История одной уязвимости.
Всем привет. Сегодня я поведаю о дыре в безопасности одного открытого проекта — от выявления до устранения, а также как решая заявку с багом, невольно стал исследователем уязвимостей.
Читать дальше → https://habr.com/ru/companies/ruvds/articles/734306
Всем привет. Сегодня я поведаю о дыре в безопасности одного открытого проекта — от выявления до устранения, а также как решая заявку с багом, невольно стал исследователем уязвимостей.
Читать дальше → https://habr.com/ru/companies/ruvds/articles/734306
Хабр
История одной уязвимости
Всем привет. Сегодня я поведаю о дыре в безопасности одного открытого проекта — от выявления до устранения, а также как решая заявку с багом, невольно стал исследователем уязвимостей. Всё началось с...
This media is not supported in your browser
VIEW IN TELEGRAM
Эксплуатация MOVEit Transfer — это не просто SQL-инъекция ( 👀). Мы обнаружили самый последний этап цепочки атак, чтобы сбросить human2.aspx, что в конечном итоге приводит к удаленному выполнению кода ‼️
Проверьте все, что мы накопали: https://www.huntress.com/blog/moveit-transfer-critical-vulnerability-rapid-response
Проверьте все, что мы накопали: https://www.huntress.com/blog/moveit-transfer-critical-vulnerability-rapid-response
Почему новые домены .zip и .mov — подарок «Гугла» мошенникам.
В последние годы обширный список доменов первого уровня (top level domains, TLD) регулярно пополняется: всё чаще в дополнение к обычным доменам .com, .org, .ru, .net стали встречаться домены .aero, .club итд.
Следуя за спросом, Google анонсировал в мае 8 новых доменов, включая два неотличимых от популярных расширений файлов адреса: .zip и .mov. От остальных доменов верхнего уровня эти два отличаются тем, что соответствующие URL крайне трудно отличить от имен файлов с таким же разрешением. IT и ИБ-специалисты немедленно подняли тревогу о проблемах этого TLD: возможная путаница, ошибки в обработке ссылок и новые схемы фишинга.
Не прошло и месяца, как уже были обнаружили первые примеры реального фишинга с использованием этого подарка Google скамерам. Бороться с этим можно и нужно, но не лучше ли было бы просто признать ошибку и разделегерировать эти домены насовсем?
Читать далее https://habr.com/ru/companies/xeovo/articles/740642/
В последние годы обширный список доменов первого уровня (top level domains, TLD) регулярно пополняется: всё чаще в дополнение к обычным доменам .com, .org, .ru, .net стали встречаться домены .aero, .club итд.
Следуя за спросом, Google анонсировал в мае 8 новых доменов, включая два неотличимых от популярных расширений файлов адреса: .zip и .mov. От остальных доменов верхнего уровня эти два отличаются тем, что соответствующие URL крайне трудно отличить от имен файлов с таким же разрешением. IT и ИБ-специалисты немедленно подняли тревогу о проблемах этого TLD: возможная путаница, ошибки в обработке ссылок и новые схемы фишинга.
Не прошло и месяца, как уже были обнаружили первые примеры реального фишинга с использованием этого подарка Google скамерам. Бороться с этим можно и нужно, но не лучше ли было бы просто признать ошибку и разделегерировать эти домены насовсем?
Читать далее https://habr.com/ru/companies/xeovo/articles/740642/
Хабр
Почему новые домены .zip и .mov — подарок «Гугла» мошенникам
В последние годы обширный список доменов первого уровня (top level domains, TLD) регулярно пополняется: всё чаще в дополнение к обычным доменам .com, .org, .ru, .net стали встречаться домены .aero,...
Тестирование на проникновение, от новичков до экспертов!
https://github.com/xalgord/Massive-Web-Application-Penetration-Testing-Bug-Bounty-Notes
https://github.com/xalgord/Massive-Web-Application-Penetration-Testing-Bug-Bounty-Notes
Отличное введение в концепции криптографии для начинающих
Часть 1: https://sergioprado.blog/introduction-to-encryption-for-embedded-linux-developers/
Часть 2: https://sergioprado.blog/a-hands-on-approach-to-symmetric-key-encryption/
Часть 3: https://sergioprado.blog/asymmetric-key-encryption-and-digital-signatures-in-practice/
Часть 1: https://sergioprado.blog/introduction-to-encryption-for-embedded-linux-developers/
Часть 2: https://sergioprado.blog/a-hands-on-approach-to-symmetric-key-encryption/
Часть 3: https://sergioprado.blog/asymmetric-key-encryption-and-digital-signatures-in-practice/
sergioprado.blog
Introduction to encryption for embedded Linux developers
This article is an introduction to encryption for embedded Linux developers.
