Топ самых интересных CVE за март 2024 года Всем привет! Подводим итоги марта топом самых интересных CVE. Гвоздём программы ушедшего месяца, конечно же, стал бэкдор в XZ Utils, наделавший шуму в Linux-сообществе. Десятку по CVSS также выбила уязвимость в Atlassian Bamboo Data Center и Server на внедрение SQL-кода.Ориг...
Безопасность CI/CD: обзор тoп-10 угроз по версии OWASP и рекомендации по их устранению в вашем конвейере Привет, Хабр!Меня зовут Артём Пузанков, я DevSecOps Cluster Lead (руководитель направления безопасной разработки) в МТС Digital.Экспертное сообщество OWASP представило OWASP Top 10 CI/CD Security Risks — список критических уязвимостей конвейера CI/CD. Его получили, исследова...
Milk Sad уязвимость в библиотеке Libbitcoin Explorer 3.x. Крупная кража на $ 900 000 у пользователей Биткоин Кошельков Исследователи компании «Slowmist» проводят регулярное исследование сферы безопасности блокчейна Биткоин. Они обнародовали уязвимость в библиотеке Libbitcoin Explorer 3.x, который позволила злоумышленникам украсть более $ 900 000 у пользователей Биткоин Кошельков (B...
Загрязненный — значит опасный: про уязвимость Prototype Pollution Prototype Pollution (CVE-2023-45811, CVE-2023-38894, CVE-2019-10744) — не новая брешь, вы уже наверняка читали про нее и на Хабре, и на PortSwigger, и даже в научных журналах, но есть нюанс. Несмотря на большое количество публикаций, некоторые популярные решения до сих пор о...
Удалить нельзя эксплуатировать: как мы нашли уязвимость в установщике Битрикс Методология тестирования на проникновение предполагает разделение поиска уязвимостей на несколько этапов. Один из первых этапов заключается в поиске легаси с известными уязвимостями, популярных мисконфигов и других low hanging fruits на периметре. Их эксплуатация проста и за...
Google выплатил пользователям $10 млн за поиск уязвимостей в своих продуктах Более 600 энтузиастов из 68 стран заработали $10 млн в прошлом году, найдя уязвимости в продуктах Google.
Трендовые уязвимости апреля: до пяти лет скрытой эксплуатации Хабр, привет! Я Александр Леонов, ведущий эксперт лаборатории PT Expert Security Center. Мы с командой аналитиков Positive Technologies каждый месяц анализируем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, б...
Популярные в США электронные замки Chirp оказались подвержены удалённому взлому В США обнаружили серьёзную уязвимость в Android-приложении достаточно популярных электронных замков Chirp, которыми пользуется как минимум 50 тысяч семей. Оказалось, что в прикладном программном обеспечении Chirp Systems для управления электронными замками наличествует брешь...
Миллиарды Android-смартфонов в опасности. Microsoft нашла серьезную уязвимость Компания Microsoft обнаружила критически важную брешь в системе безопасности, потенциально затрагивающую множество приложений для Android. Эта уязвимость, получившая название «Грязный поток” (Dirty Stream), представляет собой серьезную угрозу, которая может дать кому-т...
Заметки руководителя проекта: советы начинающим, факапы для бывалых Привет, Хабр!Меня зовут Кристина Спирина, я руководитель проектов в IT.Сегодня мы пройдем по жизненному циклу проекта, на каждом этапе поговорим о важных моментах, о факапах, с которыми мы с командой сталкивались на практике, и о том, как мы их исправляли.В своей работе я оп...
Вымогатель LockBit использует в атаках уязвимость Citrix Bleed ИБ-эксперты предупреждают, что вымогательская группировка Lockbit использует общедоступные эксплоиты уязвимости Citrix Bleed (CVE-2023-4966) для атак на крупные организаций, кражи данных и шифрования файлов. Разработчики Citrix выпустили патч для CVE-2023-4966 более месяца н...
Секреты технического собеседования от СТО с опытом 1000+ интервью Привет, меня зовут Артём Пулявин, с 2022 года я занимаю позицию технического директора в Ситидрайве и отвечаю за всё IT в компании — от закупки серверов и ноутбуков до разработки и найма новых членов команды. За 20-летнюю карьеру я провёл более 1 000 собеседований и взял на ...
[Перевод] Создание эмулятора игр MS-DOS в Kubernetes В этой статье мы разберёмся, как можно интегрировать JavaScript-библиотеку js-dos в собственное решение Kubernetes, что позволит нам предоставлять доступ к играм MS-DOS в виде сервисов Kubernetes и запускать их в браузере. Кроме того, по ходу статьи я дам советы и рекоменд...
История одной уязвимости в Google Chrome Эта статья посвящена уязвимости, которую мне удалось обнаружить в браузере Google Chrome в конце прошлого года, а также рассказывает об истории её возникновения. Уязвимость существовала в течение продолжительного периода и была устранена 31 октября 2023 года. Компания Google...
Microsoft нашла серьезную уязвимость в Android-приложениях Команда Microsoft заявила об обнаружении критической уязвимости в безопасности Android-приложений.
Каждое четвертое приложение, использующее Log4j, до сих пор уязвимо перед Log4Shell Множество приложений, использующих библиотеку Apache Log4j, используют версии, уязвимые перед различными проблемам, включая нашумевшую уязвимость Log4Shell (CVE-2021-44228), хотя с момента ее обнаружении и исправления прошло уже больше двух лет.
Security Week 2403: Bluetooth-уязвимости в Windows, Linux, Android, iOS и Mac OS На прошлой неделе исследователь Марк Ньюлин в подробностях рассказал об уязвимостях в стеке Bluetooth, которые затрагивают в той или иной степени практически все ПК, смартфоны и другие мобильные устройства. Его статья и выступление на конференции ShmooCon дополняют опубликов...
Это не игрушки. Game vulnerabilities как угроза для работодателя Баги и уязвимости в компьютерных играх встречаются часто, особенно если они вышли давно. И это логично: разработчикам выгоднее вкладываться в новые проекты. В итоге любимые игры постепенно превращаются в плацдарм для хакинга. Под прицел попадают все: сами разработчики, польз...
В Counter-Strike 2 появилась очень существенная уязвимость Сегодня в популярном шутере Counter-Strike 2 была обнаружена серьёзная уязвимость в безопасности, позволяющая злоумышленникам получать IP-адреса целых лобби игроков. Как объяснил пользователь под именем Ozzny, несколько пользователей сообщили об уязвимости шутера, связанной ...
Появился эксплоит для Linux-уязвимости Looney Tunables Исследователи предупреждают, что в сети уже доступны PoC-эксплоиты для уязвимости Looney Tunables, обнаруженной в динамическом загрузчике библиотеки GNU C. Баг, позволяющий локальным злоумышленникам получить root-права, актуален для большинства популярных Linux-дистрибутитов...
Как стоит и как не стоит использовать HttpClient в .NET Всем привет! Меня зовут Андрей Федотов, я бэкенд-разработчик в одной из команд платформы интернета вещей ZIIoT Oil&Gas. В этой статье я рассказываю, что нужно знать и как работать с HttpClient в .NET, чтобы не получить трудноподдерживаемый и сложный код и не нарваться на...
Как менять команды, не увольняясь из компании. Культура горизонтальной мобильности в Контуре Меня зовут Настя Миронова, я менеджер разработки в Контуре и уже около двух лет руковожу командой Рейнджеров – это разработчики без своего продукта, такие мобильные инженеры. Команда появилась в конце 2020 года, и за это время мы постоянно исследуем, чем можем помочь п...
Security Week 2419: уязвимость в Android-приложениях при обмене файлами 1 мая исследователи из компании Microsoft рассказали об уязвимости в ряде приложений для платформы Android. Эта уязвимость в некоторых случаях позволяет выполнять произвольный код и полностью контролировать легитимное приложение. В публикации подробно описан интересный спосо...
SSRF-уязвимость в Ivanti используется для установки бэкдора DSLog ИБ-эксперты обнаружили, что свежая 0-day уязвимость CVE-2024-21893, затрагивающая решения Ivanti Connect Secure, Policy Secure и шлюзы ZTA, используется для установки нового бэкдора DSLog на уязвимые устройства.
Специалисты МТС RED помогли устранить уязвимость в инструменте разработки Microsoft WinDbg Команда перспективных исследований МТС RED ART компании МТС RED выявила уязвимость в популярном отладчике программного обеспечения Microsoft WinDbg. Эксперт МТС RED ART Александр Калинин обнаружил брешь в безопасности, которая может быть использована в ходе атак на разработч...
Трагические микрозаймы, украденные креды: какие Android-зловреды мы обнаружили в официальных маркетах Один из основных принципов защиты мобильного устройства от киберугроз — загружать приложения только из официальных маркетов, таких как Google Play или Apple App Store. Однако несмотря на то, что софт проходит множество проверок перед публикаций, это не гарантирует, что польз...
Вымогатели атакуют критическую уязвимость в Apache ActiveMQ Недавно исследователи предупредили, что более 3000 тысяч серверов Apache ActiveMQ, доступных через интернет, уязвимы перед свежей критической RCE-уязвимостью (CVE-2023-46604). В настоящее время баг уже подвергается атакам. Например, эксплуатировать проблему пытаются оператор...
WinRAR CVE-2023-38831 10 июля 2023 года при исследовании распространения троянского ПО под названием DarkMe, специалистами из Group-IB была обнаружена раннее неизвестная уязвимость в WinRAR, которая касалась обработки zip-архивов. Данная уязвимость получила идентификатор CVE-2023-38831. С помощью...
Security Week 2415: новые уязвимости в продуктах Ivanti 2 апреля компания Ivanti сообщила о закрытии четырех новых уязвимостей в сетевых шлюзах Ivanti Connect Secure и Ivanti Policy Secure. Из них наибольшую опасность представляет проблема, получившая идентификатор CVE-2024-21894. Ошибка в компоненте IPSec при некоторых условиях ...
Старый софт: как мы обошли запрос пароля в Shadow Defender и зачем пользоваться приложением, которое не обновляется Привет, Хабр! Меня зовут Илья Буймистров, я занимаюсь исследованиями в области инфобеза для сервиса централизованного управления уязвимостями CICADA8. Это один из проектов блока инноваций FC компании МТС RED.Чтобы защищать пользователей, надо понимать, где слабые места...
SSRF-уязвимость в продуктах Ivanti массово атакуют хакеры Свежую 0-day уязвимость, затрагивающую решения Ivanti Connect Secure и Policy Secure, уже массово эксплуатирую хакеры. Уязвимость позволяет обходить аутентификацию и получать доступ к определенным ресурсам на уязвимых устройствах.
Бенчмарк HTML парсеров в Python: сравнение скорости Привет, Хабр!Меня зовут Вадим Москаленко и я разработчик инновационных технологий Страхового Дома ВСК. В этой статье хочу поделиться с вами информацией по проведенному сравнению производительности нескольких популярных библиотек для простого HTML-парсинга.При необходимости с...
Деструктивный пакет everything напомнил об уязвимостях реестра npm Пакетный менеджер npm попал в неприятную историю, которая снова возродила споры о принципах работы реестра с микрозависимостями для JavaScript (и Node.js). Критики утверждают, что уровень зависимостей в npm слишком большой. Многие помнят историю 2016 года с микромодулем l...
На GitHub больше 1 000 уязвимых репозиториев: в чём суть угрозы и что с этим делать Привет, Хабр! На связи технический директор MTC RED Денис Макрушин и команда Advanced Research Team: Павел Гусь, Иван Бессарабов и Андрей Сомсиков.В январе разработчики GitLab нашли в своей системе две критические уязвимости. Из-за ошибок в верификации злоумышленники могут з...
F5 исправляет RCE-уязвимость в BIG-IP Критическая уязвимость в утилите настройки F5 BIG-IP (CVE-2023-46747), позволяет удаленному злоумышленнику выполнить произвольный код без аутентификации. Проблема связана с UI Traffic Management и получила 9,8 балла из 10 возможных по шкале оценки уязвимостей CVSS.
Критический баг в Tinyproxy угрожает 50 000 систем Более 52 000 хостов с Tinyproxy, которые можно обнаружить в интернете, уязвимы перед критической RCE-уязвимостью CVE-2023-49606, недавно обнаруженной в опенсорсном прокси-сервере.
GNOME уязвим перед RCE-атаками из-за ошибки в библиотеке libcue Уязвимость CVE-2023-43641, обнаруженная в опенсорсной библиотеке libcue, позволяет злоумышленникам выполнять произвольный код в Linux-системах, использующих среду рабочего стола GNOME.
Как оптимизировать код на С для x86-процессоров: подсистема кэша и памяти, инструкции AVX-512 Меня зовут Андрей Бакшаев, я ведущий инженер-программист в YADRO. Моя команда занимается разработкой и оптимизацией математических библиотек под архитектуру x86. До этого я 15 лет работал в Intel. Значительная часть моих задач заключалась в том, чтобы реализовывать некоторые...
Атака на SSH и взлом туннелей VPN SSH стал практически стандартом де-факто для подключения к серверу или удалённому десктопу. Поэтому уязвимости вызывают определённое беспокойство. Тем более в нынешних условиях, когда весь трафик в интернете записывается и сохраняется в хранилищах провайдеров и хостеров. Т...
Топ самых интересных CVE за февраль 2024 года Всем привет. Подводим итоги последнего зимнего месяца подборкой самых интересных CVE. В феврале засветилась выбившая десяточку уязвимость на обход аутентификации в софте ConnectWise ScreenConnect. Также отметилась критическая уязвимость в плагине Bricks Builder для WordPress...
Биткоин-надписи несут угрозу кибербезопасности Национальная база данных уязвимостей США (NVD) признала, что токены стандарта BRC-20 используют уязвимость в коде Bitcoin Core и засоряют блокчейн первой криптовалюты
Аутентификация для WebSocket и SSE: до сих пор нет стандарта? WebSocket и SSE появились более десяти лет назад, однако до сих пор в стандартах отсутствуют рекомендации по решению задачи аутентификации для подобных соединений.В статье разберем особенности аутентификации применительно к протоколу WebSocket и технологии Server-Sent Events...
В чипах AMD и Intel обнаружили уязвимость в безопасности данных Ученые из ETH Zurich провели серию экспериментов, которые позволили выявить уязвимости в системах конфиденциального вычисления, разработанных ведущими производителями компьютерных чипов, такими как AMD и Intel. Оказалось, что хакерам удается получить доступ к данным, изолиро...
Усилители Wi-Fi сигнала D-Link уязвимы перед удаленным выполнением команд Группа исследователей RedTeam обнаружила проблемы в популярном усилителе Wi-Fi сигнала D-Link DAP-X1860. Найденная специалистами уязвимость позволяет осуществлять DoS-атаки (отказ в обслуживании) и удаленное внедрение команд.
Lego наборы, которые я всегда хотел Все уже в курсе, что искусственный интеллект может многое. В этой статье я дам возможность ИИ собрать интересные наборы LEGO, которые я бы с удовольствие сам пособирал и в конце статьи, поделюсь инфо, как именно можно сгенерировать такие наборы своей мечты самостоятельно.Мен...
Релиз The Division Resurgence сместили на конец 2024 года Ещё в начале 2024 года разработчики The Division Resurgence из Ubisoft рассказали, что они будут проводить небольшие закрытые тесты, а глобальный релиз игры намечен на конец 2024 года. Тогда некоторые читатели AppTime уличили меня в «желтизне» и сказали, что Resurgence вый...
Google патчит восьмую 0-day уязвимость в Chrome в этом году Google выпустила экстренные патчи для устранения очередной 0-day уязвимости в браузере Chrome. Известно, что этот баг уже находился под атаками и стал восьмой уязвимостью нулевого дня в Chrome в этом году.
Критическая уязвимость в Rust приводит к инъекциям команд в Windows Уязвимость, получившая название BatBadBut и идентификатор CVE-2024-24576 (максимальные 10 баллов по шкале CVSS), затрагивает стандартные библиотеки ряда языков программирования, включая Rust. Из-за этого Windows-системы оказываются уязвимы перед атаками на внедрение команд и...
Уязвимостями в устройствах Pixel пользовались киберкриминалисты На этой неделе инженеры Google исправили 28 уязвимостей в Android и 25 ошибок в устройствах Pixel, включая две проблемы, которые уже подвергались эксплуатации. Сообщается, что 0-day уязвимости в Google Pixel использовались киберкриминалистами для разблокировки смартфонов без...
Linux-уязвимость Looney Tunables используется группой Kinsing в облачных атаках Операторы малвари Kinsing атакуют облачные среды с системами, уязвимыми перед свежей проблемой Looney Tunables. Напомним, что эта уязвимость отслеживается как CVE-2023-4911 и позволяет локальному злоумышленнику получить root-привилегии в системе.
Уязвимость в популярном WordPress-плагине Ultimate Member ведет к утечке данных Исследователи предупредили о критической уязвимости (SQL-инъекция) в популярном плагине для WordPress, который насчитывает более 200 000 установок. Проблема может использоваться для извлечения конфиденциальных данных.
Google подтверждает критическую уязвимость в libwebp, тысячи приложений под угрозой Google обновила информацию о критической уязвимости в библиотеке libwebp, указав, что проблема затрагивает не только браузер Chrome, но и тысячи других приложений и программных фреймворков
GitHub представила ИИ-инструмент, который будет искать уязвимости в коде Разработчики GitHub представили новую ИИ-функцию, позволяющую ускорить исправление уязвимостей во время написания кода. Пока функция представлена в публичной бета-версии и автоматически включается во всех приватных репозиториях для клиентов GitHub Advanced Security (GHAS).
Инструкция по SCA: генерация SBOM, инструменты, отличия Анализ сторонних компонентов ПО становится всё более актуальным в свете увеличения числа уязвимостей в открытом исходном коде. Популярные репозитории содержат более 20 тысяч потенциально опасных пакетов. Сегодня мы поговорим о спецификации SBOM (Software Bill of Material), о...
Внимание хакеров привлекла уязвимость в библиотеке aiohttp Группировка хакеров ShadowSyndicate ведет активный поиск серверов, уязвимых из-за проблемы в библиотеке aiohttp для Python (CVE-2024-23334), что позволяет обходить защиту директорий. Несмотря на выпуск исправленной версии 3.9.2, многие системы остаются незащищенными, что уси...
В веб-сервере Cisco нашли позволяющую контролировать 10 тыс устройств уязвимость Служба безопасности компании Cisco Talos выпустила предупреждение о критической уязвимости нулевого дня, обозначенной как CVE-2023-20198, которая затрагивает программное обеспечение IOS XE на многих устройствах.
Security Week 2411: критическая уязвимость в продуктах VMware 5 марта компания VMware (ныне входящая в корпорацию Broadcom) сообщила об обнаружении ряда серьезных уязвимостей в продуктах VMware ESXi, Fusion, Cloud Foundation, Workstation Pro и Workstation Player. Всего было закрыто четыре уязвимости, а наиболее серьезная получила идент...
Своё кастомное межсервисное взаимодействие с блекджеком и gRPC Привет, Хабр! Меня зовут Ильяс. Мы с командой делаем собственный Service Mesh в Ozon Tech, и в этой статье я расскажу, как можно за вечер реализовать свое супер кастомное межсервисное взаимодействие. К концу статьи мы с вами напишем современные алгоритмы балансировки, настро...
Мультимодальный трансформер для content-based рекомендаций На первый взгляд может показаться, что ничего интересного в области RecSys не происходит и там всё давно решено: собираем взаимодействия пользователей и товаров, закидываем в какую-нибудь библиотеку, которая реализует коллаборативную фильтрацию, и рекомендации готовы. В то ж...
В Positive Technologies рассказали о критической уязвимости в продуктах «1С-Битрикс» Специалисты Positive Technologies рассказали, как помогли исправить критическую уязвимость в продуктах «1С-Битрикс». Уязвимость получила максимальную оценку 10 баллов по шкале CVSS 3.0, и с ее помощью атакующий мог запустить любое ПО на уязвимом узле и потенциально развить а...
Сможет ли IPFS полностью заменить HTTP? Меня зовут Виталий Киреев, я руководитель R&D в SpaceWeb. В начале прошлого года мы внедрили IPFS-технологию в работу своего хостинга, и все наши клиенты получили возможность размещать контент в IPFS-сети. Решились на такой шаг не сразу: IPFS — технология пока еще экспер...
