Делаем требования безопасными с помощью методик INVEST, SMART, What-If и misuse cases
Ошибки закладываются ещё до кода — в описании требований. Размытые формулировки и субъективное «понятно» приводят к уязвимостям, даже если разработка идеальна.
В новой статье наш операционный директор Александр Симоненко разбирает конкретные методики: INVEST, SMART, What-If и misuse cases, которые делают требования проверяемыми, управляемыми и помогают создавать защищенные системы.
https://habr.com/ru/companies/technokratos/articles/968428/
⚫ Xilant
💬Написать нам
Ошибки закладываются ещё до кода — в описании требований. Размытые формулировки и субъективное «понятно» приводят к уязвимостям, даже если разработка идеальна.
В новой статье наш операционный директор Александр Симоненко разбирает конкретные методики: INVEST, SMART, What-If и misuse cases, которые делают требования проверяемыми, управляемыми и помогают создавать защищенные системы.
https://habr.com/ru/companies/technokratos/articles/968428/
💬Написать нам
Please open Telegram to view this post
VIEW IN TELEGRAM
Хабр
Делаем требования безопасными с помощью методик INVEST, SMART, What-If и misuse cases
Привет! На связи снова Саша Симоненко, операционный директор Xilant . Сегодня разбираем конкретные методики написания безопасных требований: INVEST, SMART, What-If и misuse cases. Чтобы быть в...
🔥6😁4🤩2
Дайджест новостей кибербезопасности за неделю
— В Cloudflare раскрыли причину многочасового глобального сбоя в работе — файл конфигурации
— Простая уязвимость безопасности WhatsApp раскрыла 3,5 млрд телефонных номеров
— 62% российских корпораций продолжают использовать зарубежные NGFW
— Microsoft: Azure подверглась DDoS-атаке мощностью 15 Тбит/c
— В популярном плагине для WordPress W3 Total Cache обнаружена критическая уязвимость CVE-2025-9501, позволяющая выполнять произвольные PHP-команды на сервере без аутентификации
— Кампания HackOnChat массово похищает WhatsApp-аккаунты по всему миру
— Число кибергруппировок, атакующих компании в России, выросло вдвое
⚫ Xilant
💬Написать нам
— В Cloudflare раскрыли причину многочасового глобального сбоя в работе — файл конфигурации
— Простая уязвимость безопасности WhatsApp раскрыла 3,5 млрд телефонных номеров
— 62% российских корпораций продолжают использовать зарубежные NGFW
— Microsoft: Azure подверглась DDoS-атаке мощностью 15 Тбит/c
— В популярном плагине для WordPress W3 Total Cache обнаружена критическая уязвимость CVE-2025-9501, позволяющая выполнять произвольные PHP-команды на сервере без аутентификации
— Кампания HackOnChat массово похищает WhatsApp-аккаунты по всему миру
— Число кибергруппировок, атакующих компании в России, выросло вдвое
💬Написать нам
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3❤2👀2🤝1
Как строка поиска в XWiki превращается в RCE: разбор CVE-2024-31982
В корпоративных вики редко ожидаешь подвоха от такой простой вещи, как поиск — но именно он стал входной точкой для выполнения произвольного кода в XWiki. В новой статье мы разобрали, как обычный параметр $text позволял выйти из Velocity-шаблона, попасть в Groovy-контекст и выполнить на сервере любую команду. Без авторизации, без сложных условий — просто RCE «из коробки».
Мы не ограничились теорией: подняли уязвимую версию XWiki, подробно показали эксплуатацию и подготовили автоматизированный PoC, который выполняет всё за вас — от логина до извлечения результата из RSS-ленты. В конце добавили рекомендации, как закрыть дыру и временно подстраховаться, если обновиться прямо сейчас нельзя.
https://habr.com/ru/companies/technokratos/articles/970526/
⚫ Xilant
💬Написать нам
В корпоративных вики редко ожидаешь подвоха от такой простой вещи, как поиск — но именно он стал входной точкой для выполнения произвольного кода в XWiki. В новой статье мы разобрали, как обычный параметр $text позволял выйти из Velocity-шаблона, попасть в Groovy-контекст и выполнить на сервере любую команду. Без авторизации, без сложных условий — просто RCE «из коробки».
