"Практика защищённого программирования — это не про героическое исправление уязвимостей в последний момент, а про ежедневную инженерную дисциплину. Это внедрение специфических техник на уровне архитектуры и кода, которые создают пассивный барьер даже там, где человек может ошибиться. Рассмотрим ключевые методы, которые выходят за рамки простого следования чек-листам OWASP."…
"Недостаточно делить SQL-инъекции на простые и сложные. Ключевой критерий — какую информацию о результатах своей атаки получает злоумышленник. От этого зависит выбор инструментов и последовательность действий. Эта классификация идёт глубже учебников: она описывает не абстрактные категории, а реальные сценарии работы пентестера или аналитика ИБ, который сталкивается с 'чёрным…
"Прямой ущерб от кибератаки — лишь надводная часть айсберга. Потеря клиентов, санкции регуляторов и крах репутации могут потопить компанию, даже если технически она восстановилась. Я покажу, как один инцидент запускает финансовый и регуляторный лавинный эффект, который мало кто просчитывает на старте." Для многих руководителей успешная кибератака выглядит как…
«Безопасность приложения — это не проверка списка OWASP перед релизом. Это непрерывный контроль над множеством факторов, от фазы разработки до физического размещения серверов, которые вместе создают или разрушают вашу защиту.» Управление угрозами для приложений Безопасность приложений — это не разовая задача, а непрерывный процесс, требующий адаптации к новым…
"Пароли типа 'admin123' — это приглашение взломщика. Современный брутфорс — это не лобовой перебор всех комбинаций подряд, а интеллектуальный процесс, использующий психологию пользователей, утечки данных и распределённые мощности. Он нацелен на самые слабые звенья: человеческие привычки и устаревшие настройки безопасности." Атака методом перебора паролей (Brute force) Brute-force, или…
" Как проводить моделирование угроз программного обеспечения Моделирование угроз — это систематический процесс выявления, оценки и документирования потенциальных атак на систему. Цель — не просто составить список уязвимостей, а понять, как злоумышленник может использовать архитектуру приложения для достижения своих целей. Это позволяет проектировать защиту не наугад, а на…
"Тестирование интерфейсов часто сводят к проверке кнопок и полей ввода. На деле это работа с контрактами между системами, где сбой в передаче одного байта может обрушить бизнес-процесс или открыть лазейку для атаки. В российском контексте, с его акцентом на импортонезависимость и требования ФСТЭК, надёжность этих связей становится не…
"Ключ к пониманию DOM-based XSS — увидеть веб-страницу не как статичный документ, а как живое приложение, которое переписывает само себя на лету. Именно эта способность к самомодификации, заложенная в DOM, и открывает путь для атак, которые обходят традиционные серверные защиты." Как устроена «живая» страница: DOM и его влияние…
“Декомпозиция приложения — это не просто создание диаграмм, а способ понять его как цель для атаки. Мы разбираем систему на ключевые элементы, чтобы увидеть её глазами злоумышленника: откуда можно проникнуть, что украсть и какую уязвимость использовать.” Шаг 1: Декомпозиция приложения Первая стадия моделирования угроз — детально разобраться в…
"Безопасность приложения — это не только про SQL-инъекции и XSS. Это про десятки менее очевидных векторов, которые эксплуатируют доверие системы, её внутреннюю логику и даже физические ограничения сервера. Защита от них требует понимания не только кода, но и того, как этот код выполняется в реальном времени." Современные приложения…
“Веб-прокси и сканеры директорий — это инструменты, которые выжимают информацию из приложения: первые — из трафика, вторые — из файловой структуры. Но настоящая эффективность приходит не от простого запуска инструментов, а от понимания того, какие именно данные они могут найти и как это соотносится с архитектурой приложения.” Веб-прокси…
«Фаззинг часто воспринимают как примитивный брутфорс по списку слов. FFUF раскрывает глубину этого подхода, превращая поиск скрытых маршрутов в систематический анализ поведения приложения через призму HTTP-ответов, размера контента и семантики тел. Его сила — в гибком выборе того, что считать успехом». Что такое FFUF и зачем он нужен…
HTML и PHP две базовые технологии, которые часто встречаются вместе. Для начинающих разработчиков может казаться, что они похожи, однако на самом деле между ними существует принципиальная разница. Понимание этих различий важно, чтобы создавать эффективные, динамические и безопасные веб‑сайты. HTML (HyperText Markup Language) — язык разметки, который определяет структуру…
WIDS/WIPS — это системы контроля и защиты беспроводных сетей Wi-Fi, предназначенные для обнаружения и предотвращения угроз, в том числе несанкционированных точек доступа (Rogue Access Point). Они постоянно анализируют радиодиапазон Wi-Fi, выявляют подозрительные устройства и помогают администраторам контролировать безопасность беспроводной инфраструктуры. WIDS (Wireless Intrusion Detection System) — это система…