HTB RegistryTwo. Эксплуатируем уязвимости Java RMI для полного захвата хоста Для подписчиковВ этом райтапе я покажу эксплуатацию нескольких уязвимостей в Java RMI, но сначала проведем атаку на Docker Registry, которая позволит нам получить доступ к файлам сайта.
Zyxel патчит критические баги в межсетевых экранах, точках доступа и NAS Компания Zyxel устранила многочисленные уязвимости в своих продуктах, включая ряд критических. К примеру, эти баги могут позволить неаутентифицированному злоумышленнику выполнять команды на уязвимых NAS компании.
Samsung Galaxy S23 взломали дважды за день. Xiaomi 13 Pro тоже не устоял В рамках мероприятия Pwn2Own по поиску уязвимостей в коммерческих продуктах, белым хакерам за день дважды удалось взломать Samsung Galaxy S23. А ведь этот смартфон считается одним из самых защищенных с точки зрения ПО. Как сообщает Zero Day Initiative, команда Sta...
[Перевод] Города в киберпространстве: образ города и разработка ПО Уже почти 200 лет урбанисты проектируют города с учетом потребностей людей. UI/UX дизайнерам есть чему у них научиться.Эта статья — вторая часть моего исследования связи между городами, теорией градостроительства, современными практиками разработки цифровых продуктов и польз...
Мало было серьёзных уязвимостей в процессорах, теперь такую обнаружили в GPU. LeftoverLocals опасна в случае обучения больших языковых моделей Несколько лет назад одной из самых активных тем в IT были многочисленные уязвимости в процессорах. Теперь такую же обнаружили в современных GPU. Называется уязвимость LeftoverLocals (её каталожный номер — CVE-2023-4969). Она позволяет восстанавливать данны...
Опубликованы эксплоиты для критической RCE-уязвимости в Jenkins В сети появилось сразу несколько PoC-эксплоитов для критической уязвимости в Jenkins, позволяющей неавторизованным лицам читать произвольные файлы. Хуже того, некоторые ИБ-специалисты сообщают, что хакеры уже используют проблему в атаках.
Как работает блокчейн Scroll: технические детали и обзор архитектуры Привет, Хабр! Меня зовут Леша Куценко, я разработчик смарт-контрактов на Solidity в команде MetaLamp. В этой статье я расскажу про основные технические принципы блокчейна Scroll, которые повлияли на дизайн блокчейна, а также дам обзор общей архитектуры блокчейна.Из этой ст...
Названы самые «интересные» компьютерные уязвимости за февраль 2024 года Февраль 2024 года был богат на уязвимости, затронувшие множество популярных продуктов и систем. Некоторые из наиболее значимых попытался кратко описать и перечислить пользователь Хабра под ником TomHunter.
[Перевод] Ладья на XSS: как я хакнул chess.com детским эксплойтом Шахматы – это одно из многих моих хобби, за которыми я провожу свободное время, когда не ковыряюсь с какой-нибудь электроникой. При этом играю я так себе, и когда мне изрядно надоело проигрывать, я решил заняться тем, что у меня получается гораздо лучше… хакнуть систему! В...
Пуш-уведомления RuStore Привет! Меня зовут Артем Ковардин, я работаю в VK и мы с командой разрабатываем Push Service RuStore и SDK для него. Если вы занимаетесь разработкой мобильных приложений и хотели бы иметь канал коммуникации с пользователями или же вам просто интересно то, как работают разраб...
Google говорит о 97 использованных в 2023 году уязвимостях нулевого дня Уязвимости программного обеспечения чаще всего встречаются в смартфонах, операционных системах и браузерах
В видеокартах Apple, AMD и Nvidia нашли новую уязвимость с быстрой утечкой данных Исследователи информационной безопасности из Университета Карнеги-Меллона в Питтсбурге, штат Пенсильвания, США, сообщили о новой уязвимости в графических процессорах. Уязвимость под названием LeftoverLocals затронула, в том числе таких вендоров, как Qualcomm, AMD, Apple, Nvi...
Зачем вам Employee Experience: как премии, CRM и выдача ноутбуков влияют на прибыль компании Привет! Мы команда UX-исследователей Alfa Research Center. В банке отвечаем за Employee Experience (EX) — исследование клиентского опыта сотрудников. Мы погружаемся в устройство процессов и интерфейс внутренних продуктов. Мы не ограничиваемся исследованиями интерфейсов ...
Как мы тестируем серверы Привет! Меня зовут Олег Рябов, я главный эксперт Управления исследований и разработок новых решений компании «Ростелеком-ЦОД» и автор программы и методики испытаний (ПМИ) серверов. В этой статье расскажу, как мы проводим тестирование серверов и какие утилиты и методы использ...
Positive Technologies перечислила трендовые уязвимости прошедшего марта Эксперты Positive Technologies отнесли к трендовым уязвимостям марта пять проблем, обнаруженных в продуктах Fortinet, JetBrains и Microsoft. К трендовым относятся уязвимости уже использовавшиеся в атаках и те, эксплуатация которых прогнозируется в ближайшее время.
Каждое четвертое приложение все еще уязвимо к Log4Shell спустя два года после обнаружения Несмотря на активные усилия индустрии по устранению уязвимости Log4Shell в утилите ведения логов Log4j на базе Java с открытым исходным кодом, более 25% приложений по-прежнему подвержены потенциальной эксплуатации, говорится в новом исследовании Veracode.
От HTTP к RCE. Как оставить бекдор в IIS Всем добрый день! Меня зовут Михаил Жмайло, я пентестер в команде CICADA8 Центра инноваций МТС.На проектах часто встречаются инстансы Internet Information Services (IIS). Это очень удобный инструмент, используемый в качестве сервера приложений. Но знаете ли вы, что даже прос...
Как приоритизировать фичи с помощью Unit-экономики? Как понять, будет ли прибыльным продукт, который ты хочешь запустить? Стоит ли вообще брать фичу в разработку? Как заранее предсказать эффект от неё? Такие вопросы часто встают перед менеджерами продукта и продуктовыми аналитиками. А особенно остро они звучат, когда вы разра...
Компьютеры Apple с чипами M оказались уязвимы перед хакерами Новая уязвимость GoFetch угрожает всем компьютерам Apple с чипами M.
В WordPress исправили уязвимость, угрожающую сайтам удаленным выполнением кода Разработчики WordPress выпустили патч для исправления RCE-уязвимости в своей CMS. Хотя под управлением WordPress работают около 43% всех сайтов в интернете, эта уязвимость вряд ли подвергнется массовым атакам, так как она затрагивает только новейшие версии WordPress, требует...
[Перевод] Обманчиво простой и интересный RSA Недавно, читая книгу Real-World Cryptography, я узнала об атаке Блейхенбахера, иначе называемой атакой миллионом сообщений. Этот вид атаки Даниэль Блейхенбахер продемонстрировал в 1998 году, взломав RSA через функцию шифрования PKCS #1. В книге об этой атаке было сказано не...
Библиотека на Go для работы с RuStore API Привет, Хабр!Меня зовут Энрике, и я работаю Go-разработчиком в RuStore. Сегодня хочу рассказать про библиотеку на Go для комфортной работы с API магазина приложений RuStore. Иногда авторизация через API и получение JWE-токена занимают больше времени, чем хотелось бы. С ...
Arm предупредила об уязвимостях в драйверах графических процессоров Mali Компания Arm выпустила патчи, среди прочего, устраняющие уязвимость в драйвере ядра графического процессора Mali, которая уже активно использовалась хакерами. Уязвимые Mali GPU работают на множестве устройств, включая Google Pixel и другие телефоны на Android, Chromebook и р...
В продуктах Ivanti нашли еще две 0-day уязвимости. Одну из них уже атакуют хакеры Не успели разработчики Ivanti исправить уязвимости нулевого дня, обнаруженные в начале января в продуктах Connect Secure VPN и Policy Secure, как стало известно о двух новых 0-day багах, так же затрагивающих Connect Secure, Policy Secure и шлюзы ZTA. Причем одна из уязвимост...
Замки Saflok, установленные в отелях и домах по всему миру, можно открыть из-за уязвимостей Исследователи обнаружили уязвимости, которые затрагивают 3 млн электронных RFID-замков Saflok, установленных в 13 000 отелей и домов по всему миру. Баги позволяют легко отпереть любую дверь, подделав пару ключ-карт.
[recovery mode] Безопасность android-приложений. Реверсим OWASP MASTG Crackme 1 Всем привет! Меня зовут Максим и я занимаюсь исследованиями источников данных. В своей работе периодически приходится сталкиваться с исследованием android-приложений. В этой статье я хочу показать базовые методы реверс-инжиниринга и исследования android-приложений на примере...
Уязвимость LogoFAIL затрагивает почти все ПК под управлением Windows и Linux Команда исследователей Binarly обнаружила набор уязвимостей в системе безопасности, известных как "LogoFAIL", которые затрагивают компоненты разбора изображений в прошивке UEFI широкого спектра устройств.
[recovery mode] Как в Node.js контролировать потребление памяти при обработке сетевых запросов Всем привет! Я Виктор Кугай, руководитель команды разработки спецпроектов в Тинькофф. Мы создаем геймификационные проекты, основанные на данных, чтобы познакомить пользователей с экосистемой компании и повысить узнаваемость бренда.Расскажу, как с помощью Node.js Streams и ме...
Угроза LogoFAIL: новая атака угрожает компьютерам под управлением Windows и Linux Атака, получившая название «LogoFAIL», наводит страх на пользователей Windows и Linux, используя критическую уязвимость в прошивке UEFI. Эта коварная атака обходит меры безопасности, переписывая загрузочный «логотип» на этапе среды исполнения драйверов (DXE), оставляя П...
Рекомендации яндекс «Куда пойти в Москве»: история моего фиаско Пару недель назад яндекс в блоге вебмастеров проанонсировал появление нового блока на поиске – с рекомендациями и событиями. Мы – клуб по игре в мафию – попробовали подключиться к этому сервису и описываем свой опыт: первая половина статьи о технических аспектах подключения,...
Декодирование файла, поиск уязвимости и взлом пароля. Решаем задачи по сетям из KnightCTF 2024 Привет, Хабр! В прошлой статье я рассказывал о турнире KnightCTF 2024, который организовала команда из Бангладеша. Но туда вошли не все задачи. Под катом расскажу еще о четырех из категории networking. Читайте далее — узнаете, как получить секретную информацию в bash-histor...
VMware патчит критическую уязвимость в vCenter даже в устаревших продуктах Компания VMware выпустила обновления, исправляющие критическую уязвимость в vCenter Server и VMware Cloud Foundation, которую можно использовать для удаленного выполнения кода на уязвимых серверах. Из-за критического характера этой проблемы VMware выпустила патчи даже для ст...
Выбираем базовые образы для приложений на .NET: минимум уязвимостей, максимум быстродействия Микросервисы и контейнеры для их развертывания сейчас являются стандартом в крупных компаниях. Для разработчиков и DevOps-инженеров это удобный подход: он дает больше возможностей и ускоряет процессы.Но для специалистов по информационной безопасности микросервисная архитекту...
Неполадки в отладке: как уязвимость в WinDbg позволяет атаковать разработчиков Привет, Хабр! Меня зовут Александр Калинин, я занимаюсь разработкой средств обеспечения безопасности контейнерных сред в МТС RED, дочерней компании МТС в сфере кибербезопасности. Сегодня расскажу о том, как я обнаружил в отладчике WinDbg уязвимость, которая позволяет запуска...
В Microsoft нашли уязвимость в генераторе изображений создателей ChatGPT Главный специалист Microsoft по разработке программного обеспечения Шейн Джонс обнаружил уязвимость в генераторе изображений DALL-E 3 от OpenAI, позволяющую пользователям создавать откровенные и жестокие изображения в обход мер безопасности.
Предсказание остановок оборудования с использованием LSTM и Байесовского подхода Привет, дорогие читатели Хабра! Исследования выполнено в рамках выпускного проекта на курсе Machine Learning Advanced в OTUS. Рецензенты проекта - @bekemax, @stureikoДанные были предоставлены ПАО «Северсталь» для хакатона ЛИДЕРЫ ЦИФРОВОЙ ТРАНСФОРМАЦИИ 2023В проекте разв...
Кто такие специалисты по безопасной разработке и где на них учиться Привет, Хабр! В этой статье мы разберемся, кто такой специалист по безопасной разработке, какие требования к нему предъявляют работодатели, сколько специалисты этой профессии сегодня зарабатывают и куда можно пойти учиться на AppSec-специалиста. Давайте знакомиться! Меня зов...
Как мы создали и развиваем лабораторию R&D Привет, меня зовут Александр, я руковожу Управлением исследований и разработки новых решений в «Ростелеком-ЦОД», если коротко — лабораторией R&D.Сейчас лаборатория хорошо прокачана и продуктивна, но так было не всегда. В этой статье я расскажу, как мы ее создавали, к чем...
Текст в стиле техно: есть ли жизнь за пределами Хабра? Написав первый текст в августе 2011, за 12 лет я срослась с Хабром: сперва вела блоги двух компаний, затем левачила партизанскими статьями, и наконец, стала работать в самом Хабре. Меня как автора до Хабра особо и не было — так, разовые заказы на переводы, переделанные песни...
Intel и Lenovo затронуты уязвимостью в BMC шестилетней давности Уязвимость шестилетней давности в веб-сервере Lighttpd, используемом в BMC (Baseboard Management Controller), ускользнула от внимания многих производителей устройств, включая Intel и Lenovo. Проблема может привести к утечке адресов памяти процесса, что позволяет обойти такие...
Обычный Client Side с необычной эксплуатацией Это статья о клиентских уязвимостях, которые мне показались интересными.Целью статьи является показать, что иногда из, казалось бы, скучных уязвимостей с низким импактом, можно выжимать больше, чем кажется. Читать далее
Китайские мошенники использовали уязвимость в Apple AirDrop для кражи данных пользователей По мнению правозащитников, компания должна нести ответственность за игнорирование проблемы, о которой ей уже было известно
Исследование МТС RED: хакеры могут атаковать разработчиков ПО, захватывая сторонние репозитории Команда перспективных исследований МТС RED ART (Advanced Research Team) выявила около 1000 уязвимых библиотек, которыми злоумышленники могут воспользоваться для заражения легитимного программного обеспечения вредоносным кодом.
Китайские хакеры используют уязвимость нулевого дня в Atlassian Китайская хакерская группа Storm-0062 успешно воспользовалась уязвимостью нулевого дня в программном обеспечении Confluence от Atlassian
Techspot: Миллионы дверей гостиничных номеров можно взломать с помощью мобильного телефона Хакеры нашли уязвимость в безопасности, которая затронула миллионы дверей с электронными замками Saflok от Dormakaba в тысячах зданий.
Как Додо Пицца доставляет свежий код: история мобильного CI для iOS Мобильная разработка под iOS особенная: собрать приложение можно только на macOS, среда разработки по сути только одна, большая часть принятого в сообществе тулинга написана на Ruby, свой пакетный менеджер появился только пару лет назад. Тяжко.А когда речь заходит про автома...
Анализ безопасности Wi-Fi: атаки на WPA2-Personal / Enterprise и методология взлома WPA3 Подробное исследование методологии взлома протоколов WPA2-Personal / Enterprise и WPA3: какие атаки и уязвимости существуют, и какой инструментарий применяется для их эксплуатации. Читать далее
Как выжить на первом испытательном сроке в IT и не только Всем привет! Меня зовут Артём Харченков, и я руководитель подразделения разработки программных продуктов в компании Crosstech Solutions Group. Сегодня я расскажу, как успешно пройти свой первый испытательный срок, что нужно делать обязательно и чего лучше не делать. Для...
Предупрежден — значит вооружен: подборка открытых ресурсов с информацией о выявленных уязвимостях Мы уже писали о методах борьбы с DDoS и «слабых местах» Wi-Fi. Сегодня продолжим тему и поговорим о ресурсах, где можно найти актуальную информацию о сетевых уязвимостях и не только. Это — наша компактная подборка открытых баз, которые предлагают собственные API для получени...
В кодировке интерфейса X.Org для Linux были обнаружены дыры, остававшиеся незаметными 35 лет Все уязвимости были закрыты, поэтому пользователей просят скачать последние обновления
Атака ShellTorch использует уязвимости TorchServe и угрожает инфраструктуре крупных компаний Несколько критических уязвимостей, получивших общее название ShellTorch, были обнаружены в опенсорсном инструменте TorchServe, который используется для обслуживания ИИ-моделей PyTorch. Исследователи заявили, что обнаружили в интернете десятки тысяч уязвимых серверов, некотор...
Управляем навигацией во Flutter с помощью библиотеки auto_route: часть 2. Guards, Wrappers и миграция Привет, Хабр! Меня зовут Юрий Петров, я Flutter Team Lead в Friflex. Это продолжение моей статьи про библиотеку auto_route. В этой статье, я попробую пояснить, что такое охранники(guards), обертки (wrappers) и с чем вам придется столкнуться в легаси проектах при миграции на ...
Как использовать ресурсы Kubernetes по максимуму для работы с Go-приложениями Привет! Меня зовут Антон Жуков, я руковожу группой разработки в Сбермаркете. В профессии я уже более 12 лет, с Golang работаю с 2016 года, а с Kubernetes — с 2018 года. В этой статье расскажу об основах Kubernetes, возможных проблемах и решениях, а также о том, как грам...
Расчёт вкусов пользователя для ленты рекомендаций с применением item2vec-подхода Ежемесячная аудитория ОК только в России превышает 36 млн человек. Причём это активные пользователи, которые хорошо взаимодействуют с нашим контентом: ставят Классы, комментируют, делают репосты. Залогом активного отклика во многом является формирование новостной ленты с уче...
Почему пароли безнадежно устарели и зачем ими до сих пор пользуются? В феврале вышло исследование компании DLBI по самым популярным паролям в России. Аналитики собрали учётные записи (электронная почта — пароль), утёкшие в 2023 году, выделили из них уникальные. Всего получилось 44 млн записей. На основе этой базы исследователи составили топ с...
Apple советует отключить iMessage. Иначе ваш iPhone могут взломать Владельцы iPhone уже привыкли к тому, что Apple как следует защищает их данные, а в случае выявления уявзимостей оперативно выпускает обновление iOS с исправлением ошибок. Практически нет претензий и к приложениям из App Store — разработчики уделяют им достаточно вним...
Ыыыы ыыыыыыыыыы с помощью AmneziaЫЫЫ Ну что теперь будем писать про VPN вот так? Кстати, в Китае вместо слова VPN вы часто можете встретить "Science Online"(科学上网), “ladder”(梯子), или “Internet accelerator”(上网加速器), все это обозначает VPN. В России, кажется еще все не так плохо, но это не точно. С...
Велосипедим связанный список на Wolfram Возможно 11 подписчиков моего блога обратили внимание на тот факт, что все мои статьи касаются языка Wolfram, а несколько последних статей вышли довольно громоздкими. Одна из последних статей была помечена Хабром как требующая в среднем 32 минуты на прочтение. Я посчитал, чт...
BSCP — разгадываем тайны сертификации от академии PortSwigger Привет, Хабр! Меня зовут Никита, я пентестер, специализируюсь на веб-тестировании. Наверняка многие из вас задумывались о подтверждении своей экспертизы с помощью некоторых сертификаций. Сегодня хочу поговорить о популярной сертификации от академии PortSwigger — BSCP, посвящ...
Команда нагрузочного тестирования? Дайте две! Почему иногда подрядчик бонусом к внутренней команде — это хорошая идея Привет! Меня зовут Юля Шамина, я руководитель IT-проектов в СберМаркете. Хочу поделиться нестандартным по всем меркам кейсом, как мы подготовили наши сервисы к высоким предновогодним нагрузкам за 3 месяца благодаря челленджу внутренней команды нагрузочного тестирования. ...
Проблема GoFetch угрожает процессорам Apple серии M, а патчи повлияют на производительность Группа ученых опубликовала информацию о side-channel атаке под названием GoFetch. Проблема связана с серьезной уязвимостью в процессорах Apple M1, M2 и M3, и позволяет похитить криптографическую информацию из кеша процессора: атакующее приложение может воссоздать криптографи...
