Раскрытие возможностей Scapy для фаззинга сети (3 минуты чтения)
В этом сообщении блога представлены инструкции по установке Scapy и демонстрируется его полезность при использовании для фаззинга FTP-сервера. Scapy — мощный инструмент для тестирования безопасности сети и приложений. Он предлагает широкие возможности манипулирования пакетами и может использоваться для фаззинга сетевых протоколов и протоколов конкретных приложений, а также для имитации атак типа «отказ в обслуживании».

https://www.darkrelay.com/post/unleashing-the-power-of-scapy-for-network-fuzzing

6 сканеров уязвимостей API

Крайне важно обеспечить безопасность и актуальность ваших API с использованием новейших мер безопасности. Но как узнать, безопасны ли ваши API? Ответ прост — с помощью сканера уязвимостей API. Сканеры уязвимостей могут обнаружить потенциальные угрозы безопасности в ваших API и помочь вам принять необходимые меры для предотвращения любых вредоносных атак со стороны хакеров . https://nordicapis.com/api-vulnerability-scanners

Основы безопасности Kubernetes: аутентификация (8 минут чтения)
В этом посте рассматривается аутентификация кластера Kubernetes. Он начинается с изучения внутренних методов аутентификации кластера, таких как клиентские сертификаты и учетные записи служб, а затем рассматриваются внешние методы аутентификации, такие как OIDC, для аутентификации в kube-api. Публикация завершается обзором того, как аутентифицироваться в других компонентах Kubernetes.

https://securitylabs.datadoghq.com/articles/kubernetes-security-fundamentals-part-3

Awesome GraphQL Security — это тщательно подобранный список платформ, программного обеспечения, библиотек и ресурсов GraphQL Security. Список разделен на наступательные, нейтральные и защитные инструменты.

https://github.com/Escape-Technologies/awesome-graphql-security

Как использовать LLM в качестве оружия для автоматического взлома веб-сайтов

https://www.theregister.com/2024/02/17/ai_models_weaponized

🔑 Потоки OAuth 2.0 объяснены в GIF-файлах

https://dev.to/hem/oauth-2-0-flows-explained-in-gifs-2o7a

Пароли в открытом доступе: ищем с помощью машинного обучения.

Я больше 10 лет работаю в IT и знаю, что сложнее всего предотвратить риски, связанные с человеческим фактором. 

Мы разрабатываем самые надежные способы защиты. Но всего один оставленный в открытом доступе пароль сведет все усилия к нулю. А чего только не отыщешь в тикетах Jira, правда?

Привет, меня зовут Александр Рахманный, я разработчик в команде информационной безопасности в Lamoda Tech. В этой статье поделюсь опытом, как мы ищем в корпоративных ресурсах чувствительные данные — пароли, токены и строки подключения — используя самописный ML-плагин. Рассказывать о реализации буду по шагам и с подробностями, чтобы вы могли создать такой инструмент у себя, даже если ML для вас — незнакомая технология.  

Читать далееhttps://habr.com/ru/companies/lamoda/articles/793716/

Безопасность фронтенд-приложений: советы и подсказки
Комплексное руководство по безопасности приложений

https://blog.bitsrc.io/frontend-application-security-tips-practices-f9be12169e66

В чем разница между версиями TLS?

https://medium.com/asecuritysite-when-bob-met-alice/whats-the-difference-between-tls-versions-57b448afddf6

🔒 Составленный контрольный список из более чем 300 советов по защите цифровой безопасности и конфиденциальности в 2024 году.

https://github.com/Lissy93/personal-security-checklist

Как система автоматизации обнаружила учетные данные администратора по умолчанию

Привет, хакеры, я вернулся с новым отчетом о вознаграждении за обнаружение ошибок. В этом блоге я собираюсь показать, как моя система автоматизации обнаружила учетные данные администратора по умолчанию на внутреннем ИТ-портале компании — Sapphire IMS . У компании есть программа вознаграждения за обнаружение ошибок на Hackerone .

https://vijetareigns.medium.com/how-automation-detected-default-admin-credential-worth-500-d6c09719d307

Платформа управления секретами с открытым исходным кодом : синхронизируйте секреты/конфигурации внутри вашей команды/инфраструктуры и предотвращайте утечку секретов.

https://github.com/Infisical/infisical

Странный и очень прибыльный мир конкурсов писателей-киберпреступников

Соревнования на форумах киберпреступников в Рунете обещают призовые до 80 тысяч долларов. Всё это происходит почти в открытую, а победителей потом хантят к себе хакерские сообщества. Слышали ли вы об этом секрете Полишинеля?


