе.

https://habr.com/ru/articles/1030812/

#bug_bounty #immunefi #web3 #информационная_безопасность #смартконтракты #defi #white_hat #блокчейн #поиск_уязвимостей #пентест

Immunefi: разочарование в Web3-хантинге и почему проект вам не заплатит (а платформа ничего с этим не сделает)

50 дней назад я отправил critical-репорт через Immunefi. Проект ни разу не ответил. Письменные ответы mediation team о том, как на самом деле устроены vault, SLA и медиация на крупнейшей Web3 bug bounty платформе.

https://habr.com/ru/articles/1030812/

#bug_bounty #immunefi #web3 #информационная_безопасность #смартконтракты #defi #white_hat #блокчейн #поиск_уязвимостей #пентест

Immunefi: разочарование в Web3-хантинге и почему проект вам не заплатит (а платформа ничего с этим не сделает)

50 дней назад я отправил critical-репорт через Immunefi. Проект ни разу не ответил. Письменные ответы mediation team о том, как на самом деле устроены vault, SLA и медиация на крупнейшей Web3 bug bounty платформе.

https://habr.com/ru/articles/1030812/

#bug_bounty #immunefi #web3 #информационная_безопасность #смартконтракты #defi #white_hat #блокчейн #поиск_уязвимостей #пентест

Поиск уязвимостей ПО: базовый минимум или роскошный максимум

Привет, Хабр! Меня зовут Артем, я являюсь руководителем центра технической экспертизы по анализу защищенности в AKTIV.CONSULTING . Сегодня я хочу затронуть тему поиска уязвимостей программного обеспечения при эксплуатации и разобраться, чем это является на практике: базовым минимумом или все-таки роскошным максимумом. Ориентироваться будем на 24 процесс ГОСТ Р 56939-2024 по разработке безопасного программного обеспечения (БРПО, РБПО, DevSecOps). Разбираемся

https://habr.com/ru/companies/aktiv-company/articles/1023888/

#анализ_уязвимостей #брпо #рбпо #devsecops #пентест #пентестинг #безопасная_разработка #журнал_безопасности #поиск_уязвимостей

Поиск уязвимостей ПО: базовый минимум или роскошный максимум

Привет, Хабр! Меня зовут Артем, я являюсь руководителем центра технической экспертизы по анализу защищенности в AKTIV.CONSULTING . Сегодня я хочу затронуть тему поиска уязвимостей программного обеспечения при эксплуатации и разобраться, чем это является на практике: базовым минимумом или все-таки роскошным максимумом. Ориентироваться будем на 24 процесс ГОСТ Р 56939-2024 по разработке безопасного программного обеспечения (БРПО, РБПО, DevSecOps). Разбираемся

https://habr.com/ru/companies/aktiv-company/articles/1023888/

#анализ_уязвимостей #брпо #рбпо #devsecops #пентест #пентестинг #безопасная_разработка #журнал_безопасности #поиск_уязвимостей

Поиск уязвимостей ПО: базовый минимум или роскошный максимум

Привет, Хабр! Меня зовут Артем, я являюсь руководителем центра технической экспертизы по анализу защищенности в AKTIV.CONSULTING . Сегодня я хочу затронуть тему поиска уязвимостей программного обеспечения при эксплуатации и разобраться, чем это является на практике: базовым минимумом или все-таки роскошным максимумом. Ориентироваться будем на 24 процесс ГОСТ Р 56939-2024 по разработке безопасного программного обеспечения (БРПО, РБПО, DevSecOps). Разбираемся

https://habr.com/ru/companies/aktiv-company/articles/1023888/

#анализ_уязвимостей #брпо #рбпо #devsecops #пентест #пентестинг #безопасная_разработка #журнал_безопасности #поиск_уязвимостей

Смешивать, но не взбалтывать. Как мы добавили Sec между Dev и Ops

Привет, Хабр! Меня зовут Натали Дуботолкова, я старший инженер по разработке безопасного программного обеспечения в Basis. Хочу рассказать о том, как мы задумались над интеграцией работы безопасников непосредственно в процесс разработки и к чему это привело, а также о том, какие методы и инструменты использовали в ходе интеграции и используем сейчас.

https://habr.com/ru/companies/basis/articles/869648/

#devops #devsecops #поиск_уязвимостей #безопасная_разработка #инструменты_тестирования #sast #dast #fuzzing #контейнеры