Два тарифа на одном хостинге: VPS за 300 рублей и VDS за 800 рублей. Характеристики на бумаге одинаковые — 2 vCPU, 4 GB RAM, SSD. В три часа ночи оба работают одинаково быстро. В час пик на VPS начинаются задержки, на VDS — нет. Дело не в маркетинговом…
🔋 Как запретить Windows уходить в сон: полный гид от настроек меню до реестра и PowerShell Если компьютер «засыпает» в неподходящий момент, стандартных настроек часто недостаточно. Это связано с тем, что в Microsoft Windows управление энергопитанием реализовано на нескольких уровнях, и простая установка значения «Никогда» не отключает все…
ПРЕДУПРЕЖДЕНИЕ: Материал предназначен для повышения осведомленности о киберугрозах. Все методы применяются только в законных целях с разрешения владельцев систем. Почему код из SMS приходит раньше push-уведомления банка SMS использует служебный канал сети с высоким приоритетом. Сообщение доставляется напрямую через центр коммутации, минуя интернет-протоколы. Push-уведомление проходит длинный путь через…
ПРЕДУПРЕЖДЕНИЕ: Статья предназначена для повышения осведомленности о киберугрозах и методах защиты. Все методы и инструменты, упомянутые в статье, должны использоваться только в законных целях, с разрешения владельцев систем и в рамках действующего законодательства. Пользователь установил расширение Vytal для Chrome и ожидал доступа к заблокированным сайтам. Сайты продолжали показывать…
Как мошенники клонируют голос с помощью нейросетей ПРЕДУПРЕЖДЕНИЕ: Статья предназначена для повышения осведомленности о киберугрозах и методах защиты. Все методы и инструменты, упомянутые в статье, должны использоваться только в законных целях, с разрешения владельцев систем и в рамках действующего законодательства. Нейросеть не записывает голос и не хранит его…
Почему сотрудники нажимают «Разрешить» не читая — и кто на самом деле виноват «Системы безопасности проигрывают не хакерам. Они проигрывают дедлайну. Сотрудник не слабое звено. Слабое звено это интерфейс, который требует принять решение в момент максимальной усталости. Архитектура процесса уже сделала выбор за человека задолго до инцидента.» Есть…
ПРЕДУПРЕЖДЕНИЕ: Статья предназначена для повышения осведомленности о киберугрозах и методах защиты. Все методы и инструменты, упомянутые в статье, должны использоваться только в законных целях, с разрешения владельцев систем и в рамках действующего законодательства. https://t.me/seberdtg/1852 Шифрование DNS не скрывает IP-адреса назначения. Провайдер видит куда идёт соединение даже при включённом…
Яндекс хранит историю ваших поисков, маршруты, голосовые запросы к Алисе и список всех устройств, с которых вы заходили в аккаунт. Всё это можно запросить закон обязывает отдать копию. Но интереснее другое: часть того, что система про вас знает, в эту копию не входит. Раздел находится по адресу id.yandex.ru,…
Можно потерять деньги с банковского счёта, данные из всех приложений и контроль над устройством. Чтобы этого не произошло, не устанавливайте APK из мессенджеров, проверяйте источник файла и не давайте приложениям доступ к Accessibility Services без крайней необходимости. Что такое APK файл и как он устроен внутри Любое приложение…
Реальный эффект приходит через полгода. До этого момента инвестиция без отдачи, которую многие не готовы сделать. Внедрение безопасности в разработку обычно начинается с покупки инструментов и заканчивается их игнорированием. Разработчики видят ложные срабатывания, служба безопасности блокирует релизы, менеджмент недовольно замедлением. Все говорят, что безопасность должна «не тормозить», но…
ПРЕДУПРЕЖДЕНИЕ: Статья предназначена для повышения осведомленности о киберугрозах и методах защиты. Все методы и инструменты, упомянутые в статье, должны использоваться только в законных целях, с разрешением владельцев систем и в рамках действующего законодательства. Пароль изначально создавался для защиты доступа. На деле он часто становится способом узнать информацию о…
ПРЕДУПРЕЖДЕНИЕ: Статья предназначена для повышения осведомлённости о киберугрозах и методах защиты. Все методы и инструменты, упомянутые в статье, должны использоваться только в законных целях, с разрешения владельцев систем и в рамках действующего законодательства. Заклейка камеры: контроль над личным пространством Заклейка камеры не про защиту от хакеров. Это про…
Shadow-подключение в RDP: как увидеть экран пользователя Всё, что вы видите на экране при обычном RDP-подключении — это не тот рабочий стол, который видит пользователь за своим монитором. Это копия, созданная специально для вас. Я понял это, когда впервые попытался помочь коллеге с зависшей программой. Подключился через стандартный…
Метрики безопасности измеряют видимую активность вместо реальной защищенности, создавая опасную иллюзию контроля при сохраняющихся системных уязвимостях. Руководство требует цифры. Насколько мы защищены? Улучшается ли ситуация? Окупаются ли инвестиции в безопасность? Вопросы логичны, ответы должны быть конкретными. Служба безопасности генерирует отчёты: количество закрытых уязвимостей выросло на тридцать процентов, среднее…
