https://habr.com/ru/companies/t2/articles/674536/
Если Гост, то оное само себя не проксирует в бурп. Для этого в статье гайд.
Если Гост, то оное само себя не проксирует в бурп. Для этого в статье гайд.
Хабр
Опыт интеграции с КриптоПро DSS поверх ГОСТ TLS
Всем привет! Я Максим, бэкенд-разработчик команды MSB (корпоративная сервисная шина), занимаюсь интеграциями систем для внутренних нужд компании Tele2, и в этом посте хочу поделиться опытом интеграции...
CVE-2024-43405: уязвимость в Nuclei ставит под удар безопасность тысяч компаний
https://www.securitylab.ru/news/555236.php
https://www.securitylab.ru/news/555236.php
SecurityLab.ru
CVE-2024-43405: уязвимость в Nuclei ставит под удар безопасность тысяч компаний
Манипуляции при проверке подписей стали ключевым козырем атакующих.
👍2
Оказалось...
Что есть для HTTP версии 2 существуют дополнительные pseudo-headers, которых в Burp не видно.
:method - The HTTP method of the request, such as GET or POST.
:path - The request path. Note that this includes the query string.
:authority - Roughly equivalent to the Host header in HTTP/1.
:scheme - The request scheme, typically http or https. Note that there is no equivalent in HTTP/1.
:status - The response status code.
Вот такое оно
Что есть для HTTP версии 2 существуют дополнительные pseudo-headers, которых в Burp не видно.
:method - The HTTP method of the request, such as GET or POST.
:path - The request path. Note that this includes the query string.
:authority - Roughly equivalent to the Host header in HTTP/1.
:scheme - The request scheme, typically http or https. Note that there is no equivalent in HTTP/1.
:status - The response status code.
Вот такое оно
Обнаружен крайне удобный онлайн преобразователь типов данных для синтаксиса различных языков программирования
https://transform.tools/
https://transform.tools/
transform.tools
A polyglot web converter that's going to save you a lot of time.
Forwarded from Яндекс | Охота за ошибками
Как и обещали, мы выкатили апдейт для сервиса SSRF-Sheriff, облегчающего процесс валидации SSRF.
<subdomain>.ssrf-sheriff.yandex.nethttps://ssrf-sheriff-logs.yandex.net/last/<subdomain>Удачной охоты!
Please open Telegram to view this post
VIEW IN TELEGRAM
Модель ИИ - является конечным автоматом: да или нет.
Конечный автомат — это математическая абстракция, модель дискретного устройства, имеющего один вход, один выход и в каждый момент времени находящегося в одном состоянии из множества возможных. Конечный автомат (КА) имеет конечное число состояний, переходит между состояниями на основе входных символов (например, букв или слов), работает по жестко заданным правилам (детерминированно или недетерминированно), обрабатывает дискретные последовательности (например, строки).
Почему модели ИИ не являются конечными автоматами?
1) Модели ИИ работают с непрерывными векторными представлениями данных, а не с дискретными состояниями.
Входные данные (слова или символы) преобразуются в векторы (эмбеддинги).
Состояния модели (например, скрытые состояния в RNN) — это векторы в многомерном пространстве, а не конечный набор дискретных значений.
2) Отсутствуют жесткие правила переходов
Конечные автоматы переходят между состояниями по жестко заданным правилам, а в моделях ИИ: переходы между состояниями определяются обученными параметрами (например, весами нейронной сети).
и поведение модели зависит от данных, на которых она обучалась, а не от заранее заданных правил.
3) Контекст произвольной длины
Конечные автоматы ограничены конечным числом состояний и могут обрабатывать только контекст фиксированной длины. Модели ИИ, такие как трансформеры, могут учитывать контекст произвольной длины благодаря механизмам внимания (attention).
4) Обучение и адаптация
Модели ИИ обучаются на данных и могут адаптироваться к новым задачам. Конечные автоматы не обучаются — их поведение задается явно на этапе проектирования.
Когда модель ИИ может быть похожа на конечный автомат?
В некоторых случаях поведение модели ИИ может быть аппроксимировано конечным автоматом, но это лишь упрощение. Например рекуррентные нейронные сети RNN могут запоминать состояния и обрабатывать последовательности, что делает их поведение отчасти похожим на конечные автоматы. Однако RNN работают с непрерывными состояниями и могут обрабатывать контекст произвольной длины.
Некоторые модели ИИ могут обучаться правилам, которые можно интерпретировать как переходы между состояниями, но это лишь частный случай.
А что с GPT (Generative Pre-trained Transformer)?
-GPT использует механизм внимания (attention) для обработки контекста произвольной длины.
