Автоматизация OWASP ZAP, Часть 2, Запуск в Docker, доступ к API
Приветствую на второй части статьи по OWASP ZAP. В данной статье мы рассмотрим запуск ZAP в DOCKER, а так же различные тонкие моменты его запуска, различные режимы работы и типы контейнеров.
📌 Читать далее
#owasp #automation
Приветствую на второй части статьи по OWASP ZAP. В данной статье мы рассмотрим запуск ZAP в DOCKER, а так же различные тонкие моменты его запуска, различные режимы работы и типы контейнеров.
📌 Читать далее
#owasp #automation
👍8🔥3🤯1
Forwarded from BI.ZONE
9 декабря мы проведем вторую встречу «Клуба неанонимных багхантеров». Вас ждут доклады про bug bounty, тусовка крутых специалистов, пиво и много живого общения.
Регистрация для всех желающих откроется после того, как соберем программу, — об этом сообщим дополнительно.
А сейчас открываем CFP и зовем вас поделиться опытом в багхантинге! Выступить можно как очно, так и онлайн.
Ждем ваши доклады на темы:
И не бойтесь предлагать что-то свое! Если доклад полезен багхантерам, у него есть все шансы попасть в программу.
Длительность доклада: 20–40 минут.
Место: офис BI.ZONE в Москве или онлайн.
Дедлайн подачи заявок: до 23 ноября, 23:59 (мск).
Подать заявку
Please open Telegram to view this post
VIEW IN TELEGRAM
👍13🔥4
Контейнеры systemd
Сегодня поговорим о виртуализации на уровне ядра операционной системы и будут рассмотрены контейнеры systemd-nspawn которые помогут вам по максимуму использовать вычислительные ресурсы хоста и обеспечить безопасное функционирование приложений с помощью некоторых функциональных возможностей ядра Linux. В статье будет использоваться ОС Astra Linux, которая активно пробирается в отечественные компании.
📌 Читать далее
#linux #systemd
Сегодня поговорим о виртуализации на уровне ядра операционной системы и будут рассмотрены контейнеры systemd-nspawn которые помогут вам по максимуму использовать вычислительные ресурсы хоста и обеспечить безопасное функционирование приложений с помощью некоторых функциональных возможностей ядра Linux. В статье будет использоваться ОС Astra Linux, которая активно пробирается в отечественные компании.
📌 Читать далее
#linux #systemd
👍12🔥4🤣3👎2
🏆 Positive Technologies запустила необычную программу Bug Bounty с вознаграждением в 10млн рублей!
Positive Technologies объявила о запуске программы Bug Bounty нового типа, которая ориентирована не на поиск чисто технических уязвимостей во внешних сервисах компании, а на реализацию действительно критического для компании события - кражи денег со счетов.
"До сегодняшнего дня целью традиционных программ bug bounty всегда являлся поиск относительно мелких и незначительных уязвимостей в сервисах компаний. При этом не всегда они имеют критически важное значение для бизнеса и, как правило, остаются понятны только техническим специалистам", - рассказал директор экспертного центра безопасности Алексей Новиков.
Программа Bug Bounty от Positive Technologies не имеет ограничений по времени. В отличие от классических Bug Bounty, в этой программе этичным хакерам разрешается использовать практически любые методы удаленной атаки (включая социальную инженерию) для проникновения.
🤑 Главный приз в размере 10 миллионов рублей получит тот этичный хакер, который, согласно правилам программы, сможет перевести деньги со счетов компании нелегитимным способом и предоставить отчет.
🗞 Блог Кодебай
#news #russia #bounty
Positive Technologies объявила о запуске программы Bug Bounty нового типа, которая ориентирована не на поиск чисто технических уязвимостей во внешних сервисах компании, а на реализацию действительно критического для компании события - кражи денег со счетов.
"До сегодняшнего дня целью традиционных программ bug bounty всегда являлся поиск относительно мелких и незначительных уязвимостей в сервисах компаний. При этом не всегда они имеют критически важное значение для бизнеса и, как правило, остаются понятны только техническим специалистам", - рассказал директор экспертного центра безопасности Алексей Новиков.
