| Date | Title | Description |
| 17.09.2024 | Где и как искать этот ваш SSRF: первые шаги в багхантинге | Привет, меня зовут Олег Уланов (aka brain). Я занимаюсь пентестами веб-приложений и активно участвую в багбаунти, зарабатывая на чужих ошибках. Свой путь в наступательной безопасности я начал совсем недавно, но, несмотря на это, меньше чем ... |
| 15.09.2024 | Безопасность приложений больших языковых моделей (LLM, GenAI) | OWASP Top 10 для приложений LLM и GenAI: Руководство для разработчиков и практиков
Откройте для себя OWASP Top 10 для LLM и GenAI и изучите основные стратегии защиты ваших моделей и приложений искусственного интеллекта.
Появление больших яз... |
| 10.09.2024 | The Intersection of Security and API Management: A New Era for SOCs | In the digital landscape, APIs are the lifeblood of connectivity. They allow applications to communicate, share data, and perform tasks seamlessly. However, with great power comes great responsibility. As organizations increasingly rely on ... |
| 10.09.2024 | The Dark Side of Containers: Navigating Security Risks in Docker Environments | In the world of modern IT, containers are the sleek ships that carry applications across the turbulent seas of infrastructure. Docker containers, in particular, have become the go-to choice for developers seeking agility and flexibility. Ho... |
| 10.09.2024 | Navigating the Stormy Seas of Kubernetes Secrets Management | In the vast ocean of cloud computing, Kubernetes stands as a mighty vessel. It offers flexibility and scalability, but it also brings challenges, especially in managing secrets. Secrets are like treasure chests; they hold valuable informati... |
| 10.09.2024 | Redis: The Double-Edged Sword of In-Memory Databases | Redis is a name that echoes in the corridors of tech innovation. It’s a beacon for developers seeking speed and efficiency. But like a double-edged sword, it has its complexities. This article dives into the heart of Redis, exploring its st... |
| 10.09.2024 | WAF: интеграция в SOC через SIEM или ASOC? (Часть 2) | Преимущества интеграции SOC и WAF для мониторинга API
Здесь бы хотелось рассказать, как быть с событиями которые показывают аномалии в API и как использовать эти события при интеграции с SIEM-системами. Тут мы с Сергеем попробовали разобрат... |
| 06.09.2024 | Топ 10 аномалий в поведении пользователей на рабочих станциях в части кибербезопасности | Всем привет!
Очень часто, когда к нам в DEF.HUB приходят новые запросы на мониторинг рабочих станций в части кибербезопасности, мы сталкиваемся с вопросами о минимальных гигиенических контролях безопасности, которые можно внедрить для польз... |
| 05.09.2024 | Темные стороны контейнеров: риски и меры безопасности | Гайнуллина Екатерина, инженер по информационной безопасности отдела развития Security VisionВведение
Контейнеры Docker давно стали неотъемлемой частью современных IT-инфраструктур благодаря своей легкости и гибкости. Однако, несмотря на все... |
| 05.09.2024 | Актуальные угрозы безопасности в Large Language Model Applications | Привет, Хабр! Меня зовут Артем Бачевский. Я был разработчиком, архитектором, потом перешел в отрасль информационной безопасности. Эта статья — переработка моего доклада с Saint HighLoad++, так что простите за мой французский. Там я рассказы... |
| 02.09.2024 | CDNetworks Survey Unveils Critical Gaps in Cybersecurity Preparedness That Might Be Putting Businesses at Risk | SINGAPORE, Sept. 2, 2024 /PRNewswire/ -- A significant number of businesses in Southeast Asia remain unprepared for the rapidly evolving cybersecurity threats. This is one of the critical insights from the "State of Cloud Security: Are... |
| 01.09.2024 | Bridging the Gap: From YouTube to Telegram with FYTT Bot | In a digital landscape where platforms constantly evolve, the need for seamless connectivity becomes paramount. Enter FYTT, a Telegram bot designed to bridge the gap between YouTube subscriptions and Telegram channels. This innovative tool ... |