Мы не ограничились теорией: подняли уязвимую версию XWiki, подробно показали эксплуатацию и подготовили автоматизированный PoC, который выполняет всё за вас — от логина до извлечения результата из RSS-ленты. В конце добавили рекомендации, как закрыть дыру и временно подстраховаться, если обновиться прямо сейчас нельзя.
https://habr.com/ru/companies/technokratos/articles/970526/
💬Написать нам
Please open Telegram to view this post
VIEW IN TELEGRAM
Хабр
Получение несанкционированного выполнения кода (RCE) в XWiki: разбор CVE-2024-31982 и автоматизация эксплуатации
Привет! Меня зовут Артур, я специалист по пентестам в компании Xilant. В этой статье разберём одну из наиболее опасных уязвимостей, обнаруженных в XWiki — CVE-2024-31982 , которая позволяет добиться...
🔥3🤩3👍2
Дайджест новостей кибербезопасности за неделю
— Число кибергруппировок, атакующих компании в России, выросло вдвое
— OpenAI сообщила об утечке данных некоторых пользователей API
— 80 тыс. слитых данных нашлись в сервисах форматирования JSON
— В файлах моделей Blender обнаружен инфостилер StealC
— Исследователи Oligo Security обнаружили пять уязвимостей в Fluent Bit. Совместная эксплуатация найденных проблем может привести к компрометации всей облачной инфраструктуры, включая Kubernetes-кластеры
— В Palo Alto Networks опробовали ИИ-новинки черного рынка — коммерческую модель WormGPT 4 и бесплатную KawaiiGPT
— В даркнете в среднем появляется 225 предложений о «пробиве» в месяц
— Google Antigravity уязвим к краже данных через скрытый prompt injection
⚫ Xilant
💬Написать нам
— Число кибергруппировок, атакующих компании в России, выросло вдвое
— OpenAI сообщила об утечке данных некоторых пользователей API
— 80 тыс. слитых данных нашлись в сервисах форматирования JSON
— В файлах моделей Blender обнаружен инфостилер StealC
— Исследователи Oligo Security обнаружили пять уязвимостей в Fluent Bit. Совместная эксплуатация найденных проблем может привести к компрометации всей облачной инфраструктуры, включая Kubernetes-кластеры
— В Palo Alto Networks опробовали ИИ-новинки черного рынка — коммерческую модель WormGPT 4 и бесплатную KawaiiGPT
— В даркнете в среднем появляется 225 предложений о «пробиве» в месяц
— Google Antigravity уязвим к краже данных через скрытый prompt injection
💬Написать нам
Please open Telegram to view this post
VIEW IN TELEGRAM
❤3👍3🔥3
В Татарстане снизились расходы на кибербезопасность — до 2,7 млрд рублей в 2024 году
Исследование FinExpertiza показывает: в среднем на одну организацию в республике пришлось всего 389 тысяч рублей, что значительно ниже средних трат по стране.
Генеральный директор Xilant Артур Баширов в комментарии для «Реального времени» отметил, что снижение инвестиций связано с экономической ситуацией и перераспределением бюджетов, а низкие траты не означают меньших рисков: многое зависит от того, как компании выстраивают стратегию ИБ и используют свои ресурсы.
https://realnoevremya.ru/news/369310-tatarstan-vlozhil-v-kiberbez-v-2024-godu-27-mlrd-mnogo-eto-ili-malo
⚫ Xilant
💬Написать нам
Исследование FinExpertiza показывает: в среднем на одну организацию в республике пришлось всего 389 тысяч рублей, что значительно ниже средних трат по стране.
Генеральный директор Xilant Артур Баширов в комментарии для «Реального времени» отметил, что снижение инвестиций связано с экономической ситуацией и перераспределением бюджетов, а низкие траты не означают меньших рисков: многое зависит от того, как компании выстраивают стратегию ИБ и используют свои ресурсы.
