Следуйте инструкциям в видео ниже, чтобы узнать, как установить наш сайт как веб-приложение на главный экран вашего устройства.
Примечание: Эта функция может быть недоступна в некоторых браузерах.
Вы используете устаревший браузер. Этот и другие сайты могут отображаться в нём неправильно. Необходимо обновить браузер или попробовать использовать другой.
GraphQL: один запрос вскрывает всю схему вашей БД.
Строгая типизация GraphQL создаёт ложное чувство безопасности. Реальность: один Introspection-запрос отдаёт атакующему всю структуру — скрытые мутации deleteUser и makeAdmin, типы данных и готовые точки для инъекций.
В этом гайде показываем полный цикл атаки: от разведки endpoint'а и обхода WAF через batching до IDOR/BOLA в аргументах, SQL/NoSQL-инъекций в резолверах и DoS через вложенные запросы и дублирование полей. Плюс — защита: depth limiting, persisted queries и отключение интроспекции.
Практическое руководство для пентестеров и bug bounty хантеров, которые тестируют современные API.
Три года назад позиции «архитектор кибербезопасности» на hh.ru почти не существовало — сейчас 230+ вакансий в Москве и вилка 297 000–465 000 руб/мес. Но разрыв между JD и техническим интервью — пропасть.
Автор прошёл путь от security engineer до архитектурной роли в финтехе и разобрал честный roadmap: четыре этапа от SOC Tier 1 до CISO, с конкретными сигналами готовности к переходу. Senior engineer пишет detection-правила в KUMA и снижает FP-рейтинг — архитектор решает, какой NGFW закупать и как он вписывается в Zero Trust с учётом ФЗ-187 и КИИ.
Большинство ИБ-инженеров метят в архитекторы через сертификаты — реальный переход решает умение защищать бюджет перед CTO.
Bit2Watt: легитимный облачный тенант синхронизирует 1 000 GPU и разгоняет THD тока до 46.8% — коэффициент демпфирования энергосети ЦОД уходит в -0.27 без единого взломанного устройства.
Исследователи из Zhejiang University формализовали кибер-физическую атаку через CUDA Runtime API и PyTorch: модуляция нагрузки до 6 000 Гц вгоняет сеть 1 МВт с 90% DER в нестабильный режим. Срабатывают UPS bypass и автоматические выключатели — checkpoint откатывается, GPU-часы сгорают.
Мёртвая зона между cloud-мониторингом и DCIM-платформами (Nlyte, Vertiv PDU) — SNMP опрашивает раз в 1–5 секунд, на четыре порядка грубее частоты атаки.
SOC видит легитимный CUDA-джоб — энергосеть уже раскачана. Малварь не нужна.
Бернштайн опубликовал 59-страничный разбор «Exploiting ML-DSA bugs»: две атаки на FIPS 204 восстанавливают полный секретный ключ менее чем за секунду на одном ядре — достаточно публичного ключа и двух подписей.
ML-DSA (CRYSTALS-Dilithium) рушится при утечке бит эфемерного вектора y. Из уравнения z = y + c·s₁ строится ILWE-инстанс: утечка k старших бит каждого коэффициента y превращает N подписей в систему Integer LWE. Belief Propagation-солверы снижают порог атаки на 1–2 порядка по числу нужных подписей.
Rejection sampling защищает от статанализа z — но только пока y полностью скрыт. Один бит утечки ломает инвариант.
Расширение Chrome «улучшенный ChatGPT» перехватывает каждый промпт через MutationObserver, буферизует в Base64 и сливает на C2 каждые 30 минут — LayerX Research нашли 16 плагинов с идентичным кодом от одного оператора.
Content script читает textContent прямо из DOM чат-интерфейса, chrome.storage.local хранит UUID жертвы — неудаляемый стандартными средствами. MITRE T1176.001, T1539, T1567.002 — полный kill chain без единого CVE и без эксплойта.
Детектировать помогает аудит manifest.json: связка tabs + storage + host_permissions на claude.ai и chat.openai.com — красный флаг. DLP не спасает: Base64 + HTTPS с легитимным TLS выглядит как обычный API-вызов.
SOC ловит угон cookie — а API-ключи и OAuth-токены уже ушли из чата с LLM.
GPT-4o берёт 85%+ на CyberMetric-10000 и обгоняет пятилетних специалистов — но ставишь ту же модель перед binary exploitation в NYU CTF Bench: пейлоад синтаксически верный, контекст теряется на третьем шаге, флаг не найден.
CAIBench зафиксировал пропасть в цифрах: на MCQ-тестах LLM выдают свыше 70% успеха, на многошаговых атакующих сценариях — 20–40%. CyberMetric (10 000 вопросов, домены от криптографии до NIST-комплаенса) закрывает энциклопедический пласт, NYU CTF Bench и InterCode CTF — скиловый, причём по-разному: первый смотрит на флаг, второй оценивает работу с обратной связью.
Frontier-модели галлюцинируют не на знаниях — они теряют контекст цепочки действий уже на третьем шаге.
ISO 27001 с сертификатом на стене и нулём алертов: три дня атакующий гулял по сети через T1021 Remote Services и T1550 — SIEM жевал Windows-логи, аудитор ставил галочку напротив A.8.16.
Gap-анализ реальной ISMS вскрыл классическую ловушку: 93 контроля Annex A покрыты на бумаге, но без ATT&CK-маппинга между ними зияют операционные пустоты. A.8.5 требует MFA — и молчит про кражу OAuth-токенов infostealers. A.8.16 требует мониторинга — без baseline для RDP/SMB/WinRM lateral movement невидим.
Статья даёт таблицу маппинга ISO 27001:2022 → MITRE ATT&CK с конкретными пробелами: T1078, T1190, T1071 C2 через DNS tunneling, T1059 без корреляции PowerShell.
Сертификат ISO 27001 фиксирует governance — APT проходит сквозь него там, где нет TTPs-покрытия.
🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
На данном сайте используются файлы cookie, чтобы персонализировать контент и сохранить Ваш вход в систему, если Вы зарегистрируетесь.
Продолжая использовать этот сайт, Вы соглашаетесь на использование наших файлов cookie.