Программа Bug Bounty от Positive Technologies не имеет ограничений по времени. В отличие от классических Bug Bounty, в этой программе этичным хакерам разрешается использовать практически любые методы удаленной атаки (включая социальную инженерию) для проникновения.
🤑 Главный приз в размере 10 миллионов рублей получит тот этичный хакер, который, согласно правилам программы, сможет перевести деньги со счетов компании нелегитимным способом и предоставить отчет.
🗞 Блог Кодебай
#news #russia #bounty
👍34🔥6👏3🤯1😍1
Больше не ниндзя. Почему не стоит использовать NjRat
Наверное тебе не раз приходилось сталкиваться с различными типами вирусов и их особенностями. Каждый из них пытается нарушить работу твоего компьютера или же просто становится очень тихим и собирает информацию о тебе. В любом случаи ничего хорошего от них ждать не стоит. Чаще всего система подвержена заражению RAT вирусов. Их тяжело найти и сложно контролировать. Поэтому в сети сейчас гуляет огромное количество билдеров на любой вкус и цвет. Но сегодня речь пойдет о вирусе с громким названием NjRat.
📌 Читать далее
#security #malware
Наверное тебе не раз приходилось сталкиваться с различными типами вирусов и их особенностями. Каждый из них пытается нарушить работу твоего компьютера или же просто становится очень тихим и собирает информацию о тебе. В любом случаи ничего хорошего от них ждать не стоит. Чаще всего система подвержена заражению RAT вирусов. Их тяжело найти и сложно контролировать. Поэтому в сети сейчас гуляет огромное количество билдеров на любой вкус и цвет. Но сегодня речь пойдет о вирусе с громким названием NjRat.
📌 Читать далее
#security #malware
👍12🔥5
Пентест вслепую, или что в «черном ящике»?
Пословица: «Тяжело в учении – легко в бою» справедлива и для информационной безопасности. С той лишь разницей, что если хорошо подготовитесь, то «боя» не будет. Ведь взломщики, упершись в избавленную от уязвимостей систему безопасности, попросту уйдут искать добычу попроще. А лучший способ подготовиться к хакерской атаке – своевременное тестирование методом черного ящика.
📌 Читать далее
#beginner #pentest
Пословица: «Тяжело в учении – легко в бою» справедлива и для информационной безопасности. С той лишь разницей, что если хорошо подготовитесь, то «боя» не будет. Ведь взломщики, упершись в избавленную от уязвимостей систему безопасности, попросту уйдут искать добычу попроще. А лучший способ подготовиться к хакерской атаке – своевременное тестирование методом черного ящика.
📌 Читать далее
#beginner #pentest
👍9🔥6👎1😐1
🌐 Курс "Компьютерные сети" от Академии Кодебай!
Старт: 5 декабря
Длительность: 4 месяца
🎓 По окончании курса "Компьютерные сети" вы получите сведения о структуре компьютерных сетей и принципах работы протоколов и технологий, обеспечивающих их функционирование. Вы научитесь проектировать архитектуру сетей разного уровня сложности, овладеете практическими навыками построения сетей и настройки сетевого оборудования, узнаете об основных типах угроз на разных уровнях сетевого взаимодействия и методах противодействия им.
ℹ️ Кому будет полезен курс:
✔️ Новичкам, которые никогда не имели дело с вычислительными сетями, проектировкой сетей, настройкой сетевого оборудования, но хотят освоить данную профессию;
✔️ Начинающим IT-специалистам, системным администраторам;
✔️ Студентам, которые только поступили на факультет по направлениям «Сетевые и коммуникационные технологии», «Автоматизированные системы управления и обработки информации»;
✔️ Уже работающим IT-специалистам, которые хотят сменить направление;
✔️ Web-разработчикам, которые хотят делать веб-приложения более безопасными.
🔥 Имеется промо-доступ на 7 дней!
