·nosql
NoSQL Injection (NoSQLi)
NoSQL injection (NoSQLi): что это, отличия от SQL, примеры инъекций и базовые методы защиты для NoSQL‑СУБД.
Читать публикацию
Hunt Or Be Hunted
Я разбираю реальные веб‑уязвимости и показываю, как их искать, эксплуатировать в безопасной среде и закрывать в проде. Без воды: чек‑листы атак, редкие кейсы, ошибки разработчиков и практики защиты от CSRF, XXE, Prototype Pollution, десериализации, race conditions, XSS и не только. Если вы пишете веб или проверяете его на прочность — вам сюда.
·преподавание
Преподавание в ИБ (Часть 2)
Размышления о позитивных сторонах преподавания в области информационной безопасности: структурирование знаний, менторство, влияние ИИ и студенческая мотивация.
Читать публикацию
·преподавание
Преподавание в ИБ (Часть 1)
Размышления лектора по ИБ о том, как становятся преподавателями, мотивациях и краткий дайджест достижений: Иннополис, РАН, собственный курс.
Читать публикацию
·offzone
Впечатления OffZone 2025
Личные впечатления от OffZone 2025: доклад, стенды, афтепати и мерч — автор делится наблюдениями и выводами об организации и экспириенсе.
Читать публикацию
·http/1.1
HTTP/1.1 Must Die — итоги исследования
Разбор исследования Portswigger о проблемах HTTP/1.1 и технике request smuggling 0.CL; основные выводы и ссылка на лабораторию.
Читать публикацию
·web cache deception
Web Cache Deception
Разбор уязвимости Web Cache Deception: принцип, пример полезной нагрузки, влияние и меры защиты. Упоминание Portswigger и Black Hat.
Читать публикацию
·oswe
OSWE Побежден
Короткий опыт сдачи OSWE: о сложности экзамена, требованиях к навыкам и рассуждение, почему эту сертификацию не стоит делать первой.
Читать публикацию
·аутентификация
Auth Attacks — часть 3: другие механизмы аутентификации
Третья часть цикла про векторы атак на аутентификацию: session fixation, кастомные куки, сброс пароля, CAPTCHAs, JWT/OAuth и редкие эксплойты.
Читать публикацию
·веб-пентест
Эволюция мышления веб‑пентестера
Рефлексия о четырёх этапах развития мышления веб‑пентестера: от «переиграть сканер» до открытия новых техник (например, HTTP Request Smuggling).
Читать публикацию
·mfa
Auth Attacks Part 2: Multi-Factor Authentication
Вторая часть про атаки на MFA: предсказуемые OTP, полный обход, подмена аккаунта, брутфорс и флуд; рекомендации (напр. Google Authenticator).
Читать публикацию
·cybersecurity
90 Days to CyberSecurity
Разбор 90‑дневного плана по инфобезу (репозиторий на GitHub) с предложениями: сократить время на Git, добавить криптографию, заменить облачную секцию на докеры/куберы.
Читать публикацию
·аутентификация
Атаки на авторизацию. Часть 1: Вход по паролю
Чеклист атак на формы логин‑пароль: брутфорс, credential stuffing, username enumeration, особенности вроде GraphQL и обходы CAPTCHA.
Читать публикацию
