Привет! Каждый день у меня есть 45 минут сидя стоя в метро на новости/аналитику/книги, чтобы не отставать от того, что происходит в сфере кибербезопасности. И так как в моих сутках, как и у всех, 24 часа, приходится выбирать тот контент, который успеваешь «переварить», а не просто помечать как прочитанное или помещать канал в «архивные» до лучших времен (которые с момента создания этого архива так и не настали).

Количество новостных ресурсов в ИБ давно перевалило за сотни, а аналитические выкладки и книги выходят еженедельно — на что из этого потратить драгоценное время?

Я подготовил небольшой список материалов как для начинающих, тех, кто хочет быстро погрузиться в направление «кибербезопасность», так и для «продолжающих» специалистов. Данный список не претендует на полноту и уникальность, но он помогает мне хорошо решать конкретные профессиональные задачи и быть в курсе важного.

Привет, Хабр. Меня зовут Виктор, я работаю в компании «Инфосистемы Джет» пентестером и активно играю на киберполигоне Standoff 365 под ником VeeZy. Сегодня я хочу поделиться с тобой, на мой взгляд, самым красивым критическим событием, которое есть на платформе!

Инцидент, который мы реализуем, называется «Оплата товаров по QR-кодам за счет украденных средств», и за него можно получить 7500 баллов.

Взлом новостного портала, путешествие в страну Kubernetes, кража денежных средств с клиентских счетов, и это далеко не всё! Разумеется, это всё в рамках закона и служит исключительно в образовательных целях! Устраивайся поудобней, а мы начинаем.

Основная опасность бэкдоров заключается в том, что их очень сложно вычислить — это не вложенный кусок вредоносного кода, а зашитый при обучении модели паттерн поведения. Open Source модели или даже модели, которые были разработаны для заказчика «вовне», могут быть опасны тем, что они содержат подобные уязвимости. Зачем они нужны и что из себя представляют, рассказывают дата-сайнтисты «Инфосистемы Джет».

Привет, Хабр! Меня зовут Никита, я пентестер, специализируюсь на веб-тестировании. Наверняка многие из вас задумывались о подтверждении своей экспертизы с помощью некоторых сертификаций. Сегодня хочу поговорить о популярной сертификации от академии PortSwigger — BSCP, посвященной тестированию веб-приложений. Прежде чем приступить к изучению материалов для подготовки к BSCP, я уже имел хорошее представление об основных веб-уязвимостях из списка OWASP TOP-10. Также я знал, как эксплуатировать базовые уязвимости, такие как SQL-injection, XSS, Server-Side Template Injection и многие другие. Но на одном из этапов я задался вопросом: как всё-таки к нему эффективно подготовиться?

В этой статье я поделюсь лайфхаками по подготовке к сертификации, покажу, как может помочь встроенный в Burp Suite сканер уязвимостей, и подробно разберу каждый из этапов самого экзамена.

Мне давно хотелось написать пост о том, как в тридцать лет, с образованием в совершенно «гуманитарной сфере» и изрядным опытом работы по специальности, я придумала, кем хочу стать, когда вырасту. И вот мне тридцать четыре, и уже пару лет как я работаю дата-сайнтистом — это оказалось работой моей мечты (конечно, если в сорок лет не наступит пора пересмотреть интересы! ;).

Решив поменять сферу деятельности, я прочитала много таких рассказов и поняла: универсального рецепта нет. Тем не менее, мне всё еще хочется поделиться своей историей — вдруг она кого-то вдохновит?

Итак, мне двадцать восемь, и полгода назад родилась дочка. «Какая-то ты грустная, — сказал мой муж, сам программист. — Может быть, тебе изучить какой-нибудь язык программирования, чтобы развеселиться?» О том, чтобы сменить профессию, речи пока не шло — просто немного хобби, какой-нибудь язык, полезный в моей основной работе — социологических исследованиях.

В новый год с новыми старыми уязвимостями! 25 января командой Qualys был опубликован отчет об уязвимости класса memory corruption (https://cwe.mitre.org/data/definitions/787.html) в утилите pkexec из компонентов Polkit (бывший PolicyKit). Успешная эксплуатация уязвимости может привести к получению root-привилегий у аутентифицированного локального непривилегированного атакующего (Local Privilege Escalation aka LPE). При этом совсем не важно, запущен демон polkit или нет — для эксплуатации важно наличие уязвимого компонента в системе. Центр мониторинга и реагирования на инциденты информационной безопасности Jet CSIRT компании «Инфосистемы Джет» проанализировал доступную информацию об уязвимости и вывел рекомендации по ее обнаружению и устранению. Добро пожаловать под кат!

Дата-сайнтисты в «Инфосистемы Джет» делают масштабные крутые проекты, которые помогают крупным компаниям получать прибыль. Сегодня мы решили обсудить, какие проекты интересно было бы сделать при наличии свободных ресурсов. Просто for fun или в благих целях.