Разработчик веб-скраперов (53 бота) в 500 м от вас и хочет познакомиться: как не подхватить скрапера?

Меня зовут Арсений Савин, и я знаю, как бороться с вредоносными ботами. Почти два года я занимаюсь разработкой веб‑скраперов в компании Effective, и хорошо изучил, как они работают — и как их остановить. За время реализации этого проекта я столкнулся с огромным количеством разнообразных и неочевидных способов скрапинга, о защите от которых я расскажу в этой статье. План такой: сначала разберём, что такое веб‑скрапинг и какие бывают типы ботов, а потом — то, чем чаще всего они выдают себя, и какие методы защиты от них действительно работают. Эта статья написана по докладу для конференции Saint Highload++ и носит исключительно ознакомительный характер. Она создана для изучения уязвимостей веб‑сайтов в целях повышения устойчивости к атакам злоумышленников. Любые попытки несанкционированного доступа, взлома или нарушения работы сайтов — противоправны и преследуются по закону.

https://habr.com/ru/companies/oleg-bunin/articles/944830/

#scraping #иб #информационная_безопасность #боты #сайты #infosec #information_security #hacking #hacks #websec

Billions of login credentials have been leaked online
https://apnews.com/article/large-login-leak-cybernews-google-apple-meta-2a758a40c398b0a68fb2371a522f70ed
#ycombinator #General_news #Finance_Business #Technology #Social_media #Business #World_news #Information_security #U_S_news #World_News #U_S_News

ИИ и проблемы его безопасности

Искусственный интеллект сейчас везде — практически любое более‑менее серьезное приложение использует в своей работе ИИ. И хотя во многих случаях использование ИИ — это скорее маркетинговый ход, чем реальное применение, стоит заметить, что за технологиями искусственного интеллекта будущее. И о безопасности этого интеллектуального будущего стоит начинать думать уже сейчас. В этой статье мы поговорим о безопасности приложений, использующих ИИ и то, чем их защита отличается от защиты обычных приложений.

https://habr.com/ru/companies/otus/articles/910480/

#ml #information_security #информационная_безопасность

Irish privacy watchdog hits TikTok with Є530M fine over data transfers to China
https://apnews.com/article/tiktok-ireland-european-union-data-privacy-regulation-d386ec74becc716905d7f686d6a448e2
#ycombinator #Information_security #China #Europe #Privacy #Cybercrime #European_Union #Eurocopa_2024 #Business #Christine_Grahn #Politics #Technology #ByteDance_Ltd

Взгляд на 1С глазами безопасника

Продукты 1С так или иначе на разных этапах карьерного пути бегло попадались в моём поле зрения, и в какой-то момент захотелось собрать воедино хотя бы часть всего того неочевидного, с чем мне уже довелось столкнуться там в контексте информационной безопасности. Коротко о важном • Статья не является рекламной и не имеет под собой намерения похвалы или критики программных продуктов 1С. Любая внедряемая система потребует необходимости уметь её «готовить», и продукт 1С не исключение. • Поскольку я не являюсь разработчиком 1С, далёк от профильной терминологии и в целом целевая аудитория статьи — всё-таки специалисты по информационной безопасности, которым уже пришлось или только предстоит плотно столкнуться с программными продуктами 1С, многие вещи будут трактоваться довольно свободно и в упрощённом для понимания виде. • В статье не будет охватываться раздел пентеста платформы 1С, а также связанной с этим эксплуатации уязвимостей — эта тематика не нова, и на просторах «Хабра» (и не только) уже давно можно найти отличные публикации. • Статья не претендует на истину в первой инстанции. Она своего рода первая проба пера, попытка структурировать опыт знакомства с продуктами 1С и консолидировать основные узкие места безопасности, свойственные построению бизнес-процессов с использованием 1С. • Если вы из тех, кому необходим пошаговый чек-лист, то спешу вас огорчить, так как универсального ответа не будет, но надеюсь, что вопросы, поднятые в статье, смогут подтолкнуть вас к составлению по итогу своего собственного. Адаптируемся к новой реальности