| 01.09.2024 | The Rise of Telegram Bots: A New Era in Communication | In the digital age, communication is evolving faster than ever. Telegram, a messaging app that has gained immense popularity, is at the forefront of this transformation. Its unique feature? Bots. These automated assistants are reshaping how... |
| 01.09.2024 | Как удалить JavaScript из файлов PDF | Как известно, внутри файлов PDF можно размещать скрипты JavaScript, которые будут запускаться на исполнение в браузере. Например, если загрузить этот PDF, то вы увидите результат выполнения скрипта:
Это стандартная функция формата. Все разр... |
| 29.08.2024 | Практическая реализация современной аутентификации на платформе .NET: OpenID Connect, шаблон BFF и SPA | Введение
В последние годы протоколы аутентификации OAuth 2.0 и OpenID Connect значительно изменились. Вслед за развитием интернет-технологий и эволюцией угроз, некоторые методы аутентификации, изначально разработанные для веб-приложений, по... |
| 26.08.2024 | Управление безопасностью приложений: всем выйти из сумрака | Всем привет. И вновь на связи Светлана Газизова, директор по построению процессов DevSecOps в Positive Technologies. Ранее я уже рассказывала о том, кто такой специалист по безопасной разработке в рубрике Positive Education «Топ-10 професси... |
| 15.08.2024 | Внедряем DevSecOps в процесс разработки. Часть 4. Этап Test-time Checks, обзор инструментов | Привет! На связи Олег Казаков из Spectr.
В предыдущей части статьи я рассказал о контроле безопасности артефактов сборки в процессе проверки на безопасность. Сегодня поговорим о следующем этапе DevSecOps — Test-time Checks. Цель Test-time C... |
| 13.08.2024 | The Silent Threat of Charset Misconfiguration in Web Security | In the vast landscape of web security, small oversights can lead to catastrophic vulnerabilities. One such oversight is the charset attribute in HTTP responses. It may seem trivial, but its absence can open the door to Cross-Site Scripting ... |
| 10.08.2024 | Атрибут charset и важность его использования | Какие предположения можно сделать относительно следующего HTTP ответа сервера?
Глядя на этот небольшой фрагмент HTTP ответа, можно предположить, что веб-приложение, вероятно, содержит уязвимость XSS.
Почему это возможно? Что обращает на себ... |
| 08.08.2024 | Dr. Obadare Peter Adewale Appointed Professor of Practice at Miva Open University | LAGOS; AUGUST 08, 2024: The Founder and Chief Visionary Officer, Digital Encode Limited, Forbes Best of Africa Outstanding Digital Trust Leader, Dr. Obadare Peter Adewale, has been appointed as the first Professor of Practice (Cybersecurity... |
| 06.08.2024 | Qualys launches TotalAI to tackle LLM cybersecurity risks | Qualys has announced the release of Qualys TotalAI, a new solution aimed at addressing the critical risks associated with large language model (LLM) applications, including prompt injection, sensitive information disclosure, and model theft... |
| 01.08.2024 | WAF или не WAF? Дайте два! Решаем вопрос защиты веб-приложений | Всем привет. Меня зовут Аскар Добряков, я ведущий эксперт направления защиты бизнес-приложений. Уже больше 15 лет занимаюсь ИБ и три из них –– защитой веб-приложений. За это время я часто сталкивался с неоднозначным отношением коллег к Web ... |
| 30.07.2024 | Mysterious family of malware hid in Google Play for years | Enlarge reader comments 50
A mysterious family of Android malware with a demonstrated history of effectively concealing its myriad spying activities has once again been found in Google Play after more than two years of hiding in plain sight... |
| 30.07.2024 | MLSecOps: почему, зачем и кому это нужно? | Всем привет! Меня зовут Никита, я работаю в центре машинного обучения «Инфосистемы Джет». Сейчас я учусь в своей второй магистратуре в ВШЭ ФКН на программе «Современные компьютерные науки» и в Школе анализа данных (ШАД). Сегодня я хочу расс... |
| 26.07.2024 | Could Recent Advancements in AI Technology Have Prevented The Largest IT Outage In History? | WILMINGTON, Del., July 26, 2024 /PRNewswire/ -- Bugs and Defects after Production are not uncommon, but with Spec2TestAI™ defect prevention platform, that's about to change.
