·prototype pollution
Prototype Pollution
Краткое объяснение уязвимости Prototype Pollution в JavaScript: механика, последствия и рекомендации по защите; ссылка на PortSwigger.
Читать публикацию
Hunt Or Be Hunted
Я разбираю реальные веб‑уязвимости и показываю, как их искать, эксплуатировать в безопасной среде и закрывать в проде. Без воды: чек‑листы атак, редкие кейсы, ошибки разработчиков и практики защиты от CSRF, XXE, Prototype Pollution, десериализации, race conditions, XSS и не только. Если вы пишете веб или проверяете его на прочность — вам сюда.
·bugbounty
Попробовал, значит, я этот ваш багбаунти...
Трёхдневный личный отчёт о BugBounty: +160к ₽, принятые репорты, впечатления от вендоров и влияние ИИ‑агентов (упомянута платформа Bizon).
Читать публикацию
·zdi-can-30207
Анализ 0day в Telegram (ZDI-CAN-30207)
Краткий разбор 0day ZDI-CAN-30207: изменения CVSS, суть уязвимости в тг-стикерах и комментарий Telegram о невозможности массовой эксплуатации.
Читать публикацию
·десериализация
Insecure Deserialization — небезопасная десериализация
Разбор Insecure Deserialization: причины, пример (unserialize($_COOKIE['session'])), векторы эксплуатации и способы защиты.
Читать публикацию
·appsec
Подборка AppSec-датасетов
Сборник датасетов для AppSec: FormAI-v2, SecVulEval, CASTLE, VADER, OWASP Benchmark, CVE-Bench, XBOW, VulZoo — краткие описания и ссылки.
Читать публикацию
·csp
Контент твоего веб-приложения в опасности!
Разбор обходов Content Security Policy: unsafe-inline, data:, предсказуемый nonce, form-action и примеры на сервисах аналитики (Yandex/Google).
Читать публикацию
·server-side xss
Server-Side XSS
Разбор Server‑Side XSS: природа уязвимости, где встречается (pdf‑генераторы), возможный импакт — SSRF, LFR, RCE и рекомендации по защите.
Читать публикацию
·bdu
Список уязвимостей BDU с CVSS (2025-08276–08281)
Перечень шести уязвимостей из базы FSTEC (BDU) с CVSS: от Self XSS до неавторизованного RCE; PoC отсутствуют.
Читать публикацию
·iot
Исследование IoT Edge: итоги
Краткая сводка итогов исследования IoT Edge: диплом Иннополиса, грант, публикация в журнале, выступления, CVE и подкаст — обзор достижений автора.
Читать публикацию
·пентест
Интересное в пентесте за прошедшие каникулы
Короткая подборка материалов за праздники: номинации Portswigger, доклад FR13NDS TEAM про AI в пентесте и пост Слонсера о загрязнении данных в AI‑агентах.
Читать публикацию
·червь морриса
От червя Морриса до наших дней
Краткая история Международного дня защиты информации: от червя Морриса 1988 года до появления /etc/shadow, защиты от брутфорса и первых CERT.
Читать публикацию
·owasp
Кандидаты OWASP Top 10 2025
Краткий обзор предварительного списка OWASP Top 10 2025: смещения позиций, объединения и новая категория Mishandling of Exceptional Conditions.
Читать публикацию
Страница 1 из 4Вперед →