Как защищать данные, когда денег на ИБ мало: топ-5 Open Source сканеров для поиска уязвимостей

Привет, Хабр! Меня зовут Виктор Иевлев, руководитель отдела информационной безопасности группы компаний «Гарда» . Сегодня хочу поговорить о поиске и управлении уязвимостями. Стоит начать с того, что процесс управления уязвимостями – это непрерывный цикл, включающий в себя поиск, оценку, мониторинг и устранение уязвимостей в программном обеспечении и инфраструктуре. Зачастую крупные организации используют сразу несколько коммерческих сканеров. Но что делать небольшим компаниям или стартапам, у которых нет бюджета на дорогостоящие инструменты информационной безопасности? К счастью, на помощь кибербезу приходит Open Source. В статье приведу примеры конкретных Open Source инструментов, а также расскажу, для решения каких задач они подходят.

https://habr.com/ru/companies/garda/articles/978582/

#owasp_zap #Nikto #Nuclei #Wazuh #Nmap #поиск_уязвимостей #сканер_уязвимостей #open_source #сканер

Portal: от Stored XSS к захвату пользовательских данных

Всем привет, меня зовут Влад, aka Arkeil . Довольно часто решаю таски на платформе Standoff 365 и совсем недавно мне удалось попасть в топ-25 атакующих по итогам первого сезона на Standoff Hackbase. Эта статья посвящена разбору хоста Portal на Standalone. Нам было нужно реализовать утечку персональных данных клиентов. Чтобы выполнить задание, необходимо получить информацию о клиенте с ID=2. Перед началом поиска уязвимостей сканируем хост на открытые порты.

https://habr.com/ru/companies/pt/articles/1004304/

#portal #standalone #xssуязвимость #alert #standoff_365 #утечка_персональных_данных #багхантинг #поиск_уязвимостей #эксплуатация_уязвимостей #взлом

[Перевод] Полное руководство по поиску уязвимостей с помощью Shodan и Censys

Содержание: - Важность разведки - Что такое поисковые системы, что такое Shodan и Censys? - Основные операторы поиска - Продвинутые операторы поиска - Более интересные способы использования - Заключение

https://habr.com/ru/articles/860962/

#bugbounty #shodan #censys #recon #поиск_уязвимостей

Анализ юридических рисков в области HR-технологий: баги, ИИ, персональные данные

Всем привет! На связи снова Карьерный Хакер, амбассадор здравого смысла на рынке труда и в HR Tech :) Обзор, как я поймала баги в популярной ATS разлетелся по сети , что доказывает, думаю, насколько тема является общественно важной. Ведь из-за таких ошибок соискатели могут так и не найти работу и получить "ложный отказ", компании и рекрутеры могут терять отклики, принять неверное решение в отношении кандидата и отправить ему долгожданное "ОТКАЗАНО". Но есть и более важная составляющая технологий для HR — это риски (как для компаний, так и для соискателей). Сегодня в статье будет комментарий как раз о рисках от юриста в сфере трудового права для IT & digital, эксперта по вопросам увольнений, экс-сотрудника прокуратуры, автора тг-канала Law it, Ларисы Бернацкой. Кстати с Ларисой мы познакомились в сети после моей статьи. Н - Нетворкинг :). Для начала добавлю от себя немного базы. Для тех, кто "в домике" и считает, что HR - технологиями никто не пользуется, приведу краткий обзор самых популярных HR-Tech решений и их клиентов, которые заявлены на их официальных сайтах. Skillaz HRM (принадлежит hh): Касперский, Черкизово, МТС, Ренессанс банк, Билайн, Дикси, Магнит, Самолет, Росатом, х5 Group, Уралхим, Мегафон и др. Хантфлоу ATS: lamoda, Самокат, Мегафон, Innova, Циан, Ланит, Авито, VK и др. Поток ATS: Лента, Северсталь, Роснефть, Балтика,12 STOREEZ, ПРОФИ, Дом.РФ, Билайн, Нетология и др. Verme WFM: на сайте заявлено, что с ними работают 100+ крупнейших компания, включая lamoda, АТАК (он же Auchan), Все Инструменты. ру, OBI, Магнит и Магнит Косметик, ВкусВилл, МТС, Пятерочка (х5) и др.

https://habr.com/ru/articles/1007664/

#юридические_вопросы #юридические_риски #hr_tech #hrтехнологии #поиск_работы #поиск_уязвимостей #ии #ai #трудовое_право #карьера_итспециалиста