Last Friday, a software defect was released during an update rende... |
| 18.07.2024 | LoadMaster 360 updates enhance security & optimise performance | Progress has announced significant updates to its cloud-based unified application delivery platform, LoadMaster 360. This latest release introduces enhancements aimed at helping organisations protect their web applications against sophistic... |
| 15.07.2024 | FinDevSecOps: о создании и развитии нового отечественного сообщества специалистов в области безопасной разработки... | Безопасная разработка — важная составляющая технологического ландшафта любой компании. Особенно актуально это для компаний финансового сектора, требующих повышенного внимания к безопасности финансов и персональных данных своих клиентов. С ц... |
| 08.07.2024 | Не тереби мое API или API-First Security Strategy | В современной цифровой экосистеме API (интерфейсы программирования приложений) играют ключевую роль, обеспечивая связь и взаимодействие между различными компонентами программного обеспечения. Защита API стала приоритетной задачей разработчи... |
| 04.07.2024 | Вебинар по фаззингу REST API: научим закрывать риски безопасности 10 июля | API стремительно завоевывает популярность из-за удобства взаимодействия между приложениями. Но такой прямой внешний доступ к транзакциям и данным ставит их под серьезную угрозу безопасности. Поэтому важно выстраивать надежную защиту API с п... |
| 02.07.2024 | Безопасность в Django: защита от распространенных угроз веб-приложений | Безопасность — ключевой аспект разработки веб-приложений. Но это понятие очень широкое, поэтому для его понимания нужно четко определить роль безопасности в современных веб-приложениях и то, какие аспекты она охватывает.
Я Алексей Петров, п... |
| 02.07.2024 | Radware using AI-powered protection to combat logic attacks | Radware has introduced a real-time, AI-powered API protection engine aimed at combating business logic attacks.
This new feature, which automatically and continuously learns business logic to block attacks as they occur, forms part of Radwa... |
| 26.06.2024 | Survey: Fear of Mobile App Security Neglect Rises by 258% | Mobile app defence firm Appdome, have announced the results of its 4th Annual Global Consumer Survey of Mobile App Security.
The survey reveals that mobile end users are keenly aware of the growing security, fraud, and privacy threats when ... |
| 26.06.2024 | Global Consumer Security Survey Reveals Highest Demand for Mobile App Security in 4 Years | Latest global security survey adds the consumer voice to industry standards like OWASP and AI & social engineering attacks challenge brands to do more to protect end users.
LISBON, Portugal, June 26, 2024 /PRNewswire/ -- Appdome, the on... |
| 23.06.2024 | Строим свой SSO. Часть 5: Итоговый SSO, Защита от XSS/CSRF, Custom Grant Type | Вступление
Всем привет, мы продолжаем строить собственный SSO Server. Но в начале давайте вспомним, что мы сделали в предыдущей статье:
Уделили время frontend приложению
Настроили механизм регистрации
Реализовали функцию "Забыли пароль... |
| 20.06.2024 | Как защитить веб сервисы при помощи шлюза OpenIG | Обеспечение безопасности веб сервисов — одна из важных частей процесса разработки. Если если в инфраструктуре несколько сервисов, то каждый из них должен быть должным образом защищен. Если реализовывать проверки политик безопасности в каждо... |
| 20.06.2024 | Инженерные практики разработки LLM-приложений | Разработка LLM-приложений включает в себя гораздо больше, чем просто промпт-дизайн или промпт-инжиниринг. В этой статье мы рассмотрим набор инженерных практик, которые помогли нам быстро и надёжно создать прототип LLM-приложения в рамках од... |
| 19.06.2024 | Как бороться с ReDoS | Проверка кода (Code Scanning) автоматически обнаруживает ReDoS-уязвимости, но исправить их бывает не всегда просто. В этой статье описана 4-х этапная стратегия исправления багов ReDoS.
Это правда, что некоторые ReDoS-уязвимости могут быть о... |
| 11.06.2024 | [THM] [Medium] Wonderland | Это руководство описывает процесс прохождения стенда "Wonderland" на платформе TryHackMe. Мы будем исследовать различные этапы, включая сканирование, эксплуатацию уязвимостей и повышение привилегий. Следуя за Белым Кроликом, мы см... |
| 01.06.2024 | Хакеры и мошенники — в списке стейкхолдеров? | Стейкхолеры – это заинтересованные стороны. Кого только не готовы включать в этот список: регуляторов, законодателей, контролирующие органы – всех, кто имеет хоть какое-то отношение к системе.
