·php
PHP Type Juggling — особенности сравнения
Разбор PHP type juggling: магические хеши, поведение == и ===, риск обхода контроля доступа; рекомендации: ===, hash_equals(), password_verify().
Читать публикацию
Hunt Or Be Hunted
Я исследую веб‑безопасность и делюсь практическими разбориками уязвимостей: от CSRF и XXE до Server‑Side XSS, race conditions и обходов CSP. Пишу чек‑листы атак и защиты, редкие кейсы из практики и мысли о мышлении пентестера. Только прикладной AppSec, понятные примеры и то, что реально встречается в проде. Учимся охотиться, пока на нас не охотятся.
·bscp
BSCP побежден!
Отчет о сдаче BSCP (Burp Suite Certified Practitioner): успешная попытка с первой попытки, прокторинг, проблемы с эксплоитами и нюансы оплаты.
Читать публикацию
·path traversal
Path Traversal (Directory Traversal, LFR) — чтение файлов
Краткое объяснение уязвимости Path Traversal / LFR: влияние (чтение файлов), отличия от LFI/RFI, пример payload и базовая защита.
Читать публикацию
·http2
HTTP Downgrade и Request Headers в Burp Suite
Короткое объяснение, почему Burp Suite показывает Request Headers похожими на HTTP/1 и как это связано с HTTP Downgrade и псевдо‑заголовками HTTP/2.
Читать публикацию
·xxe
XML External Entity (XXE) injection
Краткое объяснение XXE: виды (видимые, слепые, экзотические), пример полезной нагрузки, влияние (SSRF/LFI/RCE) и базовые способы защиты.
Читать публикацию
·ctfzone
Райтап по таскам CTFZone Quals 2024
Райтап по двум web‑таскам, написанным мной для CTFZone Quals 2024; средняя сложность, разбор доступен по ссылке, в посте — скриншот задания.
Читать публикацию
·offzone
Впечатления OffZone 2024
Короткие личные впечатления от инфобезного фестиваля OffZone 2024: стенды, CTF, локпикинг, комьюнити, мерч и встречи с коллегами.
Читать публикацию
·ssti
Mindmap к атаке SSTI
Красивая mindmap к атаке SSTI: визуальная схема этапов и векторов Server‑Side Template Injection для разбора.
Читать публикацию
·ssti
Server-side template injection (SSTI)
Краткое объяснение SSTI: что это, пример полезной нагрузки и рекомендации по защите; ссылка на репозиторий PayloadsAllTheThings.
Читать публикацию
·race conditions
Race conditions — состояние гонки
Краткий разбор race conditions: типы (включая HTTP/2), влияние (вплоть до RCE) и практики защиты; пример уязвимого кода и пояснение MFA-рокировки.
Читать публикацию
·ctf
Райтапы по бинарной эксплуатации в PicoCTF
Райтапы по бинарной эксплуатации в PicoCTF — на английском, разной сложности, с подробным разбором атак. Ссылка на Notion в посте.
Читать публикацию
·карьера it
Карта карьеры в IT
Карьерная карта IT — визуальная схема направлений и возможных путей развития специалистов; упрощённая двухмерная майнд‑карта.
Читать публикацию