https://realnoevremya.ru/news/369310-tatarstan-vlozhil-v-kiberbez-v-2024-godu-27-mlrd-mnogo-eto-ili-malo
💬Написать нам
Please open Telegram to view this post
VIEW IN TELEGRAM
Реальное время
Необязательная статья расходов: Татарстан сократил вложения в сферу кибербеза до 2,7 млрд рублей
На одну организацию в республике пришлось 389 тысяч рублей вложений
🤔6❤2🔥2
Дайджест новостей кибербезопасности за неделю
— Leroy Merlin уведомила клиентов об утечке информации, в результате которой их персональные данные были скомпрометированы
— Исследователь взломал AI-стартап Filevine ценой в $1 млрд и получил доступ к 100 тыс документов
— Критические уязвимости в React и Next.js приводят к удаленному выполнению кода без аутентификации
— Публичные репозитории GitLab «сливают» более 17 000 секретов
— Новая цепочка 0-day для iPhone открыла путь шпионскому софту
— В Google Cloud найден OAST-сервис для проведения атак на 200+ уязвимостей
⚫ Xilant
💬Написать нам
— Leroy Merlin уведомила клиентов об утечке информации, в результате которой их персональные данные были скомпрометированы
— Исследователь взломал AI-стартап Filevine ценой в $1 млрд и получил доступ к 100 тыс документов
— Критические уязвимости в React и Next.js приводят к удаленному выполнению кода без аутентификации
— Публичные репозитории GitLab «сливают» более 17 000 секретов
— Новая цепочка 0-day для iPhone открыла путь шпионскому софту
— В Google Cloud найден OAST-сервис для проведения атак на 200+ уязвимостей
💬Написать нам
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3👍2🤝2
Встраиваем безопасность в процесс разработки: от методик к реальной работе команды
Даже правильные методики умирают, если они существуют отдельно от процесса разработки. Безопасность «теряется» в зазорах: между обсуждением и тикетом, между ревью и CI, между тестами и продом.
В финальной статье трилогии о требованиях наш операционный директор Александр Симоненко рассказывает, как встроить безопасность в цепочку разработки — от Security Acceptance в каждом тикете до автоматизации проверок и 90-дневного roadmap внедрения.
Безопасность — это не супергеройство отдельных людей, а свойство процесса.
https://habr.com/ru/companies/technokratos/articles/974506/
⚫️ Xilant
💬Написать нам
Даже правильные методики умирают, если они существуют отдельно от процесса разработки. Безопасность «теряется» в зазорах: между обсуждением и тикетом, между ревью и CI, между тестами и продом.
В финальной статье трилогии о требованиях наш операционный директор Александр Симоненко рассказывает, как встроить безопасность в цепочку разработки — от Security Acceptance в каждом тикете до автоматизации проверок и 90-дневного roadmap внедрения.
Безопасность — это не супергеройство отдельных людей, а свойство процесса.
https://habr.com/ru/companies/technokratos/articles/974506/
💬Написать нам
Please open Telegram to view this post
VIEW IN TELEGRAM
Хабр
Никакого супергеройства на проектах. Гайд, как сделать безопасность частью разработки
Привет! С вами снова Александр Симоненко, операционный директор Xilant . В первой статье трилогии о бизнес-требованиях мы разобрали, как неточные формулировки в требованиях создают уязвимости, а во...
😁6🔥4👍3
Дайджест новостей кибербезопасности за неделю
— 39% киберинцидентов связаны с привилегированными учётками
— Эксперты «Лаборатории Касперского» представили анализ крупнейших утечек паролей в мире, которые произошли с 2023 по 2025 годы
— Gartner посоветовала компаниям не использовать ИИ-браузеры из-за рисков утечек
— ИИ-сервисы вовлекли в атаки ClickFix с целью засева macOS-трояна AMOS
— VolkLocker: новый шифровальщик хранит ключи в виде простого текста
— Уязвимость в Notepad++ позволяет подменять обновления и заражать устройства
—ИИ обнаружил невидимый для антивирусов Linux-бэкдор GhostPenguin
⚫️ Xilant
💬Написать нам
— 39% киберинцидентов связаны с привилегированными учётками
— Эксперты «Лаборатории Касперского» представили анализ крупнейших утечек паролей в мире, которые произошли с 2023 по 2025 годы
— Gartner посоветовала компаниям не использовать ИИ-браузеры из-за рисков утечек
— ИИ-сервисы вовлекли в атаки ClickFix с целью засева macOS-трояна AMOS
— VolkLocker: новый шифровальщик хранит ключи в виде простого текста
— Уязвимость в Notepad++ позволяет подменять обновления и заражать устройства
—ИИ обнаружил невидимый для антивирусов Linux-бэкдор GhostPenguin
💬Написать нам
Please open Telegram to view this post
VIEW IN TELEGRAM
❤3👍3🔥3
Побег из стеклянной тюрьмы: iOS Jailbreak для пентеста
Apple создала идеальную клетку — красивую, удобную, но закрытую. Тестировать iOS-приложения без root-доступа — всё равно что искать уязвимости с завязанными глазами: не достать файлы, не перехватить трафик нормально, даже IPA для статического анализа просто так не вытащишь.
