Обязательно запланировать и потратить немного времени, чтобы посмотреть актуальщину по похекам:)
Forwarded from Пост Импакта
🔥14
Forwarded from Пост Импакта
Вот и закончилась конференция KazHackStan, организаторы были гостеприимны к иностранным гостям, сняли им дорогой отель и угостили барашком.
Доклады, которые были на конференции прикреплены файлами к посту выше:
«Выйди и зайди нормально!» (Ломаем Bitrix)
@i_bo0om
«Атакуем языковые модели»
@wearetyomsmnv
«Что нужно учитывать при первом участии в Bug Bounty?»
@turbobarsuchiha — triage team Standoff365
«Ломаем Ethereum: Пентестинг Смарт-Контрактов»
@gspdnsobaka — triage team Immunefi
«Red Purple Team»
@Sn0w7 — lead MTC RED
«DevSecOps»
@gazizovasg — Swordfish
«Как ломать SAML, если у меня лапки?»
@agrrrdog — Acunetix
«Offensive OSINT»
@adkkkkkkkk — Innostage
Доклады, которые были на конференции прикреплены файлами к посту выше:
«Выйди и зайди нормально!» (Ломаем Bitrix)
@i_bo0om
«Атакуем языковые модели»
@wearetyomsmnv
«Что нужно учитывать при первом участии в Bug Bounty?»
@turbobarsuchiha — triage team Standoff365
«Ломаем Ethereum: Пентестинг Смарт-Контрактов»
@gspdnsobaka — triage team Immunefi
@Sn0w7 — lead MTC RED
«DevSecOps»
@gazizovasg — Swordfish
«Как ломать SAML, если у меня лапки?»
@agrrrdog — Acunetix
«Offensive OSINT»
@adkkkkkkkk — Innostage
👍11
Forwarded from Минцифры России
Правительство поддержало инициативу Минцифры о компенсации пострадавшим от утечек персональных данных в рамках закона об оборотных штрафах.
Если компания, которая допустила утечку, обеспечит финансовое возмещение нанесённого пользователю вреда, это будет признаваться смягчающим обстоятельством. В этом случае к ней будут применяться пониженные оборотные штрафы.
Как это будет работать:
1. Компания должна сообщить пользователю об утечке, прислать ему смс/e-mail на номер/адрес, которые были указаны при регистрации. Если компания готова выплачивать компенсацию — это будет напрямую указано в тексте сообщения. Минцифры также разместит эту информацию на Госуслугах.
2. После этого у пользователя будет 15 рабочих дней, чтобы подать заявку на Госуслугах на возмещение причинённого ущерба.
3. Компания в течение 20 рабочих дней после получения заявок рассчитает объём денежной выплаты и направит через Госуслуги своё предложение всем обратившимся.
4. Пользователь сможет принять предложение или отказаться от него в течение 20 рабочих дней.
5. Если более 80% обратившихся согласятся на компенсацию, то компания должна будет выплатить её в течение 5 рабочих дней.
@mintsifry
Please open Telegram to view this post
VIEW IN TELEGRAM
👏9🤯1
Минцифры России
Мне лично кажется, что это благостная инициатива.
Она породит зачатки сознательности у граждан РФ в отношении своих цифровых активов (особенно если ее правильнопопиарить подать, и начнет влиять на рынок и общий уровень защищенности бизнеса в РФ.
* Еще раз уточню, именно как глобальная концепция ответственности игроков и требовательности к провайдерам, которые нас обслуживают.
Я считаю, что у нас в культуре в целом все неплохо с требованиями к обслуживанию. Возможно поэтому у наспиздатый прекрасный банкинг, доставка, развлечения, рестораны и пр. От государства мы требовать не умеем, а вот от тех, кому мы на прямую платим, вполне себе научились голосовать рублем.
Нюансы очевидны:
1. Реальность как всегда сильно отличается от формальных требований, которые никуда не делись.
