Безопасность JavaScript: простые методы защиты вашего интерфейса
https://dev.to/buildwebcrumbs/javascript-security-simple-practices-to-secure-your-frontend-18ii
https://dev.to/buildwebcrumbs/javascript-security-simple-practices-to-secure-your-frontend-18ii
DEV Community
JavaScript Security: Simple Practices to Secure Your Frontend
I don't know about you, but I started my career as a front-end developer working in a small agency,...
Критическая ошибка, приводящая к DoS, RCE и утечкам данных на всех основных облачных платформах (3 минуты чтения)
Исследователи обнаружили серьезную уязвимость, связанную с повреждением памяти, получившую название «Linguistic Lumberjack» в Fluent Bit, утилите облачного ведения журналов с открытым исходным кодом, которую скачали более 3 миллиардов раз и широко используют крупные организации и поставщики облачных услуг, такие как AWS, Microsoft и Google Cloud. Эта уязвимость потенциально делает возможным отказ в обслуживании, утечку данных и удаленное выполнение кода в облачных средах.
https://www.darkreading.com/cloud-security/critical-bug-dos-rce-data-leaks-in-all-major-cloud-platforms
Исследователи обнаружили серьезную уязвимость, связанную с повреждением памяти, получившую название «Linguistic Lumberjack» в Fluent Bit, утилите облачного ведения журналов с открытым исходным кодом, которую скачали более 3 миллиардов раз и широко используют крупные организации и поставщики облачных услуг, такие как AWS, Microsoft и Google Cloud. Эта уязвимость потенциально делает возможным отказ в обслуживании, утечку данных и удаленное выполнение кода в облачных средах.
https://www.darkreading.com/cloud-security/critical-bug-dos-rce-data-leaks-in-all-major-cloud-platforms
Darkreading
Critical Bug Allows DoS, RCE, Data Leaks in All Major Cloud Platforms
An on-by-default endpoint in ubiquitous logging service Fluent Bit contains an oversight that hackers can toy with to rattle most any cloud environment.
Слежка через пуш-уведомления на смартфонах
Недавно стало известно о новом виде слежки за пользователями смартфонов: через пуш-уведомления в iOS и Android. Газета Washington Post написала, в частности, что эту тактику начало использовать ФБР (кэш статьи).
Довольно интересно, как работает такой метод выслеживания.
Согласно расследованию, для идентификации пользователей ФБР запрашивает у компаний Apple и Google данные пуш-уведомлений, так называемые «пуш-токены» (push token). Эти данные можно запрашивать без предъявления ордера. С помощью пуш-токенов можно идентифицировать конкретный смартфон, а потом запросить у компании данные о его владельце.
https://habr.com/ru/companies/globalsign/articles/815425/
Недавно стало известно о новом виде слежки за пользователями смартфонов: через пуш-уведомления в iOS и Android. Газета Washington Post написала, в частности, что эту тактику начало использовать ФБР (кэш статьи).
Довольно интересно, как работает такой метод выслеживания.
Согласно расследованию, для идентификации пользователей ФБР запрашивает у компаний Apple и Google данные пуш-уведомлений, так называемые «пуш-токены» (push token). Эти данные можно запрашивать без предъявления ордера. С помощью пуш-токенов можно идентифицировать конкретный смартфон, а потом запросить у компании данные о его владельце.
https://habr.com/ru/companies/globalsign/articles/815425/
Хабр
Слежка через пуш-уведомления на смартфонах
Недавно стало известно о новом виде слежки за пользователями смартфонов: через пуш-уведомления в iOS и Android . Газета Washington Post написала , в частности, что эту тактику начало использовать ФБР...
