«Черный», «серый» или «белый» ящик: как выбрать пентест под реальные риски
Пентест — проверка на проникновение в инфраструктуру, которая моделирует реальные кибератаки.
Обнаружение уязвимостей
-
-
Управление уязвимостями как бизнес-процесс: опыт T-Банка
Кибербезопасность в банковском секторе — это всегда про масштаб и сложность.
-
Log4Shell: как одна уязвимость поставила под угрозу весь интернет
В декабре 2021 года в популярной библиотеке Log4j дала злоумышленникам возможность всего несколькими строками кода установить полный контроль над сервером.
-
Искусственный интеллект для хакеров: как нейросети меняют пентест
Нейросети значительно трансформировали пентест – они автоматизируют рутинную разведку и сканирование, ускоряют подготовку отчетов и повышают покрытие, одновременно ставя новые требования к контролю, конфиденциальности и экспертизе.
-
Kali уже не один: какой дистрибутив для пентеста выбрать в 2025 году
Долгое время Kali Linux оставался главным инструментом пентестеров и символом всей отрасли.
-
Уязвимости ядра Linux: ахиллесова пята системной безопасности
Ядро Linux лежит в основе миллионов серверов, облачных платформ и встраиваемых устройств.
-
WannaCry: история вымогателя, который остановил мир
В пятницу,12 мая 2017 года мир узнал, почему нельзя откладывать обновления операционной системы Windows.
-
GIS DAYS 2025: ИИ, автоматизация и новые вызовы для отрасли
Уже в восьмой раз в Москве и Санкт-Петербурге прошло масштабное офлайн- и онлайн-мероприятие GIS DAYS 2025, объединяющее разработчиков, интеграторов, регуляторов и экспертов.
-
Man-in-the-Middle в тестировании: инструмент или угроза?
Man-in-the-Middle (MITM), или «Человек посередине», с одной стороны, это мощный инструмент для тестирования безопасности, с другой – опасная атака, нарушающая конфиденциальность.
-
Metasploit для начинающих: как освоить главный инструмент пентестера
Metasploit — это мощный фреймворк для тестирования на проникновение.
-
Пентест или тестирование на проникновение: слабости в обороне компаний, актуальные в 2023 году
Pentest (пентест) – это один из передовых методов проверки защитных инструментов компании на наличие уязвимостей.
-
Банк угроз ФСТЭК: использовать нельзя игнорировать
Банк угроз ФСТЭК России существует более семи лет.
-
Бесплатные статические анализаторы кода для поиска уязвимостей: за и против
Новых программных продуктов с каждым годом становится больше.
-
Зачем инвестировать в DAST и как избавиться от ложных срабатываний?
С начала 2022 года число кибератак на российскую инфраструктуру увеличилось на 80%.
-
Опубликован рейтинг уязвимостей приложений Kubernetes
Некоммерческая организация Open Web Application Security Project описала типичные проблемы безопасности, которые угрожают современным облачным приложениям.
-
Сканеры уязвимостей: Экскалибур от мира ИБ или рядовой инструмент?
Сканер уязвимостей – это один из обязательных инструментов специалиста по информационной безопасности.
новости
-
Найдена критическая уязвимость в библиотеке zlib, приводящая к DoS и возможному исполнению кода
В широко используемой библиотеке сжатия данных zlib обнаружена серьёзная уязвимость переполнения глобального буфера, которая может привести к сбою программ (DoS) и в определённых условиях - к удалённому выполнению произвольного кода.
-
Критическая уязвимость Ni8mare угрожает тысячам серверов n8n
Исследователи кибербезопасности выявили критическую уязвимость в популярной платформе автоматизации рабочих процессов n8n, получившую обозначение Ni8mare и присвоенный идентификатор CVE-2026-21858.
-
Группа UAT-9686 атакует корпоративные почтовые шлюзы Cisco через критическую уязвимость
Подразделение Cisco Talos сообщило о продолжающейся кампании атак, связанной с группой UAT-9686.