Объясню... Может случиться так, что объективная реальность и защита компании от рисков взломов и утечек, на которую так давит этот закон, будет заставлять заниматься тем, что нужно здесь и сейчас, а формальные требования и регуляция будут заставлять выполнять действия параллельные или вовсе противоположные. Тогда придется чем-то жертвовать и ждать поправок…
2. Как всегда применимость этого требования остается под вопросом пока мы не увидим прецедент. Прецеденты с 152-ФЗ и штрафами по ним мы уже насмотрелись. Можно сказать, посмеялись от души..
3. Мера серьезности этой инициативы пропорциональна проценту оборотного штрафа 🙃
В любом случае, приятно видеть, что Министерство цифрового развития подхватывает идеи с рынка, передовые практики и реагирует на происходящее.
Она породит зачатки сознательности у граждан РФ в отношении своих цифровых активов (особенно если ее правильно
* Еще раз уточню, именно как глобальная концепция ответственности игроков и требовательности к провайдерам, которые нас обслуживают.
Я считаю, что у нас в культуре в целом все неплохо с требованиями к обслуживанию. Возможно поэтому у нас
Нюансы очевидны:
1. Реальность как всегда сильно отличается от формальных требований, которые никуда не делись.
Объясню... Может случиться так, что объективная реальность и защита компании от рисков взломов и утечек, на которую так давит этот закон, будет заставлять заниматься тем, что нужно здесь и сейчас, а формальные требования и регуляция будут заставлять выполнять действия параллельные или вовсе противоположные. Тогда придется чем-то жертвовать и ждать поправок…
2. Как всегда применимость этого требования остается под вопросом пока мы не увидим прецедент. Прецеденты с 152-ФЗ и штрафами по ним мы уже насмотрелись. Можно сказать, посмеялись от души..
3. Мера серьезности этой инициативы пропорциональна проценту оборотного штрафа 🙃
В любом случае, приятно видеть, что Министерство цифрового развития подхватывает идеи с рынка, передовые практики и реагирует на происходящее.
👏5👍3
Forwarded from CyberED (CyberEd)
📢 Привет! Мы — Центр компетенций по кибербезопасности CyberEd: собираем курсы, профессиональные треки, CTF для тех, кто хочет со стартового уровня в кибербезопасности перейти к профессиональной деятельности в пентесте/защите/безопасной разработке.
Мы недавно публиковали пост о поиске в нашу большую команду новых экспертов и технических писателей.
🕶 Сейчас, в один из наших B2B-проектов по построению киберполигона, мы дополнительно ищем 2 специалистов:
1️⃣ Программист, который поможет заложить веб-уязвимости в стенд ДБО
Основная задача
Необходимо разработать макет ДБО со следующими характеристиками:
- техническая поддержка,
- функция создания счетов,
- функция перевода средств как другим пользователям, так и в пределах одного аккаунта между счетами, а так же обмена 2-х валют в личном кабинете.
Мы будем рады предложить тебе сотрудничество, если ты:
- имеешь опыт по разработке сайтов/лендингов;
- знаешь и умеешь закладывать в сайты/лендинги типовые веб-уязвимости: XSS, IDOR, Race condition, уязвимость бизнес-логики;
- умеешь и хочешь разрабатывать таски разного уровня сложности, продумывать вместе с нами систему оценивания для участников киберполигона.
2️⃣ Разработчик web-панели
Основная задача
Необходимо разработать информационную систему управления учебными классами и виртуальными стендами — web-приложение, которое будет содержать 2 представления:
- панель администратора, которая включает в себя возможность просматривать статистику и управлять учебными комнатами, а также создавать VM;
- панель участника, которая включает в себя вкладку с заданиями (тасками) и вкладку с турнирной таблицей.
Мы будем рады предложить тебе сотрудничество, если ты:
- имеешь опыт по разработке web-приложений;
- умеешь и хочешь продумывать вместе с нами систему оценивания для участников киберполигона.
