Уязвимости в Naumen Service Desk

Naumen Service Desk — один из самых распространённых helpdesk-продуктов на отечественном рынке. Он используется в госсекторе, корпоративных ИТ-службах, интеграционных решениях. Именно поэтому любые найденные в нём уязвимости потенциально опасны — они используются в реальных атаках, которые могут привести к серьёзным последствиям. В этой статье я попробовал собрать свой опыт тестирования веб-приложения этого продукта с точки зрения безопасности, в том числе описал найденные zero-day уязвимости, которые приводят к удаленному исполнению кода ОС.

https://habr.com/ru/companies/angarasecurity/articles/940658/

#helpdesk #анализ_кода #эксплуатация_уязвимостей #исходный_код #naumen #api

[Перевод] Вся мощь открытого исходного кода в PostgreSQL

PostgreSQL — одна из самых популярных СУБД, и это во многом благодаря открытому исходному коду. В статье рассказывается о том, как открытость кода влияет на развитие PostgreSQL и создание сообщества вокруг неё.

https://habr.com/ru/companies/flant/articles/901622/

#open_source #postgresql #исходный_код #коммиты #commit #git #git_log #sgml #git_blame #source_code

[Перевод] Мы взломали ИИ Gemini от Google и опубликовали его исходный код

В 2024 году мы опубликовали блог-пост We Hacked Google A.I. for $50,000 , в котором рассказали, как в 2023 году мы отправились в Лас-Вегас вместе с Джозефом «rez0» Тэкером, Джастином «Rhynorater» Гарднером и мной, Рони «Lupin» Карта, в настоящее путешествие по взлому, которое прошло от Лас-Вегаса через Токио до Франции – всё ради поиска уязвимостей в Gemini на мероприятии Google LLM bugSWAT. И, что вы думаете? Мы сделали это снова … Мир генеративного искусственного интеллекта (GenAI) и больших языковых моделей (LLMs) по-прежнему остаётся диким Западом в сфере технологий. С момента появления GPT гонка за лидерством в области LLM только накаляется, и такие технологические гиганты, как Meta, Microsoft и Google, стремятся создать лучшую модель. Но теперь на сцене появляются и Anthropic, Mistral, Deepseek и другие, оказывающие масштабное влияние на индустрию. Пока компании спешат внедрять AI‑ассистентов, классификаторы и всевозможные инструменты на базе LLM, остаётся один важный вопрос: строим ли мы системы с учётом безопасности? Как мы подчёркивали в прошлом году, стремительное принятие технологий иногда заставляет нас забывать о базовых принципах защиты, открывая дорогу как новым, так и старым уязвимостям. ИИ-агенты стремительно становятся следующим прорывом в мире искусственного интеллекта. Эти интеллектуальные сущности используют продвинутые цепочки рассуждений – процесс, в котором модель генерирует логически связанную последовательность внутренних шагов для решения сложных задач. Документируя ход своих мыслей, агенты не только улучшают способность принимать решения, но и обеспечивают прозрачность, позволяя разработчикам и исследователям анализировать и совершенствовать их работу. Такая динамичная комбинация автономного действия и видимых рассуждений прокладывает путь к созданию ИИ-систем, которые становятся более адаптивными, понятными и надёжными. Мы наблюдаем, как появляется всё больше приложений – от интерактивных ассистентов до сложных систем поддержки принятия решений. Интеграция цепочек рассуждений в ИИ-агентах задаёт новый стандарт того, чего эти модели могут достичь в реальных условиях.

https://habr.com/ru/articles/895546/

#google_gemini #уязвимость #взлом #исходный_код #rpc #протоколы #компьютерная_безопасность #хакер #хакерские_атаки #bug_bounty