А вы бы включили в список стейкхолдеров хакеров... |
| 01.06.2024 | Почему я отказался от GraphQL | GraphQL — невероятная технология, привлёкшая много внимания с тех пор, когда я начал в 2018 году использовать её в продакшене. Вам не придётся долго листать мой блог, чтобы увидеть, как я раньше продвигал её. После создания множества React ... |
| 31.05.2024 | Federal agency warns critical Linux vulnerability being actively exploited | Enlarge
Getty Images reader comments 40
The US Cybersecurity and Infrastructure Security Agency has added a critical security bug in Linux to its list of vulnerabilities known to be actively exploited in the wild.
The vulnerability, tracked... |
| 27.05.2024 | Внедряем DevSecOps в процесс разработки. Часть 2. Обзор инструментов, Commit-time Checks | Привет! На связи Олег Казаков из Spectr.
Мы продолжаем публикацию цикла статей, где делимся опытом и наработками и рассказываем, из чего состоит DevSecOps и как его внедрить в процесс разработки.
В предыдущей части статьи я рассказал о том,... |
| 27.05.2024 | Модели зрелости в кибербезопасности на примере OWASP SAMM | Медленно, но верно компании движутся к кибербезопасности, основанной на оценке рисков. Этот подход признает, что в современном киберпространстве не все активы созданы равными и не могут быть одинаково защищены. Некоторые имеют исключительно... |
| 24.05.2024 | Пермишены (permissions) для тестировщика: зачем нужно, что такое и как с этим работать | Приветствую👋
В тестировании, особенно мобильном, существуют специфические области приложений, которые не всегда тестируются «вдумчиво» в силу своей необычности. Одна из таких областей — это разрешения или, как их принято называть, permissio... |
| 21.05.2024 | Фаззинг REST API | Технология REST API (также называемая RESTful API или RESTful web API) получили в последнее время широкое распространение. REST API — это интерфейс прикладного программирования, который соответствует принципам проектирования архитектурного ... |
| 16.05.2024 | 6 главных типов веб-уязвимостей, о которых должен знать каждый бэкендер | Привет, Хабр! На связи Виталий Киреев, руководитель R&D SpaceWeb. В статье я расскажу про главные уязвимости Server Side, покажу примеры и объясню, как защищать данные. Принцип отбора бэкенд-уязвимостей
Тему с веб-уязвимостями мы решили... |
| 15.05.2024 | Что такое WAF и как с ним работать? Показываем на примере уязвимого веб-приложения | Информационная безопасность веб-приложений за последние несколько лет стала, наверное, одним из ключевых вопросов в IT. Для компаний стабильность работы систем — это репутация и отсутствие лишних издержек. Ежегодная статистика больших ИБ-ко... |
| 15.05.2024 | Yandex Cloud запустил межсетевой экран в рамках сервиса Smart Web Security | Yandex Cloud рассказала о запуске межсетевого экрана для защиты веб‑приложений от внешних атак Web Application Firewal (WAF)l в рамках сервиса Smart Web Security. По словам сервиса, WAF автоматически будет блокировать попытки злоумышленнико... |
| 14.05.2024 | Могут ли LLM-агенты взламывать сайты и эксплуатировать уязвимости? | Рассказываем про исследование в рамках которого тестировалась способность LLM-агентов взламывать сайты.
Большие языковые модели (LLM) становятся все более мощными и находят широкое применение в виде агентов. Разработчики могут создавать аге... |
| 08.05.2024 | Critical vulnerabilities in BIG-IP appliances leave big networks open to intrusion | Enlarge
Getty Images reader comments 36
Researchers on Wednesday reported critical vulnerabilities in a widely used networking appliance that leaves some of the world’s biggest networks open to intrusion.