Адаптируем фаззинг для поиска уязвимостей

Фаззинг — очень популярная методика тестирования программного обеспечения случайными входными данными. В сети огромное количество материалов о том, как находить дефекты ПО с его помощью. При этом в публичном пространстве почти нет статей и выступлений о том, как искать уязвимости с помощью фаззинга. Возможно, исследователи безопасности не хотят делиться своими секретами. Тем интереснее рассмотреть эту тему в данной статье.

https://habr.com/ru/companies/pt/articles/845490/

#поиск_уязвимостей #fuzzing #syzkaller #операционные_системы #linux_kernel #vulnerabilities #фаззинг #operating_systems

TrustYFox: путь от пет‑проекта до LLM‑инструмента для поиска уязвимостей

Всем привет! Меня зовут Андрей, и я работаю в финтех‑направлении Яндекса. Руковожу службой разработки платёжных интерфейсов. Если вы пользуетесь сервисами Яндекса, то наверняка сталкивались с формами оплаты, вот большую их часть делают ребята из моей службы. Сегодня я расскажу вам о TrustYFox — платформе для поиска уязвимостей в коде при помощи LLM, которую я создал своими руками. С практической точки зрения TrustYFox — это ещё один инструмент, который не заменяет существующие сканеры, а дополняет их, позволяя находить уязвимости. Статья не претендует на научность или какой‑то RnD, да и я не являюсь экспертом в этих ваших LLM. По большей части это рассказ о том, как получилось (а в итоге получилось) за несколько месяцев пройти путь от прототипа до рабочего решения, в котором ежедневно запускаются аудиты. За прошедшие полгода разработки проекта были проверены различные концепции, написано, удалено и заново написано много кода, поэтому сначала расскажу, какой путь пройден, а после — про сам проект, что он умеет и где можно было сделать лучше.

https://habr.com/ru/companies/yandex/articles/1013714/

#яндекс #llm #ml #ии #поиск_уязвимостей #петпроект #иб

МТС RED ART: обзор перспективных security-исследований

Всем привет! Меня зовут Денис Макрушин , я отвечаю за создание технологий кибербезопасности в MTC RED и возглавляю команду перспективных исследований МТС RED ART (Advanced Research Team). Сегодня проведу разбор самых интересных исследований первого квартала 2024. Под катом — новые методы поиска уязвимостей и секретов в исходном коде, инструменты и принципы построения безопасной разработки и многое другое.

https://habr.com/ru/companies/ru_mts/articles/820283/

#кибербезопасность #поиск_уязвимостей #информационная_безопасность #мтс

[Перевод] Запускаем бортовой компьютер Tesla Model 3 на своём столе, используя детали от разбитых автомобилей

Энтузиаст Дэвид Шютц рассказал , как в рамках программы вознаграждения Tesla пересобрал бортовой компьютер компании в домашних условиях и с какими сложностями столкнулся в этом процессе.

https://habr.com/ru/articles/1015478/

#tesla #автомобили #бортовой_компьютер #робомобили #программа #поиск_уязвимостей #запчасти

250 критических замечаний, или Как мы нашли общий язык с разработчиками

Иногда работа идет по отлаженным процессам, но результат — вопреки ожиданиям и цитате, авторство которой приписывают то Эйнштейну, то Ваасу Монтенегро, — получается совершенно другим. И ты понимаешь, что процессы пора менять. В прошлой статье я рассказывала о том, какие подходы и инструменты мы используем в «Базисе» для реализации DevSecOps. Сегодня же хочу поделиться своим опытом выстраивания организационных процессов безопасной разработки.

https://habr.com/ru/companies/basis/articles/1002948/

#рбпо #безопасная_разработка #процессы #devsecops #поиск_уязвимостей #фаззингтестирование

[Перевод] Вершим правосудие на GitHub, помечая мошенников с помощью граффити

Уже много лет опенсорсные проекты позволяют нам «украшать» графики активности на GitHub фальшивыми историями коммитов Git. Но знали ли вы, что подобные граффити можно также размещать в профилях других пользователей ? К примеру, в графиках активности нескольких фишеров я оставил вот такую «черную метку»: В статье расскажу, как отметить профиль недобросовестного юзера таким граффити, чтобы другие пользователи GitHub знали, с кем имеют дело.