📌 Если тебе откликается какая-либо из этих 2-х позиций, и у тебя есть необходимые опыт и компетенции — напиши @alena_korn, обсудим детали и условия👌
📎 Напоминаем, что мы работаем с нашим сообществом в режиме проектной работы / part-time. Все усилия и активности оплачиваются.
Мы недавно публиковали пост о поиске в нашу большую команду новых экспертов и технических писателей.
🕶 Сейчас, в один из наших B2B-проектов по построению киберполигона, мы дополнительно ищем 2 специалистов:
1️⃣ Программист, который поможет заложить веб-уязвимости в стенд ДБО
Основная задача
Необходимо разработать макет ДБО со следующими характеристиками:
- техническая поддержка,
- функция создания счетов,
- функция перевода средств как другим пользователям, так и в пределах одного аккаунта между счетами, а так же обмена 2-х валют в личном кабинете.
Мы будем рады предложить тебе сотрудничество, если ты:
- имеешь опыт по разработке сайтов/лендингов;
- знаешь и умеешь закладывать в сайты/лендинги типовые веб-уязвимости: XSS, IDOR, Race condition, уязвимость бизнес-логики;
- умеешь и хочешь разрабатывать таски разного уровня сложности, продумывать вместе с нами систему оценивания для участников киберполигона.
2️⃣ Разработчик web-панели
Основная задача
Необходимо разработать информационную систему управления учебными классами и виртуальными стендами — web-приложение, которое будет содержать 2 представления:
- панель администратора, которая включает в себя возможность просматривать статистику и управлять учебными комнатами, а также создавать VM;
- панель участника, которая включает в себя вкладку с заданиями (тасками) и вкладку с турнирной таблицей.
Мы будем рады предложить тебе сотрудничество, если ты:
- имеешь опыт по разработке web-приложений;
- умеешь и хочешь продумывать вместе с нами систему оценивания для участников киберполигона.
📌 Если тебе откликается какая-либо из этих 2-х позиций, и у тебя есть необходимые опыт и компетенции — напиши @alena_korn, обсудим детали и условия👌
📎 Напоминаем, что мы работаем с нашим сообществом в режиме проектной работы / part-time. Все усилия и активности оплачиваются.
CyberED
Главная
Курсы по кибербезопасности. Обучаем и повышаем профессиональный уровень ИБ специалистов. Знания, которые можно применить на практике!
👍2
Forwarded from Information Security Memes
This media is not supported in your browser
VIEW IN TELEGRAM
🔥44👍7
Подкаст
Записали выпуск для аудитории IT и разработчиков, а также для всех начинающих присоединяться к теме, с ребятами из Yandex Cloud. Получилось очень лампово и с толком. Приятного просмотра)
Анонс:
«Пентесты: о чём безопасникам и разработке разговаривать с хакерами
Наконец-то позвали в гости настоящих хакеров. Но есть нюанс. В этом выпуске рассказываем про тех, кто выбрал светлую сторону: как становятся пентестерами, какие специфические моменты есть в этой профессии, почему компании доверяют тестирование своих ИТ-инфраструктур внешним специалистам.»
Ссылка: https://youtu.be/YRpEA5q1fqY?si=Yv0appCHKsWmb5CY
Записали выпуск для аудитории IT и разработчиков, а также для всех начинающих присоединяться к теме, с ребятами из Yandex Cloud. Получилось очень лампово и с толком. Приятного просмотра)
Анонс:
«Пентесты: о чём безопасникам и разработке разговаривать с хакерами
Наконец-то позвали в гости настоящих хакеров. Но есть нюанс. В этом выпуске рассказываем про тех, кто выбрал светлую сторону: как становятся пентестерами, какие специфические моменты есть в этой профессии, почему компании доверяют тестирование своих ИТ-инфраструктур внешним специалистам.»