The vulnerabilities reside in BIG-I... |
| 03.05.2024 | Безопасность веб-приложений для самых маленьких фронтов | С первого взгляда кажется, что безопасность - это тема devops-а или бэкенда. Но разделить зоны ответственности в этом вопросе очень сложно. В этой статье я хотел бы поговорить о моментах, связанных именно с фронтендом - т.е. об атаках, кото... |
| 01.05.2024 | What the EU AI act means for cybersecurity teams and organizational leaders | On March 13, 2024, the European Parliament adopted the Artificial Intelligence Act (AI Act), establishing the world’s first extensive legal framework dedicated to artificial intelligence. This imposes EU-wide regulations that emphasize data... |
| 01.05.2024 | Вспомнить за майские: 20 шагов для апгрейда информационной безопасности | Каждый год растет количество взломов сервисов, хакерских атак, утечек персональных данных. Особенно это видно за 2023 год. Открываешь Tadviser — и волосы дыбом встают.
В этом тексте даем базовую информацию о том, как защитить инфраструктуру... |
| 27.04.2024 | Большие языковые модели в финтехе: можно ли доверять им данные | Меня зовут Илья Кашлаков, я руковожу департаментом разработки в ЮMoney. Сегодня расскажу о том, какие задачи финтех может доверить большим языковым моделям (LLM) и как мы в компании следим за безопасностью, чтобы не допускать утечку данных.... |
| 26.04.2024 | OpenAI’s GPT-4 Can Autonomously Exploit 87% of One-Day Vulnerabilities, Study Finds | The GPT-4 large language model from OpenAI can exploit real-world vulnerabilities without human intervention, a new study by University of Illinois Urbana-Champaign researchers has found. Other open-source models, including GPT-3.5 and vuln... |
| 26.04.2024 | Избавляемся от паролей | Приветствую читателей Хабра! Меня зовут Александр Чикайло, я разрабатываю межсетевой экран уровня веб-приложений PT Application Firewall в Positive Technologies и специализируюсь на защите веба. Сегодня речь пойдет о беспарольной аутентифик... |
| 23.04.2024 | AIShield unveils GuArdIan Enterprise Sandbox for Safe and Secure Generative AI Experimentation | Progress towards secure and responsible GenAI deployments with GuArdIan Enterprise Sandbox
The Sandbox offers an easy-to-deploy security solution for Generative AI applications in enterprises, fortifying their security measures and expediti... |
| 23.04.2024 | AIShield Unveils Professional Services for Delivering End-to-End AI Security Solutions under SecureAIx Platform | AIShield unveils Professional Services
AIShield enhances its range of services to customize solutions based on client needs, enabling them to progress quickly on their AI journey.
DUBAI, UAE, April 23, 2024 /PRNewswire-PRWeb/ -- AIShield, t... |
| 23.04.2024 | Безопасность android-приложений. Реверсим OWASP MASTG Crackme 1 | Всем привет! Меня зовут Максим и я занимаюсь исследованиями источников данных. В своей работе периодически приходится сталкиваться с исследованием android-приложений. В этой статье я хочу показать базовые методы реверс-инжиниринга и исследо... |
| 22.04.2024 | Никому нельзя верить на слово в безопасной разработке, или Еще один взгляд на SCA | Кадр из фильма «Великий Гэтсби» @Warner Brothers, Village Roadshow Pictures, Bazmark Films, A&E Spectrum Films и Red Wagon Entertainment (юристы попросили написать)
Захожу я в английский клуб. Там все сидят, выпивают, в карты играют. См... |
| 22.04.2024 | Некоторые аспекты позитивной и негативной моделей платформы «Вебмониторэкс» | Каждый новый специалист нашей практики Защиты приложений проходит нечто среднее между посвящением и стажировкой. Обычно в рамках задачи нужно развернуть уязвимое приложение, WAF одного из наших фокусных партнеров, а потом найти конкретную у... |
| 18.04.2024 | Угрозы информационной безопасности конвейера разработки ПО и их моделирование | Злоумышленники всё чаще атакуют цепочки поставок ПО, чтобы получить доступ к исходным кодам, процессам сборки или механизмам обновления ПО. Но сложно напрямую атаковать инфраструктуры компаний, которые серьёзно относятся к своей кибербезопа... |
| 17.04.2024 | Mobile App Cybersecurity: The Growing Threat Landscape and Solutions by HyperG Smart Security | TAIPEI, April 17, 2024 /PRNewswire/ -- As cybersecurity threats grow worldwide, HyperG Smart Security, a leader in Security-as-a-Service solutions, is highlighting the major vulnerabilities and threat vectors of mobile apps while offering s... |
| 12.04.2024 | Безопасная разработка: обзор основных инструментов | Привет! Меня зовут Иван, я инженер по кибербезопасности в достаточно крупной компании и автор курса «Специалист по информационной безопасности: веб-пентест». В этой сфере я уже около шести лет.