На всякий случай ссылки давать не буду. И заходить на эти сайты не рекомендую, если у вас нет хороших антивирусов. Но если кто-то об этой истории не знал, велком. https://habr.com/ru/companies/ruvds/articles/795469/

Аутентификация для WebSocket и SSE: до сих пор нет стандарта?

WebSocket и SSE появились более десяти лет назад, однако до сих пор в стандартах отсутствуют рекомендации по решению задачи аутентификации для подобных соединений.

В статье разберем особенности аутентификации применительно к протоколу WebSocket и технологии Server-Sent Events, обсудим, какие нюансы могут быть, когда клиентская часть находится в браузере, и на что еще стоит обратить внимание, чтобы избежать неочевидных проблем.

А еще заодно поговорим про уязвимость Cross-Site WebSocket Hijacking (CSWSH) и в целом посмотрим на многие вопросы через призму информационной безопасности. https://habr.com/ru/articles/790272/

JWT-аутентификация в NodeJS

Полное руководство для начинающих по аутентификации JWT
https://arindam1729.hashnode.dev/jwt-authentication-in-nodejs

Фишинг «фичи» Телеграма

Телеграмм старается быть безопасным, но как написано в их BugBounty программе, социальная инженерия - вне скоупа. В этом я с ними абсолютно согласен. Но они считают, что под это попадают и все небезопасно реализованные функции, которые могут использоваться только для социальной инженерии. В этом уже я с ними не согласен.

В этой статье я расскажу вам про две "фичи", которые исправлять мессенджер не намерен, но которые могут быть легко использоваться для социальной инженерии, особенно в связке. https://habr.com/ru/articles/794688/

Кодирование, шифрование и токенизация

https://blog.bytebytego.com/p/ep102-encoding-vs-encryption-vs-tokenization

Security Week 2411: критическая уязвимость в продуктах VMware.

5 марта компания VMware (ныне входящая в корпорацию Broadcom) сообщила об обнаружении ряда серьезных уязвимостей в продуктах VMware ESXi, Fusion, Cloud Foundation, Workstation Pro и Workstation Player. Всего было закрыто четыре уязвимости, а наиболее серьезная получила идентификатор CVE-2024-22252. Она относится к ошибке use-after-free в коде для работы с устройствами USB 3.0 (XHCI USB) в виртуальном окружении. Уязвимость получила близкий к максимальному рейтинг 9,3 балла по шкале CVSS, так как при некоторых условиях позволяет реализовать наиболее опасный в виртуальном окружении сценарий побега из «песочницы».

Вот как это происходит. При наличии прав администратора в виртуальной ОС атакующий может воспользоваться уязвимостью для выполнения произвольного кода. Потенциальные последствия такой атаки отличаются в зависимости от продукта. Для VMware ESXi код будет выполнен в пределах «песочницы», в то время как на VMware Workstation или Fusion существует вероятность выполнения кода непосредственно на хосте.

Читать дальше →https://habr.com/ru/companies/kaspersky/articles/799357

Как я случайно превратила свой сокращатель ссылок в приманку для мошенников

Пару месяцев назад я запустила сервис y.gy, навороченный сокращатель URL. Вызвано это было личной нуждой: в другом моём проекте, getwaitlist.com, используется множество реферальных ссылок, а доступные сервисы сокращения url не внушали мне доверия. В итоге я решила создать собственный инструмент, который наверняка окажется полезен не только мне.

Я разработала лучший в своём роде сокращатель со всеми возможными примочками, начиная с обширной кастомизации и заканчивая хорошей аналитикой трафика. Это всё, что мне было нужно. По аналогии со многими аналогичными инструментами я разместила интерфейс «Shorten Link» по центру домашней страницы. Регистрация для использования сервиса не требуется. Я сделала доступ бесплатным и неограниченным, опираясь на принцип: «бесплатность – лучшая маркетинговая стратегия». Закончив с настройкой, я без громких заявлений сделала релиз и начала потихоньку продвигать свой проект.
https://habr.com/ru/companies/ruvds/articles/798649/