| Date | Title | Description |
| 12.11.2024 | The Evolving Landscape of Cybersecurity: A Deep Dive into OSINT and AI Defense Mechanisms | In the digital age, information is power. Cybersecurity is the fortress that protects this power. As threats evolve, so must our defenses. Two critical components in this landscape are Open Source Intelligence (OSINT) and advanced AI defens... |
| 12.11.2024 | Operant AI launches 3D Runtime Defense Suite for enhanced AI application security
Your vote of support is important to us and it helps us keep the content FREE.
One click below supports our mission to... | Runtime application protection platform startup Operant AI Inc. today announced the launch of 3D Runtime Defense Suite, a suite that brings together discovery, detection and defense capabilities in real time to protect every layer of live c... |
| 11.11.2024 | Хитрости Красной команды | Введение
Пассивная разведка (OSINT)
Сосредоточьтесь на сборе информации о целевой компании и её сотрудниках. Ресурсы, которые могут быть полезны для этого (подробное объяснение приведено в разделе "ИНСТРУМЕНТЫ И МЕТОДЫ" ниже):
Веб... |
| 06.11.2024 | Начинаем в багбаунти: доступно об уязвимостях типа Broken Access Control | Привет, меня зовут Александр (aka bytehope). Прежде чем прийти к багхантингу, я пять лет занимался коммерческой разработкой. Однако меня всегда больше интересовал поиск уязвимостей, поэтому сейчас свое свободное время я провожу на площадках... |
| 01.11.2024 | Охота за (не)аутентифицированным удалённым доступом в роутерах Asus | Почитав в сети подробности о нескольких обнародованных критических CVE, связанных с маршрутизаторами Asus, мы решили проанализировать уязвимую прошивку этих устройств и, быть может, написать подходящий эксплойт «n-day». В итоге в процессе п... |
| 31.10.2024 | Zenity Secures $38 Million to Fortify Agentic AI Security | In the fast-paced world of technology, securing artificial intelligence is like building a fortress around a treasure. Zenity, a Tel Aviv-based company, has just raised $38 million in Series B funding, pushing its total capital to $55 milli... |
| 31.10.2024 | Zenity: Agentic AI Company Raises $38 Million (Series B) | Agentic AI Zenity (see Pulse 2.0 profile here) announced they received $38 million in Series B funding co-led by Third Point Ventures and DTCP, raising the total to over $55 million. This follows the recent strategic investment by Microsoft... |
| 30.10.2024 | Путь к мастерству: Как стать успешным разработчиком | 👩💻 Программирование — это путь, полный вызовов и возможностей для роста. Я начал этот путь в 2010 году как Junior-разработчик и на данный момент достиг позиции Tech Lead, продолжая развиваться в профессии. Накопленный опыт позволяет мне с ... |
| 29.10.2024 | The Thrill of the Hunt: Navigating the Bug Bounty Landscape | In the digital age, vulnerabilities lurk in every corner of the internet. Bug bounty programs are the modern-day treasure hunts, where ethical hackers seek out these hidden flaws for rewards. This article dives into the world of bug hunting... |
| 29.10.2024 | Navigating the Minefield of Mobile App Security: A Deep Dive into Vulnerabilities and Permissions | In the digital age, mobile applications are the lifeblood of our daily interactions. They connect us, entertain us, and manage our lives. But lurking beneath the surface of convenience lies a dark underbelly of security vulnerabilities. As ... |
| 29.10.2024 | Zenity Raises $38 Million Series B Funding Round to Secure Agentic AI | Latest investment will accelerate company’s work to drive business productivity securely
Zenity, the leader in securing agentic AI, today announced they have received $38 million in Series B funding co-led by Third Point Ventures and DTCP, ... |
| 29.10.2024 | Another client side: безопасность мобильных приложений глазами атакующего | Привет, Хабр! Сегодня я хочу рассказать про безопасность мобильных приложений со стороны атакующего.