Сейчас занимаюсь тестированием безопасности пр... |
| 11.04.2024 | Новые угрозы в OWASP API Security Top 10 | Всем привет! Сегодня мы будем говорить о новых рисках в OWASP API Security Top 10, что плохого они нам обещают и что со всем этим можно сделать.
В 2023 году некоммерческая организация OWASP обновила свой отчёт и выпустила новую версию 2023.... |
| 08.04.2024 | BSIMM: с чего начинается AppSec в компании | Безопасная разработка является неотъемлемой частью непростого пути к безопасности приложений. И у всех руководителей и лидов R&D, кто задумывается о построении у себя AppSec, возникает вопрос — с чего же начать? А начать нужно с организ... |
| 04.04.2024 | 8 неочевидных уязвимостей при разработке e-commerce проекта на NextJS | Важно не забывать про безопасность при разработке. По мере усложнения сценариев и архитектуры в онлайн и екоммерс сервисах риск возникновения ошибок возрастает. Поэтому мы обучаем разработчиков основам безопасности в вебе и регулярно провод... |
| 04.04.2024 | BSCP — разгадываем тайны сертификации от академии PortSwigger | Привет, Хабр! Меня зовут Никита, я пентестер, специализируюсь на веб-тестировании. Наверняка многие из вас задумывались о подтверждении своей экспертизы с помощью некоторых сертификаций. Сегодня хочу поговорить о популярной сертификации от ... |
| 03.04.2024 | Игра в безопасность Android-приложений | Давайте в общих чертах рассмотрим вопросы взлома и защиты Android-приложений.
В рамках статьи нас интересуют сами процессы взлома и защиты, а не конкретные методики работы с конкретными инструментами. Поэтому разберёмся с этими процессами и... |
| 02.04.2024 | Красавица и HTML Injection. Почему HTMLi не только про дефейс | Привет, Хабр. Сегодня мы посмотрим на достаточно тривиальную тему с совсем нетривиальной стороны. Пожалуй, для каждого вебера HTML-инъекции являются темой, которой зачастую уделяют не очень много внимания. Взять даже собеседования: когда в ... |
| 26.03.2024 | Как введение Security Buddy повысило на 25% киберграмотность пользователей | Всем привет! Меня зовут Джамил Меджидов, и я лидирую внутреннее направление Security Awareness в МТС RED. Что бы вы сказали, если бы компании удалось снизить вероятность возникновения киберинцидентов на 70%? Мы постоянно работаем над тем, ч... |
| 21.03.2024 | Why adversarial AI is the cyber threat no one sees coming | Join Gen AI enterprise leaders in Boston on March 27 for an exclusive night of networking, insights, and conversations surrounding data integrity. Request an invite here.
Security leaders’ intentions aren’t matching up with their actions to... |
| 19.03.2024 | Как провести фаззинг REST API с помощью RESTler. Часть 2 | Вступление
Всем привет! На связи Владимир Исабеков, руководитель группы статического тестирования безопасности приложений в Swordfish Security. В предыдущей статье мы рассказывали о Stateful REST API-фаззинге с применением инструмента RESTl... |
| 18.03.2024 | Security Week 2412: атака на ChatGPT по сторонним каналам | Исследователи из Университета имени Бен-Гуриона опубликовали работу, в которой показали новый метод атаки, приводящий к частичному раскрытию обмена данными между пользователем и ИИ-чатботом. Анализ зашифрованного трафика от сервисов ChatGPT... |
| 13.03.2024 | Salt Security Uncovers Security Flaws in ChatGPT Extensions, Remediated Promptly | Salt Labs researchers identified plugin functionality, now known as GPTs, as a new attack vector where vulnerabilities could have granted access to third-party accounts of users, including GitHub repositories.