-
Обнаружена уязвимость в UEFI, позволяющей получить доступ к памяти до загрузки ОС
CERT Coordination Center предупредил об уязвимости VU#382314 в UEFI-прошивках ряда систем, связанной с некорректной инициализацией IOMMU на раннем этапе загрузки.
-
ИИ-агент Artemis за 16 часов нашёл в сети Стэнфорда больше уязвимостей, чем большинство пентестеров
Искусственный интеллект Artemis, разработанный исследователями Стэнфордского университета, продемонстрировал высокую эффективность при поиске уязвимостей в реальной инфраструктуре.
-
Опубликован обновлённый рейтинг самых опасных ошибок в программном коде
Эксперты MITRE опубликовали обновлённый список самых опасных ошибок в программном обеспечении.
-
Критическую уязвимость React2Shell начали использовать в реальных атаках
Специалисты BI ZONE TDR сообщили, что критическую уязвимость React2Shell уже начали активно применять в реальных кибератаках.
-
В Apache Tika обнаружена критическая XXE-уязвимость: поддельного PDF достаточно, чтобы вытащить данные с сервера
Разработчики Apache предупредили об опасной уязвимости в Tika - инструменте, который используют для извлечения текста и метаданных из документов по всему миру.
-
Тайное исправление для Microsoft Windows закрывает давно эксплуатируемую уязвимость в обработке ярлыков
По данным исследователей из «0patch», ноябре 2025 Microsoft тихо устранила серьёзную уязвимость - CVE-2025-9491, которая позволяла злоумышленникам прятать вредоносные команды в ярлыках (.
-
Обновление безопасности Android закрывает 107 уязвимостей
В декабрьском бюллетене безопасности Android описано 107 уязвимостей, затрагивающих системные компоненты, ядро и драйверы устройств.
-
ASUS выпустила серию срочных обновлений безопасности для роутеров и фирменного ПО
ASUS опубликовала обновлённый перечень уязвимостей и исправлений на своей официальной странице безопасности.
-
Компания «1С-Битрикс» запустила публичную программу для поиска уязвимостей на Standoff Bug Bounty
IT-компания России «1С-Битрикс» открыла публичную багбаунти-программу на площадке Standoff Bug Bounty.
-
В Fluent Bit нашли пять опасных уязвимостей, которые позволяют переписывать логи и захватывать облачные окружения
Исследователи Oligo Security сообщили об обнаружении пяти серьёзных уязвимостей в Fluent Bit - одном из самых распространённых инструментов для сбора и маршрутизации логов в облаках и Kubernetes-кластерах.
-
У браузера Comet обнаружена уязвимость, позволяющая выполнять локальные команды
Аналитики Comet выявили критическую уязвимость: API MCP, встроенный в браузер, даёт возможность его расширениям выполнять произвольные команды на устройстве пользователя без явного разрешения.
-
Grafana устранила критическую уязвимость с возможностью подмены пользователей
Grafana Labs выпустила экстренное обновление для корпоративной версии Grafana Enterprise после выявления уязвимости CVE-2025-41115.
-
D-Link объявила о завершении поддержки DIR-878 и предупреждает о четырёх критических уязвимостях
Компания D-Link опубликовала обращение к пользователям модели DIR-878 и её производных, где объявила о том, что устройство достигло статуса End-of-Life (EoL)/End-of-Service (EoS).
-
Google выпустила обновление Chrome: закрыто 6 уязвимостей, включая критические
Google выпустила новое стабильное обновление Chrome для Windows, macOS и Linux.
-
Исследователи зафиксировали резкий рост атак на XWiki: злоумышленники массово эксплуатируют известные уязвимости
Эксперты VulnCheck сообщили о заметном увеличении числа атак на платформу управления знаниями XWiki.
-
Критическая уязвимость в роутерах Asus: обход аутентификации получил оценку 9,3/10
Компания Asus опубликовала предупреждение о серьёзной уязвимости в ряде моделей DSL-серии маршрутизаторов.