Мобильные приложения активно используют данные, а значит, нуждаются в грамотной защите. Поэтому за последние несколько лет значительно выро... |
| 27.10.2024 | Как я получил $5000 за Out-of-Scope XSS | Несколько месяцев назад я получил приглашение участвовать в частной программе bug bounty на платформе HackerOne. Сначала я провел свои обычные тесты и обнаружил различные уязвимости, такие как недостаток управления доступом (BAC), утечка ав... |
| 21.10.2024 | It’s time for API edge security | As API use proliferates across sectors, security challenges have become a critical focus for cybersecurity. Content Delivery Networks (CDNs) were once a primary solution for improving performance by caching static content closer to users, y... |
| 15.10.2024 | The Silent Threat of Cache Poisoning: Understanding and Mitigating Risks | In the digital landscape, speed is king. Web caching serves as the turbocharger for online experiences, allowing users to access data swiftly. However, this convenience comes with a dark side: cache poisoning. This insidious attack can comp... |
| 15.10.2024 | Атаки на веб-кэширование. Отравление кэша: теория и практика | Кэширование — это эффективное архитектурное решение, которое сегодня используется на всех уровнях вычислительных систем, начиная от кэша процессора и жесткого диска до кэша веб-сервера и обратных прокси-серверов. Именно о последних пойдёт р... |
| 08.10.2024 | Опыт внедрения практик AppSec/DevSecOps | Процессы разработки должны быть построены так, чтобы гарантировать предсказуемый уровень безопасности продукта на выходе. Именно с такой идеей мы приступали к модернизации наших внутренних процессов в «ЛАНИТ ― Би Пи Эм».
Мы провели исследов... |
| 03.10.2024 | Standoff-онбординг: знакомство, фишинг и взлом внешнего периметра | Привет, Хабр! Если вы это читаете — значит, вы интересуетесь кибербитвой Standoff. Эта статья первая из цикла, цель которого познакомить с платформой всех, кто мечтает поучаствовать в кибербитве впервые. Интересно будет и матерым игрокам — ... |
| 01.10.2024 | WAF для Вебсокетов: рабочее решение или иллюзия? | Есть мнение, что в силу особенностей вебсокетов, WAF не может их нормально анализировать и защищать. Давайте попробуем разобраться, насколько это утверждение справедливо.
Сперва несколько слов о том что есть вебсокет и где он применяется.Кр... |
| 17.09.2024 | Где и как искать этот ваш SSRF: первые шаги в багхантинге | Привет, меня зовут Олег Уланов (aka brain). Я занимаюсь пентестами веб-приложений и активно участвую в багбаунти, зарабатывая на чужих ошибках. Свой путь в наступательной безопасности я начал совсем недавно, но, несмотря на это, меньше чем ... |
| 15.09.2024 | Безопасность приложений больших языковых моделей (LLM, GenAI) | OWASP Top 10 для приложений LLM и GenAI: Руководство для разработчиков и практиков
Откройте для себя OWASP Top 10 для LLM и GenAI и изучите основные стратегии защиты ваших моделей и приложений искусственного интеллекта.
Появление больших яз... |
| 10.09.2024 | The Intersection of Security and API Management: A New Era for SOCs | In the digital landscape, APIs are the lifeblood of connectivity. They allow applications to communicate, share data, and perform tasks seamlessly. However, with great power comes great responsibility. As organizations increasingly rely on ... |
| 10.09.2024 | The Dark Side of Containers: Navigating Security Risks in Docker Environments | In the world of modern IT, containers are the sleek ships that carry applications across the turbulent seas of infrastructure. Docker containers, in particular, have become the go-to choice for developers seeking agility and flexibility. Ho... |
| 10.09.2024 | Navigating the Stormy Seas of Kubernetes Secrets Management | In the vast ocean of cloud computing, Kubernetes stands as a mighty vessel. It offers flexibility and scalability, but it also brings challenges, especially in managing secrets. Secrets are like treasure chests; they hold valuable informati... |
| 10.09.2024 | Redis: The Double-Edged Sword of In-Memory Databases | Redis is a name that echoes in the corridors of tech innovation. It’s a beacon for developers seeking speed and efficiency. But like a double-edged sword, it has its complexities. This article dives into the heart of Redis, exploring its st... |
| 10.09.2024 | WAF: интеграция в SOC через SIEM или ASOC? (Часть 2) | Преимущества интеграции SOC и WAF для мониторинга API
Здесь бы хотелось рассказать, как быть с событиями которые показывают аномалии в API и как использовать эти события при интеграции с SIEM-системами. Тут мы с Сергеем попробовали разобрат... |
| 06.09.2024 | Топ 10 аномалий в поведении пользователей на рабочих станциях в части кибербезопасности | Всем привет!