https://habr.com/ru/companies/bastion/articles/877076/

#github #информационная_безопасность #кибербезопасность #этичный_хакинг #поиск_уязвимостей #граффити_на_github #график_активности_github #коммиты_github

[Перевод] Небезопасная загрузка файлов: полное руководство по поиску продвинутых уязвимостей при загрузке файлов

Содержание - Что такое уязвимости загрузки файлов? - Выявление уязвимостей при загрузке файлов - Эксплуатация простых уязвимостей загрузки файлов - Продвинутая эксплуатация уязвимостей при загрузке файлов - Заключение Уязвимости в загрузки файлов интересны для поиска, они по своей природе имеют большое влияние и в некоторых случаях могут даже привести к удаленному выполнению кода. В наши дни большинство разработчиков осведомлены о небезопасных реализациях загрузки файлов, однако на практике всё ещё может случиться так, что будет внесена потенциальная уязвимость. В этой статье мы рассмотрим как простые, так и продвинутые уязвимости загрузки файлов. Кроме того, мы уделим внимание особым случаям, которые могут быть использованы в специфических условиях.

https://habr.com/ru/articles/867156/

#web #bugbounty #bughunting #уязвимости #поиск_уязвимостей

Как некорректная разработка API может привести к удалению пользователей

В продолжение рассказа об уязвимостях, которые были обнаружены пентестерами УЦСБ и легли в основу кейсов на премии Pentest Award, публикуем разбор следующего реального примера. Расскажем, как в веб-приложении одной компании была обнаружена связка уязвимостей, позволявшая удалить любого зарегистрированного пользователя из системы.

https://habr.com/ru/companies/ussc/articles/856056/

#информационная_безопасность #уязвимости #api #поиск_уязвимостей #вебприложения #httpметоды #jwt_token #учетные_записи #конечные_точки #дистанционный_сервис

Клуб охотников за ошибками: а что вы знаете о современном багхантинге?

Безопасная разработка для современного IT — важнее некуда. Однако создание крупных решений становится сложнее, обновления — всё быстрее. Трудно отловить все баги, убедиться, что пользовательский опыт и ценные данные безупречно защищены. Поэтому всё чаще компании не только развивают внутреннее ИБ-подразделение, но и обращаются к сообществу — открывают программы багхантинга: предлагают опытным айтишникам помочь в поиске уязвимостей. Мы хотим узнать, кто такой современный багхантер. Хотите помочь разобраться, кто такой багхантер на самом деле? Заходите под кат и поучаствуйте в исследовании. Неважен ваш грейд и неважно, насколько глубоко вы разбираетесь в теме: поучаствовать могут даже те, у кого нет в поиске уязвимостей никакого личного опыта. Нам важно понять, как этих специалистов видит IT-сообщество, в том числе те, кто никогда сам не занимался багхантингом. Поучаствовать

https://habr.com/ru/specials/849390/

#багхантинг #багхантер #опрос #баги #ошибки #скоуп_тестирования #багбаунти #исследование #поиск_уязвимостей

История одного веб-сервиса: как забытые ресурсы могут стать дверью во внутреннюю сеть

Недавно мы рассказывали об успешном участии экспертов УЦСБ в премии для специалистов по тестированию на проникновение Pentest Award и обещали вернуться с детальным описанием интересных кейсов, с которыми участвовали наши пентестеры. В этой статье поделимся, как у одного из наших заказчиков пентестеры вовремя обнаружили уязвимость, которую потенциальные злоумышленники могли использовать для закрепления во внутренней корпоративной сети. На примере этого кейса вы сможете узнать о новых векторах атак, оценить риски для своей инфраструктуры и найти советы, как устранить подобные уязвимости и повысить уровень защищенности.

https://habr.com/ru/companies/ussc/articles/846222/

#анализ_защищенности #пентест #пентесты #информационная_безопасность #защищенность #вебсервисы #webservices #passive_dns #поиск_уязвимостей #ms_sql

Что используют в работе «белые хакеры»: инструменты для кибербезопасности и проведения пентестов

В арсенале специалистов по информационной безопасности и пентесту есть много инструментов и методов для защиты безопасности информационных систем и сетей. Рассказываем о популярных.

https://habr.com/ru/companies/skillfactory/articles/813789/

#пентестинг #поиск_уязвимостей #анализ_защищенности #безопасность_данных #защита_данных #siem #информационная_безопасность #сетевая_безопасность #снифферы #пентест