Как защитить ваше приложение Django — лучшие практики и примеры кода
В этом руководстве мы обсудим некоторые лучшие меры безопасности для безопасного проекта Django перед следующим развертыванием.
https://www.freecodecamp.org/news/how-to-secure-your-django-app
В этом руководстве мы обсудим некоторые лучшие меры безопасности для безопасного проекта Django перед следующим развертыванием.
https://www.freecodecamp.org/news/how-to-secure-your-django-app
Тонкая настройка Semgrep для Ruby Security: Pundit и SQL-инъекция
https://blog.siddarthadukia.com/2024/03/30/securing-rails-pundit.html
https://blog.siddarthadukia.com/2024/03/30/securing-rails-pundit.html
sorted unsorted thoughts
Fine-tuning Semgrep for Ruby Security: Pundit and SQL injection
In this blog post, we’ll go over the construction and tuning of a few Semgrep rules I created while looking at a Ruby on Rails application. Semgrep is a powerful code analysis tool, and while there are a fair number of community rules, the default rules don’t…
Сборник ресурсов по проектированию, внедрению и эксплуатации средств обнаружения с целью упреждающего выявления вредоносной или несанкционированной деятельности.
https://github.com/infosecB/awesome-detection-engineering
https://github.com/infosecB/awesome-detection-engineering
GitHub
GitHub - infosecB/awesome-detection-engineering: Detection Engineering is a tactical function of a cybersecurity defense program…
Detection Engineering is a tactical function of a cybersecurity defense program that involves the design, implementation, and operation of detective controls with the goal of proactively identifyin...
Утечка учетных данных при захвате поддомена (6 минут чтения)
Команда Truffle Security подробно рассказывает о том, как можно злоупотребить localStorage при захвате поддомена. Они обнаружили уязвимость захвата субдомена на Readme.io, которая может позволить злоумышленнику скомпрометировать любые учетные данные, введенные на исходной или скомпрометированной странице.
https://trufflesecurity.com/blog/credentials-leaking-with-subdomain-takeover
Команда Truffle Security подробно рассказывает о том, как можно злоупотребить localStorage при захвате поддомена. Они обнаружили уязвимость захвата субдомена на Readme.io, которая может позволить злоумышленнику скомпрометировать любые учетные данные, введенные на исходной или скомпрометированной странице.
https://trufflesecurity.com/blog/credentials-leaking-with-subdomain-takeover
Trufflesecurity
Credentials Leaking with Subdomain Takeover ◆ Truffle Security Co.
We’re disclosing new techniques to steal sensitive data in localStorage (like API keys and passwords) via subdomain takeover.
Prowler — это инструмент безопасности с открытым исходным кодом для AWS, Azure, GCP и Kubernetes, предназначенный для проведения оценок безопасности, аудита, реагирования на инциденты, соблюдения требований, непрерывного мониторинга, усиления защиты и готовности к криминалистической экспертизе. В него входят CIS, NIST 800, NIST CSF, CISA, FedRAMP, PCI-DSS, GDPR, HIPAA, FFIEC, SOC2, GXP, Well-Architected Security, ENS и другие. https://github.com/prowler-cloud/prowler
Тщательно подобранный список методов и инструментов для атаки и защиты конвейеров CI/CD.
https://github.com/TupleType/awesome-cicd-attacks
Тщательно подобранный список методов и инструментов для атаки и защиты конвейеров CI/CD.
https://github.com/TupleType/awesome-cicd-attacks
GitHub
GitHub - prowler-cloud/prowler: Prowler is the Open Cloud Security platform for AWS, Azure, GCP, Kubernetes, M365 and more. It…
Prowler is the Open Cloud Security platform for AWS, Azure, GCP, Kubernetes, M365 and more. It helps for continuous monitoring, security assessments & audits, incident response, compliance,...
Этот очень простой инструмент извлекает и отображает данные из функции восстановления в Windows 11, обеспечивая простой способ доступа к информации о снимках активности вашего ПК.
https://github.com/xaitax/TotalRecall
https://github.com/xaitax/TotalRecall
GitHub
GitHub - xaitax/TotalRecall: This tool extracts and displays data from the Recall feature in Windows 11, providing an easy way…
This tool extracts and displays data from the Recall feature in Windows 11, providing an easy way to access information about your PC's activity snapshots. - xaitax/TotalRecall
Перейди по ссылке, и я узнаю твой номер
В цифровую эпоху уже никто не удивляется, когда ему звонят с незнакомых номеров с рекламой. Мало ли какие соглашения о персональных данных мы подписываем и на каких сайтах оставляем свой номер.
