Inspector Security

All Semgrep Private Rules Выгрузили все фришные и приватные рулзы с https://semgrep.dev/r кроме semgrep-secrets (не получилось :/ ). Есть пустые наборы правил, name фигурировал в API, вот и скачались со всеми.

Глянул топ репортов по произвольному редиректу и заметил супер свежий с большим количеством лайкосиков...интересно что там? Редактирование элементов через f12 вот и думайте https://github.com/reddelexc/hackerone-reports/tree/master

Полезное дополнение к draw.io для отрисовки схем https://app.eraser.io/. Архитектура решения: Fullstack Next.js 15 Mongodb + prisma Typescript + zod Redis + bullmq LLM deepseek-r1:1.5b В процессе разработки решения и прикручивания ML, столкнулись с проблемой парсинга результатов и передачей их на анализ. Если чекнуть медиум.ком, то обычно это плагин openapi и API чатгпт, но шелекей нам жалко, поэтому смотрим в сторону localhost. Для локальной работы плагин так же можно юзать от опенапи, просто м...

Web Archive’s CDX Server API Response wayback-cdx-server - API для Web archive с возможностями встроенных фильтров и выдачи в разных форматах. https://web.archive.org/cdx/search/cdx?PARAMETERS Публично доступные атрибуты индекса (PARAMETERS): - url (обязательный) - URL-адрес для поиска. Можно использовать , /admin, ?shoes=. - output- формат вывода: json, text, xml, cdx. - fl - указывает, какие поля возвращать сервером CDX "timestamp","mimetype" и др. - collapse - убирает дубликаты по указанному ...

Там вышел новый ресерч Кетла про смаглинг http1mustdie.com, а с ним и новая лаба, я решил выкатить сюда райтап до официального, который будет на стриме Кетла 15 августа, некий эксклюзивчик В начале нужно было понять как смаглить, для этого можно либо самому тыкаться, либо запустить Parser discrepancy scan, который добавили в экстеншн смаглер вместе с выпуском ресерча. Он сразу находит, что можно смаглить табом и пробелом (скрин1) Дальше нужно было проверить есть ли смаглинг и сделать 0.CL, для э...

AI betting В начале сентября, по классике, собрались нашей бандой ураган смотреть наших на инте по доте. Сели в депо, включили трансляцию и разгоняем, кто чем занят: инфоповоды, зэпку, новые вакансии, у кого как процессы на работе поживают, в общем базовые темы. Атмосфера на уровне, между делом, чтобы добавить еще больше рофлянок, решаем закинуть на свои любимые команды символическую сумму (скажем 5к) до луза. Дальше по сценарию: думаем на что ставить и почему, в моменте вспоминаем о волшебном ш...

Pull Request Security Testing (PRST) - новая практика DevSecOps Захотелось выделить в отдельную практику анализа кода и что мне сделаете? Анализ PR, семгреп, гитликс, чехов? Ну да, а как запускать их, на каждый pr прям всеми 10к+ правилами или перед этим определить через tokei стек и точечно ударить проверками. Это все круто, но куда мы без "AI" конечно же, не последние крипы. Поэтому мы поговорим о такой тулзе как CodeRabbit. Представляет из себя PR AI Agent Reviewer — cli + vcs plugin, который...

Добро пожаловать в сообщество! 👻 Что такое Flawbusters? Flawbusters — это интерактивная платформа для обучения безопасной разработке на практике. Вместо абстрактной теории вы работаете с уязвимостями в условиях, максимально приближенных к реальным: анализируете код, эксплуатируете уязвимость в демо-приложении и исправляете причину её возникновения. Функции платформы: • Практические задачи по безопасной разработке с реальными уязвимостями: XSS, SSRF, CSRF, SSTI, IDOR и многие другие • Поддержка ...