Как защищать данные, когда денег на ИБ мало: топ-5 Open Source сканеров для поиска уязвимостей

Привет, Хабр! Меня зовут Виктор Иевлев, руководитель отдела информационной безопасности группы компаний «Гарда» . Сегодня хочу поговорить о поиске и управлении уязвимостями. Стоит начать с того, что процесс управления уязвимостями – это непрерывный цикл, включающий в себя поиск, оценку, мониторинг и устранение уязвимостей в программном обеспечении и инфраструктуре. Зачастую крупные организации используют сразу несколько коммерческих сканеров. Но что делать небольшим компаниям или стартапам, у которых нет бюджета на дорогостоящие инструменты информационной безопасности? К счастью, на помощь кибербезу приходит Open Source. В статье приведу примеры конкретных Open Source инструментов, а также расскажу, для решения каких задач они подходят.

https://habr.com/ru/companies/garda/articles/978582/

#owasp_zap #Nikto #Nuclei #Wazuh #Nmap #поиск_уязвимостей #сканер_уязвимостей #open_source #сканер

Как защищать данные, когда денег на ИБ мало: топ-5 Open Source сканеров для поиска уязвимостей

Привет, Хабр! Меня зовут Виктор Иевлев, руководитель отдела информационной безопасности группы компаний «Гарда» . Сегодня хочу поговорить о поиске и управлении уязвимостями. Стоит начать с того, что процесс управления уязвимостями – это непрерывный цикл, включающий в себя поиск, оценку, мониторинг и устранение уязвимостей в программном обеспечении и инфраструктуре. Зачастую крупные организации используют сразу несколько коммерческих сканеров. Но что делать небольшим компаниям или стартапам, у которых нет бюджета на дорогостоящие инструменты информационной безопасности? К счастью, на помощь кибербезу приходит Open Source. В статье приведу примеры конкретных Open Source инструментов, а также расскажу, для решения каких задач они подходят.

https://habr.com/ru/companies/garda/articles/978582/

#owasp_zap #Nikto #Nuclei #Wazuh #Nmap #поиск_уязвимостей #сканер_уязвимостей #open_source #сканер

Как защищать данные, когда денег на ИБ мало: топ-5 Open Source сканеров для поиска уязвимостей

Привет, Хабр! Меня зовут Виктор Иевлев, руководитель отдела информационной безопасности группы компаний «Гарда» . Сегодня хочу поговорить о поиске и управлении уязвимостями. Стоит начать с того, что процесс управления уязвимостями – это непрерывный цикл, включающий в себя поиск, оценку, мониторинг и устранение уязвимостей в программном обеспечении и инфраструктуре. Зачастую крупные организации используют сразу несколько коммерческих сканеров. Но что делать небольшим компаниям или стартапам, у которых нет бюджета на дорогостоящие инструменты информационной безопасности? К счастью, на помощь кибербезу приходит Open Source. В статье приведу примеры конкретных Open Source инструментов, а также расскажу, для решения каких задач они подходят.

https://habr.com/ru/companies/garda/articles/978582/

#owasp_zap #Nikto #Nuclei #Wazuh #Nmap #поиск_уязвимостей #сканер_уязвимостей #open_source #сканер

Portal: от Stored XSS к захвату пользовательских данных

Всем привет, меня зовут Влад, aka Arkeil . Довольно часто решаю таски на платформе Standoff 365 и совсем недавно мне удалось попасть в топ-25 атакующих по итогам первого сезона на Standoff Hackbase. Эта статья посвящена разбору хоста Portal на Standalone. Нам было нужно реализовать утечку персональных данных клиентов. Чтобы выполнить задание, необходимо получить информацию о клиенте с ID=2. Перед началом поиска уязвимостей сканируем хост на открытые порты.

https://habr.com/ru/companies/pt/articles/1004304/

#portal #standalone #xssуязвимость #alert #standoff_365 #утечка_персональных_данных #багхантинг #поиск_уязвимостей #эксплуатация_уязвимостей #взлом

Portal: от Stored XSS к захвату пользовательских данных

Всем привет, меня зовут Влад, aka Arkeil . Довольно часто решаю таски на платформе Standoff 365 и совсем недавно мне удалось попасть в топ-25 атакующих по итогам первого сезона на Standoff Hackbase. Эта статья посвящена разбору хоста Portal на Standalone. Нам было нужно реализовать утечку персональных данных клиентов. Чтобы выполнить задание, необходимо получить информацию о клиенте с ID=2. Перед началом поиска уязвимостей сканируем хост на открытые порты.