Но сейчас на рынке информационных услуг всё большую популярность набирают сервисы, занимающиеся деанонимизацией пользователей при одном лишь открытии сайта. Причём всё это преподносится как абсолютно легальный сервис для бизнеса, с соблюдением закона о персональных данных. https://habr.com/ru/articles/819595/
В цифровую эпоху уже никто не удивляется, когда ему звонят с незнакомых номеров с рекламой. Мало ли какие соглашения о персональных данных мы подписываем и на каких сайтах оставляем свой номер.
Но сейчас на рынке информационных услуг всё большую популярность набирают сервисы, занимающиеся деанонимизацией пользователей при одном лишь открытии сайта. Причём всё это преподносится как абсолютно легальный сервис для бизнеса, с соблюдением закона о персональных данных. https://habr.com/ru/articles/819595/
Хабр
Перейди по ссылке, и я узнаю твой номер
Нейрокартинка с шестипалым курсором для привлечения внимания В цифровую эпоху уже никто не удивляется, когда ему звонят с незнакомых номеров с рекламой. Мало ли какие соглашения о персональных данных...
Как защитить SaaS-приложения будущего (6 минут чтения)
В этом посте рассказывается о проблемах идентификации, с которыми сталкиваются современные SaaS-приложения, и о более сложных способах, с помощью которых злоумышленники ищут доступ. В нем изложены требования единого входа, подготовки пользователей (через SCIM) и программного доступа к журналам в качестве требований для современных приложений SaaS. Он также предлагает подтверждение владения, профили оценки непрерывного доступа и универсальный выход из системы для SaaS-приложений будущего.
https://sec.okta.com/appsofthefuture
В этом посте рассказывается о проблемах идентификации, с которыми сталкиваются современные SaaS-приложения, и о более сложных способах, с помощью которых злоумышленники ищут доступ. В нем изложены требования единого входа, подготовки пользователей (через SCIM) и программного доступа к журналам в качестве требований для современных приложений SaaS. Он также предлагает подтверждение владения, профили оценки непрерывного доступа и универсальный выход из системы для SaaS-приложений будущего.
https://sec.okta.com/appsofthefuture
Okta Security
How to Secure the SaaS Apps of the Future
Over the past few years we’ve observed a fundamental shift in the threat model for highly targeted organizations.Today, if an attacker can’t manage to
Betterscan — это набор инструментов оркестрации, который использует самые современные инструменты для сканирования исходного кода и инфраструктуры IaC, а также анализа рисков безопасности и соответствия требованиям.
https://github.com/topcodersonline-solutions/betterscan-ce
https://github.com/topcodersonline-solutions/betterscan-ce
GitHub
GitHub - tcosolutions/betterscan: Code Scanning/SAST/Static Analysis/Linting using many tools/Scanners with One Report (Code, IaC)…
Code Scanning/SAST/Static Analysis/Linting using many tools/Scanners with One Report (Code, IaC) - Betterscan - tcosolutions/betterscan
OpenRecall (репозиторий GitHub)
OpenRecall — это альтернатива функции Microsoft Recall с полностью открытым исходным кодом, ориентированная на конфиденциальность.
https://github.com/openrecall/openrecall
OpenRecall — это альтернатива функции Microsoft Recall с полностью открытым исходным кодом, ориентированная на конфиденциальность.
https://github.com/openrecall/openrecall
GitHub
GitHub - openrecall/openrecall: OpenRecall is a fully open-source, privacy-first alternative to proprietary solutions like Microsoft's…
OpenRecall is a fully open-source, privacy-first alternative to proprietary solutions like Microsoft's Windows Recall. With OpenRecall, you can easily access your digital history, enhancing...
hijagger — проверка реестров пакетов на наличие пакетов, которые можно перехватить.
https://github.com/firefart/hijagger
https://github.com/firefart/hijagger
GitHub
GitHub - firefart/hijagger: Checks all maintainers of all NPM and Pypi packages for hijackable packages through domain re-registration
Checks all maintainers of all NPM and Pypi packages for hijackable packages through domain re-registration - firefart/hijagger
Предполагаемое нарушение: эволюция наступательного тестирования безопасности (чтение 8 минут)
TrustedSec подробно описывает свой новый подход к «красной команде» и пентестированию, который фокусируется на нарушениях на основе сценариев, в отличие от традиционных внутренних тестов на проникновение, которые сосредоточены в основном на сценариях физического вторжения, в результате которых злоумышленники внедряют в сеть мошенническое устройство. TrustedSec тестирует семь сценариев. Пост включает подробное описание сценариев и методов тестирования.
