Привет, Хабр! Сегодня мы познакомимся с DOM XSS и Prototype Pollution, рассмотрим примеры уязвимостей на Bug Bounty и научимся использовать инструмент DOM Invader, который заметно упростит поиск таких уязвимостей.

Материал будет интересен специалистам, которые уже сталкивались с DOM XSS и Prototype Pollution. Если вы еще не знакомы с этими уязвимостями, стоит обратить внимание на лабораторные PortSwigger и теорию и только потом приступать к изучению DOM Invader. А если знакомы, то быстро вспомним основные понятия и объясним, а в чем же, собственно, состоит опасность.

Привет, Хабр! Меня зовут Кирилл, и я — архитектор инженерных систем в «Инфосистемы Джет». «При чем тут машинное обучение?» — спросите вы. Действительно, применимость ML к инженерной инфраструктуре — направление более чем свежее, и на Хабре еще никто эту тему не поднимал (кажется!).

Но сначала я расскажу предысторию. Инженерная инфраструктура в большинстве случаев является критически важной для функционирования дата‑центра. Ее безотказная работа — основной критерий при разработке проекта будущего ЦОД. Повышение энергоэффективности и надежности эксплуатации — не менее важная проблема, будоражащая умы инженеров на протяжении последних лет.

В своей практике проектирования и строительства мы стараемся применять самые современные, но при этом проверенные и надежные решения. Не так давно к нам пришли два производителя решений для управления и мониторинга работы инженерной инфраструктуры с применением машинного обучения. Мы изучили техническую документацию, совместно со специалистами производителей проанализировали подходы, технологии, применяемые в решениях, алгоритмы и модели, лежащие в основе. В этой статье я расскажу о нашем опыте исследования этих продуктов, их применимости и потенциале для внедрения на реальных площадках.

Привет, Хабр!

Мы, сервисные инженеры, сталкиваемся с GRUB2 ежедневно. А вот когда стало любопытно посмотреть на загрузчик комплексно, то в интернете и в учебнике Linux нашли лишь несколько команд: как заново проинсталлировать загрузчик и обновить текущую конфигурацию. «А почему так мало?», — была наша первая мысль.  Решили восполнить пробел — так появилась эта статья. А для иллюстрации попросили нейросетку изобразить, «как выглядят эпичные проблемы с GRUB» -- вот что вышло.

В среду 29 мая мы провели ML2Business — первую конференцию от Yandex Cloud, посвящённую кейсам применения GenAI, NLP, CV и других технологий ML в бизнесе.

Реальный опыт внедрения машинного обучения был представлен в двух треках: GenAI&NLP и GenAI&CV. Их программа была полностью посвящена историям использования ML в разных компаниях. В этой статье мы собрали инсайты спикеров из компаний «Инфосистемы Джет», «ВкусВилл» и Банки.ру, которые могут быть интересны техническим специалистам.

Привет, Хабр! Меня зовут Тимофей, я работаю в центре информационной безопасности «Инфосистемы Джет» и параллельно преподаю на родной кафедре ИБ в одном из региональных вузов уездного (по моему субъективному мнению) города N. Раньше мне казалось, что совмещать и то и другое — невозможно. И честно, я до сих пор учусь выстраивать баланс между работой, личной жизнью и преподаванием. Думаю, многие меня понимают.

Впервые я задумался о преподавании, когда учился в бакалавриате. Мне хотелось больше практики и казалось, что часть получаемой информации давно устарела. Поэтому я старался уделять больше времени самообучению и не унывать, что вроде бы правильно, но, с другой стороны, опытный наставник сможет гораздо быстрее привести к успеху и рассказать обо всех нюансах. Тогда я подумал, что было бы здорово стать для нового поколения тем самым наставником.

Поработав в боевых условиях больше трех лет как на производстве, так и в ИТ-компании, я понял, какого материала и заданий не хватало в вузе, и вернулся на кафедру, чтобы помочь студентам быстрее освоиться в профессии. Рассказываю, что из этого вышло.