Очень часто, когда к нам в DEF.HUB приходят новые запросы на мониторинг рабочих станций в части кибербезопасности, мы сталкиваемся с вопросами о минимальных гигиенических контролях безопасности, которые можно внедрить для польз... |
| 05.09.2024 | Темные стороны контейнеров: риски и меры безопасности | Гайнуллина Екатерина, инженер по информационной безопасности отдела развития Security VisionВведение
Контейнеры Docker давно стали неотъемлемой частью современных IT-инфраструктур благодаря своей легкости и гибкости. Однако, несмотря на все... |
| 05.09.2024 | Актуальные угрозы безопасности в Large Language Model Applications | Привет, Хабр! Меня зовут Артем Бачевский. Я был разработчиком, архитектором, потом перешел в отрасль информационной безопасности. Эта статья — переработка моего доклада с Saint HighLoad++, так что простите за мой французский. Там я рассказы... |
| 02.09.2024 | CDNetworks Survey Unveils Critical Gaps in Cybersecurity Preparedness That Might Be Putting Businesses at Risk | SINGAPORE, Sept. 2, 2024 /PRNewswire/ -- A significant number of businesses in Southeast Asia remain unprepared for the rapidly evolving cybersecurity threats. This is one of the critical insights from the "State of Cloud Security: Are... |
| 01.09.2024 | Bridging the Gap: From YouTube to Telegram with FYTT Bot | In a digital landscape where platforms constantly evolve, the need for seamless connectivity becomes paramount. Enter FYTT, a Telegram bot designed to bridge the gap between YouTube subscriptions and Telegram channels. This innovative tool ... |
| 01.09.2024 | The Rise of Telegram Bots: A New Era in Communication | In the digital age, communication is evolving faster than ever. Telegram, a messaging app that has gained immense popularity, is at the forefront of this transformation. Its unique feature? Bots. These automated assistants are reshaping how... |
| 01.09.2024 | Как удалить JavaScript из файлов PDF | Как известно, внутри файлов PDF можно размещать скрипты JavaScript, которые будут запускаться на исполнение в браузере. Например, если загрузить этот PDF, то вы увидите результат выполнения скрипта:
Это стандартная функция формата. Все разр... |
| 29.08.2024 | Практическая реализация современной аутентификации на платформе .NET: OpenID Connect, шаблон BFF и SPA | Введение
В последние годы протоколы аутентификации OAuth 2.0 и OpenID Connect значительно изменились. Вслед за развитием интернет-технологий и эволюцией угроз, некоторые методы аутентификации, изначально разработанные для веб-приложений, по... |
| 26.08.2024 | Управление безопасностью приложений: всем выйти из сумрака | Всем привет. И вновь на связи Светлана Газизова, директор по построению процессов DevSecOps в Positive Technologies. Ранее я уже рассказывала о том, кто такой специалист по безопасной разработке в рубрике Positive Education «Топ-10 професси... |
| 15.08.2024 | Внедряем DevSecOps в процесс разработки. Часть 4. Этап Test-time Checks, обзор инструментов | Привет! На связи Олег Казаков из Spectr.
В предыдущей части статьи я рассказал о контроле безопасности артефактов сборки в процессе проверки на безопасность. Сегодня поговорим о следующем этапе DevSecOps — Test-time Checks. Цель Test-time C... |
| 13.08.2024 | The Silent Threat of Charset Misconfiguration in Web Security | In the vast landscape of web security, small oversights can lead to catastrophic vulnerabilities. One such oversight is the charset attribute in HTTP responses. It may seem trivial, but its absence can open the door to Cross-Site Scripting ... |
| 10.08.2024 | Атрибут charset и важность его использования | Какие предположения можно сделать относительно следующего HTTP ответа сервера?
Глядя на этот небольшой фрагмент HTTP ответа, можно предположить, что веб-приложение, вероятно, содержит уязвимость XSS.
