Про SQL-инъекции написано огромное количество статей. Все знаю про пресловутые ‘ OR 1 = 1 и аналогичные конструкции, но далеко не все реализовывали их на практике. В этой статье мы разберем на практике некоторые способы реализации SQL-инъекций на примере уязвимого сайта.
Статья предназначена для тех, кто хочет на практике разобраться с тем, что такое SQL-инъекции.
Помните историю со взломом зубной щётки? А вброс про ботнет из 3 млн щёток? Тема оказалась популярной. Недавно один немецкий энтузиаст Аарон Кристофель (известный под ником atc1441) взломал другую зубную щётку, запустив на ней рикролл, а затем и Doom (а куда же без него)?
Свою историю он рассказал в соцсети X, а кастомную прошивку и OTA-загрузчик выложил на GitHub. Рассказываем подробности этой маленькой забавной истории.
Новый мир с LLM — прекрасен! Нам, инженерам, он открывает много перспектив. А тем, кто его незаконно использует — предоставляет новые страшные инструменты. Как же защитить свой бизнес от угроз нейросетей?
Меня зовут Евгений Кокуйкин и я — руководитель AI продуктов компании Raft. Занимаюсь внедрением технологий искусственного интеллекта. В течение карьеры работал с протоколами баз данных, проводил фишинговые тренинги и аудит веб приложений. Продолжу рассказывать про безопасность решений на больших языковых моделях!
Привет друзья! Я Александр Леонов, и вместе с отделом аналитиков Positive Technologies мы подготовили для вас дайджест трендовых уязвимостей за прошедший месяц.
Вы, наверно, сразу спросите: а что это за уязвимости такие — трендовые? Это опасные уязвимости, которые активно используются в атаках или с высокой вероятностью будут использоваться в ближайшее время.
При этом трендовые не то же самое, что критически опасные. Последние способны потенциально «положить» работу массового сервиса на периметре организации, но при этом сложны в эксплуатации. Получается, что уязвимость вроде и есть и она критически опасная, а до реальной эксплуатации дело может дойти через месяцы и годы, а может совсем не дойти. А трендовые уязвимости несут опасность здесь и сейчас, поэтому и исправлять их требуется в первую очередь и в кратчайшие сроки.
Доброго дня, друзья. Сегодня хочу освятить тему как можно несложной автоматизацией сбора поддоменов и прохода по ним сразу получать деньги при появлении денег в Bug-Bounty программах.
И начнем сразу со скрипта который позволит нам зарабатывать на Bug-Bounty не сильно погружаясь в техническую часть.
Когда я уволился из магазина одежды, посчитал, что денег мне хватит примерно на восемь месяцев. Восемь месяцев на то, чтобы научиться разработке и начать зарабатывать этим на жизнь. Рассказываю, как так вышло, и что я сделал бы по-другому сейчас.
Привет, меня зовут Саша, и уже два года я занимаюсь разработкой в Start X.
Семь лет назад я переехал в Ростов-на-Дону и устроился продавцом в магазин одежды — на первое время, чтобы было чем платить за еду и квартиру. За два года там вырос до управляющего, а еще через два года переехал в Москву, чтобы возглавить самый крупный розничный магазин в торговом центре Метрополис. Я проработал в этой сфере уже пять лет и должен был стать региональным менеджером, то есть управлять сетью магазинов в разных частях России.
После того как мы пережили ковид, в компании боялись, что придется закрыться еще на полгода, экономили деньги, развитие остановилось. Я хотел расти и не хотел ждать, поэтому понял, что пора менять работу.
В данной статье мы рассмотрим основные возможности шлюза безопасности электронной почты Kaspersky Secure Mail Gateway (в дальнейшем — KSMG): какие компоненты присутствуют в системе и как они защищают почтовый трафик, базовую конфигурацию почтовой системы с KSMG. Посмотрим на основные настройки, веб-интерфейс в целом и проведем тесты.
Современная кибербезопасность включает в себя множество различных аспектов, объектов и субъектов защиты: информационные активы компании (ИТ-системы, бизнес-приложения, серверы, рабочие станции, сетевое оборудование), файлы и данные в самых разных форматах (от структурированных в базах данных до "озер данных" и накапливаемых огромных объемов Big Data), процессы компании (основные бизнес-процессы, вспомогательные, ИТ-процессы, процессы кибербезопасности), персонал (от уборщиц до топ-менеджеров), различные используемые технологии (разнообразное программное и аппаратное обеспечение). Все данные сущности подлежат анализу с точки зрения кибербезопасности, которая в современной компании сфокусирована на защите процессов, персонала, технологий, данных. Основными процессами кибербезопасности являются:
Анализ воздействия на бизнес (BIA, Business Impact Analysis) — один из фундаментов управления непрерывностью бизнеса, который, как кажется, позволяет решить основные вопросы: оценить потери от простоя критичных процессов, выделить эти критичные процессы, узнать, от чего зависит их непрерывное функционирование и какие требования выдвигаются к обеспечивающим ресурсам со стороны бизнеса. В конечном итоге именно благодаря BIA (а не методу «трех П» — пол-палец-потолок) мы можем получить обоснованную бизнесом оценку целевого времени восстановления (RTO) и целевой точки восстановления (RPO) для информационных систем. Без BIA невозможно внедрение и дальнейшее эффективное развитие системы управления непрерывностью деятельности в компании, подготовка стратегии реагирования, Business Continuity и Disaster Recovery планов.