Call Activity vs SubProcess: В чём отличие? Приветствую моих читателей! Меня зовут Екатерина. Ранее 3.5 года я администрировала bpm-систему, сейчас вот уже более двух лет я работаю системным аналитиком и развиваю нашу собственную bpm-систему. В данной статье хочу рассказать о дилемме, с которой столкнул...
Google исправила три опасные уязвимости Chrome Разработчики Google Chrome выпустили патч, устраняющий новую 0-day уязвимость
Эксперты «Лаборатории Касперского» обнаружили уязвимость процессоров в iPhone Россиянам рассказали о критической уязвимости вех процессоров iPhone
Топ-3 причины, почему вы должны использовать Copilot Всем привет! Меня зовут Анатолий Барцев, я frontend-разработчик в команде Модерации Циан. Я решил протестировать Copilot, чтобы оценить, полезен ли он для реальной разработки. В статье расскажу, какие выделил для себя плюсы использования, а также покажу, как GitHub Copilot п...
Аналог Netflix — Plex — потребовал у GitHub удалить «пиратский» репозиторий Plex, популярная платформа для просмотра фильмов и сериалов, вступает в противостояние с GitHub из-за репозитория под названием «Plex-Reshare». Plex обеспокоена тем, что этот инструмент, предназначенный для того, чтобы пользователи могли делиться своими библиотеками Plex с ш...
HypEx и мэтчинг. Эксперимент без A/B-тестирования? Привет, Хабр! Меня зовут Дмитрий Тихомиров, я работаю в блоке «Финансы» в команде разработки HypEx (Hypotheses and Experiments) — open source-библиотеки для Python. Наша команда хотела придумать ёмкое название для фреймворка, чтобы оно отражало суть происходящего и помогало ...
Как настроить сбор статистики и автоматическое отключение пользователей WireGuard в ispmanager с помощью Python и API Привет! Меня зовут Вячеслав, и я руководитель отдела маркетинга. Я поднял VPN-туннель по подписке на базе ispmanager. Однако мне этого было мало: нужно было, чтобы по окончании подписки туннель автоматически отключался и статистика по каждому пользователю собиралась ежедневн...
Apple исправила уязвимость в прошивке Bluetooth своей клавиатуры Magic Keyboard Apple сообщила об обновлении различных версий своей клавиатуры Magic Keyboard для устранения уязвимости в прошивке Bluetooth.
Microsoft исправляет две критические уязвимости в Hyper-V Эксплуатация обеих уязвимостей маловероятна, но исправления важны, заявила компания.
[recovery mode] Android-приложение на Compose с нуля: Часть 2 (UI) Здравствуй, дорогой читатель!В статье рассматривается поэтапная разработка дизайн-системы и UI для Android-приложения "Калькулятор", используя библиотеку Jetpack Compose. Начнём с создания проекта и закончим запуском приложения на эмуляторе.Ссылка на репозиторий Читать далее
Выстраиваем процессы команд разработки: кейс и практические рекомендации Работа команды изначально строится вокруг определенных правил и паттернов. Но при увеличении пула задач, их сложности и количества задействованных в проектах команд все нередко начинает скатываться к хаосу, при котором специалисты на местах перестают понимать, что и зачем де...
Выстраиваем процессы команд разработки: кейс и практические рекомендации Работа команды изначально строится вокруг определенных правил и паттернов. Но при увеличении пула задач, их сложности и количества задействованных в проектах команд все нередко начинает скатываться к хаосу, при котором специалисты на местах перестают понимать, что и зачем де...
Делаем разработку на Rust еще более потной с помощью git Rust же создавали, чтобы держать программиста в ежовых рукавицах? Так почему бы не заставить git скооперироваться с Rust и не издеваться над программистом на пару?На самом деле статья не сколько про Rust, сколько про git, поэтому если вы не особо знакомы с Rust, не смущайтес...
45 000 серверов Jenkins уязвимы перед свежей RCE-уязвимостью Исследователи обнаружили в сети около 45 000 серверов Jenkins, уязвимых перед свежей проблемой CVE-2023-23897, для которой уже создано несколько публично доступных PoC-эксплоитов.
Может ли быть уязвимость в дизайне, контенте и CSS и разбор такой уязвимости(?) на Госуслугах Кажется, что уязвимость - штука техническая, но на Госуслугах есть интересная комбинация уязвимостей (ну или, скажем, черт, особенностей) в сфере CSS, дизайна, юзабилити, которые мошенники используют в социальной инженерии.Узнал я про это из вот этого ролика на ютубе - https...
Разработка рекомендательных систем: три открытых библиотеки от Сбера Делимся своими открытыми библиотеками для разработки рекомендательных систем. Что? Да! Рассказываем подробнее. Всем известно, что Сбер это уже не просто банк, а огромная технологическая компания, которая включает в себя и сервисы компаний-партнёров: электронную коммерцию, ин...
Создание сервиса авторизации через систему ЕСИА Всем привет. Меня зовут Динис, я старший разработчик в БФТ-Холдинге. В данной статье приведен план по созданию сервиса авторизации через систему ЕСИА. Тема будет интересна тем, кто внедряет такой сервис для своего приложения. В статье я собрал ключевые выдержки из документац...
Критический баг в JetBrains TeamCity можно использовать для удаленного выполнения кода Критическая уязвимость в ПО непрерывной интеграции JetBrains TeamCity может использоваться неаутентифицированными злоумышленниками для удаленного выполнения кода и захвата уязвимых серверов.
Для iPhone, iPad и Mac вышло срочное обновление безопасности Пользователи Apple, осторожнее. Технологический гигант выпустил критические обновления для iOS, iPadOS и macOS, чтобы устранить две серьезные уязвимости нулевого дня, которые, как сообщается, активно эксплуатируются.
Хабр — Итоги 2023 года Итак, 2023 год. Обнаружена планета с высокой вероятностью существования жизни, на 3D‑принтере учатся печатать сердце, сделаны шаги в борьбе с раком и деменцией, одобрили первое лекарство от болезни Альцгеймера и разработали препарат от болезни Б...
Как необычные решения приводят к критическим уязвимостям. Или история одного бага, найденного в CloudTips Привет, Хабр! В данной статье хотел бы поделиться историей, как был найден достаточно простой в исполнении баг, но приводящий к опасной уязвимости веб приложения. Данный баг был найден в сервисе CloudTips от Тинькофф и CloudPayments на BugBounty площадке app.bugbounty.bi.zon...
End-of-Life: как понять, пора ли закрывать продукт, основываясь на данных Привет! Меня зовут Ульяна Баисламова. Я старший продуктовый аналитик в команде B2b и оффлайн-опыта в СберМаркете.Закрытие продукта (End-Of-Life, EoL) — естественная часть жизненного цикла сервиса или проекта, которая не обязательно связана с его несостоятельностью. В предыду...
PI-планирование: как с его помощью мы выстроили здоровую коммуникацию с заказчиком Привет! Меня зовут Даша Семенова, я руководитель проектов в AGIMA. Уже пять лет настраиваю процессы у одного большого заказчика. Это еком, ребята продают свою продукцию, а многие из вас ее покупают. А если не покупаете, то точно слышали. В общем, бренд известный и важный для...
Code smells — обзор на примере PHP Hola, Amigos! Меня зовут Евгений Шмулевский, я PHP-разработчик в агентстве заказной разработки Amiga. В этой статье хотелось бы рассмотреть вопрос качества кода и что из рекомендаций по нему лично для себя использую. Статья адресована начинающим разработчикам. Читать далее
Google выпустил экстренное обновление для Chrome в ответ на используемую уязвимость Google выпустила экстренное обновление для Chrome, чтобы защитить пользователей от недавно обнаруженной уязвимости, которой активно пользуются киберпреступники.
В ChatGPT и аналогах обнаружены серьезные уязвимости Китайские исследователи обнаружили серьезную уязвимость в широко используемых коммерческих многомодальных крупных языковых моделях (MLLM), типа ChatGPT, Bard и Bing Chat.
Команда любого продукта должна уметь работать с пользователями? Меня зовут Виктор Попов, я — технический владелец продукта CI/CD в Samokat.tech. Мы с командой разрабатываем там комплекс CI/CD инструментов. Это единый продукт, который должен удовлетворить потребности продуктовых команд. Правда, не так просто разобраться, а удовлетво...
Современный С++ в разработке девайсов Привет, Хабр.Меня зовут Андрей Белобров. Я тимлид одной из команд, разрабатывающих приложения для умных девайсов Сбера.На прошедшей недавно конференции Салют, OS DevConf! я выступил с докладом, в котором рассказал, как мы с командой разрабатываем приложения на С++ для умных ...
Хватит маппить все руками, используй Mapster Привет, Хабр! Меня зовут Георгий, я С#-разработчик в SimbirSoft. Хочу рассказать об опыте использования библиотеки Mapster: как он может упростить разработку, сэкономить силы и частично избавиться от рутины маппинга.Данная статья подойдет и тем, кто только собирается открыть...
Трактор, смузи и одна старая логическая игра: как мы ездили на Joker и Heisenbug Привет, Хабр! Меня зовут Ира, я деврел в РСХБ‑Интех, технологическом подразделении Россельхозбанка. О том, что такое деврел, на Хабре периодически вспыхивают интересные споры. Полгода назад я нашла для себя формулировку, которую теперь всегда использ...
Security Week 2406: множество уязвимостей в VPN-сервере Ivanti 1 февраля компания Ivanti объявила о закрытии нескольких уязвимостей в продуктах Ivanti Connect Secure и Ivanti Policy Secure. Это была бы рутинная новость, если бы не сложности, с которыми столкнулся разработчик этого решения для удаленного доступа к корпоративным ресурсам....
Обзор инструмента DefectDojo: почему его выбирают? Практика ASOC (Application Security Orchestration and Correlation, оркестрация и корреляция безопасности приложений), интегрирующая инструменты анализа защищенности со стеком разработки ПО, сегодня широко известна в сфере безопасной разработки. О ней много писали мы и другие...
Соединение 5G угрожает сотням моделей смартфонов Исследователи из Сингапурского технологического университета обнаружили уязвимости безопасности более чем в 700 смартфонах, использующих сети 5G. Это облегчает задачу злоумышленникам при организации атак.
database/sql: плохой, хороший, злой Многие Golang-разработчики пробовали работать с БД в Go, и у каждого — свои боли. В этой статье разберём библиотеку database/sql как безотносительно конкретной СУБД, так и применительно к YDB. Рассмотрим трудности эксплуатации при использовании драйвера database/sql на...
JetBrains исправляет уязвимости в TeamCity Критическая уязвимость (CVE-2024-27198) в CI/CD-решении TeamCity позволяет удаленному неаутентифицированному злоумышленнику получить права администратора и контроль над сервером. Так как технические подробности о создании эксплоита уже доступны, администраторам рекомендуется...
[Перевод] «Человеческая» сторона ИТ. Распространённые проблемы разработки, связанные с людьми Недавно Аби Нода*, программист и генеральный директор платформы DeveloperExperience, ознакомился с исследованием The Human Side of Software Engineering Teams: An Investigation of Contemporary Challenges. В нём авторы обозначили наиболее важные «человеческие» проблемы, сопутс...
HTB Clicker. Инжектим команды через Perl Для подписчиковВ этом райтапе я покажу, как использовать уязвимость в Perl, чтобы провести инъекцию команд и повысить привилегии на атакуемой машине. Но сначала мы устроим атаку на сайт, получим RCE и декомпилируем пользовательское приложение.
Механики удержания в играх Допустим, вы сделали игру. Допустим, она неплоха или даже хороша! В нее заходят игроки, ее скачивают, но вот только не задерживаются надолго. В чем причина? Как завоевать любовь геймера и “подсадить” его на свой продукт? В данной статье я дам несколько эффективных совет...
В ArubaOS исправили сразу четыре RCE-уязвимости Компания HPE Aruba Networking (ранее Aruba Networks) выпустила патчи для устранения критических уязвимостей в ArubaOS, которые могут привести к удаленному выполнению кода (RCE) на затронутых системах.
Разработка игр с использованием Go и библиотеки Ebiten Go является мощным и эффективным языком программирования, который можно использовать для создания игр. В этой статье мы рассмотрим разработку простой игры с использованием языка Go и библиотеки Ebiten, предназначенной для создания 2D игр. Читать далее
Более 250 тысяч почтовых серверов в опасности из-за новой уязвимости Обнаружены критические уязвимости в агенте доставки электронной почты Exim, широко используемом программном обеспечении с открытым исходным кодом. Эти уязвимости, о которых первоначально сообщила инициатива Zero Day Initiative (ZDI), могут позволить удаленное выполнение кода...
Секрет внутренней связи: откровения Маруси о том, как она научилась слушать себя Привет, Хабр! Меня зовут Коля Кремер, уже 4 года я работаю в команде мобильного приложения Маруси, где мы постоянно стараемся сделать так, чтобы с нашим помощником было удобно и интересно общаться. Я несколько раз начинал писать и откладывал этот ретроспективный пост, н...
[Перевод] Флаттер 3.18 | бета-релиз | Топ-8 фичей Привет! Меня зовут Саша Ворожищев, я руководитель направления Flutter/iOS в AGIMA. У одного из организаторов митапов Flutter Indore вышла хорошая статья — решили перевести ее для нашей команды и заодно для всех желающих. Дальше его текст с небольшими сокращениями, а после — ...
Некоторые аспекты позитивной и негативной моделей платформы «Вебмониторэкс» Каждый новый специалист нашей практики Защиты приложений проходит нечто среднее между посвящением и стажировкой. Обычно в рамках задачи нужно развернуть уязвимое приложение, WAF одного из наших фокусных партнеров, а потом найти конкретную уязвимость, проэксплуатировать ее, п...
Фишинговая атака обходит Mailer Lite, уводя $600,000 у крипто-фирм Фишинговая атака через Mailer Lite привела к краже более $600 000 у пользователей криптовалютных платформ. Хакеры использовали уязвимость в системе для отправки мошеннических писем от имени известных компаний.
В архиваторе WinRAR нашли дыру, которую активно используют хакеры из России и Китая Исследователи безопасности от Google обнаружили, что поддерживаемые государством хакерские группы, связанные с Россией и Китаем, эксплуатируют уязвимость в популярном архиваторе WinRAR для Windows.
Инструменты автоматического тестирования безопасности QA На тему автоматизации тестирования написано множество статей, посвященных различным инструментам QA в рамках процессов DevOps. В этой статье мы тоже будем говорить об автоматизации тестирования, но уже в контексте процессов DevSecOps. DevSecOps по своей сути является логичны...
Обновления LibreOffice 7.6.2 и 7.5.7 устраняют критическую уязвимость WebP Уязвимость была обнаружена в широко используемой библиотеке libwebp.
[recovery mode] Что есть реальность, или эффективен ли SCRUM Меня зовут Султанов, и я тимлид (тяжелый вздох). Стараюсь делать разработку эффективной. Иногда даже получается. Вместо предисловияAgile. Кругом Agile. Наверное не осталось людей, команд и организаций, которые работают не по Agile. Слово «SCRUM» прочно вошло в жизнь разрабо...
Путь из бизнес-аналитика в программного роботизатора Привет, Хабр! Меня зовут Леонид Бычков, я руководитель продукта ROBIN CLOUD в команде ROBIN, входящей в SL Soft. Это моя первая статья здесь, и для знакомства расскажу, как пришёл к тому, чем сейчас занимаюсь, — опишу своего рода путь в ИТ без программирования. Уверен, что N...
Security Week 2417: эксплуатация уязвимостей с помощью LLM На прошлой неделе был опубликован препринт научной работы, в которой утверждается, что большие языковые модели (LLM) могут автономно эксплуатировать уязвимости класса «one-day». Под «one-day» здесь понимается уязвимость, которая уже была обнаружена, то есть речь в работе не ...
Евгений DockerAuthPlugin’ович Онегин Интересное начало, не так ли? Меня зовут Роман, и я младший инженер информационной безопасности Ozon. В этой статье я расскажу о проблеме отсутствия авторизации доступа к Docker daemon / Docker Engine API / командам Docker при работе с контейнерами в экос...
Пользователи Excel, берегитесь: древняя уязвимость вновь используется для скрытых атак Опасная фишинговая кампания использовала старую уязвимость Microsoft Excel, CVE-2017−11 882, для доставки печально известного вредоносного ПО Agent Tesla. Исследователи из Zscaler ThreatLabs раскрыли эту схему, показав, что хакеры специально нацеливаются на пользователей с у...
RCE-уязвимость в Outlook приводит к удаленному выполнению кода Компания Microsoft сообщает, что удаленные неаутентифицированные злоумышленники могут использовать критическую уязвимость в Outlook, которая позволяет обойти Office Protected View и добиться удаленного выполнения произвольного кода.
XSS-уязвимости в Joomla могли привести к выполнению произвольного кода В популярной CMS обнаружили и исправили сразу пять уязвимостей, которые могли использоваться для выполнения произвольного кода на уязвимых сайтах.
«Серёга, диктуй код из смс»: как мы ускорили проверку гипотезы с помощью эксперимента Привет! Меня зовут Алина Бузинова, я менеджер продукта Отелло, сервиса бронирования отелей от 2ГИС.Ключевой принцип развития молодого продукта — скорость доставки полезных решений. Но не каждая фича — полезная, и не каждая полезная фича — дешёвая. Планировать шестимесячную р...
В CrushFTP срочно патчат 0-day уязвимость и призывают всех обновиться Разработчики CrushFTP уведомили клиентов в письме об активно эксплуатируемой уязвимости нулевого дня, исправленной в новых версиях программы. Они призывают всех срочно установить исправления на свои серверы.
Account Abstraction: что это такое и зачем нужно криптомиру Привет всем! Меня зовут Паша, я web3 разработчик в команде MetaLamp, мой основной стек – Solidity. Последнее время я часто сталкивался с задачами, требующими применения технологии Account Abstraction, поэтому я решил собрать базовые знания о ней в одну статью. Эта статья пом...
В «Операции Триангуляция» использовались пять разных уязвимостей На конференции Security Analyst Summit аналитики «Лаборатории Касперского» поделились техническими подробностями и результатами многомесячного анализа, позволившего полностью раскрыть цепочку атаки кампании «Операция Триангуляция» (Operation Triangulation). В атаках использ...
Ботнеты активно пользуются уязвимостью в роутерах TP-Link По данным Fortinet, в настоящее время как минимум шесть ботнетов атакуют маршрутизаторы TP-Link Archer AX21 (AX1800), уязвимые перед проблемой CVE-2023-1389, позволяющей осуществлять инъекции команд без аутентификации.
Банкер Mispadu эксплуатирует баг в Windows SmartScreen Аналитики Palo Alto Networks предупредили о банковском трояне Mispadu, который использует свежую уязвимостью обхода Windows SmartScreen для компрометации пользователей в Мексике.
Вышел срочный патч для Cisco Emergency Responder Компания Cisco исправляет критическую уязвимость в Cisco Emergency Responder (CER). Забытые в коде жестко закодированные учетные данные позволяли неаутентифицированным злоумышленникам входить в уязвимые системы.
Вымогатель Cactus использует уязвимости в Qlik Sense для проникновения в сети Исследователи предупреждают, что вымогательская группа Cactus использует критические уязвимости в решении для визуализации, исследования и мониторинга данных Qlik Sense, получая с их помощью первоначальный доступ к корпоративным сетям.
Security Week 2347: уязвимость в процессорах Intel На прошлой неделе компания Intel выпустила бюллетень, посвященный уязвимости в процессорах, начиная с поколения Ice Lake 2019 года (десятое поколение Intel Core). Как следует из описания, «определенная последовательность инструкций может приводить к нестандартному поведению»...
Google «бьет тревогу» из-за критических уязвимостей нулевого дня в устройствах Apple Группа анализа угроз Google обнаружила не одну, а целых три уязвимости нулевого дня высокой степени опасности, которые сеют хаос как в операционных системах Apple, так и в браузере Chrome.
Хакеры атакуют свежую RCE-уязвимость в Atlassian Confluence ИБ-специалисты сообщают о массовых попытках эксплуатации RCE-уязвимости CVE-2023-22527, которая была раскрыта на прошлой неделе и затрагивает версии Atlassian Confluence, выпущенные до 5 декабря 2023 года, а также некоторые версии, поддержка которых уже прекращена.
