Как тестировать конфигурацию Nginx: корректность и информационная безопасность

При разработке сложной системы часто приходится сталкиваться с необходимостью использования nginx в качестве reverse proxy. Один из частых сценариев использования это роутинг, список правил, регулирующих путь запроса во внутренние системы или путь между внутренними подсистемами. Зачастую быстро развивающиеся сервисы обрастают правилами, назначение которых не очевидно или имеет недокументированные особенности. Много объективных и не очень причин почему так случилось, но в какой то момент это все приходится приводить в порядок. Проверенный способ рефакторинга систем с недокументированным поведением: зафиксировать и вылечить упростить. Фиксировать будем тестами. Как проверить корректность вашей конфигурации Nginx'а? Как проверить ее безопасность и нет ли уязвимостей ? Какие есть для этого варианты, их плюсы, минусы, практическая применимость и как эти проверки встроить в CI пайплайн ? Постараюсь ответить на эти вопросы. Будет полезно, погнали. Погнали

https://habr.com/ru/articles/966914/

#perl #TestNginx #тестирование #reverseproxy #docker #python #рефакторинг #информационная_безопасность #уязвимости #nginx

Kerberos: атакуем трехголового пса

На сегодняшний день Active Direvtory является неотъемлемой частью функционирования любой корпоративной сети под управлением Windows. Протокол Kerberos используется в инфраструктуре Active Directory (AD) для аутентификации пользователей и сервисов. В этой статье мы поговорим о том, как работает этот протокол, и рассмотрим типовые атаки на него.

https://habr.com/ru/companies/otus/articles/967236/

#пентест #activedirectory #ntlm #Kerberos #Аутентификация #уязвимости #KDC #Атаки_на_инфраструктуру

Карты, деньги, два бага: погружаемся в программный взлом банкоматов

Всем привет! Вновь с вами аналитики из команды PT Cyber Analytics, и мы завершаем рассказ про исследование защищённости банкоматов. В первой части статьи мы подробно рассказали про устройство банкомата, принцип его работы и основные типы атак. Настало время перейти к самому интересному: логическим атакам. За нами, читатель! Мы расскажем, как же всё-таки взламывают банкоматы без шума и пыли.

https://habr.com/ru/companies/pt/articles/963094/

#логические_атаки #банкоматы #диспенсер #blackbox #уязвимости #баги #прошивка #atm #дамп_памяти #dmaатака

В фокусе RVD: трендовые уязвимости октября

Хабр, привет! Мы проанализировали широкий спектр уязвимостей за октябрь 2025 и собрали в дайджест те уязвимости, которые представляют наибольшую опасность — по уровню риска, подтверждённой эксплуатации и практическому интересу для специалистов информационной безопасности.

https://habr.com/ru/companies/rvision/articles/964824/

#уязвимости #информационная_безопасность #кибербезопасность #управление_уязвимостями #vulnerability_management #эксплуатация_уязвимостей

Лувр, dadada, Трамп и стикер: человеческий фактор в ИБ

В октябре 2025 года Лувр пережил дерзкое ограбление. Размер ущерба составил €88 миллионов. На днях вскрылись шокирующие детали: треть залов без камер, охрана на устаревших датчиках и серверы на Windows Server 2003. Но ключевой уязвимостью оказался пароль от системы видеонаблюдения — LOUVRE, зафиксированный в официальном отчёте национального агентства штатных информационных систем. Выходит, для взлома такого известного музея, сокровищницы мировой культуры, хватило одного-единственного слова. Ни хитроумных алгоритмов, ни дорогостоящего шпионского оборудования не понадобилось. Этот случай — не курьёзное исключение. Увы, пренебрежение основами безопасности — это болезнь, которая поразила всех — от Дональда Трампа и Марка Цукерберга до Пэрис Хилтон и Лизы Кудроу.

https://habr.com/ru/companies/cloud4y/articles/964116/

#взлом #лувр #хакеры #пароли #уязвимости

Рунет в стране кошмаров: ТОП/АНТИТОП уязвимостей октября

Как прошел ваш Хэллоуин? Вот мы в СайберОК качественно повеселились и попугались, потому что наши эксперты-охотники на привидений до самого рассвета рыскали по внешнему периметру Рунета и вытаскивали на свет главных монстров октября – как новых, так и хорошо забытых старых.