Календарь тренировок — когда пет-проект чуть больше to-do листа

В декабре 2023 я впервые задумался о похудении. Тогда при росте 194 см я весил 116 кг. Раньше я только играл в мини-футбол, вообще не следил за едой и даже не заглядывал в спортзал. Начал нормально питаться, поменял привычки, добавил силовые тренировки, к сентябрю 2024 скинул около 30 кг. Это был рекорд по минимальному весу. Сейчас, через полгода, вешу 89 кг. Оказалось, что нарастить мышцы намного труднее, чем избавиться от жира. Надеюсь, что эти +3 кг в основном мышцы. Почему так: теперь могу подтянуться 11 раз вместо 9, и на фото видны изменения — делаю такие сравнения каждые пару месяцев.

https://habr.com/ru/articles/895296/

#vue #vuejs #frontend #frontendразработка #typescript #javascript #фронтенд #пет_проект #открытый_код #исходный_код

Случай из практики анализа кода

Приветствую всех хабрачитателей. Если выкинуть административную работу, то моя основная деятельность на работе - поиск различных уязвимостей. Чаще всего мой инструментарий представляет собой набор каких-то отладчиков, динамических анализаторов и прочего подобного. Но иногда приходится заниматься анализом исходного кода произвольной степени кривизны понятности. И это практически отдельный параллельный мир в области безопасности. Под катом я расскажу об одном примере разбора небольшой проблемы в коде. Открываем код OpenJDK на гитхабе

https://habr.com/ru/companies/pm/articles/837688/

#статический_анализ #исходный_код #анализ_кода #openjdk

Подводные камни устройства карты видимости в СУБД PostgreSQL

Карта видимости - это достаточно простой механизм в СУБД PostgreSQL, но даже он имеет множество интересных тайн, если погрузиться в детали реализации. В этой статье мы выясним: 1. Какие особенности есть у механизма сбрасывания и установки бита полной видимости. 2. Как Index only scan использует бит полной видимости. 3. Зачем записывать информацию об изменении карты видимости в WAL. 4. Каким образом карта видимости участвует в оптимизации предвыборки Bitmap scan. 5. Зачем механизму оценки селективности нужна карта видимости.

https://habr.com/ru/articles/842520/

#postgres #postgresql #visibility_map #vm #open_source #анализ_программ #reverseengineering #исходный_код #c_programming #субд

Не панацея, но помощник. О статическом анализаторе кода

Приветствую, уважаемые читатели Хабра! Сегодня я хочу предложить вашему вниманию статью о статических анализаторах кода, о том, что это такое и для чего они, собственно, нужны.

https://habr.com/ru/companies/reksoft/articles/840744/

#статический_анализатор #статический_анализатор_кода #исходный_код #анализ_кода #patternbased_analysis #data_flow_analysis #control_flow #msbuild #cmake #baseline

Собственные проекты, углубленная практика алгоритмов и другое: поднимаем навыки программирования на новый уровень

Неважно, новичок ли вы, отлаживающий вашу первую программу «Hello World», или опытный инженер, — у каждого из нас всегда есть возможность улучшить свои навыки. Александр Шелютин, Data Architect в KarmaHQ, расскажет о разнице между тем, как просто заставить что-то работать, и написанием действительно хорошего кода.

https://habr.com/ru/companies/productstar/articles/818013/

#программирование #код #code #ruby #советы_начинающим #лайфхаки #алгоритмы #github #исходный_код #oss

PostgreSQL. Устройство карты свободного пространства

СУБД PostgreSQL способна бысто работать с огромными массивами данных благодаря множеству различных механизмов, таких как карта свободного пространства, позволяющая за короткий промежуток времени найти страницу из основного слоя с необходимым свободным пространством для вставки новых версий строк. В этой статье мы разберемся в устройстве карты свободного пространства, а также познакомимся с алгоритмом получения страницы с необходимым свободным пространством.

https://habr.com/ru/articles/806415/

#postgres #postgresql #free_space_map #fsm #open_source #анализ_программ #reverseengineering #исходный_код #субд #c_programming

Заглядываем в консоль: пасхалки и приглашения на работу, которые вы могли пропустить

Это статья о поиске пасхалок в коде и о том, что мне удалось найти. Покажу, где были поиски, и на каких популярных сайтах их все-таки удалось найти. Погнали!

https://habr.com/ru/companies/timeweb/articles/781376/

#timeweb_статьи #исходный_код #пасхалки #юмор