Google недавно выпустил новый сертификат в области кибербезопасности. Вам не нужно никакого опыта, чтобы начать, так как он был разработан для начинающих. В этом руководстве объясняется, что такое сертификат специалиста по кибербезопасности и как начать работу.
https://www.freecodecamp.org/news/cybersecurity-professional-certificate-by-google/
https://www.freecodecamp.org/news/cybersecurity-professional-certificate-by-google/
freeCodeCamp.org
Google's New Cybersecurity Professional Certificate Explained
Google has released a new professional certificate in Cybersecurity. The announcement came on May 4th, 2023 and marks the 6th topical branch in their continually expanding certificate program. It follows five other successful entry-level certificate ...
Мощный сенсорный инструмент для обнаружения панелей входа и сканирования POST Form SQLi
https://github.com/Mr-Robert0/Logsensor
https://github.com/Mr-Robert0/Logsensor
Вирусы на серверах компании — как это бывает?.
Всем привет! В свободное от не-работы время я CTO собственной компании (DigitalWand), и как следствие – чем мне только ни приходится заниматься! И вот недавно один из наших клиентов посетовал на проблемы в своей внутренней кухне: мол, вирус положил внутренние сервисы, включая git и площадки для разработки. И тут мне вспомнилась собственная аналогичная проблема, которая произошла год тому назад. Вот эту страшилку и хотел бы рассказать. Думаю, будет полезна как начинающим сисадминам и девопсам, так и вообще людям, которые каким-то боком с линуксовыми серверами связаны, но серьёзного пороха ещё не нюхали.
https://habr.com/ru/articles/738984/
Всем привет! В свободное от не-работы время я CTO собственной компании (DigitalWand), и как следствие – чем мне только ни приходится заниматься! И вот недавно один из наших клиентов посетовал на проблемы в своей внутренней кухне: мол, вирус положил внутренние сервисы, включая git и площадки для разработки. И тут мне вспомнилась собственная аналогичная проблема, которая произошла год тому назад. Вот эту страшилку и хотел бы рассказать. Думаю, будет полезна как начинающим сисадминам и девопсам, так и вообще людям, которые каким-то боком с линуксовыми серверами связаны, но серьёзного пороха ещё не нюхали.
https://habr.com/ru/articles/738984/
Хабр
Вирусы на серверах компании — как это бывает?
Всем привет! В свободное от не-работы время я CTO собственной компании (DigitalWand), и как следствие – чем мне только ни приходится заниматься! И вот недавно один из наших клиентов посетовал на...
Тщательно подобранный список материалов и ресурсов по веб-безопасности.
https://github.com/qazbnm456/awesome-web-security
https://github.com/qazbnm456/awesome-web-security
GitHub
GitHub - qazbnm456/awesome-web-security: 🐶 A curated list of Web Security materials and resources.
🐶 A curated list of Web Security materials and resources. - qazbnm456/awesome-web-security
Бесплатный курс по анализу вредоносных программ, охватывает концепции вредоносных программ, анализ вредоносных программ и методы обратного проектирования
https://class.malware.re/
https://class.malware.re/
Безопасно переносите вещи с одного компьютера на другой.
Этот пакет предоставляет библиотеку и инструмент командной строки с именем wormhole, который позволяет переносить файлы и каталоги произвольного размера (или короткие фрагменты текста) с одного компьютера на другой. https://github.com/magic-wormhole/magic-wormhole
Этот пакет предоставляет библиотеку и инструмент командной строки с именем wormhole, который позволяет переносить файлы и каталоги произвольного размера (или короткие фрагменты текста) с одного компьютера на другой. https://github.com/magic-wormhole/magic-wormhole
GitHub
GitHub - magic-wormhole/magic-wormhole: get things from one computer to another, safely
get things from one computer to another, safely. Contribute to magic-wormhole/magic-wormhole development by creating an account on GitHub.