Почему это возможно? Что обращает на себ... |
| 08.08.2024 | Dr. Obadare Peter Adewale Appointed Professor of Practice at Miva Open University | LAGOS; AUGUST 08, 2024: The Founder and Chief Visionary Officer, Digital Encode Limited, Forbes Best of Africa Outstanding Digital Trust Leader, Dr. Obadare Peter Adewale, has been appointed as the first Professor of Practice (Cybersecurity... |
| 06.08.2024 | Qualys launches TotalAI to tackle LLM cybersecurity risks | Qualys has announced the release of Qualys TotalAI, a new solution aimed at addressing the critical risks associated with large language model (LLM) applications, including prompt injection, sensitive information disclosure, and model theft... |
| 01.08.2024 | WAF или не WAF? Дайте два! Решаем вопрос защиты веб-приложений | Всем привет. Меня зовут Аскар Добряков, я ведущий эксперт направления защиты бизнес-приложений. Уже больше 15 лет занимаюсь ИБ и три из них –– защитой веб-приложений. За это время я часто сталкивался с неоднозначным отношением коллег к Web ... |
| 30.07.2024 | MLSecOps: почему, зачем и кому это нужно? | Всем привет! Меня зовут Никита, я работаю в центре машинного обучения «Инфосистемы Джет». Сейчас я учусь в своей второй магистратуре в ВШЭ ФКН на программе «Современные компьютерные науки» и в Школе анализа данных (ШАД). Сегодня я хочу расс... |
| 30.07.2024 | Mysterious family of malware hid in Google Play for years | Enlarge reader comments 50
A mysterious family of Android malware with a demonstrated history of effectively concealing its myriad spying activities has once again been found in Google Play after more than two years of hiding in plain sight... |
| 26.07.2024 | Could Recent Advancements in AI Technology Have Prevented The Largest IT Outage In History? | WILMINGTON, Del., July 26, 2024 /PRNewswire/ -- Bugs and Defects after Production are not uncommon, but with Spec2TestAI™ defect prevention platform, that's about to change.
Last Friday, a software defect was released during an update rende... |
| 18.07.2024 | LoadMaster 360 updates enhance security & optimise performance | Progress has announced significant updates to its cloud-based unified application delivery platform, LoadMaster 360. This latest release introduces enhancements aimed at helping organisations protect their web applications against sophistic... |
| 15.07.2024 | FinDevSecOps: о создании и развитии нового отечественного сообщества специалистов в области безопасной разработки... | Безопасная разработка — важная составляющая технологического ландшафта любой компании. Особенно актуально это для компаний финансового сектора, требующих повышенного внимания к безопасности финансов и персональных данных своих клиентов. С ц... |
| 08.07.2024 | Не тереби мое API или API-First Security Strategy | В современной цифровой экосистеме API (интерфейсы программирования приложений) играют ключевую роль, обеспечивая связь и взаимодействие между различными компонентами программного обеспечения. Защита API стала приоритетной задачей разработчи... |
| 04.07.2024 | Вебинар по фаззингу REST API: научим закрывать риски безопасности 10 июля | API стремительно завоевывает популярность из-за удобства взаимодействия между приложениями. Но такой прямой внешний доступ к транзакциям и данным ставит их под серьезную угрозу безопасности. Поэтому важно выстраивать надежную защиту API с п... |
| 02.07.2024 | Безопасность в Django: защита от распространенных угроз веб-приложений | Безопасность — ключевой аспект разработки веб-приложений. Но это понятие очень широкое, поэтому для его понимания нужно четко определить роль безопасности в современных веб-приложениях и то, какие аспекты она охватывает.
Я Алексей Петров, п... |
| 02.07.2024 | Radware using AI-powered protection to combat logic attacks | Radware has introduced a real-time, AI-powered API protection engine aimed at combating business logic attacks.
This new feature, which automatically and continuously learns business logic to block attacks as they occur, forms part of Radwa... |
| 26.06.2024 | Survey: Fear of Mobile App Security Neglect Rises by 258% | Mobile app defence firm Appdome, have announced the results of its 4th Annual Global Consumer Survey of Mobile App Security.