Узнать подробнее о курсе: https://codeby.school/catalog/kurs-kompyuternye-seti
Старт: 5 декабря
Длительность: 4 месяца
🎓 По окончании курса "Компьютерные сети" вы получите сведения о структуре компьютерных сетей и принципах работы протоколов и технологий, обеспечивающих их функционирование. Вы научитесь проектировать архитектуру сетей разного уровня сложности, овладеете практическими навыками построения сетей и настройки сетевого оборудования, узнаете об основных типах угроз на разных уровнях сетевого взаимодействия и методах противодействия им.
ℹ️ Кому будет полезен курс:
✔️ Новичкам, которые никогда не имели дело с вычислительными сетями, проектировкой сетей, настройкой сетевого оборудования, но хотят освоить данную профессию;
✔️ Начинающим IT-специалистам, системным администраторам;
✔️ Студентам, которые только поступили на факультет по направлениям «Сетевые и коммуникационные технологии», «Автоматизированные системы управления и обработки информации»;
✔️ Уже работающим IT-специалистам, которые хотят сменить направление;
✔️ Web-разработчикам, которые хотят делать веб-приложения более безопасными.
🔥 Имеется промо-доступ на 7 дней!
Узнать подробнее о курсе: https://codeby.school/catalog/kurs-kompyuternye-seti
👍14🔥5❤🔥2
ФСТЭК России будет оценивать безопасность компаний по стандарту
Госорганы, госкорпорации, банки, операторов сотовой связи и другие компании с критической информационной инфраструктурой (КИИ) могут обязать анализировать кибербезопасность своих сетей. Разработкой соответствующей методики занимается ФСТЭК.
Компании будут оцениваться по уровню защиты данных, скорости реагирования на инциденты и осведомленности сотрудников о киберрисках. Ведомство предлагает выделить четыре уровня защищенности: высокий, базовый повышенный, базовый и низкий.
Такой подход должен стать опорным и для заказчиков, и для разработчиков, полагает руководитель исследований ГК “Астра” Роман Мылицын. Эксперты считают, что инициатива вряд ли повысит безопасность, но она поможет планировать бюджеты.
🗞 Блог Кодебай
#news #security #фстэк
Госорганы, госкорпорации, банки, операторов сотовой связи и другие компании с критической информационной инфраструктурой (КИИ) могут обязать анализировать кибербезопасность своих сетей. Разработкой соответствующей методики занимается ФСТЭК.
Компании будут оцениваться по уровню защиты данных, скорости реагирования на инциденты и осведомленности сотрудников о киберрисках. Ведомство предлагает выделить четыре уровня защищенности: высокий, базовый повышенный, базовый и низкий.
Такой подход должен стать опорным и для заказчиков, и для разработчиков, полагает руководитель исследований ГК “Астра” Роман Мылицын. Эксперты считают, что инициатива вряд ли повысит безопасность, но она поможет планировать бюджеты.
🗞 Блог Кодебай
#news #security #фстэк
👍12🔥5🤣4
Хакеры против Cloud: показываем на практике, как мы защищаем клиентов
📆 Бесплатный вебинар 29 ноября в 11:00
На встрече команда Cloud с вами:
🔹 разберет примеры реальных киберугроз из мировой практики и расскажет, как сервисы безопасности компании закрывают любые «бреши» в инфраструктуре;
🔹 обсудит, как просто настроить Web Application Firewall для ваших целей;
🔹 и главное – устроит онлайн-демонстрацию настоящей кибератаки и покажет, как на неё среагирует WAF;
🔹 в финале встречи традиционно проведет Q&A-сессию и ответит на все вопросы.
Вебинар будет интересен специалистам по информационной безопасности и всем неравнодушным к сфере ИТ.
Зарегистрироваться на вебинар
#спонсорский
📆 Бесплатный вебинар 29 ноября в 11:00
На встрече команда Cloud с вами:
🔹 разберет примеры реальных киберугроз из мировой практики и расскажет, как сервисы безопасности компании закрывают любые «бреши» в инфраструктуре;
🔹 обсудит, как просто настроить Web Application Firewall для ваших целей;
🔹 и главное – устроит онлайн-демонстрацию настоящей кибератаки и покажет, как на неё среагирует WAF;
🔹 в финале встречи традиционно проведет Q&A-сессию и ответит на все вопросы.
