Разбор Easy-машины из HTB Season 10. Точка входа - RCE через MCP Inspector (dev-тулза для AI-серверов), дальше LFI в контейнере, credential reuse и Docker privesc. Два пути до root, MITRE маппинг, и разбор почему MCP-экосистема - это новый attack surface. Читать далее
Протокол Model Context Protocol (MCP) стремительно развивается, и вопросы его безопасности становятся всё актуальнее. Чтобы упростить реализацию защиты MCP-серверов в проектах на Spring AI, был запущен инкубационный проект spring-ai-community/mcp-security. В новом переводе от команды Spring АйО рассмотрим, как защитить MCP-сервер с помощью OAuth2 или API-ключей, а также как развернуть собственный MCP-совместимый Spring Authorization Server. Читать далее
FreeRDP is a free implementation of the Remote Desktop Protocol (RDP), released under the Apache license. Affected versions are subject to an invalid offset validation leading to Out Of Bound Write. This can be triggered when the values `rect->left` and `rect->top` are exactly equal to `surface->width` and `surface->height`. eg. `rect->left` == `surface->width` && `rect->top` == `surface->height`. In practice this should cause a crash. This issue has been addressed in…
Последние месяцы Model Context Protocol (MCP) — буквально из каждого утюга. YouTube, Twitter, конференции, доки — все жужжат:MCP — это прорыв, новый стандарт дебага, интеграция AI в тесты нового поколения и прочее.Звучит круто. Но, как это часто бывает, — всё сложно, перегружено и на птичьем языке.В этой статье — простой, честный взгляд на MCP: без зауми, с примерами и аналогиями, которые реально помогают врубиться в тему. Читать далее