https://habr.com/ru/companies/ozontech/articles/904174/

#1c #информационная_безопасность #information_security #cybersecurity

Безопасность подов: взгляд пользователя K8s

Про информационную безопасность Kubernetes-кластеров много пишут с позиции специалистов ИБ. Но полезно взглянуть на эту тему глазами обычных пользователей K8s — инженеров и разработчиков. Тех, кто много работает со своими приложениями в подах, но не управляет служебными частями кластера. Большинство стандартов безопасности описывает лучшие практики настройки управляющих компонентов — control plane. Нечасто встречаются рекомендации по грамотной настройке рабочих единиц — подов. В статье попробуем восполнить этот пробел. Выполним обзор источников, рассмотрим хорошие практики работы с образами. Изучим, как ограничить привилегии контейнера и почему это важно. Поговорим о инструментах автоматической проверки манифестов и разберем примеры GItlab CI пайпланов.

https://habr.com/ru/companies/raiffeisenbank/articles/901142/

#kubernetes #linter #validator #testing #bestpractices #information_security #quality_assurance #devops #devsecops #cicd

Hiding elements that require JavaScript without JavaScript
https://0xda.de/blog/2025/04/hiding-elements-that-require-javascript-without-javascript/
#ycombinator #hacking #programming #software #infosec #security #dade #0xdade #python #cybersecurity #information_security #hackers

BSCP в 2025

Привет Хабр! Меня зовут Алексей, я являюсь ведущим специалистом по тестированию приложений. В канун нового года мной было решено выполнить усилие над собой в атмосфере наступающих праздников и предпринять попытку сдачи экзамена BSCP (Burp Suite Certified Practitioner), которая завершилась успехом. В этой статье я хочу рассказать о своем опыте сдачи данной сертификации, о том, как я к ней готовился, какие проблемы встретил и о том как, на мой взгляд, изменился этот экзамен за те несколько лет, что я за ним наблюдаю. В конце дам несколько личных советов для тех, кто планирует сдачу BSCP в будущем. Готовы? Поехали!

https://habr.com/ru/articles/873672/

#BSCP #certification #information_security #информационная_безопасность #сертификация

Анализ уязвимостей CVE-2024-24401 и CVE-2024-24402 в Nagios XI

Предисловие Всем привет, меня зовут Дмитрий, я работаю специалистом по моделированию атак в компании «Перспективный мониторинг». Я занимаюсь разработкой сценариев атак для киберполигона Ampire. Когда мы с командой тестируем актуальные уязвимости, процесс выглядит так: устанавливаем уязвимую версию ПО, проверяем работоспособность Proof of Concept, после чего обновляемся до актуальной версии и убеждаемся, что уязвимость устранена. Тестируя актуальные уязвимости в системе мониторинга Nagios Xi, я обнаружил, что в сети очень мало информации об уязвимостях CVE-2024-24401 и CVE-2024-24402. К тому же оказалось, что одна из уязвимостей, а именно уязвимость локального повышения привилегий CVE-2024-24402, не была полностью пропатчена.

https://habr.com/ru/companies/pm/articles/861122/

#исследование_программ #информационная_безопасность #information_security #cve #nagiosxi #rce #lpe #уязвимости #sql_injection #взлом

Такие разные Android AppLinks, WebLinks, DeepLinks. Разбираемся и пытаемся сломать

Всем привет! На связи Юрий Шабалин и Веселина Зацепина, эксперты по безопасности мобильных приложений в компании Стингрей. С каждым годом мобильные приложения становятся всё более сложными и взаимосвязанными, предлагая пользователям бесшовный опыт взаимодействия. Одной из ключевых частей этого опыта являются ссылки, которые могут направить пользователя прямо на определённый экран приложения или на конкретный контент. Однако многие (как и мы до того, как написать эту статью) путают такие термины, как Deep Links, Web Links и App Links, что может привести к ошибкам в реализации и уязвимостям. Цель этой статьи — разобраться в различиях между этим похожим функционалом, понять, какие атаки могут быть на них направлены и как ведёт себя Android, если несколько приложений пытаются зарегистрировать одни и те же ссылки. Сразу оговорюсь, что это статья не совсем похожа на наши обычные материалы — она призвана скорее рассказать, что мы узнали в процессе внутреннего исследования и консолидировать эту информацию в небольших "заметках на полях". Надеемся, что эта статья поможет вам (как и нам в свое время) разобраться с различиями этих механизмов и даст почву для размышлений, как еще их можно проверить.

