#security #appsec
Практика управления безопасностью ПО в масштабных продуктах: Дмитрий Гадарь из Тинькофф рассказывает, как выстроить защиту и чем можно пожертвовать.
https://proglib.io/w/5ca8e512
Практика управления безопасностью ПО в масштабных продуктах: Дмитрий Гадарь из Тинькофф рассказывает, как выстроить защиту и чем можно пожертвовать.
https://proglib.io/w/5ca8e512
YouTube
Практика управления безопасностью ПО в масштабных продуктах — Дмитрий Гадарь, Тинькофф
Информационная безопасность важна для любой компании, а для финансовых компаний — втройне. Дмитрий Гадарь знает, как выстроить защиту и чем можно пожертвовать.
Платформы разработки удобны и существенно сокращают time to market. Уже сегодня на презентации…
Платформы разработки удобны и существенно сокращают time to market. Уже сегодня на презентации…
👍2
Forwarded from Библиотека программиста | программирование, кодинг, разработка
#tools
🔧 gokey — простой менеджер паролей на Go от Cloudflare, который не требует хранилища паролей.
Вместо того, чтобы хранить ваши пароли в хранилище, он получает их «на лету» из мастер-пароля и предоставленной строки (например, URL-адрес ресурса).
Таким образом, вам не нужно управлять, создавать резервные копии, синхронизировать хранилище паролей или доверять его управление третьей стороне, поскольку ваши пароли доступны немедленно в любом месте.
https://proglib.io/w/87e73b95
🔧 gokey — простой менеджер паролей на Go от Cloudflare, который не требует хранилища паролей.
Вместо того, чтобы хранить ваши пароли в хранилище, он получает их «на лету» из мастер-пароля и предоставленной строки (например, URL-адрес ресурса).
Таким образом, вам не нужно управлять, создавать резервные копии, синхронизировать хранилище паролей или доверять его управление третьей стороне, поскольку ваши пароли доступны немедленно в любом месте.
https://proglib.io/w/87e73b95
GitHub
GitHub - cloudflare/gokey: A simple vaultless password manager in Go
A simple vaultless password manager in Go. Contribute to cloudflare/gokey development by creating an account on GitHub.
👍3😁1
#tools #security #pentest #recon #appsec
🔧 scanbox — коллекция инструментов для белых хакеров и автоматизации безопасности.
https://proglib.io/w/bdab50a1
🔧 scanbox — коллекция инструментов для белых хакеров и автоматизации безопасности.
https://proglib.io/w/bdab50a1
GitHub
GitHub - We5ter/Scanners-Box: A powerful and open-source toolkit for hackers and security automation - 安全行业从业者自研开源扫描器合辑
A powerful and open-source toolkit for hackers and security automation - 安全行业从业者自研开源扫描器合辑 - GitHub - We5ter/Scanners-Box: A powerful and open-source toolkit for hackers and security automation - 安全...
👍3🔥1
#pentest #bugbounty #writeup
Обнаружение тысячи открытых баз данных на AWS с конфиденциальными данными в 2022 году 🤷♂️
Подробно о том, как это было 👉 https://proglib.io/w/1b860fea
Обнаружение тысячи открытых баз данных на AWS с конфиденциальными данными в 2022 году 🤷♂️
Подробно о том, как это было 👉 https://proglib.io/w/1b860fea
Medium
How I Discovered Thousands of Open Databases on AWS
My journey on finding and reporting databases with sensitive data about Fortune-500 companies, Hospitals, Crypto platforms, Startups during…
👍3
#reverse #practice
Четырехчасовой воркшоп по особенностям использования и работы с Frida
Внутри практические примеры, обзор особенностей работы Frida, способов подмены функций и много другого.
Видео & Слайды
Четырехчасовой воркшоп по особенностям использования и работы с Frida
Внутри практические примеры, обзор особенностей работы Frida, способов подмены функций и много другого.
Видео & Слайды
YouTube
frida-boot 👢 - a binary instrumentation workshop, using Frida, for beginners
slides: https://docs.google.com/presentation/d/1BK4CsGChSKI8BCVsg9Rlv0lY5AfsrbanhIRWnKaP0TI
setup instructions, chapter links and more below
lab setup
$ git clone https://github.com/leonjza/frida-boot
$ cd frida-boot
$ ./docker.sh pull
$ ./docker.sh run…
setup instructions, chapter links and more below
lab setup
$ git clone https://github.com/leonjza/frida-boot
$ cd frida-boot
$ ./docker.sh pull
$ ./docker.sh run…
👍3
#forensic #security
🔧Tracee — инструмент для форензики и исследования безопасности Linux. Он использует eBPF для отслеживания системы и приложений во время выполнения, анализирует собранные события для обнаружения подозрительных моделей поведения. И да, документация просто прекрасна.
https://proglib.io/w/7b276d51
🔧Tracee — инструмент для форензики и исследования безопасности Linux. Он использует eBPF для отслеживания системы и приложений во время выполнения, анализирует собранные события для обнаружения подозрительных моделей поведения. И да, документация просто прекрасна.
https://proglib.io/w/7b276d51
👍5
#security #blueteam #pentest #redteam
История об именно той ситуации, при которой патчинг является не комплексным исправлением уязвимостей, а всего лишь «латанием дыр». Печально это осознавать в 2022 году.
https://proglib.io/w/d342a728
История об именно той ситуации, при которой патчинг является не комплексным исправлением уязвимостей, а всего лишь «латанием дыр». Печально это осознавать в 2022 году.
https://proglib.io/w/d342a728
Blogspot
2022 0-day In-the-Wild Exploitation…so far
Posted by Maddie Stone, Google Project Zero This blog post is an overview of a talk, “ 0-day In-the-Wild Exploitation in 2022…so far”,...