The survey reveals that mobile end users are keenly aware of the growing security, fraud, and privacy threats when ... |
| 26.06.2024 | Global Consumer Security Survey Reveals Highest Demand for Mobile App Security in 4 Years | Latest global security survey adds the consumer voice to industry standards like OWASP and AI & social engineering attacks challenge brands to do more to protect end users.
LISBON, Portugal, June 26, 2024 /PRNewswire/ -- Appdome, the on... |
| 23.06.2024 | Строим свой SSO. Часть 5: Итоговый SSO, Защита от XSS/CSRF, Custom Grant Type | Вступление
Всем привет, мы продолжаем строить собственный SSO Server. Но в начале давайте вспомним, что мы сделали в предыдущей статье:
Уделили время frontend приложению
Настроили механизм регистрации
Реализовали функцию "Забыли пароль... |
| 20.06.2024 | Инженерные практики разработки LLM-приложений | Разработка LLM-приложений включает в себя гораздо больше, чем просто промпт-дизайн или промпт-инжиниринг. В этой статье мы рассмотрим набор инженерных практик, которые помогли нам быстро и надёжно создать прототип LLM-приложения в рамках од... |
| 20.06.2024 | Как защитить веб сервисы при помощи шлюза OpenIG | Обеспечение безопасности веб сервисов — одна из важных частей процесса разработки. Если если в инфраструктуре несколько сервисов, то каждый из них должен быть должным образом защищен. Если реализовывать проверки политик безопасности в каждо... |
| 19.06.2024 | Как бороться с ReDoS | Проверка кода (Code Scanning) автоматически обнаруживает ReDoS-уязвимости, но исправить их бывает не всегда просто. В этой статье описана 4-х этапная стратегия исправления багов ReDoS.
Это правда, что некоторые ReDoS-уязвимости могут быть о... |
| 11.06.2024 | [THM] [Medium] Wonderland | Это руководство описывает процесс прохождения стенда "Wonderland" на платформе TryHackMe. Мы будем исследовать различные этапы, включая сканирование, эксплуатацию уязвимостей и повышение привилегий. Следуя за Белым Кроликом, мы см... |
| 01.06.2024 | Почему я отказался от GraphQL | GraphQL — невероятная технология, привлёкшая много внимания с тех пор, когда я начал в 2018 году использовать её в продакшене. Вам не придётся долго листать мой блог, чтобы увидеть, как я раньше продвигал её. После создания множества React ... |
| 01.06.2024 | Хакеры и мошенники — в списке стейкхолдеров? | Стейкхолеры – это заинтересованные стороны. Кого только не готовы включать в этот список: регуляторов, законодателей, контролирующие органы – всех, кто имеет хоть какое-то отношение к системе.
А вы бы включили в список стейкхолдеров хакеров... |
| 31.05.2024 | Federal agency warns critical Linux vulnerability being actively exploited | Enlarge
Getty Images reader comments 40
The US Cybersecurity and Infrastructure Security Agency has added a critical security bug in Linux to its list of vulnerabilities known to be actively exploited in the wild.
The vulnerability, tracked... |
| 27.05.2024 | Внедряем DevSecOps в процесс разработки. Часть 2. Обзор инструментов, Commit-time Checks | Привет! На связи Олег Казаков из Spectr.
Мы продолжаем публикацию цикла статей, где делимся опытом и наработками и рассказываем, из чего состоит DevSecOps и как его внедрить в процесс разработки.
