[Перевод] DeepSeek AI: От инъекции промпта до захвата аккаунта

Около двух недель назад китайская лаборатория DeepSeek представила свою новую AI модель DeepSeek-R1-Lite, которая специализируется на логических рассуждениях. Конечно, у всего AI-сообщества быстро загорелся огонь в глазах от заявленных возможностей модели. И я один из них. Как обычно: раз новая модель - значит новые идеи и тесты...

https://habr.com/ru/companies/bothub/articles/863032/

#xss #веббезопасность #инъекция_промпта #llm #ai #эксплойт #base64 #пентестинг #ии #машинное+обучение

Что делать, если WAF не позволяет создать кастомное правило для JSON: готовое решение

Сегодня расскажем вам о нестандартном подходе к защите веб-приложений с помощью PTAF PRO. Мы с коллегами столкнулись с интересной задачей: как защитить уязвимое приложение от вредоносных JSON-запросов, если WAF официально не поддерживает их обработку в пользовательских правилах? В этой статье пройдем путь от постановки проблемы до ее решения, используя регулярные выражения и нестандартные настройки PTAF PRO. Руслан Ануфренка, инженер в группе технической поддержки информационной безопасности в К2 Кибербезопасность расскажет, как: 1. Настроить систему для работы с внешним агентом PT AF PRO; 2. Закрыть уязвимость Zero Stars в Juice Shop; 3. Создать и применить пользовательское правило с помощью регулярных выражений; 4. Оценить эффективность и ограничения такого решения. Статья будет полезна специалистам по информационной безопасности, разработчикам и всем, кто интересуется тонкостями настройки WAF и защиты веб-приложений.

https://habr.com/ru/companies/k2tech/articles/860014/

#json #waf #веббезопасность #файрвол #juice_shop

Атаки на веб-кэширование. Отравление кэша: теория и практика

Кэширование — это эффективное архитектурное решение, которое сегодня используется на всех уровнях вычислительных систем, начиная от кэша процессора и жесткого диска до кэша веб-сервера и обратных прокси-серверов. Именно о последних пойдёт речь. В этой статье мы рассмотрим атаки обмана и отравления кэша, сконцентрировавшись на последнем: проследим историю возникновения и развития уязвимости, поговорим про кэш-движки и связанные с ними последние CVE. Также попробуем разобраться, как следует искать отравление кэша на реальных целях. Распишем методологию пентеста, оценим риски и последствия эксплуатации, обозначим общие подходы к защите.

https://habr.com/ru/articles/850626/

#Вебкэширование #Отравление_кэша #Атаки_на_кэш #Уязвимости_кэширования #Обман_кэша #Веббезопасность #Пентест #Багхантинг

Как мы ускорили написание кода на 20% с помощью обучения сотрудников работе с веб-уязвимостями

Раньше, когда мы нанимали новых специалистов, работа над кодом строилась так: пишем, проверяем, исправляем ошибки, проверяем ещё раз, снова переписываем и т.д. В итоге даже после испытательного срока разработчик тратил на фрагмент кода до 60 часов, а ревьюер — до 10. Но плановый аудит помог понять, что подход нужно менять. Привет, Хабр! Это SpaceWeb, на связи Виталий Киреев, я руковожу отделом исследований и разработок. В статье расскажу, как мы в компании внедрили стандарты работы с веб-уязвимостями и собственную методологию обучения сотрудников и каких результатов добились.

https://habr.com/ru/companies/spaceweb/articles/796957/

#веббезопасность #кодревью #уязвимости #уязвимости_php #owasp