KISS your website или как написать уважаемый сайт на аутсорсе, глава первая Добрый день. Меня зовут Тимофей, я фронт-тимлид в диджитал-продакшене ДАЛЕЕ. В данном цикле статей я поделюсь подходами и инструментами фронтенд-разработки на аутсорсе, которые помогут создать качественный продукт без кошмарного instant-legacy и значительно облегчат жизнь ко...
Apple Vision Pro: обзор платформы и создание первого мобильного приложения Привет! Меня зовут Андрей Груненков, я iOS - разработчик в агентстве InstaDev. Делаем мобильные приложения, которые помогают бизнесу расти. В этой статье я расскажу о том, как разработать первое мобильное приложение для платформы Apple Vision Pro.Для начала надо сказать пару...
Можно ли получить «опасный» ответ от GPT-4 и как защищаться от Token Smuggling Мы продолжаем рассказывать вам о уязвимостях LLM. На этот раз давайте поговорим о авторегрессионных моделях и “Token Smuggling”, а также посмотрим, сможет ли GPT-4 выдать нам ответы на опасные вопросы. Узнать больше
CVE-2024-1709 и массовая атака на медицинские учреждения США В данной статье рассказывается о 0-day уязвимости CVE-2024-1709, позволяющей обойти аутентификацию и получить неограниченный доступ к серверам и машинам, которые управляются с помощью ПО удаленного рабочего стола ConnectWise ScreenConnect. Данное ПО повсеместно используется ...
Эксплуатируем переполнение буфера в простом TCP-сервере Привет всем бинарщикам и людям, которые хотят попрактиковаться с эксплуатацией уязвимости переполнения буфера. Мы для своего киберполигона придумываем различные сценарии атак и насыщаем его различными мисконфигурациями и многочисленным уязвимым ПО для тре...
Смотрим шире. Бесплатные инструменты для комплексной работы с уязвимостями «Чем можно контролировать уязвимости? Подскажи, плиз», — обратился недавно знакомый. Вроде ничего странного. Но к концу обсуждения я вдруг понял, что человек ждет список инструментов, которые только находят и закрывают уязвимости... Читать далее
Хакеры похитили данные у правительств пяти стран, используя уязвимость почтового сервиса Первый раз эксплойт был использован в конце июня в Греции
Особенности национального DevOps: йети, опенсорс и тяга к облакам Привет, Хабр! Меня зовут Марат Цконян, я из солнечной Испании, университет Аликанте. Компьютерный инженер по образованию, по опыту работы — системный администратор.В прошлом году я наткнулся на исследование отечественного DevOps-рынка за 2022 год: там Холдинг Т1 проводил ана...
Обнаружены многочисленные уязвимости безопасности в устройствах Xiaomi на Android Исследователи обнаружили множество серьезных уязвимостей в устройствах Xiaomi на Android, позволяющих злоумышленникам красть данные пользователей.
Positive Technologies помогла устранить уязвимость в системе видеоконференций Yealink Специалисты Positive Technologies рассказали об обнаружении критической уязвимости BDU:2024-00482 в системе видеоконференцсвязи Yealink Meeting Server.
Специалисты Positive Technologies обнаружили уязвимости в контроллерах ABB Компания ABB поблагодарила специалистов Positive Technologies за обнаружение двух уязвимостей в контроллерах Freelance AC 900F и AC 700F. Эти устройства широко применяются в металлургии, химической промышленности и в других сферах.
Google быстро залатала уязвимость нулевого дня, обнаруженную в браузере Chrome Google выпустила исправление уже для пятой за год уязвимости нулевого дня (0-day), обнаруженной в браузере Chrome.
Microsoft выплачивает вознаграждение в размере до 15 000 долларов тем, кто нашел уязвимость Bing AI Размер премии зависит от серьезности уязвимости и простоты взлома.
Kotlin Coroutines. Часть 1: Первое погружение Привет, Хабр!Меня зовут Соловьев Андрей, я Java-разработчик в «Рексофт». Сегодня мы поговорим про Kotlin Coroutines. Это моя первая серьезная публикация, и я буду рад вашему фидбеку.Ну что ж, давайте начинать! Читать далее
Разработка тензорного компилятора под RISC-V CPU с помощью OpenVINO и MLIR Привет, Хабр! Меня зовут Владислав Виноградов, я инженер группы исследований и разработки ПО глубокого обучения в YADRO. Моя команда создает и оптимизирует связанное с искусственным интеллектом программное обеспечение. Сегодня я расскажу, как можно разработать тензорный комп...
Можно заработать миллион рублей: Минцифры запускает второй этап проверки электронного правительства «белыми хакерами» Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации (Минцифры России) сообщило о запуске второго этапа поиска уязвимостей в структуре электронного правительства. Сгенерировано нейросетью Midjourney Как отмечает пресс-служба, принят...
[Перевод] Повышение эффективности SQL-запросов: советы и рекомендации В статье представлен ряд советов и методов, которые помогут читателям оценить производительность своих SQL-запросов и улучшить ее при необходимости. Здесь будут рассмотрены некоторые ключевые аспекты оптимизации запросов для SQL Server, чтобы помочь пользователям сделать их ...
Сам написал, сам погонял: Как я написал 3D-гонки «на жигулях» за неделю, полностью с нуля? Статьи про инди-разработку игр — это всегда интересно и занимательно. Но статьи про разработку игр с нуля, без каких-либо игровых движков — ещё интереснее! У меня есть небольшой фетиш, заключающийся в разработке минимально играбельных 3D-демок, которые нормально работали б...
Google закрыла критическую уязвимость Android с возможностью дистанционного взлома аппаратов Обновление за декабрь закрыло 85 уязвимостей Android
Google закрыла критическую уязвимость Android с возможностью дистанционного взлома аппаратов Обновление за декабрь закрыло 85 уязвимостей Android
Yggdrasil-mesh глазами пентестера В наше время растет популярность децентрализованных альтернатив современным подходам к маршрутизации трафика в вычислительных сетях (например, для обхода санкционных блокировок недружественных стран и анонимизации трафика). Одним из примеров такого подхода является Yggdrasil...
[Перевод] NumPy: оттачивайте навыки Data Science на практике В этой статье мы рассмотрим ряд различных упражнений, используя библиотеку NumPy (и сравним с тем, как мы бы реализовали их без неё). В самом конце статьи я приведу ряд упражнений.t.me/ai_machinelearning_big_data - моем телеграм канале я публикую актуальные проекты ку...
Сделали библиотеку компонентов, но пришлось переделывать. Почему так вышло и чем дело кончилось Привет, Хабр. Меня зовут Артем Арефьев, я руковожу Frontend-разработкой в направлении продукта для учеников в Учи.ру. Фронтендом занимаюсь уже 11 лет, шесть из которых работаю у нынешнего работодателя. Еще принимаю участие в проектах Open Source (например, внес вклад в проек...
Как можно использовать .NET из Javascript (React) в 2023 году Статья показывает опыт использования .NET из JavaScript (React) с помощью компиляции .NET кода в WebAssembly с помощью новых возможностей .NET 7. Включает инструкцию по созданию проекта для .NET для использования из Javascript, и интеграции его в веб-приложение, написанного...
Tarantella — распределённое key-value хранилище в рекламных технологиях VK Привет, Хабр! Меня зовут Виктор Лучиц, я руководитель группы backend-разработки в департаменте рекламных технологий VK. В этой статье я расскажу вам про Tarantella — наше key-value хранилище, которое мы используем в рекламных технологиях. Из материала вы узнаете о том, ...
Google: большинство 0-day уязвимостей связаны с поставщиками коммерческого шпионского ПО В Google заявили, что с поставщиками коммерческого шпионского ПО связано 80% уязвимостей нулевого дня, обнаруженных в 2023 году специалистами Google Threat Analysis Group (TAG). Эти уязвимости использовались для слежения за различными устройствами и их владельцами по всему м...
Экстренное обновление Google Chrome исправляет семь уязвимостей, включая уязвимость нулевого дня Пользователям рекомендуют обновить браузер как можно скорее.
Перечислить всех. Красота русских фамилий как фактор уязвимости в пентестах Active Directory Во время очередного пентест-проекта на внешнем периметре Заказчика была обнаружена широко известная в узких кругах пентестеров инфраструктурная служба Outlook Web Access (OWA). OWA примечательна тем, что это WEB-интерфейс почтового сервера Microsoft Exchange. Скорее всего, ...
Исправление уязвимости LogoFAIL стало доступно в новых обновлениях BIOS Производители материнских плат выпустили важные обновления BIOS, устраняющие опасную уязвимость LogoFAIL, затрагивающую миллионы компьютеров.
Зачем главному транспортному институту Москвы собственная IT-команда Привет, Habr! Меня зовут Юрий Бутенко, я директор по технологическому развитию НИИ «МосТрансПроект». IT-команда нашего института играет одну из ключевых ролей в развитии транспортного комплекса Москвы, проводя исследования и предоставляя удобные цифровые серви...
Как ускорить LLM-генерацию текста в 20 раз на больших наборах данных Всем привет, я Алан, разработчик-исследователь в MTS AI. В команде фундаментальных исследований мы занимаемся исследованием LLM, реализацией DPO и валидацией наших собственных языковых моделей. В рамках этих задач у нас возникла потребность в генерации большого количества да...
Уязвимость в библиотеке aiohttp уже привлекла внимание хакеров Исследователи предупреждают, что недавно исправленная уязвимость в Python-библиотеке aiohttp (CVE-2024-23334) уже взята на вооружение хакерами, включая вымогательские группировки, такие как ShadowSyndicate.
Тестирование менеджера транзакций Привет, Хабр! Меня зовут Георгий Лебедев, я учусь на 4-м курсе ФРКТ МФТИ и работаю в команде разработки ядра Тарантула. В этой статье я хочу поделиться методикой тестирования менеджера транзакций, которая применяется в Тарантуле. Читать дальше →
Как за один pet-проект получить два диплома Все же знают серию компьютерных футбольных симуляторов FIFA? Раньше я много играл в эту игру. Кто-то скажет, что это бесполезная трата времени, но я с этим не согласен. Эта игра вдохновила меня на разработку pet-проекта, который стал моим бакалаврским дипломом.Во время игры ...
Relax, take IT easy: как вернуть спокойствие в работу. Три инструмента специально для технарей Привет! Я – Ольга Красильникова. У меня за плечами 18 лет работы в сфере управления и развития персонала в компаниях Евросеть, М.Видео, Yota, МТС, Coca-Cola, Heineken. Сейчас работаю менеджером по обучению в Bercut. А еще я карьерный психолог, коуч (более 800 часов коучингов...
Компрометация данных и её обнаружение Приветствую, Хабр! Меня зовут Никита Титаренко, я инженер в компании «Газинформсервис», студент СПбГУТ им. проф. М.А. Бонч-Бруевича. Мои профессиональные задачи связаны с созданием уязвимых сред и эксплуатацией данных уязвимостей на киберполигоне в компании. Информация...
Уязвимость в Zimbra использовалась для атак на правительственные учреждения Выяснилось, что уязвимость нулевого дня в Zimbra Collaboration использовалась сразу четырьмя хак-группами с целью кражи электронной почты, учетных данных пользователей и токенов аутентификации. В основном взлому подвергались правительственные учреждения в Греции, Тунисе, Мол...
ESET исправила уязвимость повышения привилегий в своих защитных решениях для Windows Компания ESET выпустила исправления для уязвимости CVE-2024-0353 (7,8 балла по шкале CVSS) в своих потребительских, бизнес и серверных защитных продуктах для Windows. Сообщается, что баг мог привести к повышению привилегий.
Cisco патчит уязвимость повышения привилегий в IMC Компания Cisco выпустила патчи для уязвимости в Integrated Management Controller (IMC), для которой уже существует публично доступный эксплоит. Проблема позволяет локальным злоумышленникам повысить свои привилегии до уровня root.
В популярном протоколе квантового шифрования Kyber найдены 2 критические уязвимости Похоже, эра безопасного квантового шифрования может никогда не наступить
Уязвимость позволяет без усилий красть данные из менеджеров паролей Уязвимость AutoSpill есть даже в самых обновлённых Android-устройствах
JIRA + AI = LOVE или Как Product manager-у найти друзей и перестать страдать Развитие AI-инструментов на базе современных LLM запустило в последние годы тренд на автоматизацию всего, что прибито меньше, чем на 2 гвоздя, и первыми адоптерами здесь традиционно выступает IT сообщество. Как Луи Пастер некогда ставил себе и друзьям намешанные на голой кол...
Как мы в 4 раза ускорили мобильную версию ВКонтакте Для пользователей важно, чтобы сайт загружался быстро, — мало кто готов тратить время на ожидание. А ещё загрузка страниц влияет на оптимизацию в поисковых системах: чем быстрее открывается сайт, тем выше вероятность, что его найдёт целевая аудитория. Меня зовут Тарас И...
Как быстро и безболезненно выбрать лучшую из десяти выборок Всем привет! Меня зовут Мария Ходякова, я продуктовый аналитик Тинькофф Страхования. В этой статье мы поговорим о множественном тестировании. Хорошо известен такой подход, как А/В-тестирование, когда в тесте участвуют две выборки. Но иногда нужно сравнить больше двух выборок...
Стиральная машина LG передала более 3,5 ГБ данных в день при норме 1 МБ: куда и зачем, осталось непонятным Владелец стиральной машины LG обратился в Twitterverse с вопросом, почему его умное бытовое устройство потребляет в среднем 3,66 ГБ данных в день. На опубликованном скриншоте видно, что машина за день передала 3,57 ГБ данных и скачала около 100 МБ. В итоге пользователь...
[Перевод] Почему затемнение Солнца станет эффективным инструментом в борьбе с изменением климата Становится всё более очевидным, что мы не достигнем наших климатических целей. В 2022 году потепление уже достигло 1,26°C, а в середине 2030-х годов оно достигнет 1,5°C. Исследования даже показывают, что нынешняя климатическая политика приведёт к потеплению более чем на 2,5°...
Технические предпочтения пользователей с нарушениями зрения в 2023 году. Исследование Яндекса Цифровые продукты и сервисы стали обыденным явлением, и сегодня это часть повседневной жизни самых обычных людей, а не только ранних энтузиастов новых технологий. Однако есть пользователи, которые по-прежнему испытывают существенные трудности при взаимодействии с современным...
Скачать фильмы за креды без СМС и регистрации: история одного supply chain под Linux В ходе расследования одного инцидента был обнаружен целый кластер вредоносной активности, нацеленный на операционную систему Linux, который оставался незамеченным как минимум с 2020 года. Дальнейший анализ показал, что вредоносное программное обеспечение выдавало себя за оче...
Security Week 2413: аппаратная уязвимость в процессорах Apple Большой новостью прошлой недели стало объявление о научной работе исследователей из ряда университетов США, демонстрирующей аппаратную уязвимость GoFetch в процессорах Apple M1 и M2 (сайт проекта, сама научная работа, подробное описание в статье издания Ars Technica). Уязвим...
В WebOS нашли уязвимости, позволяющие хакерам дистанционно влиять на телевизоры LG Эксперты по информационной безопасности компании Bitdefender, владеющей одноимённым антивирусом, призвали пользователей «умных» телевизоров LG срочно обновиться из-за обнаруженной уязвимости в операционной системе устройств — WebOS.
Security Week 2416: уязвимость в серверных материнских платах Intel, Lenovo и Supermicro На прошлой неделе исследователи компании Binarly сообщили об обнаружении уязвимости в серверных материнских платах как минимум трех крупных вендоров: компаний Intel, Lenovo и Supermicro. Уязвимость была обнаружена в модуле Baseboard Management Controller, используемом для уд...
Хороший, плохой, никакой: почему важно проектировать дизайн и как это делать? Всем привет! Меня зовут Владислав Шиханов, я ведущий программист в CDEK. В этой статье я хочу рассказать о том, как мы пришли к проектированию и review плана разработки до начала реализации задачи, что это дало и как повлияло на с...
Redux vs Mobx кого же выбрать для React-приложения в 2024 году? Привет, Хабр!Сегодня я хочу поделиться с вами своими размышлениями о том, какой стейт менеджер лучше использовать для разработки приложений на React в 2024 году. Как вы знаете, React — это одна из самых популярных и мощных библиотек дл...
Найдена новая критическая уязвимость в Linux-системах на процессорах Intel Исследователи безопасности обнаружили критическую уязвимость, получившую название «Spectre v2», которая угрожает Linux-системам, работающим на современных процессорах Intel. Этот новый вариант использует спекулятивное выполнение, технику оптимизации производительности с прис...
Microsoft готова платить до $15 тыс за поиск уязвимостей в своих ИИ-сервисах Microsoft расширяет свою программу поиска багов, включив в нее поисковые инструменты Bing с искусственным интеллектом, и предлагает вознаграждение до 15 тыс долларов специалистам по безопасности, обнаружившим уязвимости в сервисах.
В Signal отрицают, что в мессенджере существует уязвимость нулевого дня В последние дни в сети циркулирует слух о 0-day уязвимости в мессенджере Signal, которая якобы связанна с функцией предварительного просмотра ссылок (Generate Link Previews). Разработчики Signal прокомментировали эти сообщения, заявив, что никаких доказательств существования...
Уязвимость в системе электронного голосования Швейцарии может позволить манипулировать голосами В системе электронного голосования Швейцарии обнаружена уязвимость, позволяющая манипулировать голосами, если компьютер избирателя инфицирован
Security Week 2350: подробности атаки LogoFAIL Об этой работе компании Binarly мы уже упоминали на прошлой неделе: исследователи нашли нетривиальный и довольно опасный способ атаки на ПК путем подмены логотипа, сохраняемого в UEFI — прошивке, ответственной за первоначальную загрузку компьютера. Ранее была известна только...
HTB Format. Проксируем запросы в Redis через мисконфиг Nginx Для подписчиковВ этом райтапе я покажу, как производить запись данных в Redis благодаря ошибке в настройках Nginx. Также мы проанализируем исходники веб‑приложений, чтобы найти ряд векторов для атаки: LFI, повышение роли пользователя и RCE. Для повышения привилегий будем экс...
Как спланировать разработку без хаоса? Привет, Хабр! Меня зовут Александр, я уже около 15 лет в IT. Долгие годы занимался разработкой, но в последнее время перешел в менеджмент.Сейчас я работаю в крупной компании, которая занимается юридическими услугами. За несколько лет компания выросла, и сейчас IT-отдел ...
Хакеры уже используют критический баг в Atlassian Confluence По словам ИБ-специалистов, критическая уязвимость в Atlassian Confluence, которая позволяет уничтожать данные на уязвимых серверах (CVE-2023-22518), уже активно используется злоумышленниками для установки программ-вымогателей.
Появился вирус, который захватывает ваш Google-аккаунт, «оживляя» cookie-файлы Приготовьтесь, пользователи сервисов Google: новый эксплойт нацелен на вашу самую конфиденциальную информацию — аккаунт. Эта уязвимость обходит даже смену пароля, оставляя вас уязвимыми.
Чат-бот Nvidia ChatRTX имеет большие проблемы с безопасностью. Компания уже выпустила обновление Чат-бот Nvidia ChatRTX оказался проблемным. Как выяснилось, все ранние версии ПО имели серьёзные уязвимости, из-за чего компании пришлось срочно выпускать патч. создано DALL-E ChatRTX, ранее известный как Chat with RTX, в версии вплоть до ChatRTX 0.2 имел серьёзн...
Qucs-S: руководство по видам моделирования, часть 1 Qucs-S является программой с открытым исходным кодом для моделирования электронных схем. Qucs-S кроссплатформенный (поддерживаются Linux и Windows) и написан на С++ с использованием набора библиотек Qt. О данной программе рассказывают мои предыдущие статьи. Для работы Qucs-S...
Что ждёт мобильную разработку в 2024 году Привет! Меня зовут Таня Шашлова, я руковожу образовательными продуктами по мобильной разработке в Практикуме. Чтобы обучать людей профессии и помогать им найти работу, нам важно понимать, как меняется рынок, поэтому мы с командой держим руку на пульсе — общаемся с разра...