В новой статье наш старший специалист по пентестам Ян рассказывает про джейлбрейк: от истории первого аппаратного взлома 17-летним GeoHot в 2007 году до актуальных методов работы с современными устройствами. Разбираем типы джейлбрейков, объясняем выбор инструментов и показываем пошаговый процесс — от подготовки железа до момента, когда на экране появляется root-доступ.
https://habr.com/ru/companies/technokratos/articles/977224/
⚫ Xilant
💬Написать нам
Apple создала идеальную клетку — красивую, удобную, но закрытую. Тестировать iOS-приложения без root-доступа — всё равно что искать уязвимости с завязанными глазами: не достать файлы, не перехватить трафик нормально, даже IPA для статического анализа просто так не вытащишь.
В новой статье наш старший специалист по пентестам Ян рассказывает про джейлбрейк: от истории первого аппаратного взлома 17-летним GeoHot в 2007 году до актуальных методов работы с современными устройствами. Разбираем типы джейлбрейков, объясняем выбор инструментов и показываем пошаговый процесс — от подготовки железа до момента, когда на экране появляется root-доступ.
https://habr.com/ru/companies/technokratos/articles/977224/
💬Написать нам
Please open Telegram to view this post
VIEW IN TELEGRAM
Хабр
Побег из стеклянной тюрьмы. iOS Jailbreak. Часть первая
Всем привет! С вами Ян, пентестер из компании Xilant . В течении следующих нескольких статей мы поговорим о тонкостях взлома iOS и её приложений. В свою очередь я бы хотел из этого сделать нескучную...
❤4👍3🔥3
Дайджест новостей кибербезопасности за неделю
— Атаки через старые уязвимости выросли на 33% за 2025 год
— Государственная компания Венесуэлы приостановила отгрузки из-за кибератаки
— Специалисты компании iVerify обнаружили, что на хак-форумах рекламируется новая малварь для Android — Cellik, которая распространяется по модели «malware-as-a-service»
— Google закрывает свой сервис даркнет-мониторинга
— Фишинговый сервис Spiderman нацелен на европейские банки и криптосервисы
— Stealka: новый троян для Windows крадёт всё — от паролей до карт
— ИИ-система для пентеста Artemis взломала сеть Стэнфордского университета быстрее и дешевле, чем профессионалы-люди
— Команда Project Zero Google обнаружила уязвимость безопасности в Windows 11
— Финал «Очень странных дел» используют для кражи данных
⚫ Xilant
💬Написать нам
— Атаки через старые уязвимости выросли на 33% за 2025 год
— Государственная компания Венесуэлы приостановила отгрузки из-за кибератаки
— Специалисты компании iVerify обнаружили, что на хак-форумах рекламируется новая малварь для Android — Cellik, которая распространяется по модели «malware-as-a-service»
— Google закрывает свой сервис даркнет-мониторинга
— Фишинговый сервис Spiderman нацелен на европейские банки и криптосервисы
— Stealka: новый троян для Windows крадёт всё — от паролей до карт
— ИИ-система для пентеста Artemis взломала сеть Стэнфордского университета быстрее и дешевле, чем профессионалы-люди
— Команда Project Zero Google обнаружила уязвимость безопасности в Windows 11
— Финал «Очень странных дел» используют для кражи данных
💬Написать нам
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2😁1👌1
Вооружаемся: iOS‑пентест. Часть вторая
Root — лишь старт. Реальный iOS‑пентест начинается с shell, инструментов и полного контроля над системой. Без этого джейлбрейк остаётся фокусом, а не рабочей средой.
В новой статье старший пентестер Xilant Ян показывает, как после джейлбрейка превратить iOS‑устройство в полноценную платформу для тестирования.
Практичное продолжение первой части — с командами, типичными ошибками и объяснениями, зачем каждый шаг реально нужен пентестеру.
https://habr.com/ru/companies/technokratos/articles/979608/
⚫ Xilant
💬Написать нам
Root — лишь старт. Реальный iOS‑пентест начинается с shell, инструментов и полного контроля над системой. Без этого джейлбрейк остаётся фокусом, а не рабочей средой.
В новой статье старший пентестер Xilant Ян показывает, как после джейлбрейка превратить iOS‑устройство в полноценную платформу для тестирования.
