Приветствую всех любителей CTF и этичного хакинга на стороне Red Team! В этой статье мы рассмотрим прохождение легкого таска «СМС», разработанного пентестерами из команды Codeby.Games.

Справка: codeby.games — отечественный условно бесплатный веб‑проект, где каждый может попрактиковаться в оттачивании навыков наступательной кибербезопасности. Таски (задания) представлены в широком спектре: начиная от использования методов OSINT и заканчивая компрометацией учебного домена Active Directory. CTF разделяются на три группы — «Легкий», «Средний», «Сложный» в различных категориях. Но подробнее об этом — на официальном сайте проекта.

Итак, приступим. Задание «СМС» находится в категории «Квесты».

Всем привет, меня зовут Вадим Мезенцев, я Android‑разработчик в команде Яндекс Go. Сегодня я хочу рассказать историю о том, как мы искали подход к профилированию нашего приложения, с какими проблемами столкнулись и как в итоге реализовали библиотеку для измерения производительности.

Наша команда часто сталкивалась с проблемами при поиске «узких мест» в производительности приложения. Мы пробовали различные инструменты профилирования, но все они требовали слишком много времени на сбор метрик, анализ и фильтрацию нужных данных. Чтобы решить эту проблему, мы разработали собственное решение, которое сочетает скорость анализа и простоту поиска проблем. Мы создали библиотеку Demeter, которую легко интегрировать в отладочную версию Android‑приложения. Она позволяет получать отчёты о производительности во время использования приложения и переходов между экранами. Такую сборку можно передать команде тестирования, а затем проанализировать отчёты и изучить изменения.

У онлайн-курсов есть несколько преимуществ по сравнению с обучением в вузе: их можно совмещать с полноценной работой, не нужно посещать лекции и семинары офлайн, на курсах студенты получают только актуальные навыки, которые можно сразу же применить в работе. Плюс обучение проходит внутри профессионального комьюнити, а это даёт хорошие возможности для нетворкинга. В свою очередь, высшее образование — это фундаментальные знания, расширение кругозора, умение учиться, системно мыслить и усваивать большие объёмы информации. 

Чтобы объединить преимущества онлайн-курсов и высшего образования, эксперты Яндекса и топовых технических вузов — ИТМО, НИЯУ МИФИ и МФТИ — разработали современные программы онлайн-магистратур. Выпускники магистратур получают: диплом о высшем образовании от вуза, диплом о профессиональной переподготовке от Яндекса, студенческие льготы, отсрочку от армии, портфолио проектов, возможность взять образовательный кредит с господдержкой. Обучение длится два года, как в обычной магистратуре.

Привет, меня зовут Владислав Феофилактов, я разработчик команды интеграции продукта PT Application Inspector. В этой статье вместе с коллегой Даниилом Бакиным мы расскажем о безопасной разработке приложений, подходе shift left и о том, как сделать жизнь разработчиков и AppSec-специалистов проще, а продукты — более защищенными.

Мы разберем основные проблемы безопасной разработки и расскажем, как плагины для IDE помогают решать эти проблемы. Если вы хотите узнать, как упростить работу с уязвимостями и ускорить процесс разработки, смело заглядывайте под кат!

Проводим третий T-CTF для ИТ-специалистов, которые хорошо разбираются в коде. Соревнования пройдут онлайн и офлайн 19—20 апреля, так что пока есть время подготовиться. В статье расскажем, что нового будет в этом году, и разберем одно демозадание.

Если вы уже ко всему готовы, переходите на страницу мероприятия. Там можно узнать подробности и зарегистрироваться. Новичков в CTF и тех, кто хочет узнать решение интересных задач, приглашаем под кат.

В Android-разработке могут возникать сценарии, когда нам нужно собрать один aar из нескольких модулей. 

Однажды нам в Сравни потребовалось создать SDK для наших партнёров — на основе уже существующего проекта. Сделать это хотелось без радикальных изменений в проекте и излишнего раскрытия деталей его устройства.

Задача понятная, но нетривиальная в реализации. Google до сих пор не предоставляет полноценного инструмента для создания fat-aar; к opensource-решениям также много вопросов. 

Выход из ситуации: вникнуть в нюансы того, как работает gradle, и на базе общедоступных средств сделать свой инструмент для создания многомодульной библиотеки. С автоматизированной сборкой модулей и публикацией артефакта. 

О том, как мы к этому подступились и к чему пришли, рассказываем под катом.

В быстро меняющемся мире мобильных технологий операционная система Android занимает особое место благодаря своей универсальности и обширному спектру возможностей. Одним из ключевых элементов, обеспечивающих безопасность и неприкосновенность личных данных пользователей Android, является система разрешений. Разрешения Android контролируют взаимодействие приложений с операционной системой и доступ к пользовательским данным, создавая безопасную и контролируемую среду, в которой функциональность и защита находятся в гармонии.

Функциональность продукта – это не просто техническая особенность, а способ донести ценность пользователю, помогая ему выполнять задачи и достигать конкретных целей (Jobs-To-Be-Done). В статье разбираются методы создания, анализа и оптимизации продуктовых фич: приводятся примеры успешных и неудачных решений (Instagram, TikTok, Notion), подробно раскрываются основные метрики оценки эффективности (TARS-фреймворк, когортный анализ, DAU/MAU, Retention, CES).

Компания Postgres Professional выпустила обновленную книгу Егора Рогова «PostgreSQL 17 изнутри», которая станет настольной для тех, кто хочет понимать, как устроена СУБД. От многоверсионности до типов индексов – все, что нужно для эффективной работы и оптимизации, теперь под рукой.