В приложении iSharing для Android обнаружена критическая уязвимость Разработчики приложения информацию об уязвимости проигнорировали.
«Eсли бы это не было обнаружено, это было бы катастрофой для мира». Debian, Ubuntu, Fedora и прочие дистрибутивы Linux чуть не получили очень опасный бэкдор Операционная система Linux славится своей достаточно высокой защищённостью. Однако, как оказалось, Linux стояла на пороге огромнейшей проблемы с уязвимостью, которую хотели внедрить в систему весьма хитроумным способом. создано DALL-E Проблему совсем случайно обн...
MEGANews. Самые важные события в мире инфосека за октябрь В этом месяце: уязвимость HTTP/2 Rapid Reset стала причиной мощнейших DDoS-атак, в тысячах устройств на Android нашли бэкдор, разработчика вымогателя Ragnar Locker арестовали, устройства Cisco IOS XE подвергаются массовым атакам, ученые разработали атаку side-channel iLeakag...
Облачные клавиатуры, установленные миллиардом пользователей, уязвимы к перехвату нажатия клавиш Эксперты Citizen Lab обнаружили многочисленные уязвимости в облачных приложениях пиньинь-клавиатур. В компании предупредили, что эти проблемы могут использоваться для перехвата нажатий клавиш, и в общей сложности угрожают примерно миллиарду пользователей.
[Перевод] Как я сделал переполнение кучи в curl В связи с выпуском curl 8.4.0 мы публикуем рекомендации по безопасности и все подробности о CVE-2023-38545. Эта проблема является самой серьезной проблемой безопасности, обнаруженной в curl за долгое время. Для неё установили ВЫСОКИЙ приоритет.Хотя рекомендации содержат все ...
Свежий критический баг в FortiOS SSL VPN уже находится под атаками Разработчики Fortinet предупреждают, что новая критическая RCE-уязвимость в FortiOS SSL VPN уже может использоваться для атак. Уязвимость отслеживается как CVE-2024-21762 и получила 9,6 баллов по шкале CVSS. Баг в FortiOS связан с out-of-bounds записью и позволяет неавториз...
Как управлять распределённой системой, не привлекая внимания санитаров Привет! Меня зовут Александр Попов, я tech lead команды маркетплейса 05.ru. Сейчас мы занимаемся бэком маркетплейса и некоторыми другими сервисами на рынке Дагестана. При разработке серверной части маркетплейса мы сразу решили строить её в распределённой архитектуре. Эт...
Как создавалась Call of Duty 2 Кто не знает серию Call of Duty? Конечно ее знает каждый, если не просто игрок, то хотя бы фанат шутеров. Поистине культовая, всемирно известная серия, взявшая свои истоки с игр про Вторую Мировую Войну. Многие части были созданы под эгидой Infinity Ward. Помимо игр компан...
Полное краткое руководство по grammY — JS-библиотеке для создания Telegram-ботов Привет! Меня зовут Арсений, я сеньор фронтенд-разработчик. В этой статье хочу рассказать про основные механизмы библиотеки grammY и разобрать стартовый набор файлов бота, обработку ошибок, виды обработчиков событий, контекст обновлений, работу с разными видами клавиатур и м...
JetBrains TeamCity CI/CD CVE-2024-27198 В феврале 2024 года группа исследователей уязвимостей Rapid7 выявила уязвимость, затрагивающую сервер JetBrains TeamCity CI/CD и представляющую собой обход аутентификации в веб-компоненте TeamCity.Уязвимость получила идентификатор CVE-2024-27198 и балл CVSS равный 9,8 (крити...
Вышел новый сборник наших авторов: «Хакерство. Секреты мастерства» Новые уязвимости в операционных системах и программных продуктах обнаруживаются едва ли не каждый день, а разработчики оперативно выпускают закрывающие их обновления и патчи. Эта «борьба снаряда и брони» продолжается непрерывно на протяжении многих лет, поэтому чтобы всегда ...
[Перевод] Итак, вы думаете, что знаете Git? Часть третья: реально большие репозитории Автор оригинала Скотт Чакон — сооснователь GitHub и основатель нового клиента GitButler. Этот клиент ставит во главу угла рабочий процесс и удобство разработки, в том числе код-ревью, и не является просто очередной обёрткой над CLI git. Вам хочется использовать ванильный G...
Понимаем с полуслова: как работает поиск товаров в СберМаркете Всем привет! Меня зовут Аня Власова. Я работаю ML-инженером в команде Поиска СберМаркета. В этой статье я расскажу, как устроены наши процессы: с момента, когда пользователь вводит запрос, до получения поисковой выдачи. Если вы разрабатываете поиск или просто интересуетесь т...
Unpacking аналитиков: виды, особенности и отличия Приветствую всех читателей Хабра!Меня зовут Белоусова Александра, я развиваю направление по обучению и стажировкам аналитиков в «Автомакон». У меня довольно разнообразный профессиональный опыт: была и бизнес-аналитиком, и системным, и аналитиком данных, руководила проектами ...
Управление цветами в Seaborn: как эффективно визуализировать данные Привет, Хабр. В этой статье я расскажу про своё видение работы с цветом при визуализации графиков. Буду показывать все на примерах — уверен, они вам понравятся.Я покажу не только картинки было-стало, но и приведу примеры кода, а также объясню логику принятия решений: как исп...
Продолжаем глубже изучать передачу данных по сетям GSM через GRPS с помощью SIM868 и Repka Pi — про AT-команды В предыдущей статье мы рассказали, как с помощью модуля GSM/GPRS/GNSS Bluetooth HAT, созданного на базе SIM868, библиотек SIM800L, RoverConnect и Telemetry можно обмениваться данными между микрокомпьютером Repka Pi с JSON-сервисом, доступным в интернете.Мы привели исхо...
Microsoft патчит 150 уязвимостей, включая две 0-day В рамках апрельского набора обновлений компания Microsoft выпустила исправления для 150 уязвимостей в своих продуктах: 67 из них позволяют добиться удаленного выполнения кода, но всего три получили статус критических. Также две проблемы представляли собой уязвимости нулевого...
Где брать знания бизнес-аналитику? Подборка бесплатных ресурсов Привет! Меня зовут Ольга Мазур, сейчас я работаю продакт-менеджером в Samokat.tech, а до этого 5 лет занималась бизнес-анализом. Я прошла путь от бизнес-аналитика на аутсорсе до руководителя департамента бизнес-анализа на 100 человек в продуктовой компании. Также я один из а...
Уязвимости в Azure: скрытый криптомайнинг выявлен экспертами SafeBreach Эксперты из SafeBreach выявили серьезную уязвимость в облачной платформе Microsoft Azure, позволяющую запускать криптомайнеры, не обнаруживаемые защитными системами.
Две новых книги по Python от американского и российского авторов с промокодом Привет, Хабр! Мы с почином — в блоге SSP SOFT стартует новая рубрика с анонсами выхода книг по программированию и операционным системам от издательства «БХВ-Петербург». Узнав об этой инициативе, издатель подарил всем читателям Хабра специальную скидку по промокоду, кот...
Китайцы довольны своими Samsung Galaxy S23 Ultra больше, чем Xiaomi 14 Ultra или Galaxy S24 Ultra. Свежий рейтинг от AnTuTu Вышел свежий (за февраль 2024 года) рейтинг AnTuTu с моделями смартфонов, которыми пользователи довольны больше всего. Рейтинг построен на исследовании китайского рынка, и, как видно, китайцы более чем удовлетворены своими Samsung Galaxy S23 Ultra — именно эта мод...
VR-тур на A-Frame + React Всем привет! Меня зовут Егор Молчанов, я разработчик в команде CRM для менеджеров ипотечного кредитования в компании Домклик. Хочу поделиться своим опытом создания VR‑тура с помощью фреймворка A‑Frame и библиотеки React. Для этого написал свой неболь...
Опубликован эксплоит для GoAnywhere MFT, позволяющий создавать новых администраторов В сети появился эксплоит для критической уязвимости обхода аутентификации в GoAnywhere MFT (Managed File Transfer) компании Fortra. Уязвимость позволяет создавать новых пользователей-администраторов в неисправленных установках GoAnywhere MFT.
Критическая уязвимость в Exchange использовалась как zero-day Компания Microsoft обновила бюллетень безопасности, посвященный уязвимости CVE-2024-21410, исправленной ранее в этом месяце. Как сообщается теперь, критический баг в Exchange Server использовался хакерами в качестве уязвимости нулевого дня еще до выхода патча.
Cisco обнаружила еще одну 0-day уязвимость в IOS XE Компания Cisco сообщила о новой уязвимости нулевого дня (CVE-2023-20273), которая активно используется хакерами для развертывания малвари на устройствах IOS XE, скомпрометированных с помощью другой 0-day уязвимости — CVE-2023-20198. В минувшие выходные общее количество взлом...
Под угрозой почти 100 000 умных телевизоров LG. В webOS нашли сразу четыре серьёзные уязвимости Владельцам умных телевизоров LG очень желательно обновить ПО своих устройств, так как в операционной системе webOS обнаружили несколько уязвимостей. Если точнее, то сразу четыре, и затрагивают они платформы от webOS 4 до webOS 7. Потенциально под угрозой почти 10...
Google исправляет пятую 0-day уязвимость в Chrome в этом году Компания Google выпустила экстренные патчи, устраняющие уязвимость нулевого дня в браузере Chrome. Проблема уже находилась под атаками, и всем пользователям рекомендуется установить обновления как можно скорее.
Как использовать Spring в качестве фреймворка для Flink-приложений Всем привет, меня зовут Александр Бобряков. Я техлид в команде МТС Аналитики, занимаюсь Real-Time обработкой данных. Недавно мы начали использовать фреймворк Apache Flink, и я решил поделиться на Хабре своим опытом внедрения этой технологии в наши продукты в цикле статей. В ...
Топ некритичных ошибок в инфраструктуре, приводящих к критичным проблемам Допустить незначительную ошибку в конфигурации — очень просто. Однако, череда таких некритических уязвимостей может привести к компрометации системы. Поэтому, даже если других дел тоже очень много, нужно уметь не допускать таких ошибок, то есть изначально настраивать инфраст...
О Важном в управлении проектами Всем привет! Меня зовут Андрей Софронов и я тимлид продукта “ЭДО и S2P”. Хочу поделиться с тобой своим опытом и наблюдениями о том, что важно в управлении проектами, как можно посмотреть на проект и свою деятельность в целом, что следует учесть, что помнить и о чем позаботит...
Разработчики компании «Фродекс» представили новую систему Vulns.io Enterprise VM Vulns.io Enterprise VM – это новая система управления уязвимостями активов IT-инфраструктуры в автоматическом режиме. Новинка является решением для мониторинга защищенности крупных инфраструктур, превышающих 10 000 активов, использующим оркестратор Kubernetes. Vulns.io Enter...
Голосовое управление умным домом — без интернета. История разработки особенности Станции Миди Недавно мы представили нашу новую умную колонку — Яндекс Станцию Миди. Она больше, чем Лайт или Мини, поэтому в ней уместились вуфер и два высокочастотных динамика с суммарной мощностью звука 24 Вт. Но при этом она легче и компактнее, чем Станция 2 или Макс. Кроме того, в Ми...
Инструмент статического анализа Slither Всем привет! Я из команды по анализу уязвимостей распределенных систем Positive Technologies. Мы занимаемся исследованием безопасности в области блокчейн-технологий и хотим поделиться обзором фреймворка для статического анализа кода, написанного на Solidity, — Slither. Он ра...
Хостинг-провайдеров просят блокировать поискового бота GPTBot компании OpenAI СМИ сообщают, что подведомственный Роскомнадзору ФГУП «Главный радиочастотный центр» (ГРЧЦ) разослал российским хостинг-провайдерам письмо о выявлении поискового робота GPTBot. Ведомство рекомендует блокировать возможность бота по просмотру и анализу интернет-страницы для «и...
Названы самые популярные онлайн-библиотеки в России Интересная статистика от аналитиков Yota на основе обезличенных данных абонентов. По итогам 2023 года самой популярной онлайн-библиотекой оказался «Литрес». Пользователи сервиса в общей сложности потратили на чтение больше всего трафика, этот показатель вырос в три раза по...
Никаких инструкций. Советы от техписа о том, как обойтись без него Привет, меня зовут Евгения Береснева, и я старший технический писатель в X5 Tech. Пожалуй, выглядит странным, что технический писатель пишет статью с таким названием. Так что для начала небольшой дисклеймер:— Нет, мы не боимся остаться без работы. В любой крупной IT-компании...
Kubernetes: шпаргалка для собеседования часть 2 Всем привет! Это снова Олег. Как и обещал, публикую вторую часть текста, посвященную вопросам, которые могут быть заданы на собеседовании по Kubernetes. Чтобы было понятно о чем речь, коротко: я работаю исполнительным директором по разработке в Газпромбанке, собеседую и...
Как я стал ментором за пределами компании Всем привет! Меня зовут Юра Тюрин, я CTO, управляю разработкой SaaS-приложения для ритейла с командой из трёх десятков разработчиков, тестировщиков, DevOps-инженеров. Специализируюсь на разработке клиент-серверных мобильных и веб-приложений. Наставничеством внутри компании я...
Релизная версия Ghost Trick: Phantom Detective для смартфонов продаётся со скидкой 32% Издатель Capcom заявил в соцсети X, что мобильная версия Ghost Trick: Phantom Detective вышла в App Store и Google Play по всему миру. В честь этого японская компания установила скидку в 32% до 3 апреля. Отмечу, что на Android игра продаётся за 1,420 рублей, а на iOS её мо...
Clickhouse, Grafana и 3000 графиков. Как построить систему быстрых дашбордов Меня зовут Валя Борисов, и я — аналитик в команде Ozon. Задача нашей команды — создавать инструменты для мониторинга и анализа скорости. Наши усилия направлены на то, чтобы в реальном времени следить за тем, как быстро работают наши сервисы и платформа. Благодаря инстру...
Ars Technica: Пользователи Linux стали объектом скрытой атаки Опасную уязвимость Linux обнаружил программист.
Уязвимости Sierra:21 затрагивают маршрутизаторы Sierra Wireless и угрожают КИИ Эксперты Forescout Vedere Labs опубликовали отчет об уязвимостях, получивших общее название Sierra:21 . В этот набор из 21 уязвимости вошли баги, которые затрагивают маршрутизаторы Sierra Wireless AirLink и такие опенсорсные компоненты, как TinyXML и OpenNDS. По словам иссле...
Десятки уязвимостей в Squid не могут исправить уже 2,5 года Еще в 2021 году ИБ-исследователь Джошуа Роджерс выявил 55 уязвимостей в Squid, популярном кеширующем прокси-сервере с отрытым исходным кодом. По словам эксперта, большая часть этих проблем не исправлена до сих пор, а большинству даже не присвоены идентификаторы CVE.
Security Week 2351: фантомные корпоративные учетки в экосистеме Google На прошлой неделе исследователь Дилан Эйри из команды Truffle Security обнародовал детали уязвимости в протоколе OAuth компании Google. Ошибка в логике системы авторизации угрожает прежде всего компаниям, которые используют для совместной работы инфраструктуру Google Workspa...
Обзор Llemma: новая математическая open-source модель Привет! Меня зовут Дарина, и я занимаюсь фундаментальными исследованиями в MTS AI. Основной фокус нашей работы сейчас — обучение больших языковых моделей, их тестирование и оптимизация.Сегодня хочу сделать обзор на недавно вышедшую статью LLEMMA: an open language model for m...
Можно ли взломать любой смартфон и сколько Google платит за найденные ошибки Если вы тщательно следите за тем, чтобы все ваши устройства были максимально защищены, вы можете предположить, что с такими средствами, как двухфакторная аутентификация, вам ничего не страшно. В наши дни существует несколько способов защиты конфиденциальной информации, и эт...
«Битва Роботов»: ошибки «невыжившего» Привет всем любителям робототехники! Меня зовут Настя, я — руководитель Студенческого конструкторского бюро НИТУ МИСИС и капитан команды BlackOut, которая в 2023 году участвовала в первой «Битве роботов» и… получила бесценный опыт) Многие знают про когнитивное искажение «оши...
Когда вендор не защитил — защищаем вашу Станцию, Капсулу и A113X Приветствую!В нашем несовершенном мире «умных домов» и повсеместного IoT с относительно недавних пор стало модным производить (да и покупать домой) очередного разговорчивого электронного друга, а именно: Яндекс Станции, VK Капсулы и тому подобные девайсы.К&nbs...
Криптографические пруфы zkSNARKs для масштабирования и безопасности Привет, Хабр! Меня зовут Сергей Прилуцкий, я руковожу отделом исследований компании MixBytes. Мы занимаемся аудитами безопасности смарт-контрактов и исследованиями в области блокчейн-технологий. В числе прочего занимаемся и направлением zero-knowledge. Эта статья подготовлен...
Яндекс запустил Нейро. Рассказываем, как он работает Сегодня мы запустили новый сервис Нейро — новый способ поиска ответов на вопросы. Пользователь может задать Нейро любой вопрос, а тот сам подберёт подходящие материалы в Поиске, проанализирует их и соберёт найденную информацию в одном ответе, подкрепив его ссылками на источн...
Flutter и фриланс в школе Меня зовут Вася, это моя первая статья тут, поэтому не удивляйтесь куче всяких кривых цитат и спойлеров, я учусь в 11 классе, с августа 2020 года работаю с Flutter, а с марта прошлого года занимаюсь коммерческой разработкой мобильных приложений на фрилансе. Сегодня хочу расс...
React + Three.js. Создаём собственный 3D шутер. Часть 2 Привет, дорогие пользователи мира IT!В эпоху активного развития веб-технологий и интерактивных приложений, 3D-графика становится всё более актуальной и востребованной. Но как создать 3D-приложение, не теряя преимуществ веб-разработки? В этой статье мы рассмотрим, как сочетат...
React + Three.js. Создаём собственный 3D шутер. Часть 1 Привет, дорогие пользователи мира IT!В эпоху активного развития веб-технологий и интерактивных приложений, 3D-графика становится всё более актуальной и востребованной. Но как создать 3D-приложение, не теряя преимуществ веб-разработки? В этой статье мы рассмотрим, как сочетат...
React + Three.js. Создаём собственный 3D шутер. Часть 3 Привет, дорогие пользователи мира IT!В эпоху активного развития веб-технологий и интерактивных приложений, 3D-графика становится всё более актуальной и востребованной. Но как создать 3D-приложение, не теряя преимуществ веб-разработки? В этой статье мы рассмотрим, как сочетат...
Китай заявляет, что взломал Apple AirDrop для идентификации источников сообщений Уязвимость была разработана в рамках академических исследований, но может быть использована с целью слежки за пользователями всего мира.
Итоги RecSys 2023: разбор знаковых статей прошедшей конференции. Часть 1 ACM RecSys — международная конференция, на которой эксперты в области рекомендательных систем делятся своими наработками и исследованиями, задавая тренды развития технологий и подходов. Команда ОК изучила статьи конференции RecSys 2023 и сделала разбор наиболее интересных из...
Россиянам рассказали о мошенничестве с QR-кодами Эксперты предупреждают о растущей угрозе мошенничества при оплате через QR-коды, особенно в онлайн-покупках. Ваге Закарян, руководитель команды Gem Space, подчеркивает уязвимость этой системы, пишет агентство "Прайм".
Умная рыбалка: как мы учим ML работать с фишингом Всем привет! Меня зовут Мария Анисимова, я программист-исследователь команды машинного обучения Антиспама Почты Mail.ru В этой статье я хочу рассказать вам о фишинге. И о том, как мы с ним боремся. Фишинговые атаки стали популярны с момента появления электронной п...
Создание WordPress-плагина для отправки SMS-сообщений Привет, Habr! Меня зовут Анастасия Иванова, я технический писатель МТС Exolve. В этой статье я расскажу, как создать свой WordPress-плагин для отправки SMS-сообщений. Кроме сайта, вам потребуется Exolve SMS API. Сразу скажу: мы считаем, что пользователя обязательно нужно спр...