https://habr.com/ru/companies/swordfish_security/articles/859904/

#android #информационная_безопасность #deeplinks #information_security #безопасность #андроид #мобильные_приложения

Как разобрать и собрать обратно apk под windows

Короткий практический пример как разобрать apk приложение, что-то в нем изменить и собрать обратно в среде windows без использования android studio. Статья подойдет для новичков, сложного ничего не будет. Будем изменять (русифицировать) не полностью русифицированное приложение для видеокамеры ordro pro ep8.

https://habr.com/ru/articles/857506/

#android #information_security #reverseengineering #ordro_pro_ep8

Топ самых интересных CVE за октябрь 2024 года

Всем привет! Это наша традиционная подборка самых интересных CVE ушедшего месяца. В октябре десяточку по CVSS выбил Zimbra — в сервере RCE от неаутентифицированных злоумышленников с несложным эксплойтом и проверкой концепции. Помимо этого, месяц отметился многочисленными критическими уязвимостями. В Kubernetes Image Builder учётка по умолчанию с доступом к виртуалкам. В GitLab EE очередной эксплойт под запуск pipeline jobs произвольными юзерами. В одном API FortiManager отсутствует аутентификация, а в Firefox исправили Use-After-Free — обе под произвольный код. А также у нас куча исправленных Microsoft уязвимостей, несколько с активным эксплойтом и под RCE. Об этом и других ключевых CVE октября читайте под катом!

https://habr.com/ru/companies/tomhunter/articles/852170/

#cve #vulnerability #vulnerability_assessment #vulnerability_scanning #vulnerabilities #vulnerability_research #information_security #уязвимости #анализ_уязвимостей #пентест

Топ самых интересных CVE за сентябрь 2024 года

Всем привет!Подводим итоги сентября нашей подборкой самых интересных CVE. Так, первый осенний месяц принёс исправления пяти нулевых дней в продуктах от Microsoft, которые активно эксплойтят в сетевых дебрях. Десяточкой по CVSS отметились уязвимости в FreeBSD под RCE и в Progress LoadMaster под выполнение команд. В GitLab CE/EE снова нашли CVE под неавторизированный запуск pipeline jobs. Уязвимостями под произвольный код также отметились VMware vCenter Server, SolarWinds ARM, EPM от Ivanti и Adobe Acrobat Reader. Об этом и других серьёзных уязвимостях сентября читайте под катом!

https://habr.com/ru/companies/tomhunter/articles/844650/

#cve #vulnerability #vulnerabilities #vulnerability_assessment #vulnerability_scanning #vulnerability_research #information_security #пентест #уязвимости #анализ_уязвимостей

Эволюция атак на веб-ресурсы: что поменялось с 2011 года

Отдел аналитики и исследования киберугроз BI.ZONE WAF изучил статистику атак на веб‑приложения под защитой BI.ZONE WAF. Эту информацию мы сравнили с результатами анализа теневых ресурсов, за которыми наши специалисты следят с 2011 года. В этой статье расскажем, как развивались методы злоумышленников. Читать

https://habr.com/ru/companies/bizone/articles/844802/

#атаки #waf #information_security #информационная_безопасность #защита_вебприложений #защита_информации

Анализ уязвимости CVE-2024-7965

21 августа браузер Chrome получил обновление, которое исправило 37 ошибок, связанных с безопасностью. Внимание исследователей по всему миру привлекла уязвимость CVE-2024-7965, описанная как некорректная имплементация в V8. На практике это означает возможность RCE (remote code execution) в рендерере браузера, что открывает простор для последующей эксплуатации. Заинтересованность исследователей повысилась еще сильнее, когда 26 августа Google сообщила об использовании CVE-2024-7965 «в дикой природе». Мы проанализировали эту уязвимость, чтобы вам не пришлось . Читать

https://habr.com/ru/companies/bizone/articles/843870/

#cve #google_chrome #android_security #information_security #информационная_безопасность #этичный_хакинг