-GPT работает с непрерывными векторными представлениями текста.
-GPT обучается на данных и может генерировать текст, который не может быть описан конечным набором правил.
-GPT не является конечным автоматом, так как его поведение не сводится к конечному числу состояний и жестко заданным правилам переходов.
Поэтому нет - это не КА, а иногда очень бы хотелось...
Конечный автомат — это математическая абстракция, модель дискретного устройства, имеющего один вход, один выход и в каждый момент времени находящегося в одном состоянии из множества возможных. Конечный автомат (КА) имеет конечное число состояний, переходит между состояниями на основе входных символов (например, букв или слов), работает по жестко заданным правилам (детерминированно или недетерминированно), обрабатывает дискретные последовательности (например, строки).
Почему модели ИИ не являются конечными автоматами?
1) Модели ИИ работают с непрерывными векторными представлениями данных, а не с дискретными состояниями.
Входные данные (слова или символы) преобразуются в векторы (эмбеддинги).
Состояния модели (например, скрытые состояния в RNN) — это векторы в многомерном пространстве, а не конечный набор дискретных значений.
2) Отсутствуют жесткие правила переходов
Конечные автоматы переходят между состояниями по жестко заданным правилам, а в моделях ИИ: переходы между состояниями определяются обученными параметрами (например, весами нейронной сети).
и поведение модели зависит от данных, на которых она обучалась, а не от заранее заданных правил.
3) Контекст произвольной длины
Конечные автоматы ограничены конечным числом состояний и могут обрабатывать только контекст фиксированной длины. Модели ИИ, такие как трансформеры, могут учитывать контекст произвольной длины благодаря механизмам внимания (attention).
4) Обучение и адаптация
Модели ИИ обучаются на данных и могут адаптироваться к новым задачам. Конечные автоматы не обучаются — их поведение задается явно на этапе проектирования.
Когда модель ИИ может быть похожа на конечный автомат?
В некоторых случаях поведение модели ИИ может быть аппроксимировано конечным автоматом, но это лишь упрощение. Например рекуррентные нейронные сети RNN могут запоминать состояния и обрабатывать последовательности, что делает их поведение отчасти похожим на конечные автоматы. Однако RNN работают с непрерывными состояниями и могут обрабатывать контекст произвольной длины.
Некоторые модели ИИ могут обучаться правилам, которые можно интерпретировать как переходы между состояниями, но это лишь частный случай.
А что с GPT (Generative Pre-trained Transformer)?
-GPT использует механизм внимания (attention) для обработки контекста произвольной длины.
-GPT работает с непрерывными векторными представлениями текста.
-GPT обучается на данных и может генерировать текст, который не может быть описан конечным набором правил.
-GPT не является конечным автоматом, так как его поведение не сводится к конечному числу состояний и жестко заданным правилам переходов.
Поэтому нет - это не КА, а иногда очень бы хотелось...
Confusion Attacks: Exploiting Hidden Semantic Ambiguity in Apache HTTP Server! | Orange Tsai
https://blog.orange.tw/posts/2024-08-confusion-attacks-en/
https://blog.orange.tw/posts/2024-08-confusion-attacks-en/
Orange Tsai
Confusion Attacks: Exploiting Hidden Semantic Ambiguity in Apache HTTP Server!
📌 [ 繁體中文 | English ] Hey there! This is my research on Apache HTTP Server presented at Black Hat USA 2024. Additionally, this research will also be presented at HITCON and OrangeCon. If you’re int
👍1
Forwarded from ISACARuSec
IETF Datatracker
RFC 9700: Best Current Practice for OAuth 2.0 Security
This document describes best current security practice for OAuth 2.0. It updates and extends the threat model and security advice given in RFCs 6749, 6750, and 6819 to incorporate practical experiences gathered since OAuth 2.0 was published and covers new…
🔥1
Forwarded from Банк России
🤳 Банк России утвердил стандарт безопасного использования QR-кодов для платежей и переводов
🟠 Финансовые организации и компании из других сфер, которые применяют QR-код для проведения платежей и переводов, смогут разработать на основе этого регламента внутренние меры защиты.
🟠 В документе в зависимости от видов QR-кодов систематизированы угрозы, которые могут возникнуть на каждом этапе операции. Также представлены типовые способы защиты от этих угроз. Для внесения и снятия денег в банкомате по QR-коду предусмотрены отдельные меры защиты.
Стандарт носит рекомендательный характер и вступит в силу 17 февраля.
Стандарт носит рекомендательный характер и вступит в силу 17 февраля.
Please open Telegram to view this post
VIEW IN TELEGRAM