https://habr.com/ru/companies/pt/articles/1004304/

#portal #standalone #xssуязвимость #alert #standoff_365 #утечка_персональных_данных #багхантинг #поиск_уязвимостей #эксплуатация_уязвимостей #взлом

Portal: от Stored XSS к захвату пользовательских данных

Всем привет, меня зовут Влад, aka Arkeil . Довольно часто решаю таски на платформе Standoff 365 и совсем недавно мне удалось попасть в топ-25 атакующих по итогам первого сезона на Standoff Hackbase. Эта статья посвящена разбору хоста Portal на Standalone. Нам было нужно реализовать утечку персональных данных клиентов. Чтобы выполнить задание, необходимо получить информацию о клиенте с ID=2. Перед началом поиска уязвимостей сканируем хост на открытые порты.

https://habr.com/ru/companies/pt/articles/1004304/

#portal #standalone #xssуязвимость #alert #standoff_365 #утечка_персональных_данных #багхантинг #поиск_уязвимостей #эксплуатация_уязвимостей #взлом

История одного веб-сервиса: как забытые ресурсы могут стать дверью во внутреннюю сеть

Недавно мы рассказывали об успешном участии экспертов УЦСБ в премии для специалистов по тестированию на проникновение Pentest Award и обещали вернуться с детальным описанием интересных кейсов, с которыми участвовали наши пентестеры. В этой статье поделимся, как у одного из наших заказчиков пентестеры вовремя обнаружили уязвимость, которую потенциальные злоумышленники могли использовать для закрепления во внутренней корпоративной сети. На примере этого кейса вы сможете узнать о новых векторах атак, оценить риски для своей инфраструктуры и найти советы, как устранить подобные уязвимости и повысить уровень защищенности.

https://habr.com/ru/companies/ussc/articles/846222/

#анализ_защищенности #пентест #пентесты #информационная_безопасность #защищенность #вебсервисы #webservices #passive_dns #поиск_уязвимостей #ms_sql

История одного веб-сервиса: как забытые ресурсы могут стать дверью во внутреннюю сеть

Недавно мы рассказывали об успешном участии экспертов УЦСБ в премии для специалистов по тестированию на проникновение Pentest Award и обещали вернуться с детальным описанием интересных кейсов, с которыми участвовали наши пентестеры. В этой статье поделимся, как у одного из наших заказчиков пентестеры вовремя обнаружили уязвимость, которую потенциальные злоумышленники могли использовать для закрепления во внутренней корпоративной сети. На примере этого кейса вы сможете узнать о новых векторах атак, оценить риски для своей инфраструктуры и найти советы, как устранить подобные уязвимости и повысить уровень защищенности.

https://habr.com/ru/companies/ussc/articles/846222/

#анализ_защищенности #пентест #пентесты #информационная_безопасность #защищенность #вебсервисы #webservices #passive_dns #поиск_уязвимостей #ms_sql

Что используют в работе «белые хакеры»: инструменты для кибербезопасности и проведения пентестов

В арсенале специалистов по информационной безопасности и пентесту есть много инструментов и методов для защиты безопасности информационных систем и сетей. Рассказываем о популярных.

https://habr.com/ru/companies/skillfactory/articles/813789/

#пентестинг #поиск_уязвимостей #анализ_защищенности #безопасность_данных #защита_данных #siem #информационная_безопасность #сетевая_безопасность #снифферы #пентест

Что используют в работе «белые хакеры»: инструменты для кибербезопасности и проведения пентестов

В арсенале специалистов по информационной безопасности и пентесту есть много инструментов и методов для защиты безопасности информационных систем и сетей. Рассказываем о популярных.

https://habr.com/ru/companies/skillfactory/articles/813789/

#пентестинг #поиск_уязвимостей #анализ_защищенности #безопасность_данных #защита_данных #siem #информационная_безопасность #сетевая_безопасность #снифферы #пентест

Как некорректная разработка API может привести к удалению пользователей

В продолжение рассказа об уязвимостях, которые были обнаружены пентестерами УЦСБ и легли в основу кейсов на премии Pentest Award, публикуем разбор следующего реального примера. Расскажем, как в веб-приложении одной компании была обнаружена связка уязвимостей, позволявшая удалить любого зарегистрированного пользователя из системы.