Топ самых интересных CVE за август 2024 года

Всем привет! Публикуем нашу традиционную подборку самых интересных CVE ушедшего месяца. В августе десяткой по CVSS отметился плагин GiveWP для WordPress под удалённый код от неавторизированных злоумышленников, а 9.8 выбил LiteSpeed Cache со слабым алгоритмом хеширования. Месяц был богат на критические уязвимости: в GitHub Enterprise Server и SAP BusinessObjects исправили обход аутентификации, а в OpenVPN обнаружили сразу четыре уязвимости под RCE и LPE, две из них — на 9.8 баллов. Россыпь уязвимостей, эксплуатируемых злоумышленниками, была исправлена в продуктах от Microsoft, включая нашумевшую CVE-2024-38063 в IPv6. Об этом и других интересных уязвимостях августа читайте под катом!

https://habr.com/ru/companies/tomhunter/articles/838572/

#cve #vulnerability #vulnerability_assessment #vulnerabilities #vulnerability_scanning #vulnerability_research #information_security #пентест #уязвимости #анализ_уязвимостей

Введение в Identity Management с OpenIDM

В этой статье мы рассмотрим, что такое Identity Management (IDM) и его основные задачи. А так же рассмотрим решение нескольких типовых задач Identity Management и использованием продукта с открытым исходным кодом OpenIDM . В конце статьи будет обзор основных возможностей OpenIDM.

https://habr.com/ru/articles/834166/

#identity_management #open_source #information_security #authentication

Топ самых интересных CVE за июль 2024 года

Всем привет! Подводим итоги июля дайджестом самых интересных CVE прошлого месяца. В Telegram была закрыта уязвимость, позволявшая загружать вредоносные .apk под видом видеофайлов. Июль был богат на нулевые дни в Gogs: в популярном Git-сервисе три критических бага, пока не получивших патчей. В OpenSSH исправили две RCE-уязвимости, а в GitLab CE/EE — критическую на запуск pipeline jobs произвольным пользователем. Десяточкой по CVSS отметилась уязвимость в системе аутентификации Cisco SSM On-Prem, позволяющая злоумышленнику менять пароли в системе вплоть до администраторов. Максимальный рейтинг также получила CVE на обход плагина авторизации в Docker Engine. Об этом и других интересных уязвимостях ушедшего месяца читайте под катом!

https://habr.com/ru/companies/tomhunter/articles/828932/

#cve #vulnerability #vulnerabilities #vulnerability_scanning #vulnerability_research #vulnerability_assessment #information_security #пентест #уязвимости #анализ_защищенности

Разбираемся с новой уязвимостью в Android-библиотеке Jetpack Compose: как открыть любой фрагмент из вашего приложения?

Всем привет! На связи эксперты из Стингрей Технолоджиз – Юрий Шабалин, Веселина Зацепина и Игорь Кривонос. Недавно специалисты из компании Positive Technologies нашли серьезную проблему безопасности в популярной библиотеке для навигации в приложениях Android – Jetpack Compose Navigation . Эта уязвимость позволяет открывать любые фрагменты внутри приложения. К большому сожалению, несмотря на усилия сообщества, об этой уязвимости мало кто знает. Поэтому сегодня мы хотим еще раз подсветить данную проблему с углублением в детали. В статье мы разберем, что из себя представляет библиотека Jetpack Compose и ее основные элементы, в чем заключается уязвимость и насколько она опасна, а также приведем немного статистики по уязвимым приложениям. Интересно? Тогда давайте начинать!

https://habr.com/ru/companies/swordfish_security/articles/830338/

#безопасность #android #jetpack_compose #vulnerability #research #information_security #андроид #security #stingray #стингрей

Анализ Docker-образов на соответствие требованиям комплаенс

Всем привет! Меня зовут Максим Чиненов, я работаю в компании Swordfish Security, где занимаюсь внедрением, развитием и исследованием инструментов и процессов связанных с практиками Cloud & Container Security. Сегодня мы разберем работу инструмента OCI-image-compliance-scanner , разработанного в нашей компании для покрытия задач по аудиту образов на лучшие практики компоновки.

https://habr.com/ru/articles/829340/

#devsecops #information_security #devops #docker #containerization