-
В Imunify360 обнаружена уязвимость, позволяющая выполнить произвольный код на сервере
Специалисты Patchstack предупредили о серьёзной уязвимости в Imunify360 - популярной системе защиты серверов Linux, которую активно используют хостинг-провайдеры и администраторы сайтов.
МЕРОПРИЯТИЯ ПО ИБ
Интервью
-
Александр Козлов, ведущий эксперт Kaspersky ICS CERT, преподаватель МГТУ им. Баумана, НИЯУ МИФИ: Автомобили подключили к интернету задолго до того, как начали думать о последствиях
Автомобиль сначала перестал быть роскошью, а сегодня и эволюционирует из средств передвижения.
-
Максим Казенков, DevOps-специалист по ИБ VK: Нельзя защищать то, чего не видишь
Максим Казенков — DevOps-специалист по информационной безопасности VK.
-
Михаил Сухов, двукратный победитель премии Pentest Award: Важно понимать, что именно реалии инфраструктуры задают направления исследований и техники злоумышленников
Инфраструктурный ресерч в России выходит на новый уровень.
-
Георгий Кумуржи, специалист по анализу защищенности, преподаватель РТУ МИРЭА: «Злоумышленнику не всегда нужно искать классическую веб-уязвимость»
Георгий Кумуржи — специалист по анализу защищенности департамента киберзащиты одного из банков и преподаватель РТУ МИРЭА.
-
Егор Богомолов, CyberED: Пентест — это единственное время, когда компании могут услышать правду о том, насколько они реально защищены
Этичные хакеры из «тени» вышли в публичное поле: сегодня они помогают бизнесу и государству защищаться от атак, расследовать инциденты и проверять реальную устойчивость систем.
Документы
Что такое Уязвимость?
Уязвимость в информационной безопасности - это слабое место или недостаток в системе, программном обеспечении, сети или приложении, которое может быть использовано злоумышленниками для несанкционированного доступа, повреждения или кражи данных. Они возникают из-за ошибок в проектировании, разработке или конфигурировании IT-решений и могут стать основной причиной успешных кибератак.
Почему Уязвимости опасны?
Следует понимать, что уязвимости могут иметь серьезные последствия для организаций и частных лиц. Взлом или утрата контроля над информацией может привести к утечке чувствительных данных клиентов, нарушению законодательства о защите данных, финансовым потерям и даже повреждению репутации компании.
Обнаружение Уязвимостей:
Процесс обнаружения уязвимостей – это систематическая проверка и анализ информационных систем с целью выявления возможных слабых мест. Здесь несколько ключевых методов, которые используют специалисты по информационной безопасности:
1. Сканирование уязвимостей: Для начала, эксперты применяют специальные инструменты, называемые сканерами уязвимостей, которые автоматически анализируют сетевые порты, операционные системы, приложения и службы на наличие известных уязвимостей.
2. Ручная проверка кода: Разработчики и специалисты по безопасности анализируют программный код приложений и веб-сайтов в поисках потенциальных ошибок, которые могут быть использованы злоумышленниками.
3. Пенетрационное тестирование: Это процесс, при котором этичные хакеры (пенетраторы) имитируют атаку на систему или сеть с целью выявления уязвимостей и оценки степени их воздействия.
4. Аудит безопасности: Эксперты проводят комплексное обследование информационных систем с учетом стандартов безопасности, для выявления возможных слабых мест и неправильной конфигурации.
5. Использование баг-баунти программ: Компании могут приглашать внешних исследователей и хакеров для поиска уязвимостей в обмен на вознаграждение (баг-баунти). Это помогает обнаружить проблемы, которые внутренние команды безопасности могли бы упустить.
Важность Обнаружения Уязвимостей
Обнаружение уязвимостей является основополагающим элементом для обеспечения полноценной защиты информации. Он позволяет организациям предпринимать шаги по устранению обнаруженных проблем, прежде чем злоумышленники смогут их использовать. Таким образом, мы создаем более безопасное и защищенное цифровое окружение для нас и наших пользователей.