Hunt Or Be Hunted

Я исследую веб‑безопасность и делюсь практическими разбориками уязвимостей: от CSRF и XXE до Server‑Side XSS, race conditions и обходов CSP. Пишу чек‑листы атак и защиты, редкие кейсы из практики и мысли о мышлении пентестера. Только прикладной AppSec, понятные примеры и то, что реально встречается в проде. Учимся охотиться, пока на нас не охотятся.

41 публикаций•@hun7_0r_b3_hun73d

Открыть в Telegram

10 мар. 2026 г.·appsec

Подборка AppSec-датасетов

Сборник датасетов для AppSec: FormAI-v2, SecVulEval, CASTLE, VADER, OWASP Benchmark, CVE-Bench, XBOW, VulZoo — краткие описания и ссылки.

Читать публикацию

3 мар. 2026 г.·csp

Контент твоего веб-приложения в опасности!

Разбор обходов Content Security Policy: unsafe-inline, data:, предсказуемый nonce, form-action и примеры на сервисах аналитики (Yandex/Google).

Читать публикацию

Контент твоего веб-приложения в опасности!

4 февр. 2026 г.·server-side xss

Server-Side XSS

Разбор Server‑Side XSS: природа уязвимости, где встречается (pdf‑генераторы), возможный импакт — SSRF, LFR, RCE и рекомендации по защите.

Читать публикацию

27 янв. 2026 г.·bdu

Список уязвимостей BDU с CVSS (2025-08276–08281)

Перечень шести уязвимостей из базы FSTEC (BDU) с CVSS: от Self XSS до неавторизованного RCE; PoC отсутствуют.

Читать публикацию

18 янв. 2026 г.·iot

Исследование IoT Edge: итоги

Краткая сводка итогов исследования IoT Edge: диплом Иннополиса, грант, публикация в журнале, выступления, CVE и подкаст — обзор достижений автора.

Читать публикацию

12 янв. 2026 г.·пентест

Интересное в пентесте за прошедшие каникулы

Короткая подборка материалов за праздники: номинации Portswigger, доклад FR13NDS TEAM про AI в пентесте и пост Слонсера о загрязнении данных в AI‑агентах.

Читать публикацию

1 дек. 2025 г.·червь морриса

От червя Морриса до наших дней

Краткая история Международного дня защиты информации: от червя Морриса 1988 года до появления /etc/shadow, защиты от брутфорса и первых CERT.

Читать публикацию

17 нояб. 2025 г.·owasp

Кандидаты OWASP Top 10 2025

Краткий обзор предварительного списка OWASP Top 10 2025: смещения позиций, объединения и новая категория Mishandling of Exceptional Conditions.

Читать публикацию

22 окт. 2025 г.·nosql

NoSQL Injection (NoSQLi)

NoSQL injection (NoSQLi): что это, отличия от SQL, примеры инъекций и базовые методы защиты для NoSQL‑СУБД.

Читать публикацию

8 окт. 2025 г.·преподавание

Преподавание в ИБ (Часть 2)

Размышления о позитивных сторонах преподавания в области информационной безопасности: структурирование знаний, менторство, влияние ИИ и студенческая мотивация.

Читать публикацию

2 окт. 2025 г.·преподавание

Преподавание в ИБ (Часть 1)

Размышления лектора по ИБ о том, как становятся преподавателями, мотивациях и краткий дайджест достижений: Иннополис, РАН, собственный курс.

Читать публикацию

25 авг. 2025 г.·offzone

Впечатления OffZone 2025

Личные впечатления от OffZone 2025: доклад, стенды, афтепати и мерч — автор делится наблюдениями и выводами об организации и экспириенсе.

Читать публикацию

Страница 1 из 4Вперед →