https://habr.com/ru/companies/ussc/articles/856056/

#информационная_безопасность #уязвимости #api #поиск_уязвимостей #вебприложения #httpметоды #jwt_token #учетные_записи #конечные_точки #дистанционный_сервис

Как некорректная разработка API может привести к удалению пользователей

В продолжение рассказа об уязвимостях, которые были обнаружены пентестерами УЦСБ и легли в основу кейсов на премии Pentest Award, публикуем разбор следующего реального примера. Расскажем, как в веб-приложении одной компании была обнаружена связка уязвимостей, позволявшая удалить любого зарегистрированного пользователя из системы.

https://habr.com/ru/companies/ussc/articles/856056/

#информационная_безопасность #уязвимости #api #поиск_уязвимостей #вебприложения #httpметоды #jwt_token #учетные_записи #конечные_точки #дистанционный_сервис

Как некорректная разработка API может привести к удалению пользователей

В продолжение рассказа об уязвимостях, которые были обнаружены пентестерами УЦСБ и легли в основу кейсов на премии Pentest Award, публикуем разбор следующего реального примера. Расскажем, как в веб-приложении одной компании была обнаружена связка уязвимостей, позволявшая удалить любого зарегистрированного пользователя из системы.

https://habr.com/ru/companies/ussc/articles/856056/

#информационная_безопасность #уязвимости #api #поиск_уязвимостей #вебприложения #httpметоды #jwt_token #учетные_записи #конечные_точки #дистанционный_сервис

[Перевод] Запускаем бортовой компьютер Tesla Model 3 на своём столе, используя детали от разбитых автомобилей

Энтузиаст Дэвид Шютц рассказал , как в рамках программы вознаграждения Tesla пересобрал бортовой компьютер компании в домашних условиях и с какими сложностями столкнулся в этом процессе.

https://habr.com/ru/articles/1015478/

#tesla #автомобили #бортовой_компьютер #робомобили #программа #поиск_уязвимостей #запчасти

[Перевод] Запускаем бортовой компьютер Tesla Model 3 на своём столе, используя детали от разбитых автомобилей

Энтузиаст Дэвид Шютц рассказал , как в рамках программы вознаграждения Tesla пересобрал бортовой компьютер компании в домашних условиях и с какими сложностями столкнулся в этом процессе.

https://habr.com/ru/articles/1015478/

#tesla #автомобили #бортовой_компьютер #робомобили #программа #поиск_уязвимостей #запчасти

[Перевод] Запускаем бортовой компьютер Tesla Model 3 на своём столе, используя детали от разбитых автомобилей

Энтузиаст Дэвид Шютц рассказал , как в рамках программы вознаграждения Tesla пересобрал бортовой компьютер компании в домашних условиях и с какими сложностями столкнулся в этом процессе.

https://habr.com/ru/articles/1015478/

#tesla #автомобили #бортовой_компьютер #робомобили #программа #поиск_уязвимостей #запчасти

Адаптируем фаззинг для поиска уязвимостей

Фаззинг — очень популярная методика тестирования программного обеспечения случайными входными данными. В сети огромное количество материалов о том, как находить дефекты ПО с его помощью. При этом в публичном пространстве почти нет статей и выступлений о том, как искать уязвимости с помощью фаззинга. Возможно, исследователи безопасности не хотят делиться своими секретами. Тем интереснее рассмотреть эту тему в данной статье.

https://habr.com/ru/companies/pt/articles/845490/

#поиск_уязвимостей #fuzzing #syzkaller #операционные_системы #linux_kernel #vulnerabilities #фаззинг #operating_systems

Адаптируем фаззинг для поиска уязвимостей

Фаззинг — очень популярная методика тестирования программного обеспечения случайными входными данными. В сети огромное количество материалов о том, как находить дефекты ПО с его помощью. При этом в публичном пространстве почти нет статей и выступлений о том, как искать уязвимости с помощью фаззинга. Возможно, исследователи безопасности не хотят делиться своими секретами. Тем интереснее рассмотреть эту тему в данной статье.

https://habr.com/ru/companies/pt/articles/845490/

#поиск_уязвимостей #fuzzing #syzkaller #операционные_системы #linux_kernel #vulnerabilities #фаззинг #operating_systems