Salt Security, the leading API... |
| 13.03.2024 | Salt Security Uncovered Security Flaws within ChatGPT Extensions that Allowed Access to Third-Party Websites | Salt Labs researchers identified GPT plugin functionalities as a new attack vector where vulnerabilities could have granted access to third-party accounts.
As more organisations leverage this type of technology, attackers are too pivoting t... |
| 07.03.2024 | Cloudflare разрабатывает Firewall для ИИ | Cloudflare объявил о разработке межсетевого экрана для защиты больших языковых моделей.
LLM и другие модели искусственного интеллекта растут, и компании всё больше обеспокоены безопасностью своих собственных нейросетей. Использование LLM в ... |
| 05.03.2024 | Как защитить бизнес при внедрении LLM (часть 1) | Новый мир с LLM — прекрасен! Нам, инженерам, он открывает много перспектив. А тем, кто его незаконно использует — предоставляет новые страшные инструменты. Как же защитить свой бизнес от угроз нейросетей?
Привет, Хабр! Меня зовут Евгений Ко... |
| 04.03.2024 | A CISO’s guide to AI: Embracing innovation while mitigating risk | Presented by Zscaler
The CISO role has evolved over the last 20+ years. And, believe it or not, it’s not because of the latest SEC regulations. The role has always been about balancing progress with protection, even if we’ve not historicall... |
| 01.03.2024 | Перечислить всех. Красота русских фамилий как фактор уязвимости в пентестах Active Directory | 1. Введение
Во время очередного пентест-проекта на внешнем периметре Заказчика была обнаружена широко известная в узких кругах пентестеров инфраструктурная служба Outlook Web Access (OWA). OWA примечательна тем, что это WEB-интерфейс почтов... |
| 01.03.2024 | Аутентификация для WebSocket и SSE: до сих пор нет стандарта? | WebSocket и SSE появились более десяти лет назад, однако до сих пор в стандартах отсутствуют рекомендации по решению задачи аутентификации для подобных соединений.
В статье разберем особенности аутентификации применительно к протоколу WebSo... |
| 29.02.2024 | Как мы ускорили написание кода на 20% с помощью обучения сотрудников работе с веб-уязвимостями | Раньше, когда мы нанимали новых специалистов, работа над кодом строилась так: пишем, проверяем, исправляем ошибки, проверяем ещё раз, снова переписываем и т.д. В итоге даже после испытательного срока разработчик тратил на фрагмент кода до 6... |
| 20.02.2024 | Знакомство с DevSecOps Guideline: правила организации безопасной разработки на уровне процессов | Количество киберинцидентов постоянно увеличивается, что вынуждает компании реагировать на растущие риски и делает практику DevSecOps обязательной для соблюдения при разработке ИТ-продуктов. При этом топорное внедрение мер не просто не гаран... |
| 14.02.2024 | 42 percent of applications suffer from 'security debt' | A new report from Veracode shows that software security debt -- flaws that have gone unfixed for over a year -- is found in 42 percent of applications.
Although the number of high-severity flaws has reduced 70.8 percent of organizations sti... |
| 08.02.2024 | Web Application and API Protection (WAAP): эволюция WAF (Web Application Firewall) | WAAP (Web Application and API Protection) является брандмауэром веб-приложений следующего поколения WAF (Web Application Firewall). Термин впервые начал использовать Gartner для описания защиты современных, постоянно меняющихся веб-сервисов... |
| 05.02.2024 | Security code review. Подходы и инструменты AppSec инженера | Для поиска уязвимостей в приложениях существует множество инструментов. SAST, DAST, IAST, SCA помогают в этом процессе, но часто не покрывают целые категории уязвимостей.
Owasp code review guidline
Как видно из результатов опроса в документ... |
| 29.01.2024 | Thе Cyber Resilience Act: What Startups Should Know About Hardware and Software Transparency in 2024 | Bucharest, Romania ~
Company:
Are you a start-up or IT&C company? Are you ready to apply for the EU Cyber Security Certificate? Do you know that without this Certificate you will not be able to sell an ICT product in the EU? … in the ... |
| 28.01.2024 | Виды, инструменты и лучшие практики тестирования безопасности | Перевод статьи «Security Testing: Types, Tools, and Best Practices».Содержание
Что такое тестирование безопасности?