Уже давно при интерактивной инсталляции RHEL/CentOS/Rocky и других дистрибутивов сразу после завершения процесса нам предлагают сконфигурировать Kdump. Некоторые инженеры от предложения отказываются – и зря. Участок резервируемой памяти не такой уж и большой, а при паниках системы или же зависаниях возможность создать дамп критически важна. Возникают неприятные ситуации, когда этот файл просто необходим. Случилась такая и у нас. Поэтому мы решили написать эту статью – о сrashdump’е и о том, для чего Kdump в Linux, как его правильно готовить и как с минимальными затратами подготовить стенд для последующего анализа дампов.

В глазах рябит, в горле хрип, бэкап не пишется… Ничего не получается! Зачем я вообще за это взялся? Как так вышло, что я с ангиной сижу за 5 тысяч километров от дома и раз за разом натыкаюсь на разбросанные вокруг грабли? Наверное, стоит начать с самого начала.

Один из наших заказчиков пришел к нам с запросом по комплексному импортозамещению — требовалось организовать переход на новую службу каталогов. В качестве основного решения по замене была выбрана система ALD Pro. Но по ходу проработки решения мы столкнулись с рядом сложностей. Самые большие из них были связаны с заменой компонентов AD FS и публикацией веб-сервисов с помощью WAP. В этом посте рассказываем, как мы решали эту задачу.

Привет, Хабр! Меня зовут Никита, я пентестер, специализируюсь на веб-тестировании. Наверняка многие из вас задумывались о подтверждении своей экспертизы с помощью некоторых сертификаций. Сегодня хочу поговорить о популярной сертификации от академии PortSwigger — BSCP, посвященной тестированию веб-приложений. Прежде чем приступить к изучению материалов для подготовки к BSCP, я уже имел хорошее представление об основных веб-уязвимостях из списка OWASP TOP-10. Также я знал, как эксплуатировать базовые уязвимости, такие как SQL-injection, XSS, Server-Side Template Injection и многие другие. Но на одном из этапов я задался вопросом: как всё-таки к нему эффективно подготовиться?

В этой статье я поделюсь лайфхаками по подготовке к сертификации, покажу, как может помочь встроенный в Burp Suite сканер уязвимостей, и подробно разберу каждый из этапов самого экзамена.

Привет, Хабр!

Типичная проблема: компании часто сами не подозревают, какие ресурсы у них могут «торчать наружу». А раз их может нарыть потенциальный злоумышленник — это проблема. На пентестах внешнего периметра не всегда сразу доступен полный скоуп IP-адресов, доменов и поддоменов. В таких случаях нам, пентестерам, приходится recon-ить все ресурсы компании. Ну и конечно же, чем больше скоуп, тем больше Attack Surface, тем больше потенциальных файндингов, в итоге — больше вероятность пробива периметра.

Под катом разберемся, что с этим делать.

Ровно десять лет назад, 2 апреля 2014 года, мы завели техноблог на Хабре. За это время мы опубликовали 500 статей, 100 новостей, дважды стали спонсорами «Технотекста» и получили награду «Лучший блог». Многие из тех, кто написал первые тексты, работают с нами до сих пор.

Мы решили поностальгировать — собрали ТОП лучших статей за всё время. Пользуясь случаем, хотим сказать спасибо всем неравнодушным, кто читает и поддерживает наш блог. Дальше — больше!

Привет, Хабр!

О том, как правильно готовить кластеризацию для PostgreSQL, написано уже достаточно. А потому сегодня вашему вниманию предлагается небольшой сборник рекомендаций, как администратору СУБД под управлением Patroni гарантированно проснуться в три часа ночи от звонка из отдела мониторинга.

Полезного контента по проекту MITRE ATT&CK в сети огромное количество, с чего начать новичку? Чтобы сократить время на поиск и чтение (зачастую перепечатанного друг у друга материала), я собрал и агрегировал статьи, видео и книги, чтобы вы могли последовательно познакомиться с проектом.

Хабр, привет!

Сегодня поговорим о чистке ленточных приводов — драйвов. Этот вопрос частенько оставляют без внимания, а между тем от этого зависит стабильность работы СРК и срок службы самих приводов.