Практичное продолжение первой части — с командами, типичными ошибками и объяснениями, зачем каждый шаг реально нужен пентестеру.
https://habr.com/ru/companies/technokratos/articles/979608/
💬Написать нам
Please open Telegram to view this post
VIEW IN TELEGRAM
Хабр
Вооружаемся. iOS Пентест. Часть вторая
Привет, хабровчане! С вами на связи пентестер из компании Xilant - Ян. В прошлой статье мы нескучно рассмотрели как получить джейлбрейк (JB) с рутом на некоторых устройствах iOS с чипом A11. Как...
❤2👍2🔥2👏1
Дайджест новостей кибербезопасности за неделю
— 76% критических кибератак в 2025 году были направлены на уничтожение инфраструктуры
— ФСТЭК России определилась со списком угроз для ИИ-систем
— Ключевой угрозой 2025 года были программы-вымогатели
— Исследователь получил доступ к общенациональной системе слежения за автомобилями Узбекистана
— Кибератака нарушила работу почтовых и банковских служб Франции
— У Nissan произошла утечка данных 21 000 человек
— Активисты скачали из Spotify 86 млн аудиофайлов и планируют выложить их в открытый доступ
⚫ Xilant
💬Написать нам
— 76% критических кибератак в 2025 году были направлены на уничтожение инфраструктуры
— ФСТЭК России определилась со списком угроз для ИИ-систем
— Ключевой угрозой 2025 года были программы-вымогатели
— Исследователь получил доступ к общенациональной системе слежения за автомобилями Узбекистана
— Кибератака нарушила работу почтовых и банковских служб Франции
— У Nissan произошла утечка данных 21 000 человек
— Активисты скачали из Spotify 86 млн аудиофайлов и планируют выложить их в открытый доступ
💬Написать нам
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2👍2🔥2
Дайджест новостей кибербезопасности за неделю
— Белые хакеры нашли почти 14 тысяч уязвимостей в российских компаниях
— Роскомнадзор отразил 1 тысячу DDoS-атак в декабре 2025 года
— В iOS нашли намёк на сквозное шифрование RCS-чатов между iPhone и Android
— В России создадут оперативный штаб по противодействию кибермошенникам
— Создатель Signal разработал ИИ-ассистента для сокрытия данных от операторов и правоохранителей
— Из-за прошлогоднего взлома продажи автомобилей Jaguar Land Rover упали на 43%
— Представители Instagram* отрицают утечку данных 17 млн аккаунтов
* Meta является экстремистской организацией, ее деятельность запрещена на территории РФ
⚫ Xilant
💬Написать нам
— Белые хакеры нашли почти 14 тысяч уязвимостей в российских компаниях
— Роскомнадзор отразил 1 тысячу DDoS-атак в декабре 2025 года
— В iOS нашли намёк на сквозное шифрование RCS-чатов между iPhone и Android
— В России создадут оперативный штаб по противодействию кибермошенникам
— Создатель Signal разработал ИИ-ассистента для сокрытия данных от операторов и правоохранителей
— Из-за прошлогоднего взлома продажи автомобилей Jaguar Land Rover упали на 43%
— Представители Instagram* отрицают утечку данных 17 млн аккаунтов
💬Написать нам
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2😁2😱2
Дайджест новостей кибербезопасности за неделю
— ФСТЭК опубликовала рекомендации по безопасной работе госорганов с VMware
— Хакеры удвоили использование уникального вредоносного ПО в атаках на российские компании
— Coinbase подтвердила утечку скриншотов небольшой части клиентов из службы поддержки
— Фишинг стал доминирующим методом проникновения при кибератаках
— Объемы утечек данных из российских сервисов выросли в 1,5 раза
— Исследователи нашли сотни вредоносных навыков для OpenClaw
⚫ Xilant
💬Написать нам
— ФСТЭК опубликовала рекомендации по безопасной работе госорганов с VMware
— Хакеры удвоили использование уникального вредоносного ПО в атаках на российские компании
— Coinbase подтвердила утечку скриншотов небольшой части клиентов из службы поддержки
— Фишинг стал доминирующим методом проникновения при кибератаках
— Объемы утечек данных из российских сервисов выросли в 1,5 раза
— Исследователи нашли сотни вредоносных навыков для OpenClaw
💬Написать нам
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1🔥1