Технологии групповой разработки в современной 1С-индустрии Привет, Хабр! Меня зовут Стас Ганиев, программист 1С, в этой статье я рассмотрю и сравню три самых популярных подхода к групповой разработке: хранилище конфигураций, конфигуратор + Git, EDT + Git. Читать далее
Обзор Polygon zkEVM: как работает L2 решение для Ethereum Привет, Хабр! Меня зовут Леша Куценко, я разработчик смарт-контрактов в команде MetaLamp, мой основной стек – Solidity. В этой статье я подробнее расскажу про решение для масштабирования с нулевым разглашением (Zero-knowledge proof), а именно – о блокчейне второго уровня Pol...
[Перевод] Битва фреймворков: сравнение высокопроизводительных HTTP-библиотек Мир веб-разработки предлагает бесконечное количество вариантов HTTP-фреймворков для разных языков программирования. Но как разработчикам понять, какие из них обеспечивают действительно высокую производительность? Под катом команда блога CodeReliant* проводит прямое сравнение...
Обновление от Microsoft защитило Skype, Teams и Edge Компания закрыла уязвимости в библиотеках с открытым исходным кодом
МТС запустил продажи eSIM в Telegram Российский оператор МТС сообщил о запуске продаж eSIM в мессенджере Telegram. Пользователи смогут выбрать не только тариф, но и красивый номер, процесс покупки занимает около пяти минут. Иллюстрация: МТС Приобрести eSIM можно в боте Telegram. Перед выбором пользов...
На стороне своих правил в ESlint Всем привет! Меня зовут Владимир Земсков, я работаю в B2C билайна, в команде билайн Про, где пишу бэк-офис для нашей системы. Мы помогаем нашей рознице продавать лучше и больше. Для соблюдения нужного уровня качества кода в билайне мы используем и ESlint, и тесты, и ревью, и...
Полиномиальные корневые методы синтеза САУ ч.1 Ленонид Маркович Скворцов. Широко известный в узких кругах математик, профессионально занимающийся математическами проблемами автоматического управления. Например, его авторские методы использованы в SimInTech. Данный текст первая часть работы, которая еще готовится к публи...
Первый взгляд на Termit 2.0 — российскую систему терминального доступа Хабр, привет! Меня зовут Алексей Ватутин, я руководитель практики инфраструктуры рабочих мест в компании К2Тех. Мы с командой давно изучаем рынок корпоративного ПО, но с тех пор, как российские разработчики пустились догонять и обгонять зарубежных, мониторить новинки стало в...
Алгоритм MiniMax. Использование минимакса в Unity на примере игры Поймай Овечку Минимакс - популярный алгоритм для принятия решений в играх с нулевой суммой (один выиграл - другой проиграл). Казалось бы, раз он так популярен, то всё что можно было про него сказать уже сказано? Не совсем. Информация сильно раздроблена, иногда ошибочна, а найти какие-либо...
Эмоциональный интеллект в UX-исследованиях Привет! Меня зовут Татьяна Лескова, я младший аналитик-исследователь в RuStore. Применяете ли вы эмоциональный интеллект в своих UX-исследованиях и зачем вообще вам, как специалисту, прокачивать свой эмоциональный интеллект? Расскажу о том, как бустануть качество ваших иссле...
ИНЬ-ЯН в UI/UX дизайне Привет, Хабр! Меня зовут Иван Вербов, я UI/UX дизайнер команды разработки платформы контейнеризации dBrain.cloud. Эта статья адресована моим коллегам-юиксерам, а также всем, кого затрагивают задачи анализа, обсуждения и согласования предложений и результатов работы над диз...
Мой первый опыт с VyOS. Часть 1 Привет хабр!Меня зовут Берик, я работаю системным администратором в IT холдинге SAMGAU, где отвечаю за IT инфраструктуру. Хочу написать серию статей где поделюсь своим опытом по использованию VyOS. Читать далее
HTB Bookworm. Эксплуатируем сложную XSS с байпасом CSP Для подписчиковВ этом райтапе я покажу, как можно использовать уязвимость в механизме контроля загрузки файлов для обхода Content Security Policy и эксплуатации сложной XSS. Найденная затем LFI поможет получить важные данные для доступа к хосту, а для повышения привилегий ис...
Сам себе ментор: что ещё делать, кроме работы, чтобы подрасти Привет, меня зовут Кирилл Павлик. Я ведущий JS-разработчик в Альфа-Банке, «25 лет» в вебе, но 4 года реального опыта. И переходя в этот ваш айти, понял, что проявление некоторых активностей, которые настолько очевидны и всем понятны, что их даже не пишут в должностных инстру...
Как пройти собеседование на позицию системного аналитика в 2024 году Привет, Хабр! Меня зовут Андрей Царев — я системный аналитик, технический интервьюер и ментор.Системный анализ — одно из популярных направлений в ИТ. Но далеко не все представляют, как правильно готовиться к интервью и проходить их. В&...
SQL-инъекции. Разбираем на пальцах одну из самых популярных хакерских техник Для подписчиковВ этой статье я разберу тему SQL-инъекций с самого начала — для тех, кто только осваивается в мире инфосека. Мы пройдемся по базовым уязвимостям и пошагово разберем несложные атаки. Потом поговорим о sqlmap — инструменте для автоматического пентеста SQLi. В ко...
[Перевод] Исследование режима Copy-on-Write в pandas. Часть 1 Библиотека pandas 2.0 вышла в начале апреля, в ней появилось много улучшений нового режима Copy‑on‑Write (CoW, копирование при записи). Ожидается, что в pandas 3.0 режим CoW будет использоваться по умолчанию. Сейчас полный переход на к...
Apple выпустила macOS Sonoma 14.4 с большим количеством исправлений. Срочно качайте на свой Мак Apple продолжает развивать свою операционную систему для компьютеров macOS Sonoma и выпускает уже четвертый крупный апдейт. Новых функций в нем практически нет, зато исправлений набралось достаточно. Во-первых, компания закрыла более 50 различных уязвимостей, который позвол...
Продуктивность в тишине: Отказ от совещаний как идеал В индустрии разработки программного обеспечения очень много времени и ресурсов тратится на совещания. У многих менеджеров календарь большую часть времени забит встречами. По данным исследования компании Atlassian, средний работник тратит до 31 часа в месяц на непродуктивные ...
На одном мероприятии раскрыли уязвимости сразу в Windows 11, Linux Ubuntu, Chrome, Safari и т.д В Ванкувере завершился конкурс хакеров Pwn2Own 2024, где за 2 дня было взломано множество популярных продуктов.
Появились кадры Bradley, погруженной на ж\д платформу, "спешащей" на встречу к оружейникам РФ Глубокий реверс-инжиниринг даст важные ответы и позволит найти новые уязвимости заокеанской БМП
Топ самых интересных CVE за октябрь 2023 года В этой подборке представлены самые интересные уязвимости за октябрь 2023 года.Подведем вместе итоги второго месяца осени, поехали! Читать далее
Нужен ли продакт в ML-команде? Мнение изнутри Пять лет назад из обычного продакт-менеджмента я перешла в команду с дата-сайентистами. И весь процесс моей работы сильно изменился. Раньше после определения потребностей пользователя я приходила к команде разработки с готовой задачей и дизайн-макетами. А после разработ...
Как спектральный анализ улучшает оценку задач и снижает стресс в команде разработки Привет! Меня зовут Илья, я руководитель команды индивидуальных интеграций CDEK. В рамках этой статьи хочу поговорить о спектральном анализе — инструменте для аналитики и прогнозирования задач команд разработки. По итогу мы с вами разберемся, ког...
Случай является на помощь тому, кто неустанно ищет Привет, Хабр.Выдался вечер, в который я всё-таки дозрел поделиться с вами небольшой рефлексией. Я на Хабре уже три года и три месяца, почти всё это время мне удаётся публиковать примерно по 4 лонгрида в месяц, а с некоторого времени — и по паре переводов в месяц (в этом блог...
Разбираем 5 способов ускорить сайт: от простого к сложному Низкая скорость загрузки — это критично. По данным исследования Unbounce, долгое ожидание негативно влияет на пользователей: 45,4% из них с меньшей вероятностью совершат целевое действие, а 11,9% — вообще покинут сайт. Давайте обсудим несколько способов, которые помогут...
Обзор книги «С++ 20 в деталях»: доступно, но не для джунов Привет, Хабр! Меня зовут Дмитрий Луцив, я работаю в СПбГУ на кафедре системного программирования, веду ряд IT-дисциплин на математико-механическом факультете в лабаратории компании YADRO и помогаю вузам актуализировать образовательные программы под задачи индустрии, как сотр...
Хакеры атакуют RCE-уязвимость в Brick Builder Theme для WordPress Критическая уязвимость, связанная с удаленным выполнением произвольного кода в теме Brick Builder Theme для WordPress, используется для запуска вредоносного PHP-кода на уязвимых сайтах, предупреждают специалисты.
Microsoft: ATP28 эксплуатировала баг в Windows Print Spooler несколько лет Компания Microsoft сообщила, что группировка APT28 использовала уязвимость CVE-2022-38028 в Windows Print Spooler для повышения привилегий и кражи учетных данных с помощью ранее неизвестного инструмента GooseEgg. Примечательно, что атаки происходили «по крайней мере с июня 2...
Новый вид мобильного мошенничества на iPhone в России. Как злоумышленники обманывают пользователей iOS 17 Мошенники научились использовать постеры контактов в iOS 17 для обмана российских владельцев iPhone, о чем пишут «Известия», ссылаясь на команду разработки автоматического определителя номера Яндекс. С выходом iOS 17 у владельцев iPhone появилась возможность...
Два вида мошенничества с помощью сайтов: розыгрыши айфонов, корм для собак и отъем денег через СБП Меня зовут Ростислав, я разработчик (одного из) чата для сайтов. Как правило, чаты можно подключить бесплатно на любой сайт. И среди пользователей чата появляются недобросовестные люди. Точнее говоря - явные мошенники. В этой статье я хочу рассказать о двух типах развода, с ...
[Перевод] Desert Racer: Первая игра, разработанная исключительно на CSS с возможностью управления свайпом Я разработал игру Desert Racer, чтобы показать уникальные и инновационные приемы, которые используют только CSS, включая функционал свайпа и детектирования столкновений, выполненные исключительно средствами CSS. На мой взгляд, это первые в своем роде решения. Вы вольны броси...
Графические процессоры NVIDIA, AMD, Apple и Qualcomm столкнулись с новой уязвимостью краж данных Новая уязвимость в графических процессорах таких крупных производителей, как Apple, AMD, Qualcomm и Imagination Technologies, позволяет злоумышленникам похищать конфиденциальные данные.
Что я понял на первой работе программистом / Мои советы Junior-разработчикам Всем привет! Меня зовут Максим. Я backend-разработчик, который не так давно устроился на свою первую работу. В этой статье хочу поделиться своими наблюдениями/советами/рекомендациями для начинающих программистов. Ведь, как известно, если опыт не превращён в текст, он даже не...
Анализ данных КХЛ. Часть 1 — про теорию шести рукопожатий Привет, Хабр! Эта статья посвящена исследованию о том, насколько тесен мир хоккея.Меня зовут Рашит Гафаров, я начинающий дата-инженер и выпускник Яндекс Практикума. Мы с наставницей Юлией Муртазиной и ещё пятью студентами проанализировали с помощью Pytnon связи между хоккеис...
E-mail Injection; Инъекции в почтовую функциональность веб-приложений Так сложилось, что одним из вариантов решения задачи сбора ответов пользователей на формы является использование электронной почты. Электронная почта – комплексная технология, в работе которой задействован целый список компонентов.В таком сценарии формы выступают посредникам...
Оптимизация веб-приложений: на что стоит обратить внимание Привет, Хабр! Меня зовут Андрей, я веб-разработчик в МТС Digital. Сегодня поделюсь своим опытом, как и зачем оптимизировать веб-приложения. В конкурентном мире онлайн-сервисов производительность стала ключевым фактором успеха — пользователи ожидают мгновенного доступа к инф...
Исследователи нашли критические уязвимости в виртуальных машинах VMware Компания VMware призывает всех клиентов немедленно исправить критические уязвимости в своих продуктах ESXi, Workstation, Fusion и Cloud Foundation. Эти уязвимости могут позволить злоумышленникам обойти меры безопасности и получить несанкционированный доступ к важным системам...
Названы самые популярные российские нейросети и сценарии их изпользования: лидируют «Шедеврум» и Kandinsky «Шедеврум» от Яндекса и Kandinsky от Сбера стали самыми упоминаемыми в социальных медиа отечественными нейросетями, о чем говорится в исследовании Brand Analytics. В ходе исследования были изучены более 36 млрд публичных русскоязычных сообщений пользователей...
Уязвимость в ПО Openfire открывает несанкционированный доступ к скомпрометированным серверам Компания «Доктор Веб» информирует пользователей о распространении вредоносных плагинов для сервера обмена сообщениями Openfire. По всему миру на момент публикации более 3000 серверов с установленным ПО Openfire подвержены уязвимости, позволяющей хакерам получать доступ к фай...
Аналитика в игре на Godot: подключаем MyTracker Привет! Я Артем Ковардин, руководитель команды Push Service в RuStore. В этой статье я расскажу про подключение MyTracker в мобильную игру на Godot. Godot — замечательный движок для игр, но под него очень мало готовых плагинов. Особенно, плагинов для российских сервисов...
Выявление схожести между произведением искусства из коллекции музея и работами автора методами ML Идею работы: «Похоже ли произведение искусства из коллекции музея на работы автора?» я придумала под датасет Музея MoMa. Конечно, хотелось бы установить: оригинал или подделка? Но для ответа на такой категоричный вопрос данных оказалось недостаточно.У проекта было несколько ...
Прививка от ошибки выбора: что спросить работодателя «на берегу» Меня зовут Настя, я руководитель службы инструментов репозитория в Yandex Infrastructure. Больше 15 лет я проработала в IT-индустрии: сначала как разработчик, потом тимлид, техлид, менеджер проектов и руководитель службы. За это время несколько сотен человек рассказали мне о...
Spring Boot Starter: практически, принципиально и подробнее. Part 1 Всем привет, меня зовут Сергей Соловых, я Java-разработчик в команде МТС Digital. За последние 2 года я написал и выпустил в продакшен более 30 микросервисов. Выдержать столь высокий темп помогло применение общепроектных решений и паттернов разработки. Общепроектные решения&...
Как работает дедупликация данных в потоке Kafka-to-Kafka? Всем привет, меня зовут Александр Бобряков. Я техлид в команде МТС Аналитики, занимаюсь Real-Time обработкой данных. Мы начали использовать фреймворк Apache Flink, и я решил поделиться на Хабре своим опытом внедрения этой технологии в цикле статей.В предыдущей части «Как исп...
Библиотека Scout — быстрый и безопасный DI на Kotlin Привет! Меня зовут Александр Миронычев. Я занимаюсь инфраструктурой приложения Яндекс Маркет под Android. Около двух лет назад при работе над модульностью у меня появилось желание написать собственную библиотеку для внедрения зависимостей, которая позволила бы ускорить сборк...
Хакеры могут удаленно получить root-доступ к 90 000 телевизоров LG Уязвимости в умных телевизорах LG, работающих под управлением WebOS, позволяют злоумышленниками обойти авторизацию и получить root-доступ к устройству, предупредили специалисты Bitdefender. По данным Shodan, в сети можно обнаружить 91 000 телевизоров, уязвимых для таких атак...
Дешево и сердито: геймдев на Godot 4.2 для тех, кто знает Python Привет, Хабр! Меня зовут Матвей, я уже несколько лет хочу научиться создавать игры. Скажу честно: все никак не хватало времени и, возможно, целеустремленности, чтобы изучить Unreal Engine, Cry Engine и им подобные движки. Но я знаю Python. Оказывается, для любителей парсел...
Вышла финальная версия Paint.NET 5.0.10 с исправлением уязвимости libwebp и новыми возможностями Новый выпуск популярного графического редактора.
[recovery mode] Отчаяние, отказы и академический отпуск: как я за год вернул уверенность и стал Android-разработчиком Привет всем! Меня зовут Фаридун. В своём пути в мир разработки я неоднократно сталкивался с моментами, когда отчаяние казалось единственным компаньоном, а отказы накладывались печатью на каждом шаге.В своей первой статье на Хабре я хочу поделиться своей историей становления ...
Защита Android-парольных менеджеров под угрозой, исследователи предупреждают о новом методе взлома На Black Hat Europe 2023 представлена атака "AutoSpill", которая использует уязвимость в Android для тайного перехвата учетных данных из парольных менеджеров на устройствах Android.
Исследование пользовательского опыта с ChatGPT: мои лайфхаки, ошибки и выводы В команде исследований Lamoda Tech мы проводим интервью с пользователями: выясняем их потребности и узнаем правду о том, как они используют наши продукты. Такие задачи требуют глубокой эмпатии к людям, понимания их психологии и мотивации. Поэтому мне было любопытно, пол...
Релиз ASTRA: Knights of Veda — ПК-геймеры критикуют, мобильные геймеры любят Издатель HYBE IM выпустил игру ASTRA: Knights of Veda в App Store, Google Play и Steam. В первом маркете у неё топ-102 место среди RPG, во втором у неё более 500,000 скачиваний и оценка 5 из 5, а в третьем — в основном отрицательные отзывы. Больше всего игрокам на ПК не по...
Расчетная архитектура платформы для A/B-тестов Mail.Ru Привет Хабр! Меня зовут Андрей Каймаков, я работаю в продуктовой аналитике Mail.ru в VK. Сейчас практически каждая IT-компания (да и не только IT) знает про A/B-тесты и понимает важность проверки новых фичей с помощью этого метода. Когда фичей становится много, то A/B-тесты ...
ПЛК Mitsubishi: как разобрать сетевой протокол и найти уязвимости в устройстве без использования прошивки Нас окружают умные устройства. Внутри каждого — микросхемы и прошивки с программным кодом, который содержит уязвимости. Представьте, что в руки исследователя безопасности попадает устройство с недокументированным сетевым протоколом. Возникают задачи: разобрать протокол, науч...
Калькуляторы с обратной польской нотацией На хабре уже многократно проскакивали статьи и переводы о калькуляторах с обратной польской нотацией. Раньше я придавал им большого значения, пока на глаза не попался перевод статьи «Мягкое знакомство с дополнительным кодом», где фигурировал программистский калькулятор HP-1...
Работаю на стройке, чтобы писать статьи на Хабре В этой статье я хотел бы совсем чуть-чуть порассуждать о том, с какими намерениями авторы приходят на Хабр, а также рассказать вам чем занимаюсь лично я, чтобы быть одним из авторов Хабра. Читать далее
Как поменялась защищенность российских компаний за год? Делимся результатами исследования Привет, Хабр!Каждую весну мы традиционно несем в массы результаты нашего глобального исследования. Это исследование мы проводим вот уже седьмой год подряд рамках серии практических конференций Road Show SearchInform. В 2023 году мы опросили 1200 руководителей и сотрудников И...
Google Chrome выпустил важное обновление, закрывая опасную уязвимость "Zero-Day" Уязвимость (CVE-2023-7024) позволяла злоумышленникам внедрять вредоносный код и получать контроль над системой пользователя
Связь системных ограничений и UX-дизайна: как устроено взаимодействие в системном подходе Привет! Меня зовут Настя, я UX-дизайнер в отделе технологических проектов «Леруа Мерлен». Мы занимаемся разработкой внутреннего технологического портала — это единый фронт, где продуктовые команды могут получить услуги других команд в режиме Self-Service. Мы предоставляем ин...
Что может пойти не так на хардварном проекте? Спойлер: всё Долго придумывал вступление. И пришёл к выводу, что оно не нужно. Просто расскажу о том, чем занят менеджер при разработке, производстве и внедрении электронного устройства. Сразу скажу: совсем не тем же самым, чем менеджер разработки чистого софта. Своим друзьям я обычно ...
Россия и страны ЕС в опасности: в OwnCloud найдена серьезная уязвимость OwnCloud, популярное серверное приложение для обмена файлами с открытым исходным кодом, столкнулось с серьезной угрозой безопасности, поскольку уязвимость максимальной степени тяжести (CVE-2023-49103) «массово эксплуатируется».