Сначала в формате вопрос-ответ разберем частые ошибки, которые допускают администраторы, почему так происходит и к чему это ведет, а потом погрузимся в увлекательный мир документации от HPE :)

Анализ воздействия на бизнес (BIA, Business Impact Analysis) — один из фундаментов управления непрерывностью бизнеса, который, как кажется, позволяет решить основные вопросы: оценить потери от простоя критичных процессов, выделить эти критичные процессы, узнать, от чего зависит их непрерывное функционирование и какие требования выдвигаются к обеспечивающим ресурсам со стороны бизнеса. В конечном итоге именно благодаря BIA (а не методу «трех П» — пол-палец-потолок) мы можем получить обоснованную бизнесом оценку целевого времени восстановления (RTO) и целевой точки восстановления (RPO) для информационных систем. Без BIA невозможно внедрение и дальнейшее эффективное развитие системы управления непрерывностью деятельности в компании, подготовка стратегии реагирования, Business Continuity и Disaster Recovery планов.

В статье мы рассмотрим наиболее часто встречающиеся на практике вопросы и трудности, которые могут помешать достигнуть лучших результатов при проведении BIA и анализе бизнес-функций, и разберемся, как же решать такие кейсы, чтобы и целей достигнуть, и удовольствие от процесса получить!

Недавно решая проблему заказчика – крупного ритейлера, мы значительно ускорили работу одного из процессов, реализованных в SAP ERP. Периодически задания по загрузке цен работали ооооооооооооооооооооооооооочень медленно, причем задержка составляла не каких-нибудь 10 минут, а могла доходить до нескольких часов.

Для сравнения приводим два скрина. На первом отображено нормальное время выполнения задачи:

Привет, Хабр. Меня зовут Виктор, я работаю в компании «Инфосистемы Джет» пентестером и активно играю на киберполигоне Standoff 365 под ником VeeZy. Сегодня я хочу поделиться с тобой, на мой взгляд, самым красивым критическим событием, которое есть на платформе!

Инцидент, который мы реализуем, называется «Оплата товаров по QR-кодам за счет украденных средств», и за него можно получить 7500 баллов.

Взлом новостного портала, путешествие в страну Kubernetes, кража денежных средств с клиентских счетов, и это далеко не всё! Разумеется, это всё в рамках закона и служит исключительно в образовательных целях! Устраивайся поудобней, а мы начинаем.

Пришёл ученик к мастеру. И спросил:
— Что вы делали до просветления? Как жили?
Мастер ответил:
— Колол дрова, носил воду, готовил еду.
— А что вы делаете после просветления?  — спросил ученик.
— Колю дрова, ношу воду, готовлю еду,  — ответил мастер.
— А что изменилось?
— Да всё!

Как и любой уважающий себя инженер, в детстве я любил конструкторы и всякого рода головоломки. Не растерял я эту любовь и сейчас, правда, на смену простеньким детским головоломкам пришли сложные программные системы. Как Lead Data Scientist я решил автоматизировать процессы в разработке для себя и своей команды. Изучил десяток различных MLOps-инструментов, дело оставалось за малым — соединить их в одну общую удобную систему. Вот только этот конструктор отказывался легко собираться…

В этом посте я буду говорить в первую очередь об Open Source решениях в мире MLOps. Статья будет в меньшей степени практической, но в конце я разберу существующие открытые MLOps-системы и подведу итоги. Я хочу показать существующую проблему несовместимости, порассуждать, в чем причины ее возникновения, и можно ли ее преодолеть. Мы не будем разбирать полный цикл автоматизации, а задержимся только на вопросах автоматизации пайплайна обучения модели и инструментах организации разработки в команде.

Хабр, привет! В прошлом году мы решили взять курс на развитие в направлении частных сетей сотовой связи. Чтобы нарастить компетенции в этой области и в будущем легко демонстрировать заказчикам, что такое частная LTE-сеть, мы купили в свою лабораторию полнофункциональный тестовый стенд.

Под катом рассказываем, как мы развернули демостенд, который можем привезти к заказчику в любую точку мира и показать на примере, как работает частная сеть LTE.