Виды тестирования безопасности
Тест-кейсы и сценарии безопасности
Подходы к тестированию безопасности
Что такое DevSecOps?
Т... |
| 25.01.2024 | Microsoft Says State-Sponsored Attackers Accessed Senior Leaders’ Emails | Microsoft disclosed on Jan. 19 that a nation-state backed attack occurred beginning in November 2023 in which the Russian state-sponsored threat actor group Midnight Blizzard accessed some Microsoft corporate emails and documents through co... |
| 24.01.2024 | Prompt Security wants to make GenAI safe for the enterprise | Businesses are moving faster than ever to use generative AI and bring it to both their employees and users. Moving fast and security don’t always go hand-in-hand, though, so it’s only now that many businesses are waking up to the potential ... |
| 23.01.2024 | Важные советы backend-разработчику: защити себя от нежелательных проблем | Чем больше у backend‑разработчика знаний в своей области, тем лучшим специалистом он является. Но опыт показывает: самые классные программисты подобны Сократу, который не стеснялся заявлять во всеуслышание «scio me nihil scire», что в перев... |
| 15.01.2024 | Как мы обеспечиваем безопасность прикладных API с помощью Platform V Synapse | Привет, Хабр! Я Наталья Грачева, владелец продукта в СберТехе, ведущий руководитель ИТ-направления. Мы с командой развиваем продукт Platform V Synapse — децентрализованную платформу для задач интеграции. Я расскажу, почему важно обеспечиват... |
| 04.01.2024 | Пример исследовательского реверс-инжиниринга приложения Zone Launcher | Друг порекомендовал приложение, но купить его не получилось с территории России. Статья о том, как поисследовать приложение до той степени, чтобы покупка потеряла свою актуальность. Может быть полезно почитать и разработчикам, чтобы понимат... |
| 28.12.2023 | ML SAST. Часть 1: как работают инструменты SAST и какие проблемы может решить применение машинного обучения? | Машинное обучение (ML) в сфере анализа безопасности приложений SAST (Static Application Security Testing) — это область, которая с каждым годом становится все более актуальной в мире разработки ПО. Многие компании активно исследуют ее, а не... |
| 21.12.2023 | Как оценить эффективность WAF и зачем вообще это все нужно? Часть 3 | Привет! Меня зовут Лев Палей, и я собаку съел на всяких сравнениях, технико-экономических обоснованиях и всей этой истории с выбором каких-либо решений. Теперь я работаю по другую сторону сделки. Поэтому, после некоторого времени, проведенн... |
| 20.12.2023 | Безопасность CI/CD. Часть 2. Давайте рассмотрим как защитить ваши пайплайны | Безопасность CI/CD. Часть 2.
Читатели! Всем добра и веселых новогодних! Меня зовут Моисеев Андрей, в ИБэшечке я уже более 5 лет. Сейчас работаю DevSecOps в компании Bimeister. Опыт подсказывает, что часто R&D не понимает что от них хотя... |
| 19.12.2023 | Безопасность CI/CD: обзор тoп-10 угроз по версии OWASP и рекомендации по их устранению в вашем конвейере | Привет, Хабр!
Меня зовут Артём Пузанков, я DevSecOps Cluster Lead (руководитель направления безопасной разработки) в МТС Digital.
Экспертное сообщество OWASP представило OWASP Top-10 CI/CD Security Risks — список критических уязвимостей кон... |
| 18.12.2023 | How to protect unmanaged devices in today’s zero-trust world | Join leaders in San Francisco on January 10 for an exclusive night of networking, insights, and conversation. Request an invite here.
All it takes is a single hijacked browser session or unprotected third-party device on a network to shut a... |
| 15.12.2023 | Web application security -- five ways to improve your approach | Web applications remain one of the most targeted areas for threat actors. According to Verizon’s Data Breach Investigations Report, web application attacks were behind 26 percent of all successful attacks during the twelve months covered. Y... |
| 13.12.2023 | Безопасность API веб-приложений | Привет, Хабр!
Это инженерный отдел по динамическому анализу Swordfish Security. В предыдущих статьях мы описывали плагин для OWASP ZAP, рассказывали, как сканировать приложения с помощью инструмента Burp Suite Pro и настроить автоматическую... |