Как я обнаружил ошибку SQL Injection при использовании мобильного телефона.
https://medium.com/@0xnaeem/how-i-found-a-sql-injection-bug-in-using-my-cellphone-5b5193fdc314
https://medium.com/@0xnaeem/how-i-found-a-sql-injection-bug-in-using-my-cellphone-5b5193fdc314
Medium
How I found a SQL Injection bug in using my cellphone.
Assalamu Alaikum I am Naeem Ahmed Sayed (0xNaeem), Part Time Bug Bounty Hunter from Bangladesh . and welcome to my story about a critical bug I found on the phone. Let’s Start, I choose Hackerone…
История одной XSS в Telegram.
Здравствуйте, уважаемые читатели Хабра! Сегодня я хочу поделиться с вами информацией о XSS-уязвимости, которую я обнаружил в Telegram около двух недель назад. Также статья коснется некоторых особенностей работы программы поиска уязвимостей от Telegram. Моя цель — не только продемонстрировать вам интересный и относительно простой пример XSS, но и обозначить причины, по которым, возможно, не стоит тратить свои усилия на участие в багбаунти программе Telegram.
Читать далее https://habr.com/ru/articles/744316/
Здравствуйте, уважаемые читатели Хабра! Сегодня я хочу поделиться с вами информацией о XSS-уязвимости, которую я обнаружил в Telegram около двух недель назад. Также статья коснется некоторых особенностей работы программы поиска уязвимостей от Telegram. Моя цель — не только продемонстрировать вам интересный и относительно простой пример XSS, но и обозначить причины, по которым, возможно, не стоит тратить свои усилия на участие в багбаунти программе Telegram.
Читать далее https://habr.com/ru/articles/744316/
Хабр
История одной XSS в Telegram
Статья имеет ознакомительный характер и предназначена для специалистов по безопасности, проводящих тестирование в рамках контракта. Автор не несет...
API под атакой: как подготовиться к взлому и как реагировать на него
В этой статье рассматривается тема нарушений безопасности API и дается ценная информация о том, как эффективно подготовиться к таким атакам и отреагировать на них. https://dzone.com/articles/apis-under-attack-how-to-prepare-for-and-respond-t
В этой статье рассматривается тема нарушений безопасности API и дается ценная информация о том, как эффективно подготовиться к таким атакам и отреагировать на них. https://dzone.com/articles/apis-under-attack-how-to-prepare-for-and-respond-t
DZone
APIs Under Attack: How To Prepare for and Respond to Breaches
APIs are a critical part of modern software development, as they allow developers to build more powerful and efficient applications by reusing existing code and functionality. However, the very openness and accessibility of APIs also make them vulnerable…
Почему хакеры предпочитают Kali Linux?
Kali Linux — это операционная система Linux на основе Debian, созданная почти десять лет назад. За последние несколько лет приобрел значительную популярность среди хакеров и специалистов по кибербезопасности. В связи с постоянно растущей зависимостью от цифровых инфраструктур и постоянно растущими онлайн-угрозами кибербезопасность сегодня становится все более актуальной для обычных пользователей и предприятий.
Этические хакеры и пентестеры играют жизненно важную роль в выявлении уязвимостей и повышении безопасности систем. Kali Linux стала их популярной операционной системой благодаря своим комплексным инструментам и функциям, предназначенным для тестирования и анализа безопасности.
https://www.debugpoint.com/why-kali-linux/
Kali Linux — это операционная система Linux на основе Debian, созданная почти десять лет назад. За последние несколько лет приобрел значительную популярность среди хакеров и специалистов по кибербезопасности. В связи с постоянно растущей зависимостью от цифровых инфраструктур и постоянно растущими онлайн-угрозами кибербезопасность сегодня становится все более актуальной для обычных пользователей и предприятий.