https://habr.com/ru/articles/963384/

#уязвимости #инстансы #cve #wsus #bind9 #патч #эксплойт #информационная_безопасность #rce #рунет

Топ самых интересных CVE за октябрь 2025 года

Всем привет! Закрываем октябрь нашей традиционной подборкой главных CVE месяца. Критической уязвимостью под RCE отметился Redis, проверка концепции в наличии. CVE под произвольный код также исправили в Oracle EBS вместе с уязвимостью под доступ к данным в Oracle Configurator. Критическую уязвимость исправили в Unity — возможность подгрузить вредоносную библиотеку при запуске игр и приложений, и исправление требует перекомпиляции затронутых проектов. А в сервере онлайн-редактора Figma MCP закрыли уязвимость под произвольные команды без проверки подлинности. Об этом и других интересных CVE октября читайте под катом!

https://habr.com/ru/companies/tomhunter/articles/961606/

#cve #vulnerability #vulnerabilities #vulnerability_assessment #vulnerability_scanning #уязвимости #уязвимость_нулевого_дня #уязвимости_и_их_эксплуатация

Bug bounty в РФ: когда вендор молчит, а платформа подыгрывает

Кейс новичка о «пробах» в роли бахгхантера на примере MAX + Bug bounty платформы Standoff365 Статья о личном опыте и выявленных системных проблемах взаимодействия исследователя с вендором и арбитражем в российской bug bounty‑экосистеме: как игнорируются критические уязвимости в «национальном мессенджере», отчёты закрываются как «дубликаты» без доказательств, а правила меняются постфактум. Что остаётся делать этичному хакеру, когда внутренние каналы арбитража исчерпаны и нет внешних, и почему в России у белого хакера — нет прав.

https://habr.com/ru/articles/960024/

#bug_bounty #max #vk #standoff_365 #уязвимости #арбитраж #фз152 #персональные_данные #национальный_мессенджер #багхантинг

Анализ смарт-контрактов на примере Solidity

Блокчейн-индустрия переживает период беспрецедентного роста, при этом общая стоимость заблокированных активов (Total Value Locked, TVL) в децентрализованных финансовых протоколах превышает 200 миллиардов долларов по состоянию на 2024 год. Вместе с ростом экосистемы растет и количество инцидентов безопасности, связанных с уязвимостями в смарт-контрактах. Согласно отчету Chainalysis, только в 2023 году потери от хакерских атак на DeFi-протоколы составили более 3.7 миллиардов долларов . История блокчейн-индустрии изобилует громкими случаями эксплуатации уязвимостей смарт-контрактов. Я Радда Юрьева, работаю в команде AppSec и вместе с коллегами из отдела Web3 исследую вопросы безопасности смарт-контрактов. В этой статье хочу поделиться нашим опытом анализа уязвимостей Solidity-кода и рассказать, какие подходы помогают находить и предотвращать ошибки на ранних этапах разработки Solidity-контрактов.

https://habr.com/ru/companies/pt/articles/936914/

#cybersecurity #machinelearning #smartcontract #уязвимости #смартконтракты #блокчейнтехнологии #defi #безопасный_код #безопасная_разработка #appsec

[Перевод] Пограничные случаи HTTP, которые должен понимать каждый разработчик API

В феврале прошлого года у интерфейса веб-серверов Rack, лежащего в основе практически каждого приложения Ruby on Rails, был обнаружен CVE-2024-26141 . Уязвимость была простой: достаточно отправить запрос файла с сотней байтовых диапазонов, и Rack генерировал неожиданно большой ответ. Серверы продакшена можно было атаковать одиночными HTTP-запросами, пока у них не закончится ресурс памяти или канала. Усугубляло ситуацию то, что баг затронул широкий диапазон версий: от 1.3.0 и выше; это означало, что уязвимыми оказались приложения, которые писали с 2011 года. Многие разработчики тратили все свои выходные на установку патчей. Это пример того, как простой неправильно обрабатываемый пограничный случай HTTP может нанести существенный ущерб . И не потому, что мы плохие разработчики, а потому, что HTTP сложен. В идеальном случае всё работает замечательно. Но потом наступает продакшен.

https://habr.com/ru/articles/955702/

#http #http2 #http3 #уязвимости

Что такое структура оценки уязвимости

​Система оценки уязвимостей — это способ, позволяющий организациям проверить свои системы, сети и приложения на наличие уязвимостей, которыми могут воспользоваться хакеры. Подобно тому, как мы проверяем свои дома на наличие сломанных замков или уязвимых мест, оценка...