👍7
#pentest #bugbounty #practice
Разбираем несколько проблем с безопасностью веб-сервера Nginx, на которые стоит обращать внимание при анализе веб-приложения.
https://proglib.io/w/19f88a57
Разбираем несколько проблем с безопасностью веб-сервера Nginx, на которые стоит обращать внимание при анализе веб-приложения.
https://proglib.io/w/19f88a57
Medium
Hacking Nginx: Best ways
Nginx is being used in the wild since a while now. We all have seen NGINX name somewhere while coding/hacking. NGINX has always been a…
👍2
Главное преимущество летнего поиска работы — низкий уровень конкуренции. К тому же, сейчас на IT-рынке большая нехватка кадров и множество открытых вакансий.
Чтобы наши читатели не отвлекались на нерелевантные предложения, мы сделали ряд тематических телеграм-каналов с вакансиями по отдельным языкам (Python, Java, Go, C#, C++, PHP, JavaScript) и различным направлениям: тестированию, мобильной разработке, информационной безопасности и Data Science.
Присоединяйтесь! Будем рады помочь найти вам лучшую работу.
Чтобы наши читатели не отвлекались на нерелевантные предложения, мы сделали ряд тематических телеграм-каналов с вакансиями по отдельным языкам (Python, Java, Go, C#, C++, PHP, JavaScript) и различным направлениям: тестированию, мобильной разработке, информационной безопасности и Data Science.
Присоединяйтесь! Будем рады помочь найти вам лучшую работу.
Оценка безопасности Android-приложений многогранна и может включать автоматическое тестирование безопасности, фаззинг, ручное тестирование на проникновение и многое другое. Если хотите попрактиковаться в этом деле, то добро пожаловать на YouTube-канал Android AppSec.
https://proglib.io/w/6d0a483e
https://proglib.io/w/6d0a483e
#news
Очередная подборка новостей для этичного хакера:
— Security Week от «Лаборатории Касперского»
— Хакеры угоняют автомобили Honda, новый неуловимый Linux-вредонос Orbit. Security-новости от главреда Securitylab.ru
— CWE Top 25 2022: обзор изменений от PVS-Studio
Очередная подборка новостей для этичного хакера:
— Security Week от «Лаборатории Касперского»
— Хакеры угоняют автомобили Honda, новый неуловимый Linux-вредонос Orbit. Security-новости от главреда Securitylab.ru
— CWE Top 25 2022: обзор изменений от PVS-Studio
Хабр
Security Week 2229: атака Retbleed ломает защиту от Spectre v2
На прошлой неделе исследователи из Швейцарской высшей технической школы Цюриха (ETH Zurich) опубликовали детали новой атаки. Она является развитием обнаруженной в 2018 году атаки Spectre v2. Название...
👍3
Forwarded from Библиотека шарписта | C#, F#, .NET, ASP.NET
Воркшоп на тему «Разработка вредоносного ПО для чайников»
Внутри репозитория слайды, упражнения, примеры кода и ресурсы, которые помогут вам начать разработку вредоносных программ на C# и Nim. И да, информация приводимся в учебных целях.
https://proglib.io/w/b5fe284d
Внутри репозитория слайды, упражнения, примеры кода и ресурсы, которые помогут вам начать разработку вредоносных программ на C# и Nim. И да, информация приводимся в учебных целях.
https://proglib.io/w/b5fe284d
GitHub
GitHub - chvancooten/maldev-for-dummies: A workshop about Malware Development
A workshop about Malware Development. Contribute to chvancooten/maldev-for-dummies development by creating an account on GitHub.
👍2
#pentest #bugbounty #practice
GraphQL набирает обороты, а вместе с популярностью приходят исследователи безопасности. Разбираемся, какие атаки встречается в API на основе GraphQL.
https://proglib.io/w/59797a27
GraphQL набирает обороты, а вместе с популярностью приходят исследователи безопасности. Разбираемся, какие атаки встречается в API на основе GraphQL.
https://proglib.io/w/59797a27
Хабр
Атаки на GraphQL
В ходе пентеста веб-приложений специалист по тестированию на проникновение достаточно часто сталкивается с необходимостью тестировать API. Как правило это REST API, про тестирование которого написано...