Этические хакеры и пентестеры играют жизненно важную роль в выявлении уязвимостей и повышении безопасности систем. Kali Linux стала их популярной операционной системой благодаря своим комплексным инструментам и функциям, предназначенным для тестирования и анализа безопасности.
https://www.debugpoint.com/why-kali-linux/
Охота на Nginx Alias Traversals
Nginx, универсальный веб-сервер, имеющий ключевое значение для многочисленных интернет-инфраструктур, занимает доминирующую долю рынка с момента своего создания в 2004 году, получив широкое распространение на веб-сайтах и в контейнерах Docker. В этой статье рассматриваются тонкости Nginx, основное внимание уделяется директивам местоположения и псевдонима, которые играют центральную роль в том, как Nginx обрабатывает определенные URL-адреса. Мы также изучаем потенциальные уязвимости, возникающие из-за неправильных конфигураций, и демонстрируем, как они могут привести к эксплойтам безопасности, опираясь на исследования, представленные Orange Tsai на конференции BlackHat 2018. https://labs.hakaioffsec.com/nginx-alias-traversal/
Nginx, универсальный веб-сервер, имеющий ключевое значение для многочисленных интернет-инфраструктур, занимает доминирующую долю рынка с момента своего создания в 2004 году, получив широкое распространение на веб-сайтах и в контейнерах Docker. В этой статье рассматриваются тонкости Nginx, основное внимание уделяется директивам местоположения и псевдонима, которые играют центральную роль в том, как Nginx обрабатывает определенные URL-адреса. Мы также изучаем потенциальные уязвимости, возникающие из-за неправильных конфигураций, и демонстрируем, как они могут привести к эксплойтам безопасности, опираясь на исследования, представленные Orange Tsai на конференции BlackHat 2018. https://labs.hakaioffsec.com/nginx-alias-traversal/
Hakai
Vulnerability Research
Forwarded from Linux
25 лучших инструментов безопасности Linux для усиления киберзащиты
В сегодняшнем все более неспокойном мире наличие мощного арсенала инструментов безопасности Linux имеет важное значение для защиты вашей конфиденциальной информации и защиты ваших критически важных систем. Это подробное руководство знакомит вас с 25 лучшими инструментами в различных категориях, тщательно отобранными для обеспечения всестороннего подхода к безопасности в Linux.
Среди категорий мы охватываем мониторинг сети, судебную экспертизу, обратный инжиниринг, оценку уязвимостей и управление ими, анализ вредоносных программ, безопасность конечных точек и инструменты безопасности веб-приложений. Мы тщательно рассмотрели каждую категорию и согласовали инструменты с уникальными задачами, которые они решают в сфере кибербезопасности. Это гарантирует, что у вас будут самые эффективные и надежные решения, независимо от вашей области деятельности.
Изучив эти инструменты, вы обнаружите, что они предлагают мощное сочетание функций, простоты использования и адаптируемости в соответствии с вашими потребностями. Почти все эти инструменты мы протестировали на новом Kali Purple. Итак, без лишних слов, давайте рассмотрим лучшие инструменты безопасности Linux, которые помогут вам защитить ваши системы.
https://www.stationx.net/linux-security-tools/
В сегодняшнем все более неспокойном мире наличие мощного арсенала инструментов безопасности Linux имеет важное значение для защиты вашей конфиденциальной информации и защиты ваших критически важных систем. Это подробное руководство знакомит вас с 25 лучшими инструментами в различных категориях, тщательно отобранными для обеспечения всестороннего подхода к безопасности в Linux.
Среди категорий мы охватываем мониторинг сети, судебную экспертизу, обратный инжиниринг, оценку уязвимостей и управление ими, анализ вредоносных программ, безопасность конечных точек и инструменты безопасности веб-приложений. Мы тщательно рассмотрели каждую категорию и согласовали инструменты с уникальными задачами, которые они решают в сфере кибербезопасности. Это гарантирует, что у вас будут самые эффективные и надежные решения, независимо от вашей области деятельности.
Изучив эти инструменты, вы обнаружите, что они предлагают мощное сочетание функций, простоты использования и адаптируемости в соответствии с вашими потребностями. Почти все эти инструменты мы протестировали на новом Kali Purple. Итак, без лишних слов, давайте рассмотрим лучшие инструменты безопасности Linux, которые помогут вам защитить ваши системы.
https://www.stationx.net/linux-security-tools/
StationX
Top 25 Linux Security Tools to Boost Cyber Defense
Discover 25 top Linux security tools across various categories, including network monitoring, forensics, malware analysis, and more.
Изучение межсайтового скриптинга (XSS): риски, уязвимости и меры предотвращения
При создании приложения с интерфейсом, отличным от CLI, крайне важно уделить первостепенное внимание безопасности внешнего интерфейса, чтобы обеспечить целостность вашей системы. Одним из наиболее серьезных рисков, к которым может привести плохо реализованный интерфейс, является межсайтовый скриптинг (XSS). Хотя многие статьи и курсы затрагивают тему безопасности при разработке веб-приложений, они часто не дают исчерпывающих объяснений.
