«Многие воспринимают OWASP Top 10 как абстрактный список для сдачи аудита. Но в российском IT это прямое отражение архитектурных привычек и операционных провалов, повторяющихся в госкорпорациях, финтехе и интернет-сервисах. Причина не в недостатке инструментов, а в логике разработки под 152-ФЗ: мы сначала думаем о конфиденциальности данных, забывая, что кирпич, заложенный в основу для ЦОД ФСТЭК, … Читать далее
«По умолчанию Docker — удобный, но абсолютно сырой инструмент. Он даёт вам коробку, но оставляет думать, что она прочнее, чем есть. По умолчанию контейнер доверяет всему, что внутри и снаружи. Безопасность там, где вы её не строите, — отсутствует.» Какой образ загружается под капотом Когда вы запускаете docker run nginx, вы подписываетесь на доверие. Что … Читать далее
Марина (имя возможно изменено) работала логистом. В тот вечер задержалась допоздна, начальник попросил подготовить сводку по заказам к утреннему совещанию. Три листа: клиенты, телефоны, объёмы, маршруты. Офис почти опустел. Она отправила документ на печать и пошла к принтеру в общей зоне. Устройство загудело, начало выплёвывать страницы. Марина взяла первые два листа, глянула на часы — … Читать далее
ПРЕДУПРЕЖДЕНИЕ: Материал предназначен для повышения осведомленности о киберугрозах. Все методы применяются только в законных целях с разрешения владельцев систем. Почему код из SMS приходит раньше push-уведомления банка SMS использует служебный канал сети с высоким приоритетом. Сообщение доставляется напрямую через центр коммутации, минуя интернет-протоколы. Push-уведомление проходит длинный путь через серверы Google или Apple. В итоге код … Читать далее
«Стрессера и бутеры, это не просто два слова для DDoS-инструментов, а маркеры, разделяющий любительские наскоки и полноценные, тщательно организованные кибератаки. Первые часто доступны даже школьнику, вторые — инструмент профессионального вымогательства и конкурентной борьбы. Понимание этого разделения — первый шаг к реальной защите, а не к пассивному ожиданию атаки.» Стрессера и бутеры: любительский инструмент и профессиональное … Читать далее
ПРЕДУПРЕЖДЕНИЕ: Статья предназначена для повышения осведомленности о киберугрозах и методах защиты. Все методы и инструменты, упомянутые в статье, должны использоваться только в законных целях, с разрешения владельцев систем и в рамках действующего законодательства. Пользователь установил расширение Vytal для Chrome и ожидал доступа к заблокированным сайтам. Сайты продолжали показывать российский контент. Причина оказалась в том, что … Читать далее
Сегментация, это не просто перегородки между отделами, это создание системы «огненных коридоров», где в случае взлома одной службы атака упирается в тупик и не может достичь ядра. DMZ — не буфер, а подготовленная к осаде крепостная стена. https://seberd.ru/1928 Сетевая сегментация и демилитаризованная зона (DMZ) Сетевая сегментация, это принцип организации защищённой инфраструктуры, который преобразует единую плоскую … Читать далее
«Burp Suite, это не просто инструмент, а рабочий стол пентестера, позволяющий превратить абстрактные HTTP-запросы в материальные уязвимости. Его мощь не в отдельных фичах, а в их сплетении, когда перехват трафика запускает сканирование, а результаты отправляются на автоматизированную обработку.» Burp Suite Professional: инструментарий для исследования безопасности веб-приложений Burp Suite Professional — стандартный инструмент в арсенале специалистов … Читать далее
Рынок уязвимостей, это спекулятивный инструмент, который не создаёт новые уязвимости, а лишь перераспределяет информацию о них между теми, кто может их закрыть, и теми, кто хочет их использовать. И та, и другая сторона платит за информацию, но в разное время и при разных условиях. https://seberd.ru/5284 Что скрывается за рынком уязвимостей Когда говорят о рынке уязвимостей … Читать далее
«Сквозная защита сессии, это не проставление галки в чек‑листе. Это архитектурный подход, который признает, что сессионный токен после успешного входа становится новым паролем пользователя и должен охраняться с теми же, если не с большими, усилиями. Уязвимая сессия сводит на нет любую сложную систему аутентификации». Зачем веб-приложению нужна сессия? HTTP — протокол без состояния. Каждый запрос … Читать далее