🔥2
#writeup #recon #bugbounty #pentest
История успешной автоматизации разведки, которая привела к выявлению критической уязвимости.
https://proglib.io/w/a588c4ac
История успешной автоматизации разведки, которая привела к выявлению критической уязвимости.
https://proglib.io/w/a588c4ac
Medium
Good things takes time | Story of my first “valid” critical bug!
Hello there, I am Krishna Agarwal ( Kr1shna 4garwal ) from India 🇮🇳. An ordinary bug hunter and So called security researcher :)
👍2
#OSINT #recon #pentest #redteam
«Полезные приемы OSINT», «Обнаружение более 90% атак, зная лишь 5% техник злоумышленников», «Почему возможен фишинг даже на официальных сайтах крупных компаний». Эти и другие темы в треке «Технический доклад» на PHDays 11.
https://proglib.io/w/5648481d
«Полезные приемы OSINT», «Обнаружение более 90% атак, зная лишь 5% техник злоумышленников», «Почему возможен фишинг даже на официальных сайтах крупных компаний». Эти и другие темы в треке «Технический доклад» на PHDays 11.
https://proglib.io/w/5648481d
Хабр
Подборка самых просматриваемых докладов на PHDays 11. Трек «Технический доклад»
Месяцы подготовки, десятки топовых спикеров, более 100 докладов и круглых столов по самым острым вопросам бизнес-повестки, а также из области настоящего технологического хардкора: завершился...
🔥2
#security #appsec #blueteam
Коллекция руководств, инструментов и лучших практик по усилению безопасности.
https://proglib.io/w/804ff981
Коллекция руководств, инструментов и лучших практик по усилению безопасности.
https://proglib.io/w/804ff981
GitHub
GitHub - decalage2/awesome-security-hardening: A collection of awesome security hardening guides, tools and other resources
A collection of awesome security hardening guides, tools and other resources - decalage2/awesome-security-hardening
🔥3
#security #appsec #blueteam
OWASP Kubernetes топ-10 — документ, который призван помочь специалистам по безопасности, системным администраторам и разработчикам определить приоритеты рисков в экосистеме Kubernetes.
Список основан на данных, собранных в организациях разной степени зрелости и сложности.
https://proglib.io/w/aa3659fc
OWASP Kubernetes топ-10 — документ, который призван помочь специалистам по безопасности, системным администраторам и разработчикам определить приоритеты рисков в экосистеме Kubernetes.
Список основан на данных, собранных в организациях разной степени зрелости и сложности.
https://proglib.io/w/aa3659fc
GitHub
GitHub - OWASP/www-project-kubernetes-top-ten: OWASP Foundation Web Respository
OWASP Foundation Web Respository. Contribute to OWASP/www-project-kubernetes-top-ten development by creating an account on GitHub.
👍4
#writeup #bugbounty #pentest
Подробная история объединения нескольких выявленных уязвимостей в плагине Wordpress для повышения привилегий от неаутентифицированного посетителя до администратора.
https://proglib.io/w/1735ec97
Подробная история объединения нескольких выявленных уязвимостей в плагине Wordpress для повышения привилегий от неаутентифицированного посетителя до администратора.
https://proglib.io/w/1735ec97
RCE Security
WordPress Transposh: Exploiting a Blind SQL Injection via XSS
IntroductionYou probably have read about my recent swamp of CVEs affecting a WordPress plugin called Transposh Translation Filter, which resulted in more than $30,000 in bounties and WordPress’s removal of the plugin from its directory:
👍7
#blockchain #security #pentest
Введение в исследование безопасности смарт-контрактов:
— Reentrancy Attack
— Overflow (перевод)
— Selfdestruct
— Accessing Private Data
— Delegatecall: ч. 1 & ч. 2
Введение в исследование безопасности смарт-контрактов:
— Reentrancy Attack
— Overflow (перевод)
— Selfdestruct
— Accessing Private Data
— Delegatecall: ч. 1 & ч. 2
Medium
Intro to Smart Contract Security Audits | Reentrancy Attack
Introduction to Smart Contract Vulnerabilities: Reentrancy Attack
🔥6👍1
Cloud_Attack_Vectors.pdf
6.9 MB
#cloud #security #pentest
Cloud Attack Vectors: Building Effective Cyber-Defense Strategies to Protect Cloud Resources, 2022
Авторы: Morey J. Haber, Brian Chappell, Christopher Hills
Перед вами книга, которая подробно описывает:
— риски, связанные с облачным развертыванием,
— методы, которые используют злоумышленники,
— эмпирически проверенные защитные меры, которые должны принять организации,
и показывают, как улучшить обнаружение вредоносной активности.
Cloud Attack Vectors: Building Effective Cyber-Defense Strategies to Protect Cloud Resources, 2022
Авторы: Morey J. Haber, Brian Chappell, Christopher Hills
Перед вами книга, которая подробно описывает:
— риски, связанные с облачным развертыванием,
— методы, которые используют злоумышленники,
— эмпирически проверенные защитные меры, которые должны принять организации,
и показывают, как улучшить обнаружение вредоносной активности.
👍2