В предыдущей части статьи я рассказал о том,... |
| 27.05.2024 | Модели зрелости в кибербезопасности на примере OWASP SAMM | Медленно, но верно компании движутся к кибербезопасности, основанной на оценке рисков. Этот подход признает, что в современном киберпространстве не все активы созданы равными и не могут быть одинаково защищены. Некоторые имеют исключительно... |
| 24.05.2024 | Пермишены (permissions) для тестировщика: зачем нужно, что такое и как с этим работать | Приветствую👋
В тестировании, особенно мобильном, существуют специфические области приложений, которые не всегда тестируются «вдумчиво» в силу своей необычности. Одна из таких областей — это разрешения или, как их принято называть, permissio... |
| 21.05.2024 | Фаззинг REST API | Технология REST API (также называемая RESTful API или RESTful web API) получили в последнее время широкое распространение. REST API — это интерфейс прикладного программирования, который соответствует принципам проектирования архитектурного ... |
| 16.05.2024 | 6 главных типов веб-уязвимостей, о которых должен знать каждый бэкендер | Привет, Хабр! На связи Виталий Киреев, руководитель R&D SpaceWeb. В статье я расскажу про главные уязвимости Server Side, покажу примеры и объясню, как защищать данные. Принцип отбора бэкенд-уязвимостей
Тему с веб-уязвимостями мы решили... |
| 15.05.2024 | Что такое WAF и как с ним работать? Показываем на примере уязвимого веб-приложения | Информационная безопасность веб-приложений за последние несколько лет стала, наверное, одним из ключевых вопросов в IT. Для компаний стабильность работы систем — это репутация и отсутствие лишних издержек. Ежегодная статистика больших ИБ-ко... |
| 15.05.2024 | Yandex Cloud запустил межсетевой экран в рамках сервиса Smart Web Security | Yandex Cloud рассказала о запуске межсетевого экрана для защиты веб‑приложений от внешних атак Web Application Firewal (WAF)l в рамках сервиса Smart Web Security. По словам сервиса, WAF автоматически будет блокировать попытки злоумышленнико... |
| 14.05.2024 | Могут ли LLM-агенты взламывать сайты и эксплуатировать уязвимости? | Рассказываем про исследование в рамках которого тестировалась способность LLM-агентов взламывать сайты.
Большие языковые модели (LLM) становятся все более мощными и находят широкое применение в виде агентов. Разработчики могут создавать аге... |
| 08.05.2024 | Critical vulnerabilities in BIG-IP appliances leave big networks open to intrusion | Enlarge
Getty Images reader comments 36
Researchers on Wednesday reported critical vulnerabilities in a widely used networking appliance that leaves some of the world’s biggest networks open to intrusion.
The vulnerabilities reside in BIG-I... |
| 03.05.2024 | Безопасность веб-приложений для самых маленьких фронтов | С первого взгляда кажется, что безопасность - это тема devops-а или бэкенда. Но разделить зоны ответственности в этом вопросе очень сложно. В этой статье я хотел бы поговорить о моментах, связанных именно с фронтендом - т.е. об атаках, кото... |
| 01.05.2024 | Вспомнить за майские: 20 шагов для апгрейда информационной безопасности | Каждый год растет количество взломов сервисов, хакерских атак, утечек персональных данных. Особенно это видно за 2023 год. Открываешь Tadviser — и волосы дыбом встают.
В этом тексте даем базовую информацию о том, как защитить инфраструктуру... |
| 01.05.2024 | What the EU AI act means for cybersecurity teams and organizational leaders | On March 13, 2024, the European Parliament adopted the Artificial Intelligence Act (AI Act), establishing the world’s first extensive legal framework dedicated to artificial intelligence. This imposes EU-wide regulations that emphasize data... |
| 27.04.2024 | Большие языковые модели в финтехе: можно ли доверять им данные | Меня зовут Илья Кашлаков, я руковожу департаментом разработки в ЮMoney. Сегодня расскажу о том, какие задачи финтех может доверить большим языковым моделям (LLM) и как мы в компании следим за безопасностью, чтобы не допускать утечку данных.... |
| 26.04.2024 | OpenAI’s GPT-4 Can Autonomously Exploit 87% of One-Day Vulnerabilities, Study Finds | The GPT-4 large language model from OpenAI can exploit real-world vulnerabilities without human intervention, a new study by University of Illinois Urbana-Champaign researchers has found. Other open-source models, including GPT-3.5 and vuln... |
| 26.04.2024 | Избавляемся от паролей | Приветствую читателей Хабра! Меня зовут Александр Чикайло, я разрабатываю межсетевой экран уровня веб-приложений PT Application Firewall в Positive Technologies и специализируюсь на защите веба. Сегодня речь пойдет о беспарольной аутентифик... |
| 23.04.2024 | Безопасность android-приложений. Реверсим OWASP MASTG Crackme 1 | Всем привет! Меня зовут Максим и я занимаюсь исследованиями источников данных. В своей работе периодически приходится сталкиваться с исследованием android-приложений. В этой статье я хочу показать базовые методы реверс-инжиниринга и исследо... |
| 23.04.2024 | AIShield Unveils Professional Services for Delivering End-to-End AI Security Solutions under SecureAIx Platform | AIShield unveils Professional Services
AIShield enhances its range of services to customize solutions based on client needs, enabling them to progress quickly on their AI journey.