#DST #DSTGlobal #ДСТ #ДСТГлобал #уязвимости #безопасность #OpenVAS #NMap #Nessus #QualysGuard #BurpSuite #киберугрозы #FTP #SSH #Telnet

Источник: https://dstglobal.ru/club/1116-chto-takoe-struktura-ocenki-ujazvimosti

Анализ CVE-2024-38107 в Power Dependency Coordinator

В данной статье будет рассмотрена еще одна известная уязвимость в Power Dependency Coordinator (pdc.sys) - CVE-2024-38107 По информации производителя, она эксплуатировалась in-the-wild, исправление для нее было выпущено в августе 2024 https://nvd.nist.gov/vuln/detail/cve-2024-38107 https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2024-38107 Тип уязвимости - Use-After-Free (UAF) В предыдущей статье был рассмотрен интерфейс pdc.sys, его взаимодействие с клиентами, а также проанализирована уязвимость CVE-2025-27736. Многие упомянутые там особенности работы драйвера будут важны для понимания этой статьи, поэтому рекомендуется ознакомится с ее вводной частью (которая относится к ALPC и регистрационным сообщениям).

https://habr.com/ru/articles/951004/

#cve #уязвимости #уязвимости_windows #информационная_безопасность

От анонимного FTP до RCE: как мы скомпрометировали сервер из-за конфигурационных ошибок

В мире веб-приложений и внешних периметров крупных компаний до сих пор встречаются классические, почти музейные уязвимости. Они как запертый на замок шкаф в центре мегаполиса: кажется, что все будут просто проходить мимо, но рано или поздно найдется тот, кто попробует дернуть за ручку. Этот кейс — наглядное подтверждение того, что для успешной атаки не всегда нужны сложные эксплойты или 0-day уязвимости. Зачастую достаточно старых и известных проблем, которые по-прежнему живут в инфраструктуре крупных компаний.

https://habr.com/ru/companies/ussc/articles/950368/

#пентест #уязвимости #ошибка_конфигурации #чёрный_ящик #rce

Как одеть гидру в броню или взлом смарт-контрактов на DeFi-хаке

Философия, мысли и спойлеры Добрый день, уважаемые хабровчане ;)). Мы продолжаем серию публикаций о нашем участии в “разношерстных” хакатонах, проводящихся под эгидой коммерческих, государственных и иных организаций самого необычного формата, направленности, специфики, толка и рассуждений. В общем, мы стараемся на зацикливаться на конкретно одной тематике и/или специфике, и постоянно пробуем себя, в различных направлениях. Да, не скрою, порой мы ввязываемся в, откровенно, рискованные истории, там, где совсем не имеем опыта и/или имеем крайне отдаленное представление о том, что от нас требуется ;)). Плохо это или хорошо, тут можно мыслить двояко, однако, у нас получается, учитывая, что из 10 хакатонов, которые мы провели 8 оказались, для нас успешными (или почти) и мы весьма преуспели на этом поприще соревновательного Data Science. При этом, выходя на хак, мы для себя уже составили небольшой роадмап, что нам, в целом, интересно, помимо решения предложенного кейса и на что мы акцентируем внимание в первую очередь: Примерно, с такими же настроениями, мы пришли и на этот ( DeFi-2025 , Сбер) очередной хак, посвященный разработке блокчейн-решений и анализу уязвимостей смарт-контрактов и web-3. Забегая вперед скажу, что нам не хватило, каких-то 0.06% для того, чтобы войти в топ-8 номинируемых команд. В общем, мы получили по сумме баллов за наше решение 13.44, тогда как у лидера было порядка 16. Отрыв небольшой, учитывая сложность задачи и ее первоначальное очень жесткое условие: одним из проходных критериев было создать уникальное решение, до этого нигде не фигурирующее в цифровом поле до 2025 года текущего месяца. С таким мы столкнулись впервые и были немного удивлены. Да. хакатон и подразумевает нечто подобное, но все же надо было понять, что вместе с нами было еще 28 команд, и они тоже умеют гуглить ;)). Наша команда называлась BlockTeam. И мы предоставили такое решение и детально его показали организаторам. Интересно, тогда приглашаю всех неравнодушных лиц под кат. Хардкор, и только хардкор!!!