Продолжаем делиться результатами исследования трендов Java в России. Первую часть о выборе версий Java, систем сборки и IDE, а также использовании ИИ в разработке читайте здесь. Во второй части мы расскажем о том, какие дистрибутивы JDK, фреймворки, языки JVM и профайлеры выбирают Java-разработчики в России.

В исследовании, завершившемся в третьем квартале 2024 года, приняли участие более 500 специалистов из разных отраслей — от финансов и IT до нефтегаза и e-commerce. Более половины респондентов работают в крупных компаниях со штатом более 1000 человек.

Внимание! В 2025 году технологический ландшафт Java в России будет исследовать TechRadar. Присоединяйтесь к анонимному опросу, если хотите повлиять на формирование независимого среза российского рынка Java. Чтобы оставаться востребованным, важно понимать, какие технологии в тренде, а какие уходят.
Спойлер: в конце статьи есть подробности. 

И так, поехали!

Уже говорил как-то, что в свое время перешел с Windows на FreeBSD в том числе из-за того, что FreeBSD работала быстрее на том же железе, и не требовалось плясок с бубнами, потому что в общем-то всё что нужно - настраивалось от и до.

Потом Linux - потому что лучше поддержка железа, ну и, в общем, никакого желания возвращаться на Windows уже не возникало.

Но время идёт, и вот последние версии Ubuntu до боли напоминают Windows своей неспешностью и сложнопредсказуемостью. А тут еще желание сделать удобный для работы десктоп из TV‑бокса...

В принципе, нашлась уже готовая Armbian‑сборка под мой TV‑бокс, с уже настроенным десктопом XFCE — но несмотря на то, что XFCE считается «легковесной» — она оказалась недостаточно легковесная, не настолько насколько мне бы хотелось.
Заметно подтормаживали окошки, всё в целом как‑то не так...

А ведь несмотря на свою «маленьковость» — компьютер‑то должен быть неплохим: 4Гб RAM, 4 ядра по 1.5ГГц, когда‑то подобные были вообще за пределами доступности, и ведь тогда «всё работало», и работало быстро, на гораздо более медленном железе.
Что же не так, неужели ARM в принципе тормозные процессоры?

В общем, решил собрать «десктоп» с нуля. Ну, почти.
(всё дальше — за исключением сугубо «железячной» части вполне применимо для любых компьютеров и ноутбуков).

Книга с интригующим названием «Нетворкинг для разведчиков» была написана полковниками СВР Еленой Вавиловой и Андреем Безруковым. Они стали известными в 2010 году после того, как были разоблачены как разведчики‑нелегалы и в том же году в рамках обмена вернулись в Россию. В 2021-м году они решили поделиться своим опытом нетворкинга, опубликовав свою книгу. В этой статье разберем, почему опыт разведчиков‑нелегалов может быть интересен для современных руководителей и приведем основные рекомендации авторов по созданию эффективной сети контактов.

Будни багхантера — это непрерывная охота за уязвимостями, успех в которой зависит не только от опыта и навыков, но и от банального везения. Недавно мне попалась по-настоящему крупная добыча: я обнаружил XSS-уязвимость (межсайтовый скриптинг) в одном из поддоменов Google.

В статье расскажу, как мне удалось заработать на этой находке и оставить свое имя в «зале славы» багхантеров Google.

Системы типов помогают разработчикам создавать надежные и безопасные программы. Однако такие термины, как «субструктурные типы» или «владение», нередко кажутся сложными и трудными для понимания, особенно для тех, кто не сталкивался с теорией типов в академической среде.

Новый перевод от команды МойОфис расскажет вам, как субструктурные типы и система владения в Rust помогают создавать безопасные и эффективные программы. Автор разбирает ключевые теоретические аспекты, выясняет, какие преимущества они предоставляют, и показывает, почему их использование становится неотъемлемой частью разработки современных языков. Вы узнаете, как субструктурные типы помогают обеспечивать безопасность и жизнеспособность программ, а также познакомитесь с идеями и проблемами их внедрения на практике.

Команда Spring АйО перевела статью одного из создателей Hibernate, в которой он объясняет, почему ему часто приходится отвергать новые и хорошие идеи, и почему это на самом деле не означает, что он является врагом всего нового.

Современное производство программного обеспечения — сложный процесс, от разработчика требуется не только писать код, но и справляться с целым комплексом сопутствующих задач: отслеживать изменения, проводить тестирование, соблюдать стилистические правила и внутренние стандарты, учитывать безопасность и применять best practices по обеспечению ИБ уже во время написания кода.

Но есть и хорошие новости. Разработчику доступно большое число инструментов, которые упрощают труд: от линтеров до анализаторов и систем автоматизированного тестирования — все они встраиваются в среду разработки и помогают решать сложные задачи, не отвлекаясь от творческой части работы. В этой статье я, Евгений Иляхин, архитектор процессов безопасной разработки в Positive Technologies, как раз расскажу о крайне полезных инструментах, которые автоматизируют рутину и повышают качество кода, позволяя программисту сосредоточиться на разработке новой фичи или поиске оптимального решения.

Полгода назад Notion ушёл из России, оставив многих пользователей без удобного инструмента для работы и ведения заметок. Использовать VPN? Не вариант — продуктивность сразу падает. Я тоже столкнулся с этой проблемой, но вместо того, чтобы искать обходные пути, я решил найти достойную замену.

Так я открыл для себя Obsidian — и теперь уже точно не вернусь назад. В этой статье расскажу, как я настроил его под себя, организовал синхронизацию, собрал удобную систему ведения заметок и почему теперь мне больше не страшны блокировки и сбои в облаке.