Пошаговое руководство, как стать экспертом по кибербезопасности в 2023 году:
Подробный список лучших практик для обеспечения
безопасности ваших API:
#Cybersecurity #infosec #API
Please open Telegram to view this post
VIEW IN TELEGRAM
❤🔥23👍11❤4🔥1
Media is too big
VIEW IN TELEGRAM
— При анализе защищенности API приложений почти всегда находят кучу уязвимостей.
На примере реальных проектов за последние несколько лет спикер Рамазан Рамазанов расскажет, как ломают API, какие недостатки чаще всего встречаются и как сделать API безопаснее.
#Web #API |
Please open Telegram to view this post
VIEW IN TELEGRAM
👍17⚡8😡1
API - это контракт, который предоставляет программа. «Ко мне можно обращаться так и так, я обязуюсь делать то и это».
В фундаменте каждой информационной защиты лежит глубокое понимание технологии целевой системы. В этой статье речь пойдет о защите API (Application Programming Interface) — важнейшего набора функций для каждого программиста.
#Web #API |
Please open Telegram to view this post
VIEW IN TELEGRAM
👍36👏6❤3😐3🆒2
API - это интерфейс, позволяющий двум независимым компонентам программного обеспечения обмениваться информацией. API играет роль посредника между внутренними и внешними программными функциями, обеспечивая эффективный обмен информацией.
— В этом всеобъемлющем руководстве простыми словами будут объяснены API, их важность и то, как они работают.
#Web #API |
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3
API - это контракт, который предоставляет программа. «Ко мне можно обращаться так и так, я обязуюсь делать то и это».
В фундаменте каждой информационной защиты лежит глубокое понимание технологии целевой системы. В этой статье речь пойдет о защите API (Application Programming Interface) — важнейшего набора функций для каждого программиста.
#Web #API |
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥25👍7❤2😁2🤯1
— А вы когда-нибудь задумывались, куда идет трафик API в Kubernetes?
В этой статье вы узнаете, как можно использовать Kubeshark, как средство просмотра трафика API для Kubernetes, обеспечивающее видимость внутренней сети Kubernetes на уровне протокола в режиме реального времени, захватывая, анализируя и отслеживая весь входящий и исходящий трафик и полезную нагрузку между контейнерами, модулями, узлами и кластерами.
- Wireshark: руководство для начинающих
- Wireshark - учимся сканировать сеть
- Анализ TCP с использованием Wireshark
#Wireshark #API #Kubernetes #Recon |
Please open Telegram to view this post
VIEW IN TELEGRAM
👍32🔥7👏6❤2🤔1🤯1
По ссылке ниже можно найти бесплатную коллекцию заданий, которые научат Вас атаковать и защищать приложения, использующие GraphQL. Это подробные уроки, из которых Вы узнаете о различных уязвимостях и передовых методах обеспечения защиты.
Список уроков по GraphQL:
1. Prevent Mutation Brute-Force Attacks;
2. Implement Object-Level Authorization;
3. Disable Debug Mode for Production;
4. Combat SQL Injections;
5. Limit Query Complexity;
6. Implement Field-Level Authorization;
7. Configure HTTP Headers for User Protection;
8. Validate JSON Inputs;
9. Implement Resolver-Level Authorization.
#API #GraphQL #Recon |
Please open Telegram to view this post
VIEW IN TELEGRAM
👍19❤6🔥5👏1
Хакер «emo» обнародовал более 15 млн адресов электронной почты, связанных с учетными записями Trello. Известно, что эти адреса были собраны в январе текущего года через плохо защищенный API.
— Хотя почти все данные, представленные в этом дампе, были общедоступными, это не касалось адресов электронной почты, связанных с профилями пользователей. Было выяснено, что хакер использовал открытый API Trello для связывания почтовых адресов с профилями людей.
«У Trello был открытый API-эндпоинт, который позволял любому неаутентифицированному пользователю связать адрес электронной почты с аккаунтом Trello, — пишет emo. — Изначально я собирался отправлять эндпоинту только письма из баз данных com (OGU, RF, Breached и так далее), но потом решил продолжать [проверять] email'ы, пока не надоест».
#News #Trello #Leaks #API |
Please open Telegram to view this post
VIEW IN TELEGRAM
🤯11👍8🔥5❤1
Два года назад во время работы в домашней сети со мной произошло нечто очень странное. Я эксплуатировал слепую уязвимость XXE, которая требовала внешнего HTTP-сервера для переправки файлов, поэтому я развернул простой веб-сервер Python на платформе AWS для получения трафика от уязвимого сервера...
— Под катом история, направленная на то, чтобы подчеркнуть уязвимости на уровне доверия между интернет‑провайдером и клиентскими устройствами, но модем мог быть скомпрометирован каким‑то другим, гораздо более скучным методом.
#TI #HTTP #API |
Please open Telegram to view this post
VIEW IN TELEGRAM
👍24🔥6🤔6👏3❤1
19-летний Билл Демиркапи, независимый исследователь и белый хакер, разработал метод, позволяющий выявлять масштабные уязвимости в интернете с помощью нестандартных источников данных.
Результаты работы были представлены на конференции Defcon в Лас-Вегасе. Среди как минимум 15 000 найденных секретов (под «секретами» понимаются конфиденциальные данные, такие как пароли, ключи API, токены аутентификации) оказались сотни учетных записей, связанных с Верховным судом Небраски и его IT-системами, а также данные доступа к каналам Slack Стэнфордского университета.
Второе направление исследований касалось уязвимостей веб-сайтов. Хакер обнаружил 66 000 сайтов с уязвимостями в неиспользуемых («висячих») поддоменах. Среди затронутых оказались некоторые из крупнейших веб-ресурсов мира, в том числе тестовый домен, принадлежащий The New York Times.
#News #Defcon #Leaks #API |
Please open Telegram to view this post
VIEW IN TELEGRAM
👍66😁13❤6🤯5🤔3