https://trustedsec.com/blog/assumed-breach-the-evolution-of-offensive-security-testing
TrustedSec подробно описывает свой новый подход к «красной команде» и пентестированию, который фокусируется на нарушениях на основе сценариев, в отличие от традиционных внутренних тестов на проникновение, которые сосредоточены в основном на сценариях физического вторжения, в результате которых злоумышленники внедряют в сеть мошенническое устройство. TrustedSec тестирует семь сценариев. Пост включает подробное описание сценариев и методов тестирования.
https://trustedsec.com/blog/assumed-breach-the-evolution-of-offensive-security-testing
TrustedSec
Assumed Breach: The Evolution of Offensive Security Testing
Assumed Breach assessments simulate a compromised internal network, helping organizations strengthen security posture by identifying vulnerabilities and…
Я боролся с DDoS и выжил, чтобы рассказать об этом
https://funkbytetech.substack.com/p/i-fought-a-ddos-and-lived-to-tell
https://funkbytetech.substack.com/p/i-fought-a-ddos-and-lived-to-tell
Substack
I fought a DDoS and lived to tell the tale
Episode 1 - A Developer's Saga
RedFlag (репозиторий GitHub)
RedFlag — это инструмент, который использует искусственный интеллект для обнаружения изменений кода с высоким уровнем риска. Сканирование имеет широкие возможности настройки и может использоваться для сканирования конкретных изменений или выпусков. https://github.com/Addepar/RedFlag
Agentic Security (репозиторий GitHub)
Agentic Security — это сканер уязвимостей с открытым исходным кодом для проверки устойчивости и надежности LLM. https://github.com/msoedov/agentic_security
RedFlag — это инструмент, который использует искусственный интеллект для обнаружения изменений кода с высоким уровнем риска. Сканирование имеет широкие возможности настройки и может использоваться для сканирования конкретных изменений или выпусков. https://github.com/Addepar/RedFlag
Agentic Security (репозиторий GitHub)
Agentic Security — это сканер уязвимостей с открытым исходным кодом для проверки устойчивости и надежности LLM. https://github.com/msoedov/agentic_security
GitHub
GitHub - Addepar/RedFlag: RedFlag uses AI to identify high-risk code changes. Run it in batch mode for release candidate testing…
RedFlag uses AI to identify high-risk code changes. Run it in batch mode for release candidate testing or in CI pipelines to flag PRs and add reviewers. RedFlag's flexible configuration mak...
Как создать конвейер для усиления защиты узлов Amazon EKS и автоматизации обновлений (5-минутное чтение)
https://aws.amazon.com/blogs/security/how-to-create-a-pipeline-for-hardening-amazon-eks-nodes-and-automate-updates
https://aws.amazon.com/blogs/security/how-to-create-a-pipeline-for-hardening-amazon-eks-nodes-and-automate-updates
Amazon
How to create a pipeline for hardening Amazon EKS nodes and automate updates | Amazon Web Services
July 16, 2024: We updated the code in this post and some of the CloudFormation parameters. Amazon Elastic Kubernetes Service (Amazon EKS) offers a powerful, Kubernetes-certified service to build, secure, operate, and maintain Kubernetes clusters on Amazon…
От dotenv к dotenvx: управление конфигурациями нового поколения
Dotenvx, эволюция популярного инструмента конфигурации dotenv, решает основные проблемы безопасности и удобства использования. Он обеспечивает кроссплатформенную согласованность, поддерживает несколько сред и вводит шифрование для файлов .env.
https://dotenvx.com/blog/2024/06/24/dotenvx-next-generation-config-management.html
Dotenvx, эволюция популярного инструмента конфигурации dotenv, решает основные проблемы безопасности и удобства использования. Он обеспечивает кроссплатформенную согласованность, поддерживает несколько сред и вводит шифрование для файлов .env.
https://dotenvx.com/blog/2024/06/24/dotenvx-next-generation-config-management.html
dotenvx
From dotenv to dotenvx: Next Generation Config Management
A leap forward in configuration management for dotenv