Вебинар будет интересен специалистам по информационной безопасности и всем неравнодушным к сфере ИТ.
Зарегистрироваться на вебинар
#спонсорский
👍10
🕹 Роскомнадзор предложил регулировать игровую индустрию
Структуры Роскомнадзора предложили новые меры регулирования игровой индустрии и смежных областей, включая определение правового статуса внутриигровых предметов, а также принуждение платформ к соблюдению требований "пакета Яровой" - хранить информацию о сообщениях пользователей и предоставлять к ним доступ следственным органам.
В частности, ведомство хочет определить правовой статус игровой валюты, лутбоксов (lootbox - ящик, со случайным набором предметов), стриминговой платформы и пожертвований стримеру от зрителя.
Также предлагается признать игровые платформы и стриминговые сервисы для геймеров организаторами распространения информации (ОРИ). Согласно ФЗ "Об информации", ОРИ обязаны хранить некоторые данные в России и предоставлять их следственным органам по их запросу. Для этого платформы должны установить в свои сети оборудование для оперативно-розыскных мероприятий.
Участники рынка относятся к инициативе с опаской: ее реализация потребует новых инвестиций в инфраструктуру и несет риски для издателей игр.
🗞 Блог Кодебай
#news #russia #games
Структуры Роскомнадзора предложили новые меры регулирования игровой индустрии и смежных областей, включая определение правового статуса внутриигровых предметов, а также принуждение платформ к соблюдению требований "пакета Яровой" - хранить информацию о сообщениях пользователей и предоставлять к ним доступ следственным органам.
В частности, ведомство хочет определить правовой статус игровой валюты, лутбоксов (lootbox - ящик, со случайным набором предметов), стриминговой платформы и пожертвований стримеру от зрителя.
Также предлагается признать игровые платформы и стриминговые сервисы для геймеров организаторами распространения информации (ОРИ). Согласно ФЗ "Об информации", ОРИ обязаны хранить некоторые данные в России и предоставлять их следственным органам по их запросу. Для этого платформы должны установить в свои сети оборудование для оперативно-розыскных мероприятий.
Участники рынка относятся к инициативе с опаской: ее реализация потребует новых инвестиций в инфраструктуру и несет риски для издателей игр.
🗞 Блог Кодебай
#news #russia #games
👎16👍6😁5🤔2😱2🤣2👏1😐1
😢 Более 10 тыс. IT-компаний лишат аккредитации
Более 10 тыс. российских IT-компаний из 26,7 тыс. аккредитованных не подали вовремя согласие в ФНС на раскрытие налоговой тайны. Из-за этого уже начался процесс лишения аккредитации этих компаний. Тем не менее, эти компании могут заново подать заявки на аккредитацию, сообщил глава Минцифры РФ Максут Шадаев
Глава Минцифры РФ Максут Шадаев уточнил, что ничего не препятствует повторной подаче заявки на гос. аккредитацию, но при подаче компании должны все равно представить согласие.
В конце октября Минцифры сообщало, что IT-компании для подтверждения соответствия условиям аккредитации должны до 31 октября направить в ФНС согласие на раскрытие сведений, составляющих налоговую тайну
🗞 Блог Кодебай
#news #russia #law
Более 10 тыс. российских IT-компаний из 26,7 тыс. аккредитованных не подали вовремя согласие в ФНС на раскрытие налоговой тайны. Из-за этого уже начался процесс лишения аккредитации этих компаний. Тем не менее, эти компании могут заново подать заявки на аккредитацию, сообщил глава Минцифры РФ Максут Шадаев
Глава Минцифры РФ Максут Шадаев уточнил, что ничего не препятствует повторной подаче заявки на гос. аккредитацию, но при подаче компании должны все равно представить согласие.
В конце октября Минцифры сообщало, что IT-компании для подтверждения соответствия условиям аккредитации должны до 31 октября направить в ФНС согласие на раскрытие сведений, составляющих налоговую тайну
🗞 Блог Кодебай
#news #russia #law
🤯7👎5🤔4🤣4👍3😱3😁2👏1
Forwarded from Positive Events
Заключительный день кибербитвы запомнится нам распространением вируса-шифровальщика в банковской системе, которое продемонстрировала команда Stun.
