Социальная инженерия ИИ

Последние достижения в области искусственного интеллекта привели к появлению больших языковых моделей (Large Language Models, LLM), которые напрямую взаимодействуют с пользователями, поднимая новые проблемы безопасности. При этом атаки на языковые модели имеют много пересечений с

Инъекции в почтовую функциональность веб-приложений

Статья создана в ознакомительных целях и предназначена только для специалистов по анализу защищённости, которые проводят анализ защищённости ресурсов компании-заказчика строго на законных основаниях и на основании договора, заключенного с компанией-заказчиком. 📑 Содержание 🔦 Предыстория Порой

Топ-5 компаний по пентесту в мире

15-17 июля 2022 г. прошёл глобальный чемпионат по хакингу среди компаний — HackTheBox Business CTF 2022. Команда DeteAct заняла в нём 5-е место, обойдя в рейтинге 652 компании, среди которых NCC Group, PwC, Rapid7, Vantage

Pentest as a Service

Решения для тестирования кибербезопасности: стандартная модель Решения по тестированию кибербезопасности часто делят на три последовательных уровня: сканирование уязвимостей, тестирование на проникновение (также известное как пентест) и Red Teaming («редтиминг»). Сканирование уязвимостей — это автоматизированное средство

Топ-10 компаний по пентесту в мире

23-25 июля 2021 г. на крупнейшей соревновательной пентест-платформе HackTheBox проводилось соревнование среди компаний по всему миру — HTB Business CTF 2021. На соревнование было зарегистрировано 537 команд, из них 374 действительно сумели поучаствовать. Наша команда

Взлом квантовой программы

Программы для квантового компьютера тоже могут содержать уязвимости. Эти уязвимости могут позволять удалённо выполнять какие-то вычисления. Как же написать шеллкод для программы, уязвимой к исполнению квантового кода? В ходе работы нам приходится следить за передовыми

Победа в The Standoff

В прошедшую неделю закончились масштабные пятидневные киберучения The Standoff. Наши специалисты также поучаствовали в соревновании в качестве команды Red Team. Всего на стороне защиты участвовало 6 команд, а на стороне нападения — 29 команд из

Захват аккаунта через IDOR

Insecure Direct Object Reference (IDOR) — очень распространённый вид недостатков авторизационной логики приложения. Потенциальный ущерб от эксплуатации IDOR может быть как минимальным, так и критическим. Рассмотрим некоторые случаи, когда наличие IDOR позволило реализовать угрозу с

Аудит безопасности Waves Enterprise Voting

Команда Deteact провела анализ защищённости сервиса блкочейн-голосований на базе платформы Waves Enterprise. Waves Enterprise — это блокчейн-платформа, объединяющая приватные и публичные сети. Компания также предоставляет услуги по разработке, внедрению и поддержке блокчейн-решений. Аудит включал тестирование

Обход Content Security Policy

In English: https://blog.deteact.com/csp-bypass/ Content Security Policy (CSP) — это дополнительный механизм безопасности, встроенный в браузеры, позволяющий предотвращать Cross Site Scripting (XSS).   CSP позволяет определять белые списки источников для подключения JavaScript, стилей, изображений, фреймов, создания соединений.