DUBAI, UAE, April 23, 2024 /PRNewswire-PRWeb/ -- AIShield, t... |
| 23.04.2024 | AIShield unveils GuArdIan Enterprise Sandbox for Safe and Secure Generative AI Experimentation | Progress towards secure and responsible GenAI deployments with GuArdIan Enterprise Sandbox
The Sandbox offers an easy-to-deploy security solution for Generative AI applications in enterprises, fortifying their security measures and expediti... |
| 22.04.2024 | Некоторые аспекты позитивной и негативной моделей платформы «Вебмониторэкс» | Каждый новый специалист нашей практики Защиты приложений проходит нечто среднее между посвящением и стажировкой. Обычно в рамках задачи нужно развернуть уязвимое приложение, WAF одного из наших фокусных партнеров, а потом найти конкретную у... |
| 22.04.2024 | Никому нельзя верить на слово в безопасной разработке, или Еще один взгляд на SCA | Кадр из фильма «Великий Гэтсби» @Warner Brothers, Village Roadshow Pictures, Bazmark Films, A&E Spectrum Films и Red Wagon Entertainment (юристы попросили написать)
Захожу я в английский клуб. Там все сидят, выпивают, в карты играют. См... |
| 18.04.2024 | Угрозы информационной безопасности конвейера разработки ПО и их моделирование | Злоумышленники всё чаще атакуют цепочки поставок ПО, чтобы получить доступ к исходным кодам, процессам сборки или механизмам обновления ПО. Но сложно напрямую атаковать инфраструктуры компаний, которые серьёзно относятся к своей кибербезопа... |
| 17.04.2024 | Mobile App Cybersecurity: The Growing Threat Landscape and Solutions by HyperG Smart Security | TAIPEI, April 17, 2024 /PRNewswire/ -- As cybersecurity threats grow worldwide, HyperG Smart Security, a leader in Security-as-a-Service solutions, is highlighting the major vulnerabilities and threat vectors of mobile apps while offering s... |
| 12.04.2024 | Безопасная разработка: обзор основных инструментов | Привет! Меня зовут Иван, я инженер по кибербезопасности в достаточно крупной компании и автор курса «Специалист по информационной безопасности: веб-пентест». В этой сфере я уже около шести лет.
Сейчас занимаюсь тестированием безопасности пр... |
| 11.04.2024 | Новые угрозы в OWASP API Security Top 10 | Всем привет! Сегодня мы будем говорить о новых рисках в OWASP API Security Top 10, что плохого они нам обещают и что со всем этим можно сделать.
В 2023 году некоммерческая организация OWASP обновила свой отчёт и выпустила новую версию 2023.... |
| 08.04.2024 | BSIMM: с чего начинается AppSec в компании | Безопасная разработка является неотъемлемой частью непростого пути к безопасности приложений. И у всех руководителей и лидов R&D, кто задумывается о построении у себя AppSec, возникает вопрос — с чего же начать? А начать нужно с организ... |
| 04.04.2024 | 8 неочевидных уязвимостей при разработке e-commerce проекта на NextJS | Важно не забывать про безопасность при разработке. По мере усложнения сценариев и архитектуры в онлайн и екоммерс сервисах риск возникновения ошибок возрастает. Поэтому мы обучаем разработчиков основам безопасности в вебе и регулярно провод... |
| 04.04.2024 | BSCP — разгадываем тайны сертификации от академии PortSwigger | Привет, Хабр! Меня зовут Никита, я пентестер, специализируюсь на веб-тестировании. Наверняка многие из вас задумывались о подтверждении своей экспертизы с помощью некоторых сертификаций. Сегодня хочу поговорить о популярной сертификации от ... |
| 03.04.2024 | Игра в безопасность Android-приложений | Давайте в общих чертах рассмотрим вопросы взлома и защиты Android-приложений.
