В статье разберем, какой импакт атакующие могут получить, используя SSTI (server-side template injection) в пяти самых популярных шаблонизаторах для Python: Jinja2, Django Templates, Mako, Chameleon, Tornado Templates. Отметим, что это не новый ресерч с rocket-science-векторами, а анализ работы уже известных PoC и разбор улучшений части из них, которая может быть полезна при тестировании. Приятного прочтения!
Я Диана, системный аналитик в Clevertec и экс-преподаватель. В этой нескучной лекции расскажу:
- Что такое Keycloak и для чего он нужен?
- Как Keycloak помогает с межсистемной аутентификацией?
- Какие плюсы и минусы у Keycloak при использовании в продакшене?
- Какие альтернативы есть у Keycloak?
Всем привет! В этой статье я расскажу о том, как можно использовать AmneziaVPN на AndroidTV. При этом совершенно не важно для чего вы ее используете: для Self-hosted VPN, для AmneziaPremium, или с какими-то другими ключами. Лично у меня была и премиум подписка и мой личный VPN на собственном сервере с X-Ray.
Приветствуем дорогих читателей! Продолжаем рубрику посвящённую разбору различных инструментов, атак и уязвимостей на беспроводные технологии. Данную статью мы посвящаем уязвимости в Bluetooth CVE-2023-45866, которая была нами затронута в одной из предыдущих статей. Рассмотрим некоторые инструменты которые успели создать под эксплуатацию данной уязвимости.
Дисклеймер: Все данные, предоставленные в статье, взяты из открытых источников. Не призывают к действию и предоставлены только для ознакомления и изучения механизмов используемых технологий.
Всех приветствую, читатели Хабра!
Пятая часть анализа защищенности, правда в этот раз системы (серверной) Vulnhub. Да в этот раз, я поднял целую ОС на virtualbox, а не докер контейнер, соответсвенной в этой статье совершенно иной метод виртуализации, и соответственно способ атаки. Соответственно в этой части я расскажу где скачать данную ОС, как ее запустить, как атаковать, и как получить доступ. Однако как и предыдущие примеры, эта система так же относится к Vulnhub. И да, сразу скажу, что при атаке я опирался на статьи, написанные в зарубежных сегментах интернета (на английском языке), и здесь я делюсь своим опытом.
Всем привет! Время освежить в памяти ключевые ИБ-события прошлого месяца. Главным, несомненно, стал Signalgate от высших должностных лиц США, встряхнувший и без того бурлящее болото штатовской политики. А в инфобез-отношениях между Америкой и Россией также наметились сдвиги.
В марте российская криптобиржа Garantex была перехвачена ФБР, а её сооснователь арестован. Ключевого разработчика LockBit выслали в США. 23andMe и Pokemon Go уходят с молотка вместе с данными пользователей. А ИИ-модели отметились в нескольких крупных инфоповодах — от раскрытия уязвимостей до выполнения сценариев атак с нуля. Об этом и других интересных новостях марта читайте под катом!
Понимаю, что тема с краю от Хабра стоит, но все же как сценарий для служб безопасности, да и процедур контроля ОЗОНА и МТС - имеет место быть. Да и лишний раз предупредить тоже стоит!
Звонок от «Технический отдел» с телефона +7 (924) 420-64-71 (по whatsup)
Уже это должно было насторожить, но отвечаю:
- Служба доставки ОЗОН, могу быть у вас через 10-15 минут, вы по адресу доставки?
Немного торможу, вспоминая что я мог заказать (вроде было что-то) но больше удивило что доставка домой курьером, хотя всегда делаю в пункт выдачи. Домой – так домой. Кладу трубку.
Через несколько минут повторный вызов:
- простите, вам должны были выслать код от службы доставки Roolz (в whatsup). Можете его озвучить?
- нет, там написано, чтоб я никому не говорил.
Действительно, пришло сообщение от Roolz (номер +370 682 70239) https://roolz.net
- ой, я вас понимаю, но что мне делать, я не могу взять посылку без него.
- называю номер (все же whatsup, что могло не так пойти?) и спрашиваю, а по какому адресу вы будете доставлять?
Дальше идет какое-то замешательство, я сейчас уточню и делает вид, что ставит меня на удержание, а сам демонстративно:
- Вань, а тут его на удержание поставил, проверь, подошел ли код. – Да, подошел! – Можешь тогда действовать!
Тут я немного офигел. Тут же положил трубку, вошел на госуслуги и поменял пароль (хотя, ничего по факту делать не надо было). Там же на гос услугах теперь есть услуга – «Сообщить о подозрительном звонке», заполнил заявление.
В этот момент мне приходит sms : «Был произведен вход в ваш аккаунт на портале Гос. Услуг. Если это не ваши действия, пожалуйста, сообщите по телефону: +79855482864
Попасть на OFFZONE с докладом не самая простая задача. Каждый год мы получаем вопросы: как работает CFP? какие темы лучше выбирать? как правильно подать заявку? что получат спикеры?
Мы поговорили с оунерами тематических зон и участниками CFP-комитета, собрали их ответы в статью. Если хотите выступить на конференции, советуем почитать.
За последние годы стеганография прошла путь от простых методов сокрытия информации до сложных алгоритмов, использующих особенности человеческого восприятия. В прошлой статье я разобрал основы стеганографии и методы атак на стегосисистемы, а сегодня расскажу о семи ключевых способах встраивания секретных данных в видеопоток.
Мы детально рассмотрим технические особенности каждого метода: от классической замены наименее значащего бита до современного алгоритма Куттера-Джордана-Боссена.
В статье я представлю математический аппарат для оценки эффективности различных методов, включая формулы расчета пропускной способности и критерии оценки стойкости к атакам. Также поговорим о том, как выбрать оптимальный метод под конкретные задачи.