https://habr.com/ru/companies/fa/articles/945910/

#хакатон #криптовалюта #блокчейн #defi #смартконтракты #уязвимости #машинное+обучение #искусственный_интеллект

gh0stEdit: как скрытно заразить Docker-образ, обходя его подпись и историю

Docker и контейнеризация давно стали стандартом. Мы подписываем образы, сканируем их на уязвимости, используем приватные реестры. Кажется, что цепочка поставки надёжно защищена. Но исследователи показали атаку gh0stEdit ( arxiv.org

https://habr.com/ru/articles/947670/

#docker #контейнеры #безопасность #supply_chain #уязвимости #devsecops #подпись_образов #cicd #эксплуатация

Устарело за секунду: Ваша система оценки уязвимостей больше не соответствует ФСТЭК. Что делать?

Этим летом ФСТЭК России ввел в действие новую редакцию «Методики оценки уровня критичности уязвимостей программных, программно-аппаратных средств». В результате принятия данного документа прекратила свое действие прежняя методика, которая была утверждена ФСТЭК России еще в 2022 году. Узнать про изменения

https://habr.com/ru/companies/securitm/articles/947652/

#Методика_ФСТЭК #Приказ_117 #Модуль_VM #уязвимости #фстэк_россии #информационная_безопасность #оценка_рисков #государственные_учреждения #информационные_системы

Сентябрьский «В тренде VM»: уязвимости в архиваторах WinRAR и 7-Zip, SAP NetWeaver и TrueConf Server

Привет! На связи Александр Леонов, ведущий эксперт PT Expert Security Center и дежурный по самым опасным уязвимостям месяца. Мы с командой аналитиков Positive Technologies каждый месяц исследуем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода и выявляем во всем этом многообразии сведений трендовые уязвимости. Это те уязвимости, которые либо уже эксплуатируются вживую, либо будут эксплуатироваться в ближайшее время. С прошлого дайджеста мы добавили 8 трендовых уязвимостей.

https://habr.com/ru/companies/pt/articles/947166/

#dbugs #cve #уязвимости #уязвимости_и_их_эксплуатация #windows #sap #7zip #trueconf #winrar

[Перевод] Ваш AI-ассистент уже слил ключи в облако?

Команда AI for Devs подготовила перевод статьи о том, как AI-ассистенты для написания кода одновременно ускоряют разработку и умножают риски. Исследование Apiiro показало: 4-кратный рост скорости сопровождается 10-кратным ростом уязвимостей. Вопрос открытый — готовы ли компании масштабировать не только продуктивность, но и риски?

https://habr.com/ru/articles/946918/

#безопасность_кода #уязвимости #архитектурные_ошибки #AI_coding_assistants

Новости кибербезопасности за неделю с 8 по 14 сентября 2025

Всё самое интересное из мира кибербезопасности /** с моими комментариями. На этой неделе новости про крупнейшую атаку на npm, бывший руководитель безопасности WhatsApp рассказал как ему не давали работать, про утечку данных всех жителей Вьетнама и другие только самые важные и интересные новости из мира информационной безопасности.

https://habr.com/ru/articles/946796/

#информационная_безопасность #npm #промпты #linux #whatsapp #вьетнам #искусственный_интеллект #apple #google_chrome #уязвимости

«Нормально делай – нормально будет»: что такое Secure by Design

Всем привет! В этой статье наши эксперты – Паша Попов, руководитель направления инфраструктурной безопасности, и Леша Астахов, директор по продуктам WAF-класса с огромным опытом развития продуктов Application Security в Positive Technologies, – разбираются, что такое подход Secure by Design, является ли он волшебной таблеткой для разработчиков и ИБ-специалистов, в чем разница между Secure by Design, AppSec и DevSecOps, а также какое будущее ждет безопасную разработку.

https://habr.com/ru/companies/pt/articles/946384/

#devsecops #appsec #безопасная_разработка #уязвимости