Поэтому важно вникнуть в уязвимость XSS , понять ее первопричины, изучить потенциальные методы эксплуатации, изучить правильное использование инфраструктуры React и, в конечном итоге, принять эффективные меры для защиты любого внешнего приложения от угрозы XSS.
https://hackernoon.com/exploring-cross-site-scripting-xss-risks-vulnerabilities-and-prevention-measures?source=rss
При создании приложения с интерфейсом, отличным от CLI, крайне важно уделить первостепенное внимание безопасности внешнего интерфейса, чтобы обеспечить целостность вашей системы. Одним из наиболее серьезных рисков, к которым может привести плохо реализованный интерфейс, является межсайтовый скриптинг (XSS). Хотя многие статьи и курсы затрагивают тему безопасности при разработке веб-приложений, они часто не дают исчерпывающих объяснений.
Поэтому важно вникнуть в уязвимость XSS , понять ее первопричины, изучить потенциальные методы эксплуатации, изучить правильное использование инфраструктуры React и, в конечном итоге, принять эффективные меры для защиты любого внешнего приложения от угрозы XSS.
https://hackernoon.com/exploring-cross-site-scripting-xss-risks-vulnerabilities-and-prevention-measures?source=rss
Hackernoon
Exploring Cross-Site Scripting (XSS): Risks, Vulnerabilities, and Prevention Measures
Cross-site scripting (XSS) is a common web security issue that can expose your web application and its users to various attacks. In this article, you will learn
Кто он? Специалист по информационной безопасности.
Жизненная ситуация: в крупной федеральной компании сокращают штат IT-специалистов. Но один отдел не то что не трогают — открывают новые вакансии.
И да, это отдел информационной безопасности.
Корпорациям чертовски невыгодно терять данные. Это деньги, которые уйдут вместе с клиентами, это время на поиск проблемы, это усилия и без того загруженных разработчиков, чтобы всё починить...
И как же круто, когда проект на всех его этапах ведёт мощный специалист по ИБ. И именно таких людей мы обучаем на курсе «Основы информационной безопасности».
Делиться тонкостями будет Роман Панин — руководитель направления по архитектуре ИБ в МТС, Certified Red Hat Openshift Administrator с 9+ годами опыта в безопасности.
У всех студентов курса будет возможность поговорить с Романом лично — он проведёт встречу 21 июля и ответит на все вопросы касательно информационной безопасности.
➡️ Присоединиться к курсу вы можете по ссылке.
Please open Telegram to view this post
VIEW IN TELEGRAM
Что такое CORS?
В этой статье я объясню, что такое CORS и CORS-ошибки и почему вы можете с ними столкнуться. Я представлю возможные решения и объясню, что такое preflight-запросы, CORS-заголовки и почему они важны в общении между сторонами. Статья предполагает, что у вас есть базовые знания о веб-разработке и протоколе HTTP. Я постарался написать статью так, чтобы она была понятна новичкам, наполнить ее знаниями и постарался избежать слишком большого количества технических нюансов, которые не связаны тесно с темой CORS. Если вы заметили какие-то ошибки или у вас есть какие-то предложения, не стесняйтесь обращаться ко мне. В некоторых местах я сделал упрощение, где сервис означает сервер и наоборот.
https://dev.to/jpomykala/what-is-cors-11kf
В этой статье я объясню, что такое CORS и CORS-ошибки и почему вы можете с ними столкнуться. Я представлю возможные решения и объясню, что такое preflight-запросы, CORS-заголовки и почему они важны в общении между сторонами. Статья предполагает, что у вас есть базовые знания о веб-разработке и протоколе HTTP. Я постарался написать статью так, чтобы она была понятна новичкам, наполнить ее знаниями и постарался избежать слишком большого количества технических нюансов, которые не связаны тесно с темой CORS. Если вы заметили какие-то ошибки или у вас есть какие-то предложения, не стесняйтесь обращаться ко мне. В некоторых местах я сделал упрощение, где сервис означает сервер и наоборот.
https://dev.to/jpomykala/what-is-cors-11kf