Рекомендации по разработке баз данных и клиентских приложений Привет, Хабр! Представляю Вашему вниманию небольшой список рекомендаций по разработке и сопровождению баз данных, надеюсь будет полезным! Читать далее
Обкатка альфа-теста и обновления на Капибаре Сегодня у нас вышел второй официальный пост о прогрессе в разработке уже на самом сайтеПродолжу рассказывать о развитии Капибары, опенсорсном проекте, цели которого воспроизвести лучшее что было на пикабу и не наступить на их же "грабли". Первая часть здесь: https://habr.com...
Как я упростил свою работу тестировщика Привет, Хабр! Меня зовут Михаил Химей, и я работаю тестировщиком в команде МТех (МВидео). В процессе проведения регрессионных тестов я подумал, что сохранение всей информации в блокноте или браузере гугла может быть не самым удобным решением. Моя первая мысль была о том, к...
OpenAI: The New York Times «взломала» ChatGPT, воспользовавшись известной ошибкой Компания OpenAI заявляет, что The New York Times использовала уязвимость ChatGPT, чтобы получить материалы для судебного иска против неё.
HTB Hospital. Получаем доступ к хосту через уязвимость Ghostscript Для подписчиковВ этом райтапе мы используем уязвимость внедрения команд в Ghostscript с целью фишинга. Также получим сессию в Docker чрез загрузку веб‑шелла и повысим привилегии в Docker через GameOverlay.
Что будет с аккумулятором Айфона, если скачать iOS 17.4.1, и стоит ли обновляться уже сейчас Не торопитесь обновлять iPhone! Что может быть с его автономностью после установки iOS 17.4.1 Спустя полгода все же нужно признать, что iOS 17 не отличается стабильностью. Первое время обновление работало из рук вон плохо, а ошибки были видны невооруженным глазом даже в инте...
Cisco предупредила о критической RCE-уязвимости в своих продуктах Компания Cisco предупреждает, что некоторые из ее продуктов Unified Communications Manager и Contact Center Solutions уязвимы перед критической ошибкой, допускающей удаленное выполнение кода.
Приглашаем на Ozon Tech Community ML&DS Meetup Всем привет, меня зовут Артём, я руководитель команды «Эффективность рекламы». Мы пока не предлагаем генеративные модели для пользователей, но мы делаем другие крутые вещи, связанные с ML&DS. И хотим о них рассказать.Приглашаю на Ozon Tech Community ML&DS Meetup, где...
«Американцам заходят борщик и сырники» — интервью с CTO Foodtech-стартапа из Чикаго Привет! Меня зовут Максим, я руководитель мобильной разработки в KTS. Недавно я попросил рассказать об используемых технологиях бывшего коллегу Сеню Суздальницкого, CTO Sizl — стартапа доставки еды в Чикаго. Читать далее
Релиз-менеджер — почему он вам нужен Привет! Меня зовут Ксения, я уже больше 7 лет занимаюсь релизами и сейчас работаю релиз-менеджером в RuStore. Сегодня хочу рассказать больше об этой роли, в каких случаях он вам нужен (спойлер, не всегда) и когда её можно переложить на другого сотрудника. Читать далее
Чем бизнес-аналитик отличается от системного и почему для проектов цифровой трансформации вам нужно два специалиста Привет, Хабр! Я Владимир Хрипун, руководитель центра компетенций по развитию BPM-систем в Первой грузовой компании. Сегодня разберем с вами, чем бизнес-аналитик отличается от системного и почему для проектов цифровой трансформации вам нужно два специалиста. Статья будет поле...
ВСУ отвели американские танки Abrams с поля боя из-за их уязвимости перед российским оружием Американские танки Abrams M1A1 оказались слишком уязвимыми перед российскими дронами
Разработка мобильного клиента СДУ «Приоритет» под ОС «Аврора» на фреймворке Qt Всем привет! Меня зовут Илья, и я разработчик ПО в области автоматизации документооборота в компании «Диджитал Дизайн». Так получилось, что изначально я iOS-разработчик, но по воле случая мне удалось поучаствовать в создании мобильного приложения — клиента СДУ «Приоритет» (д...
Room для Kotlin Multiplatform. Пробуем нативное решение Всем привет! На связи Анна Жаркова, руководитель группы мобильной разработки в компании Usetech. В начале мая Google нас порадовали релизами нескольких библиотек для локальных хранилищ. Наконец, в приложения Kotlin Multiplatform можно полноценно использовать Room (версия 2....
«Фродекс» представит на форуме «Территория безопасности 2024» новую систему управления уязвимостями больших инфраструктур На предстоящем форуме «Территория безопасности 2024: все pro ИБ» одним из ведущих отечественных разработчиков новых технологий и продуктов кибербезопасности, компанией «Фродекс», будет презентована новая разработка — Vulns.io Enterprise VM.Посетители нынешней выставоч...
HTB Surveillance. Эксплуатируем инъекцию команд через скрипт ZoneMinder Для подписчиковВ этом райтапе я покажу процесс эксплуатации RCE-уязвимости в системе управления контентом ZoneMinder, но сначала проведем атаку на другую CMS — Craft — и покопаемся в ее базе данных. В конце повысим привилегии через инъекцию команд ОС.
Android Auto сломался из-за VPN от Google, но всё можно исправить Пользователи Android Auto столкнулись в недавнем времени с проблемой – работа приложения нарушалась из-за сервиса Google One VPN. Суть в том, что Android Auto может работать как по проводному, так и по беспроводному соединению. Однако в беспроводной версии ...
Введение в Apache Flink: осваиваем фреймворк на реальных примерах Всем привет, меня зовут Александр Бобряков. Я техлид в команде МТС Аналитики, занимаюсь Real-Time обработкой данных. Недавно мы начали использовать фреймворк Apache Flink. Эту технологию выбрали, так как она (в отличие от Apache Spark) относится к true-стримингу и позволяет ...
Как мы автоматизировали тендерные процедуры за счет интеграции SAP с ЭТП Всем привет! Меня зовут Олег Усов, я работаю старшим консультантом SAP MM в Fix Price. Хочу рассказать, как мы проводили интеграцию SAP с электронной торговой площадкой (ЭТП) и системой электронного документооборота (СЭД) для автоматизации ряда процессов по участию в закупка...
Критическая уязвимость в WordPress-плагинге Forminator угрожает 300 000 сайтов В плагине Forminator для WordPress, который суммарно установлен на 500 000 сайтов, обнаружена критическая уязвимость, позволяющая злоумышленникам осуществлять беспрепятственную загрузку файлов на сервер.
Вышла iOS 17.5 beta 2 для разработчиков. В ней можно скачивать приложения на Айфон прямо с сайтов Несмотря на то, что релиз iOS 18 на WWDC 2024 приближается семимильными шагами, инженеры Apple никуда не торопятся. Поэтому новые сборки для разработчиков выходят аж с двухнедельным перерывом. Так, сегодня, 16 апреля, вышла iOS 17.5 beta 2, в которой все внимание приковано ...
Umka обрастает мясом: улучшения в языке, менеджер пакетов, применение в играх Только что вышла новая версия 1.3 моего встраиваемого скриптового языка Umka со статической типизацией. С момента выпуска версии 1.0 язык пополнился замыканиями, инструкцией выбора switch по фактическому типу интерфейса, тернарным условным оператором, более удобным API для в...
Уязвимость Slam угрожает безопасности процессоров Intel, AMD и Arm Исследователи выявили новую уязвимость Slam, которая затрагивает процессоры Intel, AMD и Arm
Propensity score matching: как оценивать маркетинговые кампании, если невозможно провести A/B тесты Всем привет! Меня зовут Вячеслав Назаров, я лид аналитики промо в СберМаркете. В этой статье я расскажу, как оценивать маркетинговые кампании, если провести A/B- тесты нельзя. Еще обсудим логику в Propensity Score Matching (PSM), и то, какую пользу инструмент может принести ...
Появился эксплоит для критического бага Citrix Bleed Опубликован PoC-эксплоит для уязвимости Citrix Bleed (CVE-2023-4966), которая позволяет злоумышленникам перехватывать аутентификационные cookie сеансов с уязвимых устройств Citrix NetScaler ADC и NetScaler Gateway.
«Это не рядовая уязвимость», — россияне рассказали о возможности полного взлома iPhone Эксперты Глобального центра исследований и анализа угроз «Лаборатории Касперского» обнаружили в смартфонах Apple уязвимость, которая, как утверждают специалисты, позволяет злоумышленникам обходить аппаратную защиту памяти. Данная уязвимость использовалась зл...
ХабраЧеллендж или как мы запустили фабрику статей Уверены на все 100%, что каждый читатель Хабра в своей жизни сталкивался с непреодолимым чувством неизбежного, или, как его еще принято называть, сочинением по русскому языку или литературе. И вроде есть понятная и рабочая формула: «Главное ― начать, а дальше процесс пойдет...
Как PaaS решил проблемы стандартизации разработки сервиса одной утилитой Привет
Как мы определили веса алгоритмов ранжирования крупнейших маркетплейсов на открытых данных Привет, Хабр! Меня зовут Владислав Абрамов, я аналитик в команде разработки компании Easy Commerce. Перед нами стояла задача создать алгоритм, который определяет влияние характеристик карточки товара на поисковую позицию в крупнейших российских маркетплейсах. Большинство из ...
Опыт внедрения компонентной разработки Привет! Меня зовут Александр Омельяненко, я работаю тимлидом Flutter-команды в AGIMA. Расскажу, как и почему на одном из наших проектов мы внедрили компонентный подход к разработке и какие плоды нам это дало. В статье покажу основные плюсы и минусы нашего решения. А еще затр...
Хакеры атакуют свежую уязвимость в плагине WP Automatic Хакеры начали эксплуатировать критическую уязвимость в плагине WP Automatic для WordPress. Баг используется для создания новых пользователей с правами администратора и внедрения бэкдоров.
Pet-проекты. Советы себе начинающему Привет, Хабр! Меня зовут Андрей и я программист. Как и многие, в свободное время я занимаюсь разработкой своих Pet-проектов. Для себя я писал мобильные приложения, игры на Unreal Engine, пробовал обучить нейросеть генерировать квесты и многое другое. Большинство их них прино...
Исследователи Google нашли критические уязвимости в Chrome и всех системах Apple Группа Google Threat Analysis Group отслеживает хакеров национального уровня
Обзор K8s LAN Party — сборника задач по поиску уязвимостей в кластере Kubernetes прямо в браузере Я продолжаю тестировать инструменты, которые помогают научиться защищать кластеры Kubernetes. На этот раз взглянем на продукт от разработчиков из компании Wiz Research — Kubernetes LAN Party, челлендж по выполнению CTF-сценариев. Выход инструмента был приурочен к прошедшей в...
Как мы внедряли каталог данных DataHub и искали компромисс между BI, DWH и ИБ Счастлив тот аналитик, у которого в компании есть дата-каталог — единая точка входа для поиска информации о данных невероятно экономит время, data lineage выстроен, а уровень заполненности документации на высоком уровне. Чтобы это были не только мечты, наша команда анал...
Dedoc: как автоматически извлечь из текстового документа всё и даже немного больше Привет, Хабр! Мы команда разработчиков Института Системного Программирования РАН, занимаемся Computer Vision в обработке электронных документов. Мы разработали open-source библиотеку dedoc, которая помогает разработчикам и дата-сайентистам в пару строк кода читать разли...
DVC — прекрасный инструмент для DataScience Привет Хабр, меня зовут Дмитрий Несмеянов, я являюсь руководителем направления разработки ML-инфраструктуры "ЛОКО-банка". Сегодня я хочу рассказать про DVC: инструмент, который многие, незаслуженно, обходят стороной. Была хорошая статья от Райффайзен Банк, в этой статье я по...
[recovery mode] Как вести несколько проектов и не сойти с ума. Очередная статья про тайм-менеджмент Привет! Меня зовут София, я маркетолог проекта Fitil, в блоге которого публикую эту статью. Fitil — это сообщество для знакомств и общения. Мы стартап, а значит, задач очень много.Кроме Fitil я веду ещё два проекта как маркетолог: занимаюсь позиционированием, запусками ...
[Перевод] Использование фреймворков модульного тестирования для выявления уязвимостей Формулировка проблемы Поиск уязвимостей — сложный процесс, а еще сложнее пользоваться уязвимостями на нескольких целях в разных конфигурациях. Именно по этой причине существует множество фреймворков, таких как Metasploit, и различных сканеров уязвимостей, таких как nuclei....
QA под капотом. Тестируем и настраиваем 1С-Битрикс Привет, Хабр! Меня зовут Анастасия, я QA-специалист SimbirSoft и работаю на проектах с 1С-Битрикс. Не единожды я могла наблюдать, насколько эффективно бывает допустить QA-команду внутрь CMS, чтобы достичь бизнес-целей клиента. И на примере нескольких кейсов из разных проекто...
MEGANews. Самые важные события в мире инфосека за сентябрь В этом месяце: Free Download Manager для Linux содержал бэкдор, Китай обвинил США во взломе Huawei, Google критикуют из‑за уязвимости в библиотеке libwebp, сотрудник Microsoft случайно слил в сеть 38 Тбайт данных, историю Chrome будут использовать в рекламных целях, разработ...
[Перевод] Cовместное использование GitHub Actions, Docker и GitHub NPMvPackage В современном мире разработки программного обеспечения GitHub остается самой популярной платформой для хранения Git-репозиторий и управления ими. Помимо своей фундаментальной роли в управлении версиями, GitHub предлагает дополнительные функции, включая возможность размещения...
[Перевод] История разработки игры «Тетрис»: каким может быть подарок на Новый год или Рождество? От лица beeline cloud поздравляем всех читателей Хабра с Новым годом! Подготовили для вас статью про необычный подарок. Будем рады, если вы в комментариях поделитесь своими историями и расскажете, какие интересные технологичные презенты вам доводилось дарить или получать в к...
Как построить хороший Vision продукта, используя Lean Canvas? Многие продакт-менеджеры тонут в сотне документах, которые приходится постоянно обновлять. Картинка, создающая целостное понимание по продукту, теряется или тратится много времени на то, чтобы её собрать. Целевая аудитория, исследования — в одном месте, метрики — в друг...
Настоящие российские коммутаторы, ИИ-ускорители и новые видеокарты от NVIDIA: новинки в мире железа за март Если спросить у популярного GPT-бота, какое серверное железо появилось в марте 2024 года, — он расскажет о серверах на основе квантовых вычислений. А еще про сверхпроводящие интерференционные устройства и технологии ионных ловушек для хранения и обработки кубитов. Правда эт...
В Windows 11 появится функция Super Resolution на базе ИИ На прошлой неделе Microsoft выпустила новую инсайдерскую сборку Windows 11 под номером 26052 для каналов Dev и Canary, которая включает в себя несколько скрытых неанонсированных функций. Одним из таких нововведений является ИИ-функция «Super Resolution», знакомая владельцам...
Как аналитики данных и специалисты по Data Science находят работу после курсов: опыт Практикума Привет, Хабр! Меня зовут Ольга Матушевич, я наставница на курсе «Аналитик данных» в Яндекс Практикуме. Большая часть наших студентов в качестве цели обучения указывает успешное трудоустройство в новой профессии. Поэтому мы внимательно отслеживаем, у кого из выпускников получ...
Уязвимость менеджеров паролей приводит к массовой утечке данных. Имейте ввиду Менеджеры паролей играют важную роль в упрощении нашей работы в Интернете. Они позволяют надежно хранить множество учетных записей и соответствующих им ключей доступа, а также автоматически заполнять их при входе в новый сервис. Несмотря на меры безопасности, принятые Googl...
Китайские хакеры два года эксплуатировали 0-day в VMware vCenter Server Специалисты Mandiant обнаружили, что китайская хак-группа использовала критическую уязвимость в VMware vCenter Server (CVE-2023-34048) в качестве 0-day как минимум с конца 2021 года.
Apple исправила первую уязвимость нулевого дня в этом году Компания Apple выпустила патчи для первой в этом году 0-day уязвимости, которую хакеры уже использовали в атаках. Проблема затрагивает iPhone, Mac и Apple TV.
Абсолютно все компьютеры Mac на основе Apple Silicon имеют серьёзную уязвимость GoFetch, которую невозможно исправить на уровне кремния Уязвимости находят не только в процессорах AMD или Intel. Свежая уязвимость под названием GoFetch была найдена в однокристальных системах Apple M для её компьютеров Mac. Уязвимость позволяет злоумышленникам украсть криптографическую информацию из кеш-памяти CPU, ...
У iPhone 15 Pro ломается NFC-чип из-за автомобилей BMW Владельцы смартфонов iPhone 15 Pro и 15 Pro Max столкнулись с проблемой, которая многих сильно огорчит — беспроводная зарядка может повреждать модуль NFC. После длительных исследований и тестов специалисты нашли возможную причину — проблемы с модулем начались после использов...
Хуже дуршлага: в более 30 Windows-драйверов нашли уязвимости В мире цифровой безопасности обнаружена тревожная новость: эксперты VMware Carbon Black выявили уязвимости в 34 драйверах Windows, которые могут предоставить злоумышленникам полный контроль над системой.
Обнаружена уязвимость в Android TV, которая позволяет получить доступ к Gmail и Drive Google работает над исправлением критической ошибки на своей платформе Android TV, из-за которой пользователи могут лишиться своей учетной записи Gmail.
5 способов писать эффективный код на Go: от названий переменных до архитектуры Если вы задумывались, какие практики использовать, чтобы писать код на Go быстро и качественно, этот материал для вас. Руководитель группы разработки подсистем Геннадий Ковалев и эксперт по разработке ПО Даниил Подольский обсуждают пять способов повысить эффективность разраб...
Разработчики Telegram исправили уязвимость с вредоносными видео В Telegram исправили уязвимость, которая запускала вредоносное ПО без ведома пользователя
Выращенный на МКС салат-латук оказался опасным для здоровья Ученые из Университета Делавэра сообщили об опасности салата-латука, который выращивают на Международной космической станции (МКС). Последние исследования показывают, что в условиях невесомости у растений возрастает уязвимость к патогенным бактериям, а именно — сальмонелле.
Айтишникам нельзя не быть креативными, и я сейчас это докажу Всем привет. Меня зовут Антон, я Scrum-мастер IT-отдела компании AppEvent и по-совместительству front-end разработчик. В моей первой статье на Хабр хочу рассказать вам, почему же айтишнику нужно быть креативным и как этот навык вообще можно проявить. Ведь зачастую он являетс...
Какие ML-платформы нужны бизнесу, и кто их может сделать Привет, Хабр! Меня зовут Виктор Кантор, я директор Big Data МТС. Около 14 лет я работаю с технологиями, связанными с Machine Learning, Big Data, Data Science. Но есть одна проблема, с которой я постоянно сталкиваюсь. Например, поставлена задача, которую нужно решить при помо...
Масштабная брешь в системе безопасности: тысячи роутеров и камер оказались уязвимы для хакеров Волна киберпреступников использует не одну, а две ранее неизвестные уязвимости нулевого дня, активно превращая маршрутизаторы и видеорегистраторы во вредоносную бот-сеть. Исследователи компании Akamai обнаружили эти угрозы, подвергающие устройства удаленному выполнению кода ...
«Яндекс Путешествия» покажут билеты со скидками: подсказки могут сэкономить несколько тысяч рублей Команда Яндекса объявила о запуске новой удобной функции в «Яндекс Путешествиях». Сервис научился подсказывать, какие скидки доступны пользователю при покупке железнодорожных билетов. Например, в каких поездах есть более дешёвые билеты и условия их покупки, ...
Разработчики Zengo Wallet предложили хакерам взломать кошелек с 10 BTC Хакеры, использующие фрагмент кода для получения доступа к закрытым ключам Ethereum-адресов, за шесть месяцев украли криптовалюту на $60 млн. Об этом предупредил ончейн-сыщик ScamSniffer. В Zengo утверждают, что их кошелек «не содержит уязвимости сид-фразы» и не сохраняет фа...
Обзор библиотеки Stan в R Приветствую! Stan - это библиотека на C++, предназначенная для байесовского моделирования и вывода. Она использует сэмплер NUTS, чтобы создавать апостериорные симуляции модели, основываясь на заданных пользователем моделях и данных. Так же Stan может использовать алгоритм о...