В рамках статьи нас интересуют сами процессы взлома и защиты, а не конкретные методики работы с конкретными инструментами. Поэтому разберёмся с этими процессами и... |
| 02.04.2024 | Красавица и HTML Injection. Почему HTMLi не только про дефейс | Привет, Хабр. Сегодня мы посмотрим на достаточно тривиальную тему с совсем нетривиальной стороны. Пожалуй, для каждого вебера HTML-инъекции являются темой, которой зачастую уделяют не очень много внимания. Взять даже собеседования: когда в ... |
| 26.03.2024 | Как введение Security Buddy повысило на 25% киберграмотность пользователей | Всем привет! Меня зовут Джамил Меджидов, и я лидирую внутреннее направление Security Awareness в МТС RED. Что бы вы сказали, если бы компании удалось снизить вероятность возникновения киберинцидентов на 70%? Мы постоянно работаем над тем, ч... |
| 21.03.2024 | Why adversarial AI is the cyber threat no one sees coming | Join Gen AI enterprise leaders in Boston on March 27 for an exclusive night of networking, insights, and conversations surrounding data integrity. Request an invite here.
Security leaders’ intentions aren’t matching up with their actions to... |
| 19.03.2024 | Как провести фаззинг REST API с помощью RESTler. Часть 2 | Вступление
Всем привет! На связи Владимир Исабеков, руководитель группы статического тестирования безопасности приложений в Swordfish Security. В предыдущей статье мы рассказывали о Stateful REST API-фаззинге с применением инструмента RESTl... |
| 18.03.2024 | Security Week 2412: атака на ChatGPT по сторонним каналам | Исследователи из Университета имени Бен-Гуриона опубликовали работу, в которой показали новый метод атаки, приводящий к частичному раскрытию обмена данными между пользователем и ИИ-чатботом. Анализ зашифрованного трафика от сервисов ChatGPT... |
| 13.03.2024 | Salt Security Uncovers Security Flaws in ChatGPT Extensions, Remediated Promptly | Salt Labs researchers identified plugin functionality, now known as GPTs, as a new attack vector where vulnerabilities could have granted access to third-party accounts of users, including GitHub repositories.
Salt Security, the leading API... |
| 13.03.2024 | Salt Security Uncovered Security Flaws within ChatGPT Extensions that Allowed Access to Third-Party Websites | Salt Labs researchers identified GPT plugin functionalities as a new attack vector where vulnerabilities could have granted access to third-party accounts.
As more organisations leverage this type of technology, attackers are too pivoting t... |
| 07.03.2024 | Cloudflare разрабатывает Firewall для ИИ | Cloudflare объявил о разработке межсетевого экрана для защиты больших языковых моделей.
LLM и другие модели искусственного интеллекта растут, и компании всё больше обеспокоены безопасностью своих собственных нейросетей. Использование LLM в ... |
| 05.03.2024 | Как защитить бизнес при внедрении LLM (часть 1) | Новый мир с LLM — прекрасен! Нам, инженерам, он открывает много перспектив. А тем, кто его незаконно использует — предоставляет новые страшные инструменты. Как же защитить свой бизнес от угроз нейросетей?
Привет, Хабр! Меня зовут Евгений Ко... |
| 04.03.2024 | A CISO’s guide to AI: Embracing innovation while mitigating risk | Presented by Zscaler
The CISO role has evolved over the last 20+ years. And, believe it or not, it’s not because of the latest SEC regulations. The role has always been about balancing progress with protection, even if we’ve not historicall... |
| 01.03.2024 | Аутентификация для WebSocket и SSE: до сих пор нет стандарта? | WebSocket и SSE появились более десяти лет назад, однако до сих пор в стандартах отсутствуют рекомендации по решению задачи аутентификации для подобных соединений.
В статье разберем особенности аутентификации применительно к протоколу WebSo... |
| 01.03.2024 | Перечислить всех. Красота русских фамилий как фактор уязвимости в пентестах Active Directory | 1. Введение
Во время очередного пентест-проекта на внешнем периметре Заказчика была обнаружена широко известная в узких кругах пентестеров инфраструктурная служба Outlook Web Access (OWA). OWA примечательна тем, что это WEB-интерфейс почтов... |