Дефицит кадров в кибербезопасности искусственная проблема, созданная завышенными требованиями и отсутствием инвестиций в развитие специалистов. Вакансии по кибербезопасности висят месяцами. Компании жалуются на катастрофическую нехватку кадров, публикуют исследования о миллионах незакрытых позиций, предсказывают коллапс отрасли из-за дефицита специалистов. Зарплаты растут, бонусы увеличиваются, условия улучшаются. Кандидаты откликаются сотнями. Отказы…
Специалист открывает отчет двести страниц потенциальных уязвимостей. Система обнаружила устаревшую версию OpenSSL на тестовом сервере, но не знает, что этот сервер доступен только из локальной сети. Зафиксировала открытый порт 22 на продакшен-хосте, игнорируя, что это легитимный SSH для администрирования. Нашла слабый шифр в конфигурации, не понимая, что это…
Сегодня, пока вы читаете эти строки, где-то сканер автоматически взламывает RDP с паролем Qwerty12345. Хватит тратить миллионы на защиту от фантастических угроз, стесняясь признать главный враг не хакер из глубин даркнета, а собственная халатность. Завтра начните не с нового инструмента, а с чек-листа в этой статье. Потому что…
Системы безопасности, построенные по принципу эшелонирования Defense in Depth, часто проваливаются не из-за отсутствия инструментов, а из-за их внутренних противоречий. Брандмауэры и антивирусы, двухфакторная аутентификация и резервное копирование существуют в изоляции, не обмениваясь данными и не корректируя поведение друг друга. Атакующий, столкнувшись с несколькими барьерами, не пытается преодолеть…
Безопасность процесс, а не продукт». Доверяйте платформам, но стройте защиту так, будто они уже скомпрометированы. Только в этом мире цифровая инфраструктура останется живой. Разработчики качают код с репозиториев, доверяя платформе. Пользователи устанавливают расширения из официальных магазинов, полагаясь на проверку. Компании переносят данные в облака, рассчитывая на защиту провайдера.…
Компании тратят миллионы на защиту информации, закупают дорогие решения от ведущих вендоров, нанимают специалистов, проходят аудиты и всё равно становятся жертвами атак. Бюджеты растут, количество инструментов увеличивается, а результат остаётся прежним. Утечки данных происходят регулярно, ransomware парализует работу, учётные записи компрометируются десятками тысяч. Чем больше денег вкладывается в…
Семантический разрыв в информационной безопасности возникает из-за неоднозначности ключевых терминов, заимствованных из англоязычных стандартов и калькированных в русский язык без фиксации контекстных границ, когда одно и то же понятие или аббревиатура обозначает принципиально разные механизмы на техническом и организационном уровнях. Терминология информационной безопасности строится на переводах англоязычных стандартов,…
Начните с простого эксперимента. Откройте любой цифровой сервис, которым пользуетесь ежедневно. Задайте себе четыре вопроса: какие данные здесь хранятся, кто может заинтересоваться этой информацией, где слабые места в защите, что произойдет при утечке. Такая последовательность лежит в основе профессиональной оценки безопасности. Специалисты по защите информации используют модель из…
Цифровые системы пронизывают повседневность. Сообщения, документы в облачных хранилищах, операции в онлайн-банкинге каждое действие генерирует данные, которые привлекают внимание злоумышленников. Кибербезопасность здесь выступает набором методов, предотвращающих несанкционированное вмешательство, утрату или искажение информации. Она охватывает спектр от целенаправленных атак до случайных сбоев оборудования или ошибок пользователей. Термин «хакер» первоначально…
Как происходит взлом систем на практике Сценарий с единственным специалистом, мгновенно обходящим защиту крупной сети, не отражает реальность. Атака на инфраструктуру делится на этапы: Рекогносцировка периметра сканирование открытых портов, выявление версий сервисов. Получение первоначального доступа использование обнаруженных уязвимостей. Закрепление внутри сети повышение привилегий и установка механизмов удержания. Каждый…
Представьте себе злоумышленника, сканирующего список серверов. Перед глазами набор внешних адресов для проверки. Большую часть можно вычеркнуть сразу — сервис не отвечает, всё закрыто, ответы приходят с задержками. Остаётся несколько десятков. Дальше проверяется реакция. Один запрос, ещё один. Не для взлома, а чтобы понять, как система реагирует. Большинство…
Разблокировка телефона под принуждением становится реальной угрозой, когда устройство попадает в чужие руки. Доступ к смартфону открывает банковские приложения, переписки, облачные хранилища, пароли. Защита строится на комбинации технических мер, юридической грамотности и психологической устойчивости. Разберём механизмы, которые работают вместе. Кто может потребовать пароль и зачем Официальные структуры запрашивают…