#appsec
Тернистый путь к безопасности, или Как команда Wise Engineering интегрировала AppSec в жизненный цикл разработки ПО:
— Часть 1
— Часть 2
Тернистый путь к безопасности, или Как команда Wise Engineering интегрировала AppSec в жизненный цикл разработки ПО:
— Часть 1
— Часть 2
Medium
Our Application Security Journey (Part 1)
This is the first in a series of articles on the state of Application Security at Wise, describing the integration of security in the…
#security #appsec
Чек-лист наиболее важных мер безопасности при разработке, тестировании и выпуске API.
https://github.com/shieldfy/API-Security-Checklist
Чек-лист наиболее важных мер безопасности при разработке, тестировании и выпуске API.
https://github.com/shieldfy/API-Security-Checklist
GitHub
GitHub - shieldfy/API-Security-Checklist: Checklist of the most important security countermeasures when designing, testing, and…
Checklist of the most important security countermeasures when designing, testing, and releasing your API - shieldfy/API-Security-Checklist
#pentest #bugbounty #appsec #security
Помните тот самый перевод OWASP Application Security Verification Standard 4.0? Там было про требования к безопасности веб-приложений.
📌 А как убедиться в том, что эти требования выполняются? Ответ на этот вопрос дает Web Security Testing Guide (WSTG) — Руководство по тестированию безопасности веб-приложений, перевод которого представлен в статье. 🔽
Читать
Помните тот самый перевод OWASP Application Security Verification Standard 4.0? Там было про требования к безопасности веб-приложений.
📌 А как убедиться в том, что эти требования выполняются? Ответ на этот вопрос дает Web Security Testing Guide (WSTG) — Руководство по тестированию безопасности веб-приложений, перевод которого представлен в статье. 🔽
Читать
Telegram
Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность
#security #appsec
Перевод стандарта OWASP Application Security Verification Standard 4.0:
🔗 Часть 1
🔗 Часть 2
Перевод стандарта OWASP Application Security Verification Standard 4.0:
🔗 Часть 1
🔗 Часть 2
👍1
#appsec #security #pentest #bugbounty
RCE в pgAdmin меньше чем за час: разбираемся, как CodeQL упрощает аудит безопасности кода.
Читать
RCE в pgAdmin меньше чем за час: разбираемся, как CodeQL упрощает аудит безопасности кода.
Читать
Frycos Security Diary
Pre-Auth RCE with CodeQL in Under 20 Minutes
This write-up won’t be an intense discussion on security code review techniques this time. We’ll simply let do all the hard work by a third party: CodeQL.
⚡2
#redteam #appsec #pentest #OSINT #blueteam
🔥 🎄📚 TryHackMe! Advent of Cyber 2022
Хотите проводить каждый день в преддверии нового года с пользой? На платформе TryHackMe вы можете каждый день обучаться и практиковаться с помощью несложных задач из мира инфосека.
Видео от John Hammond поможет войти в курс дела.
👉 https://tryhackme.com/christmas
Хотите проводить каждый день в преддверии нового года с пользой? На платформе TryHackMe вы можете каждый день обучаться и практиковаться с помощью несложных задач из мира инфосека.
Видео от John Hammond поможет войти в курс дела.
👉 https://tryhackme.com/christmas
Please open Telegram to view this post
VIEW IN TELEGRAM
⚡4
#cheatsheet #appsec #pentest #bugbounty
OWASP Cheat Sheet Series — серия полезных шпаргалок по конкретным темам безопасности приложений.
https://cheatsheetseries.owasp.org/
OWASP Cheat Sheet Series — серия полезных шпаргалок по конкретным темам безопасности приложений.
https://cheatsheetseries.owasp.org/
cheatsheetseries.owasp.org
Introduction - OWASP Cheat Sheet Series
Website with the collection of all the cheat sheets of the project.
👍2
#appsec #security #pentest #bugbounty
JavaScript — язык, созданный для ошибок
В статье обсуждается странное и интересное поведение, встроенное в JavaScript, и то, как его может использовать злоумышленник.
Читать
JavaScript — язык, созданный для ошибок
В статье обсуждается странное и интересное поведение, встроенное в JavaScript, и то, как его может использовать злоумышленник.