Итоги трех дней киберучений:
🔸 19 реализаций недопустимых событий, из них 8 уникальных событий;
🔸 мошенничество в системе продаж ж.-д. билетов осуществляли чаще всего — 7 раз за время битвы;
🔸 недопустимые события произошли в 5 из 6 сегментов государства: управляющей компании City, транспортной компании Heavy Logistics, нефтегазовой компании Tube, банковской системе и электроэнергетике;
🔸 принято 48 отчетов об уязвимостях, больше всего отчетов было получено от команды Hexens Academy;
🔸 защитники расследовали 17 атак, что составило 89% от числа всех реализованных событий;
🔸 198 отчетов об инцидентах принято от команд защитников, большая часть от команды Your shell not pass(среди всех принятых отчетов — 27%).
Первое место среди команд атакующих занимает команда Hexens Academy (5463 баллов), второе место занимает Stun (5312 баллов), а третье — Straw Hat (4570 баллов). Больше всего событий реализовала команда Straw Hat: на их счету 5 недопустимых событий в трех сегментах Государства F.
Две команды защитников из УК City и транспортной компании расследовали 7 из 8 событий, реализованных в их сегментах. Еще три команды расследовали по одному событию, с которыми столкнулись их компании. Среднее время расследования по всем командам - 6 часов 21 минута.
#Standoff10
Итоги трех дней киберучений:
🔸 19 реализаций недопустимых событий, из них 8 уникальных событий;
🔸 мошенничество в системе продаж ж.-д. билетов осуществляли чаще всего — 7 раз за время битвы;
🔸 недопустимые события произошли в 5 из 6 сегментов государства: управляющей компании City, транспортной компании Heavy Logistics, нефтегазовой компании Tube, банковской системе и электроэнергетике;
🔸 принято 48 отчетов об уязвимостях, больше всего отчетов было получено от команды Hexens Academy;
🔸 защитники расследовали 17 атак, что составило 89% от числа всех реализованных событий;
🔸 198 отчетов об инцидентах принято от команд защитников, большая часть от команды Your shell not pass(среди всех принятых отчетов — 27%).
Первое место среди команд атакующих занимает команда Hexens Academy (5463 баллов), второе место занимает Stun (5312 баллов), а третье — Straw Hat (4570 баллов). Больше всего событий реализовала команда Straw Hat: на их счету 5 недопустимых событий в трех сегментах Государства F.
Две команды защитников из УК City и транспортной компании расследовали 7 из 8 событий, реализованных в их сегментах. Еще три команды расследовали по одному событию, с которыми столкнулись их компании. Среднее время расследования по всем командам - 6 часов 21 минута.
#Standoff10
👍16🔥2👎1
Сканируем случайные адреса Интернет. Получаем баннеры и протоколы с помощью Python
О каждой из этих тем по отдельности я писал в моих прошлых статьях. Но давайте попробуем объединить два этих скрипта, чтобы использовать для сканирования адресов возможности scapy, а также получать баннеры с открытых портов с помощью socket.
📌 Читать далее
#programming #python #network
О каждой из этих тем по отдельности я писал в моих прошлых статьях. Но давайте попробуем объединить два этих скрипта, чтобы использовать для сканирования адресов возможности scapy, а также получать баннеры с открытых портов с помощью socket.
📌 Читать далее
#programming #python #network
🔥7👍5🤔1😐1
📜 Компенсации гражданам за утечки данных
Минцифры РФ разрабатывает законопроект о контроле утечек персональных данных, который предусматривает введение новой системы оборотных штрафов и компенсаций ущерба пользователям.
"Фактически, мы стимулируем бизнес вкладываться не только в систему защиты, но и нести ответственность.", - объяснил глава Минцифры Максут Шадаев. Компания сможет оплатить минимальный размер оборотного штрафа, если она урегулирует вопросы с не менее 65% клиентов, чьи данные фигурируют в утечке.