Ссылка: https://youtu.be/YRpEA5q1fqY?si=Yv0appCHKsWmb5CY
YouTube
Пентесты: о чём безопасникам и разработке разговаривать с хакерами
Наконец-то позвали в гости настоящих хакеров. Но есть нюанс. В этом выпуске рассказываем про тех, кто выбрал светлую сторону: как становятся пентестерами, какие специфические моменты есть в этой профессии, почему компании доверяют тестирование своих ИТ-инфраструктур…
👍11🔥10
CI/CD
У нас в CyberEd появились новые короткие и ёмкие продукты помогающие быстро влиться в тему. Огромной популярностью сейчас пользуется направление безопасности CI/CD.
Мой друг и бывший коллега Паша Сорокин «преисполнился» в этой теме и готов поделиться знаниями по похеку и проблемам безопасности CI/CD инфраструктуры в рамках ближайшего воркшопа, который пойдёт 2-го ноября.
P. S.
У него кстати очень полезный канал, в котором он пришёл на эту и другие темы практической информационной безопасности: https://t.me/naryl_sec
У нас в CyberEd появились новые короткие и ёмкие продукты помогающие быстро влиться в тему. Огромной популярностью сейчас пользуется направление безопасности CI/CD.
Мой друг и бывший коллега Паша Сорокин «преисполнился» в этой теме и готов поделиться знаниями по похеку и проблемам безопасности CI/CD инфраструктуры в рамках ближайшего воркшопа, который пойдёт 2-го ноября.
P. S.
У него кстати очень полезный канал, в котором он пришёл на эту и другие темы практической информационной безопасности: https://t.me/naryl_sec
Telegram
Нарыл
Канал о практической информационной безопасности. Автор - https://t.me/sorokinpf
🔥8👍1
Forwarded from CyberED
🔥 2 ноября CyberEd снова проводит практический воркшоп «Ломаем CI/СD»!
🛠 На воркшопе вы изучите особенности безопасности компонентов CI/CD и техники атак на них. Оцените безопасность GitLab, изучите различные экзекьютеры и узнаете, как проводить атаки на них, включая shell, docker, k8s и dind.
А еще вы научитесь:
☑️ проводить атаки из Gitlab CI на shared runner
☑️ изучать доступное окружение раннеров
☑️ выходить из контейнеров
☑️ поднимать свои привилегии в kubernetes.
🕑 Продолжительность воркшопа - 3 часа.
Воркшоп проводит Павел Сорокин, ведущий инженер по ИБ в Ozon, опытный пентестер и специалист по AppSec. Работал в компаниях «Информзащита» и BI.ZONE, «Яндекс».
📎 Предыдущие два воркшопа по CI/CD оказались настолько востребованы, что мы ввели лист ожидания для тех, кто не смог попасть на него ранее 📃
➡️ Успейте зарегистрироваться, количество мест ограничено!
Реклама
ОАНО ДПО «ВЫШТЕХ»
ИНН: 7703434727
🛠 На воркшопе вы изучите особенности безопасности компонентов CI/CD и техники атак на них. Оцените безопасность GitLab, изучите различные экзекьютеры и узнаете, как проводить атаки на них, включая shell, docker, k8s и dind.
А еще вы научитесь:
☑️ проводить атаки из Gitlab CI на shared runner
☑️ изучать доступное окружение раннеров
☑️ выходить из контейнеров
☑️ поднимать свои привилегии в kubernetes.
🕑 Продолжительность воркшопа - 3 часа.
Воркшоп проводит Павел Сорокин, ведущий инженер по ИБ в Ozon, опытный пентестер и специалист по AppSec. Работал в компаниях «Информзащита» и BI.ZONE, «Яндекс».
📎 Предыдущие два воркшопа по CI/CD оказались настолько востребованы, что мы ввели лист ожидания для тех, кто не смог попасть на него ранее 📃
➡️ Успейте зарегистрироваться, количество мест ограничено!
Реклама
ОАНО ДПО «ВЫШТЕХ»
ИНН: 7703434727