Читать
Yeswehack
Why JavaScript Is Susceptible To Bugs | YesWeHack Learning Bug Bounty
Venture into the propensities of JavaScript that make it a breeding ground for bugs. Explore the common pitfalls and learn how to navigate through them to identify vulnerabilities effectively in your bug bounty hunting endeavors, while understanding the nuances…
👍4
#security #appsec
Open Software Supply Chain
Attack Reference (OSC&R) — как MITTRE ATT&CK, только эта матрица предназначена для атак на цепочки поставок ПО.
Это комплексный, систематический и действенный способ понять поведение и методы злоумышленников в отношении цепочки поставок ПО. Важно отметить, что ссылки пока не кликабельные.
https://pbom.dev/
Open Software Supply Chain
Attack Reference (OSC&R) — как MITTRE ATT&CK, только эта матрица предназначена для атак на цепочки поставок ПО.
Это комплексный, систематический и действенный способ понять поведение и методы злоумышленников в отношении цепочки поставок ПО. Важно отметить, что ссылки пока не кликабельные.
https://pbom.dev/
pbom.dev
Home - pbom.dev
👍5
#tools #appsec
🔐 🧰 Bearer — инструмент статического тестирования безопасности приложений для поиска утечек конфиденциальных данных в коде. В настоящее время поддерживаются стеки JavaScript и Ruby.
https://github.com/Bearer/bearer
https://github.com/Bearer/bearer
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - Bearer/bearer: Code security scanning tool (SAST) to discover, filter and prioritize security and privacy risks.
Code security scanning tool (SAST) to discover, filter and prioritize security and privacy risks. - Bearer/bearer
🤔2❤1👍1
#appsec #devsecops #practice
Настройка авторизованного сканирования с использованием ZAP: подводные камни и пошаговый гайд.
Читать
Настройка авторизованного сканирования с использованием ZAP: подводные камни и пошаговый гайд.
Читать
Хабр
OWASP ZAP — поддержка Session Management на основе заголовков
Все, кто связан со сферой Application Security / DevSecOps, так или иначе слышали или даже применяют продукт OWASP ZAP. Данное приложение представляет из себя open source-инструмент для динамического...
👍4
Разбор возможностей трех популярных статических анализаторов кода, которые заточены под язык Go: GoSec, Go Vulnerability Manager и GoKart.
Читать
#appsec #security #practice
Читать
#appsec #security #practice
Хабр
Как искать уязвимости в проекте на Go: обзор популярных анализаторов кода и их возможностей
Привет! Меня зовут Николай Никитас, я бэкенд-разработчик в Авито. В команде я занимаю роль security-чемпиона, то есть отвечаю за безопасность проекта. Чтобы узнать, есть ли в программе...
👍5
#appsec #devsecops
📌 На заметку DevSecOps и AppSec специалистам
Инженерный отдел по динамическому анализу Swordfish Security делится опытом настройки и дальнейшего использования автоматической авторизации в приложении с помощью OWASP ZAP.
Читать
📌 На заметку DevSecOps и AppSec специалистам
Инженерный отдел по динамическому анализу Swordfish Security делится опытом настройки и дальнейшего использования автоматической авторизации в приложении с помощью OWASP ZAP.
Читать
🔥4
✅Вы научитесь атаковать и защищать системы на примере виртуальных лабораторий и реальных сценариев.
✅Вас ждут видеоуроки по LPE, Blue/Red Team, пост-эксплуатации, эксплуатации уязвимостей в Linux/Windows и веб-уязвимостей, практики защиты популярного софта и многое другое.
#guide #pentest #redteam #blueteam #security #appsec
Please open Telegram to view this post
VIEW IN TELEGRAM
🥱3👍2🔥1
Разбираемся, кто такой специалист по безопасной разработке, какие требования к нему предъявляют работодатели, сколько специалисты этой профессии сегодня зарабатывают и куда можно пойти учиться на AppSec-специалиста.
И самое главное: чем «аппсеки» отличаются от «девсекопсов», «девопсов», пентестеров, аналитиков и разработчиков.
#career #appsec
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥6👍1🥱1