Оборотные штрафы за утечку данных, предусматривают выплаты в размере до 1% от годового дохода компании. Кроме того, Минцифры инициировало введение системы компенсации ущерба. Эта мера направлена на снижение штрафов для компаний, в которых произошла утечка личной информации.
🗞 Блог Кодебай
#news #data #law
Минцифры РФ разрабатывает законопроект о контроле утечек персональных данных, который предусматривает введение новой системы оборотных штрафов и компенсаций ущерба пользователям.
"Фактически, мы стимулируем бизнес вкладываться не только в систему защиты, но и нести ответственность.", - объяснил глава Минцифры Максут Шадаев. Компания сможет оплатить минимальный размер оборотного штрафа, если она урегулирует вопросы с не менее 65% клиентов, чьи данные фигурируют в утечке.
Оборотные штрафы за утечку данных, предусматривают выплаты в размере до 1% от годового дохода компании. Кроме того, Минцифры инициировало введение системы компенсации ущерба. Эта мера направлена на снижение штрафов для компаний, в которых произошла утечка личной информации.
🗞 Блог Кодебай
#news #data #law
👍15🔥3❤🔥2👏1
🪪 На продажу выставили данные 500 млн. пользователей WhatsApp
На одном из известных хакерских форумов появилось объявление о продаже базы данных мессенджера WhatsApp, содержащей 487 миллионов номеров сотовых телефонов пользователей. Проведенный Cybernews анализ образца подтвердил достоверность и актуальность просочившейся информации.
Продавец утверждает, что выставленная на продажу база данных за 2022 год содержит данные пользователей из 84 стран. Среди собранных номеров российских около 10 миллионов.
На вопрос о том, как была получена база данных, продавец намекнул на метод массового сбора данных. По всей видимости, для получения данных использовались методы скрейпинга и парсинга, что нарушает Условия предоставления услуг WhatsApp. Представители Meta*, которой принадлежит мессенджер, пока не прокомментировали утечку.
* - Meta признана в России экстремистской организацией и запрещена
🗞 Блог Кодебай
#news #whatsapp #data
На одном из известных хакерских форумов появилось объявление о продаже базы данных мессенджера WhatsApp, содержащей 487 миллионов номеров сотовых телефонов пользователей. Проведенный Cybernews анализ образца подтвердил достоверность и актуальность просочившейся информации.
Продавец утверждает, что выставленная на продажу база данных за 2022 год содержит данные пользователей из 84 стран. Среди собранных номеров российских около 10 миллионов.
На вопрос о том, как была получена база данных, продавец намекнул на метод массового сбора данных. По всей видимости, для получения данных использовались методы скрейпинга и парсинга, что нарушает Условия предоставления услуг WhatsApp. Представители Meta*, которой принадлежит мессенджер, пока не прокомментировали утечку.
* - Meta признана в России экстремистской организацией и запрещена
🗞 Блог Кодебай
#news #whatsapp #data
👏7🤣6👍2👎2😁2😱2
[Selenium] Взаимодействие и регистрации аккаунта. Part ⅠⅠ
Приветствую, дамы и господа. В прошлой части я показал, как устанавливать веб-драйвера и использовать веб-локаторы. Вторая часть будет намного интереснее. Присаживайтесь поудобнее, начинаем кодить!
📌 Читать далее
#programming #python #parsing
Приветствую, дамы и господа. В прошлой части я показал, как устанавливать веб-драйвера и использовать веб-локаторы. Вторая часть будет намного интереснее. Присаживайтесь поудобнее, начинаем кодить!
📌 Читать далее
#programming #python #parsing
🔥7👍5👏2👎1
Обработка ошибок в языке Си
В языке Си нет никакой нативной обработки ошибок, а значит приходится пользоваться всякими костылями, чтобы эту обработку ошибок сделать.
📌 Читать далее
#programming #c
В языке Си нет никакой нативной обработки ошибок, а значит приходится пользоваться всякими костылями, чтобы эту обработку ошибок сделать.
📌 Читать далее
#programming #c
👍9🔥3