В статье мы рассмотрим наиболее часто встречающиеся на практике вопросы и трудности, которые могут помешать достигнуть лучших результатов при проведении BIA и анализе бизнес-функций, и разберемся, как же решать такие кейсы, чтобы и целей достигнуть, и удовольствие от процесса получить!
Результаты опроса 500 верифицированных специалистов, которые внедряют и обслуживают системы видеосвязи и корпоративные мессенджеры. География: 13 городов России.
Привет! Меня зовут Альбина Семушкина, я — лид рекрутинга в Бастионе. Именно я занимаюсь поиском и наймом хакеров, которые затем проводят оценку безопасности IT-инфраструктуры наших клиентов. Недавно я провела небольшой эксперимент и выложила на HeadHunter резюме пентестера, чтобы проанализировать предложения и требования работодателей. Сегодня расскажу о результатах и поделюсь профессиональными секретами.
Из этой статьи вы узнаете, что кандидату написать в резюме, чтобы его заметили серьезные компании, как рекрутеру заманить опытного хакера в штат и какая ситуация сложилась в этом сегменте рынка труда на начало 2024 года.
Новый мир с LLM — прекрасен! Нам, инженерам, он открывает много перспектив. А тем, кто его незаконно использует — предоставляет новые страшные инструменты. Как же защитить свой бизнес от угроз нейросетей?
Меня зовут Евгений Кокуйкин и я — руководитель AI продуктов компании Raft. Занимаюсь внедрением технологий искусственного интеллекта. В течение карьеры работал с протоколами баз данных, проводил фишинговые тренинги и аудит веб приложений. Расскажу про безопасность решений на больших языковых моделях!
Анализ сторонних компонентов ПО становится всё более актуальным в свете увеличения числа уязвимостей в открытом исходном коде. Популярные репозитории содержат более 20 тысяч потенциально опасных пакетов. Сегодня мы поговорим о спецификации SBOM (Software Bill of Material), обсудим, в каких сферах она используется, какими форматами представлена и какое применение находит в информационной безопасности, в частности, в рамках SCA-анализа.
Эта статья будет интересна как специалистам ИБ, так и разработчикам, желающим сделать свой продукт безопаснее.
Решил собрать в одну кучку все известные мне способы попадать на свой(или чужой) сервер, который находится за NAT.
Проблема контроля конфиденциальных данных актуальна практически для всех предприятий. Корпоративные данные существуют в большом количестве различных форм и размеров. Но, как правило, обычно их делят на структурированные (формат баз данных) и неструктурированные (текстовые файлы, видео, изображения и т.д.).
Согласно исследованиям Gartner, 80% корпоративных данных являются неструктурированными. Из них 60% не приносят никакой пользы (копии, неиспользуемые файлы и т.д.), при этом ежегодный прирост таких данных составляет порядка 30-40%.
Предположим, что вы захотели получить информацию с сайта расположенного на домене onion. В общем-то, ничего особенного в этом нет. Даже, в какой-то мере проще, чем в клирнете. Все потому, что здесь используется очень мало скриптов. А следовательно, к особым ухищрениям для парсинга страниц можно не прибегать без необходимости. Вот только туда еще нужно попасть. И с помощью простого requests сделать этого не получиться. Немного покопавшись в Интернете я нашел решение, которое пока работает.
Цель статьи - показать вариант построения защищенной Iot-инфраструктуры для сети устройств на базе ESP32 и обменяться опытом.
Общую идею и весь проект разделил на темы:
• развертывание mosquitto SSL/TLS из docker-контейнера
• создание сертификатов для брокера Mosquitto SSL и клиентов ESP32
• архитектура хранилища сертификата для ESP32 и практические способы защиты
• подготовка защищенной прошивки устройства с применение встроенных средств безопасности и шифрования ESP32.
Бумажная безопасность и попытка подружить ГОСТ 15 408, ОУД, безопасную разработку и вот все эти страшные вещи с разработкой приложений и систем для АСУ ТП.