Как я заглянул внутрь фильтров «БАРЬЕР Компакт ОСМО 100 М» и выяснил, что делает воду чистой и вкусной Здравствуйте, уважаемые читатели Хабра. Меня зовут Олег (@Interfer), я проджект в крупной российской ИТ-компании. А еще я муж и отец замечательной девочки, которой недавно исполнилось пять лет. Уже много лет моя семья для питья использует только бутилированную воду, а д...
Восхождение Monjaro. Geely Monjaro уже в топ-3 самых поуплярных кроссоверов и внедорожников в России Появился рейтинг самых популярных кроссоверов и внедорожников в России в марте 2024 года. И тут есть одно важное новшество: недешевый Geely Monjaro пробился в топ-3! Раньше в топ-3 стабильно входили Lada Travel и Lada Legend, но сейчас Monjaro сместил «легендарную...
Отчёт о работе информационной службы Хабра за 2023 год Добрый вечер, Хабр! Вот и подходит к концу 2023 год. За последние 12 месяцев в мире случилось большое количество технических инфоповодов и IT-событий, обновлений ПО, появление новых технологий, произошло развитие электроники и полноценный приход ИИ-сервисов в нашу жизнь, вкл...
Найдена новая уязвимость в графических процессорах нескольких крупных компаний Используя данную лазейку, злоумышленники могут получить доступ к конфиденциальным данным
Учимся создавать простых ботов или туториал по библиотеке TeleBot Начнем с того, что библиотек для разработки телегам-ботов на Python несколько, я упомяну основные три. В первой части статьи будет небольшой обзор этих библиотек (примеры кода тут будут для красоты, не пугайтесь, ниже будет пошаговый Гайд по одной конкретной библиотеке), по...
Какой должен быть уровень технической грамотности у менеджера проектов? Всем привет. Меня зовут Марина Заботина, работаю аккаунт-директором в диджитал-агентстве. У нас в штате 320 человек. Хочу поднять вроде бы простую, но холиварную тему о том, какой уровень технической грамотности должен быть у менеджера проектов (ПМ).Когда я сама только начин...
Выбираем инструмент проектирования интерфейсов для аналитика Всем привет! Меня зовут Бургомистренко Кристина и я — системный аналитик в компании заказной разработки Rubius. В этой статье я рассказываю про свой опыт проектирования и сравниваю несколько популярных инструментов для создания вайрфреймов, которые м...
Transition Animation: настраиваем анимацию переходов во Flutter Привет! Меня зовут Айдар Мавлетбаев, я Flutter-разработчик в AGIMA. Современное приложение почти невозможно представить без анимации. И один из ее типов — Transition Animation, или анимация переходов. Ее используют, чтобы переход с одной страницы на другую был плавным и крас...
Steam получил важный апдейт с семейным доступом Семейное совместное использование библиотеки игр в Steam появилось уже очень давно — пользователи могли делиться контентом, но при этом сервис был существенно ограничен в плане функций, что нравилось далеко не всем. Например, данная функция позволяет вам делиться своей библи...
Техническое собеседование инженеров мобильной разработки в RuStore Привет Хабр, меня зовут Вячеслав Таранников, я старший Android-разработчик в команде монетизации RuStore, и сегодня хочу поделиться взглядом, из каких ингредиентов можно собрать полезное и эффективное техническое интервью. Читать далее
INP: что это и зачем с этим работать С 12 марта 2024 года показатель FID (First Input Delay) из семейства Core Web Vitals заменён новой метрикой — INP (Interaction to Next Paint), которая отражает скорость отклика сайтов. Необходимость такой замены, среди прочего, подтверждают данные об использов...
Почему следует обновить Winrar прямо сейчас Хакеры уже несколько месяцев эксплуатируют уязвимость в Winrar. Обновление может закрыть брешь в безопасности, но многие пользователи этого не сделали и все еще уязвимы.
JetBrains исправила сразу 26 уязвимостей в TeamCity Пользователям JetBrains TeamCity настоятельно рекомендуется установить последнее обновление, так как разработчики сообщают, что устранили в CI/CD-решении сразу 26 уязвимостей. Стоит отметить, что никакие данные о проблемах не раскрываются, и ранее специалисты Rapid7 уже крит...
Проект Альфа-Бизнес Mobile Web (веб-приложение), или Что делать если AppStore — всё? Начиная с ведения санкций в 2022 вниманием не обошел и банковский сектор. Сказалось это и на возможности вести разработку и обновлять банковские приложения в Google Play и AppStore. Если ограничение Google Play можно обойти через множество альтернативных сторов или, на худой...
Apache Flink: динамическое определение выходного топика в Kafka Всем привет, меня зовут Александр Бобряков. Я техлид в команде МТС Аналитики, занимаюсь Real-Time обработкой данных. Мы начали использовать фреймворк Apache Flink, и я решил поделиться на Хабре своим опытом внедрения этой технологии в цикле статей.В предыдущей статье — «Apac...
Книга «Дизайн для разработчиков» Привет, Хаброжители! Дизайнерские решения, принимаемые разработчиками, оказывают существенное влияние на восприятие сайта пользователями. Освоив язык дизайна, вы сможете принимать полноценное участие в создании оформления, сотрудничать с коллегами-дизайнерами и обосновыват...
Оценка удовлетворенности сотрудников Измерение удовлетворенности сотрудников не просто позволяет компаниям "прочувствовать пульс" своего коллектива, но и выступает в качестве раннего индикатора потенциальных проблем внутри организации, будь то управленческие недоработки, неэффективная коммуникация или недостатк...
Зачем нужен индивидуальный план развития? Привет, Хабр! Меня зовут Ольга Николаева, я ведущий менеджер по персоналу в группе «Рексофт». Сегодня я расскажу про индивидуальный план развития (ИПР): как использовать этот инструмент, для чего он нужен, и как его создать так, чтобы он принес реальные результаты. Также мы ...
Впихнуть невпихуемое, или Как мы боролись с сервисами, которые слишком много «ели» Всем привет! Меня зовут Максим, я релиз-инженер Ozon, и в этой статье я расскажу про впихивание невпихуемого, или про оптимальную с точки зрения используемых ресурсов стратегию деплоя в Kubernetes, которая позволила нам сэкономить тысячи ядер CPU и терабайты RAM. Читать дале...
Как мы ускорили Golang-тесты на CI Привет, Хабр
Внедрение процесса тестирования Google Tag Manager: увлекательная история Даши-путешественницы Март принес с собой проблему: у некоторых клиентов начали подвисать страницы, на которых монолитный js был разделен на чанки. На таких страницах в основном бандле содержится минимум для отрисовки первого экрана, а остальные чанки мы загружаем отложено. Однако из-за неправиль...
Open Research Knowledge Graph: новый подход к научной коммуникации На сегодняшний день для представления и обмена результатами исследований мы используем методы, которые были разработаны много веков назад. С момента зарождения современной науки (публикации первого научного журнала "Transactions of the Royal Philosophical Society", 1665 г.) ...
Как создавать аттестованные системы — на примере инфраструктуры Selectel Ежегодно российские компании создают десятки тысяч информационных систем на базе инфраструктуры провайдеров. Облачные технологии активно развиваются в разных отраслях. В том числе, их используют для обработки персональных данных и других задач, подпадающих под требования ФС...
Как взломать банк? (или разбор Payment Village на StandOff 11) Егор Филатов, младший аналитик отдела анализа защищенности Angara Security, подготовил разбор двух недопустимых событий в банковской сфере, которые могли бы нанести серьезный урон бизнесу... Но на практике это моделирование кибератаки через мобильное приложение, которое полу...
Всё под контролем! История игровых устройств ввода: от привычных до самых странных Привет, Хабр! Меня зовут Сергей Милосердов, и я работаю системным аналитиком Nau Engine. Как часть команды часть корабля продукта, предметно я очень глубоко погружен в игровую индустрию и ее историю. До того, как я присоединился к разработке движка, у меня был большой опыт р...
MLOps в билайн: как катить машинное обучение в production без ML-инженеров. Часть I Всем привет! Меня зовут Николай Безносов, я отвечаю за применение и развитие машинного обучения и продвинутой аналитики в билайне. В одной из прошлых статей мои коллеги рассказывали о месте Seldon в ML-инфраструктуре компании, а сегодня мы поднимемся на уровень выше и погово...
Разговор с руководителем платформы BI.ZONE Bug Bounty Андреем Лёвкиным о результатах работы его платформы за год Продолжаем выкладывать материалы с OFFZONE 2023. На этот раз я решил чуть подробнее расспросить про BI.ZONE Bug Bounty её руководителя Андрея Лёвкина. У нас был материал по этой платформе, но в формате новости. Однако подробного расска...
[Перевод] 6. Nix в пилюлях: Наша первая деривация Медленно, но верно мы добрались до шестой пилюли, посвящённой пакетному менеджеру и чистому функциональному языку Nix.Попробуем создать нашу первую деривацию. Читать далее
Наноматериалы и нанотехнологии. Часть III В предлагаемой статье речь пойдет об электронной микроскопии. Рассматриваются различные типы электронных микроскопов (ЭМ), включая просвечивающие и зондирующие микроскопы с высоким разрешением, рентгеновская микроскопия и анализ, новейшие методы получения изоб...
InfiniBand в Windows — это просто К написанию этой небольшой инструкции меня привела статья на Хабре - Быстрая сеть в домашней лаборатории или как я связался с InfiniBand . Я был очень заинтригован данным вопросом, но каково было моё удивление, когда я не мог найти почти никакой информации по InfiniBand на W...
Распределённые системы на службе ФССП России. Часть 2. Суперсервис «Цифровое исполнительное производство» Привет, Хабр! Меня зовут Дима. Я работаю в отделе разработки систем межведомственного взаимодействия РЕД СОФТ. Представляю вам вторую статью про импортозамещение в АИС ФССП России, в которой я расскажу о проектировании сложных территориально распределённых информационных сис...
Детектирование атак на контейнеры с помощью eBPF Привет, Хабр!Меня зовут Илья Зимин, я аналитик-исследователь угроз в компании R-Vision. Сегодня в статье я расскажу о возможностях обнаружения атак на контейнеризированные приложения с помощью такого инструмента, как eBPF, на примере приемов, связанных с побегом из Docker-ко...
Малоизвестные детали реализации Math.Round() в .Net Недавно довелось разбирать багрепорт одного клиента на нашу программу, где клиент указал на ошибку в отчете в одну копейку.Казалось бы, сложно себе представить программиста или вообще IT-шника, который не знает как работает функция округления. Тем не менее, почти двадцатилет...
Подключаем модуль TM1638 к Arduino без библиотеки SPI Изначально поставка задачи была такой. У меня была в наличии плата TM1638. Нужно было научиться с ней работать (ну и проверить работоспособность самой платы) для того, чтобы использовать её в одном интересном проекте (о нём в другой раз). Под рукой оказалась платка Arduino N...
[Перевод] Получаем JTAG на iPhone 15 Месяц назад Apple выпустила iPhone 15 — свой первый смартфон с разъёмом USB-C. Предыдущие полтора года я занимался аппаратным хакингом iPhone, например, мы выпустили опенсорсный последовательный JTAG-адаптер для iPhone под названием Tamarin Cable. Компания Apple наконец-то ...
Как отключить заплатки в процессорах Intel и увеличить производительность на 40% Энтузиасты выяснили, как можно отключить большую часть заплаток, закрывающих уязвимости Downfall, Zombieload V2, Spectre и Meltdown, вернув процессорам изначальную производительность.
Как не заскучать в 1С-разработке Многие считают 1С особым замкнутым миром. А методы работы в нем — неприменимыми в «нормальном» программировании. Это давно не так. Конечно, у каждого решения есть свои плюсы и минусы. Но я уверен: если вы не любите 1С, то вы просто не умеете его готовить. Меня зовут Вла...
Подход, который помог нам точно оценить трудозатраты на разработку дизайн-системы При планировании проекта команде дизайна приходится отвечать на много вопросов. Главные — что делать, как долго и сколько это будет стоить. Ответы есть не всегда и точно не у дизайнеров, которые занимаются отдельными задачами и не видят картину в целом. Меня зовут Александр...
[Перевод] Учимся использовать модуль Ansible Shell для выполнения удалённых команд Мы перевели статью, где подробно рассматривается использование модуля Ansible Shell и различные способы выполнения удалённых команд на узлах в рамках работы по автоматизации. В статье рассматриваются различные опции и модули для выполнения удалённых команд, а также их различ...
Как тестировщику уйти из корпорации в стартап и не сойти с ума Меня зовут Лена и я QA Engineer в Brickit, приложении для сканирования кубиков Lego. До этого мне довелось поработать в крупном зеленом банке. В этой статье я расскажу об отличиях корпорации и стартапа в разрезе процессов тестирования и разработки, а также дам несколько прак...
Два сапога — пара, а три — уже community: как алгоритмы на графах помогают собирать группы товаров Привет, Хабр! Меня зовут Иван Антипов, я занимаюсь ML в команде матчинга Ozon. Наша команда разрабатывает алгоритмы поиска одинаковых товаров на сайте. Это позволяет покупателям находить более выгодные предложения, экономя время и деньги.В этой статье мы обсудим кластеризаци...
Google исправила уязвимость в Chrome В последнем обновлении Google Chrome была исправлена серьезная уязвимость, позволяющая выполнение кода на компьютерах пользователей. Пользователям рекомендуется немедленно обновить браузер.
Материалы для подготовки к собеседованию на позицию Data Scientist. Часть 3: Специализированное машинное обучение Привет! Меня зовут Артем. Я работаю Data Scientist'ом в компании МегаФон (платформа для безопасной монетизации данных OneFactor). В предыдущей статье я поделился материалами для подготовки к этапу по классическому машинному обучению.В этой статье рассмотрим ма...
Пишем Ansible-модули для управления разными системами хранения данных через Swordfish Большинство современных систем хранения данных (СХД) предоставляют REST API для управления ими, включая настройку, конфигурирование, выполнение различных команд, получение логов, работу с пользователями и т.д. В зависимости от производителя СХД REST API могут отличаться друг...
Заметки для новичка: Как провести первую ретроспективу и не облажаться? Ретроспектива, как погружение в прошлое, но без машины времени. Представьте себе, вы смотрите назад, чтобы понять, какие кочки на дороге были, а какие пряники вовсе не были сладкими.Ретроспектива – мероприятие не самое легкое в его организации и тем более введении. Не каждый...
Мифический человеко-DevOps Привет! Меня зовут Эмин, я тех-лид платформенных команд в Профи. В этой статье поделюсь мнением о том, что такое хороший DevOps и какими качествами должен обладать DevOps-инженер. Читать далее
Когда переключаются потоки в Spring WebFlux Работа с библиотекой WebFlux вызывает затруднения у многих Java/Kotlin разработчиковКод выглядит непривычно, непонятно в каких потоках выполняется логика и как этим управлятьСегодня я попытаюсь объяснить простым языком такой важный аспект, как момент переключения потоков в W...
Apple предупреждает в 92 странах о попытках взлома iPhone Apple выявила массированную кибератаку на владельцев iPhone по всему миру. Хакеры используют уязвимости в iOS, чтобы заражать устройства вредоносными программами.
Как написать ТЗ на разработку чат-бота или AI-ассистента Привет, Хабр! Меня зовут Элина Тедеева, и я тимлид команды внедрения в команде Just AI. В идеальном мире разработка бота или голосового ассистента начинается с технического задания — именно оно должно определять все этапы: от идеи до реализации. О том, почему...
Исследование безопасности десктопных приложений на основе Electron Electron — фреймворк с открытым исходном кодом для создания кросс-платформенных десктопных приложений с помощью JavaScript, HTML и CSS. Это крутая технология, но с ней связаны многие ИБ-риски. В статье я разберу основы безопасной работы с этим фреймворком и расскажу: как а...
Padding Oracle Attack на Wallet.dat расшифровка пароля для популярного кошелька Bitcoin Core В этой статье мы воспользуемся классификацией распространенных шаблонов атак из ресурса кибербезопасности [CAPEC™]. В первые об “Padding Oracle Attack” на Wallet.dat заговорили в далеком 2012 году (на платформе по управления уязвимостями и анали...
Honda CBR 600RR и Suzuki GSX-R 600 — мотоциклы, которыми россияне интересуются больше всего. «Автотека» назвала самые популярные мотоциклы в России в 2024 году Самыми популярными мотоциклами в России являются Yamaha YZF-R6, Honda CBR 600RR и Suzuki GSX-R 600 — на них приходится большая часть поисковых запросов, согласно исследованию «Автотеки», на которое ссылается Motor. Ru. Аналитики отмечают, что март спро...
Ozon Tech Community 1C Meetup Как сделать жизнь 1С разработчика проще? У нас есть ответ.Всем привет, меня зовут Евгений, я руководитель группы разработки финансовых систем 1С. Приглашаю вас на Ozon Tech Community 1C Meetup, 10 октября в Санкт-Петербурге.На встрече обсудим целую палитру тем: от подходов п...
Борьба с энтропией в e-com. Как поддерживать актуальными данные о товарах в вечно меняющемся мире Всё течёт, всё изменяется. Особенно информация — она очень быстро устаревает. В e-com неактуальные данные о товарах могут сильно подпортить клиентский опыт. Если удовлетворенность пользователей — важный фокус вашей работы, мне есть чем поделиться :)Всем привет! Я Г...
Потрошим golang: как устроена память Привет, меня зовут Стас, и я работаю в VK Cloud над разработкой облачных сервисов в команде Data Masters. Сервисы, запрошенные клиентами, так или иначе должны развернуться в том виде, в котором клиенты их запросили, в адекватные сроки и без ошибок. Существует множество мех...
FineBI: Обработка данных для начинающих пользователей Хабр, привет!На связи команда Business Intelligence GlowByte. Да-да, те самые неугомонные, которые создали самое крупное русскоязычное сообщество FineBI, проводят обучения, собирают дайджесты и ежегодно организуют масштабные конференции. Меня зовут Александр, я руководи...
Опечатки, нулевые указатели и коварный таб: 33 фрагмента в библиотеке GTK GTK – популярный фреймворк с открытым исходным кодом для создания графических интерфейсов, который интересно проверять с помощью анализатора PVS-Studio. Тем более, что предыдущую проверку мы делали около 3 лет назад, а значит, наверняка найдём в нём новые ошибки. Очень не х...
Обзор актуальных инструментов шифрования в Android Привет, Хабр! Меня зовут Артур Илькаев, я работаю в департаменте экосистемных продуктов, мы разрабатываем VK ID SDK и все что связано с авторизацией и сессиями, в частности — мультиаккаунт.Секретные данные требуют особого внимания при хранении и передаче. Инструмен...
[Перевод] Базовая гигиена серверов Linux (часть 1) Всем привет! Для того, чтобы усилить безопасность серверов Linux привожу ниже советы, основой которых является публикация 40 Linux Server Hardening Security Tips [2023 edition] Вивека Гите. В приведенных инструкциях предполагается использование дистрибутив Linux на базе Ubun...
Личный опыт: тестовое для поиска на позицию Junior Product Manager Меня зовут Герман, я руководитель продуктового направления лояльности в компании CSI. Недавно мы решили расширить продуктовую команду и мне нужно было разработать тестовое задание для отбора подходящих кандидатов на позицию Junior Product Manager. Я делал это впервые и с нул...
Чтобы запустить обмен знаниями в командах, надо всего лишь… Привет, Хабр! Меня зовут Лера Чеканова, я руководитель CROC Univer. Расскажу, о том, как у нас в КРОК устроен обмен знаниями и опытом. Поделюсь, зачем нужен этот процесс, как его внедрить быстро, несложно и в разных форматах. В КРОК я руковожу корпоративным университетом и о...
Как начать читать научные исследования по дизайну и зачем они нужны Ученые, которые проводят исследования в области маркетинга, дизайна и взаимодействия человека с диджитал продуктами, живут в очень отдельной информационной реальности. Дизайнеры и продакт-менеджеры на своих конференциях обсуждают совсем другие кейсы и проблемы по сравнению с...
Причины компьютерных сбоев, о которых вы даже не думали Привет-привет! С вами снова Оля — программист Учебного центра компании «Тензор»... и радиофизик. До этого я рассказывала вам о рабочих кейсах, а сегодня поведаю о программистско-астрофизическом эксперименте.Бывало ли на вашем пользовательском веку такое, что компьютер внезап...