Материал будет полезен разработчикам систем защиты информации, специалистам по обработке цифровых сигналов и всем, кто интересуется современными методами сокрытия данных в мультимедийном контенте.
С начала 2025 года специалисты Threat Intelligence компании F6 зафиксировали более чем двукратный рост числа веб-шеллов, выставленных на продажу после загрузки на сайты в доменной зоне .by, по сравнению с аналогичным периодом 2024 года. Подробнее об этой тенденции, обнаруженной на теневом рынке в первом квартале 2025 года, рассказал аналитик Threat Intelligence компании F6 Владислав Куган.
ГОСТ Р 56939-2024 описывает общие требования к процессам разработки безопасного ПО – от образования, до технической поддержки, от статического, до динамического анализа, однако особое внимание уделяется определению поверхности атаки, то есть поиску множества потенциально уязвимых функций и модулей ПО, занимающихся обработкой пользовательских данных или чувствительной информации, а также интерфейсов, через которые эти данные поступают.
Обычно поверхность атаки определяют экспертным методом, однако тут же возникает вопрос полноты этого метода: что если эксперт пропустил действительно важные функции, участвующие в обработке данных, поскольку ПО имеет распределенную архитектуру, за потоком данных которой очень сложно следить извне, или выбрал такие функции для фаззинга, которые даже не задействованы при обработке пользовательских данных? Какие тогда функции выбирать?
Киберугрозы 2025: что нас ждет и как защититься?
ИИ против ИИ, атаки на критические отрасли, хаос в цепочках поставок и размытые границы между хакерами, шпионами и активистами — мир кибербезопасности меняется.
В 3-й части отчета CyberProof — самые актуальные прогнозы и четкие рекомендации: как выжить в этой новой цифровой реальности и сохранить бизнес на плаву.
Киберугрозы в 2024: взломы, которые пришли не снаружи, а через тех, кому вы доверяете:
Цепочки поставок под прицелом — рост атак на 68%
Взлом Polyfill.io, атака на Snowflake, кампания Volt Typhoon
Удар по критической инфраструктуре, облакам и DevOps
Злоумышленники теперь не ломают двери — они входят по пропуску. Узнайте, почему в 2025 кибербезопасность цепочек поставок станет серьезным фронтом войны в цифре.
Рекордные атаки, миллионы потерь, хаос в больницах — вымогатели снова диктуют правила. Кто стоит за крупнейшими киберинцидентами 2024 года? Почему здравоохранение оказалось под ударом? Как APT‑группы и ransomware‑операторы объединяют усилия?
450 миллионов долларов дохода, разрушенные инфраструктуры, срыв операций по всему миру — первая часть глобального отчета от CyberProof уже здесь.
Можно ли защитить данные без шифрования? В 2025 году, когда алгоритмы устаревают, квантовые вычисления наступают, а большинство утечек происходят из-за человеческого фактора, этот вопрос становится не праздным, а стратегическим. В статье — альтернативные подходы, неожиданные решения, боевые кейсы из реальных проектов, рабочие примеры кода и личный опыт внедрения защиты данных там, где шифрование либо неуместно, либо недостаточно. Будет нестандартно, местами — на грани костылей, но всё по делу.
Всем привет! Мы уверены, что среди читателей Хабра точно найдутся любители аниме. В последние годы в России под удар попали не только новостные сайты и соц. сети, но и разные видео-хостинги. В том числе регулярно блокируются сайты с аниме-контентом и фанфиками, ссылаясь на обвинения во «вреде для психики» и «пропаганде».
Для миллионов людей аниме — это целая культура, глубокий мир историй и эмоций, возможность увидеть альтернативные взгляды и вдохновение.
Мы считаем несправедливыми подобные ограничения, поэтому добавили поддержку некоторых популярных аниме-сайтов в наш бесплатный VPN - Amnezia Free.
Ниже представлен список сайтов, на которых снова можно будет смотреть аниме.
ChatGPT — не просто языковая модель. Это полноценная система с внутренней архитектурой модерации, фильтрации и самопроверки, ориентированной на контроль за безопасностью контента. Но что происходит внутри, когда ты отправляешь свой запрос? Можно ли повлиять на результат? Что именно определяет, дойдет ли ответ до тебя — или его заблокирует фильтр? Как можно его обойти? Спойлер - можно.
Выбор технологического стека для проекта — это важное решение, которое всегда имеет последствия. В больших корпорациях (в особенности) такой выбор зачастую предполагает, что придётся долгие годы придерживаться запланированного, и этот выбор в долгосрочной перспективе скажется на всей дорожной карте проекта, темпах его развития, качестве готового материала и даже на том, насколько успешно удастся собрать команду, поддерживать её целостность, а внутри команды — здоровый микроклимат.
Принципиальным решением всех этих проблем является опенсорсная модель разработки ПО. Если вы пользуетесь софтом, который разрабатывается открыто, то вы (как и кто угодно другой) вправе расширять или модифицировать его на ваше усмотрение, так, как того требует практика. Ещё важнее, что опенсорсное программное обеспечение легко портируется, и именно поэтому разработчики и организации вольны переносить свою инфраструктуру от провайдера к провайдеру, не опасаясь впасть в зависимость от конкретного поставщика.
Именно такие ожидания я связывал с Next.js — опенсорсным фреймворком для веб-разработки, созданным и управляемым компанией Vercel. Vercel — это облачный провайдер, предлагающий управляемый хостинг Next.js как услугу.
Привет, Хабр! Мы продолжаем серию обзоров законов, приказов, постановлений и инициатив регуляторов, касающихся информационной безопасности. В этой статье – о том, что изменилось в ИБ-регулировании с начала 2025 года.
