Makrushin

Инструменты, представленные на Black Hat Пополняемый список утилит и проектов с открытым исходным кодом, которые были представлены на конференциях Black Hat с 2014 по 2025. Здесь много инструментов для анализа защищенности, OSINT, разработки эксплойтов, анализа малвари, форензики, appsec и много чего еще. Теперь можно попросить свою любимую LLM покопаться в этой подборке и например, выбрать подходящий тул для автоматического пентеста. Или поиска уязвимости. Или использовать в качестве источника ...

ИИ-триаж уязвимостей для каждого разработчика Сегодня необычный вторник. Сегодня мы представили функцию триажа, которая помогает разработчику разбирать уязвимости и ошибки в коде нажатием одной кнопки. Как работает технология: ✨ Формирует карточку каждой уязвимости ✨ Оценивает риски и объясняет сценарии атак ✨ Предлагает исправленный вариант кода Это одна маленькая кнопка для разработчика, но гигантский прыжок для процесса безопасной разработки в платформе. 👨‍🚀 @makrushin

Безагентный антивирус Идея антивируса, для которого не нужно ставить никаких агентов в систему, зацепила меня еще в 2017, когда Symantec купил малоизвестный стартап Outlier Security. Эта компания делала безагентный EDR, который использовал встроенные средства операционной системы для сбора телеметрии и реагирования на угрозы. Преимущества такой безагентной установки в то время были очевидны: не нужно ставить еще один исполняемый файл на рабочую станцию, которые сжирал ресурсы и конфликтовал с др...

Топ техник атак на веб-приложения 2025 Вспомнил пароль от ноута после праздников. Теперь можно разобрать прогнозы и тренды. Мой любимый ежегодный рейтинг - "Top 10 web hacking techniques", который составляется сообществом исследователей по инициативе компании Portswigger. В нем собираются материалы, которые несут в себе инновации в области поиска и эксплуатации уязвимостей. Мы уже заглядывали в прошлогодние рейтинги, теперь выделю из списка номинаций то, что показалось мне наиболее интересным. ✨...

Каталог атак на инфраструктуру разработки В прошлом году мы много говорили о методах атак на разные инструменты и среды разработки. Разбирались с инцидентами. Под всеми опубликованными статьями и докладами можно подвести резюме и поделиться фреймворком, который позволяет описать процесс защиты инфраструктуры разработки. SITF представляет из себя каталог сценариев атак и контролей безопасности, которые разделены на 5 ключевых блоков: рабочая станция разработчика и его среда разработки, системы уп...

Дневник DevSec 3: смещение вниз, ближе к платформам На уральском мероприятии IT IS conf в своем докладе, который был посвящен безопасности зависимостей в разработке, озвучил мысль: хватит «shift left», теперь нужно смещаться вниз, ближе к платформам разработки. Подход смещения security-проверок «влево», ближе к началу жизненного цикла разработки, эволюционирует в подход «shift down». Проверки безопасности и контроли внедряются в платформы, а не висят сбоку в виде отдельных инструментов. Это что-...

Автономный ИИ-агент для аудита кода ИИ-агенты уже во всю пишут и тестируют enterprise-код. Поэтому разработка и внедрение таких агентов в SDL - это отдельный инженерный вызов. Чтобы не бросаться изобретать велосипед, можно изучить, что уже сделано в этом направлении. Например, проект RepoAudit - по нему можно проследить за развитием инструментов категории AI SAST (да, теперь у статических анализаторов появилась еще одна категория). Исследователи задались вопросом «как побороть галлюцинации LLM п...

Фундаментальная уязвимость протокола HTTP/1.1 В HTTP/1.1 запросы просто склеиваются друг с другом в одном сетевом соединении. Если разные серверы (фронтенд и бэкенд) по-разному интерпретируют длину сообщения, то злоумышленник может отрезать часть своего запроса и подставить эту часть в начало запроса следующего пользователя. Это приводит к атаке типа request smuggling. Единственный надежный способ защиты: переход на HTTP/2 во внутренней сети, так как это протокол с четким разделением сообщений. ...

Запросы к LLM — новые индикаторы компрометации Разработчики ИИ-моделей все чаще публикуют отчеты, в которых рассказывают о сценариях использования злодеями их продуктов для «вайб-хакинга»: автоматизации разведки и анализа поверхности атаки, разработки вредоносного софта, подготовки фишинговых сообщений и даже для организации шпионажа. При этом нельзя назвать эти публикации полноценными Threat Intelligence отчетами, потому что в них нет наиболее важной части: индикаторов компрометации — информаци...

Поиск секретов в коде: новый инструмент и еще один способ На этот раз интересна даже не утилита, а подход, который можно применять для поиска аномалий в потоке данных. Поиск разделяется на два класса сигналов: структурированные строки (например, JWT, API‑ключи, OAuth‑токены) и строки произвольной формы (пароли). Для поиска первого типа строк используются регулярные выражения, а для второго — BERT (Bidirectional Encoder Representations from Transformers). Эта небольшая языковая модель прошла допо...