🤦♂️ Есть такое слово «надо», которое отравляет многим жизнь. Надо получить вышку, надо жениться до стольких-то лет и родить детей до стольких-то, надо зарабатывать столько-то и еще много-много «надо».
❤️ Как с этим жить? Попробуйте вместо «надо» поставить «полезно». И если бесполезно — то не надо!
💬 А какое слово отравляет вашу жизнь? Поделитесь в комментариях 👇
❤️ Как с этим жить? Попробуйте вместо «надо» поставить «полезно». И если бесполезно — то не надо!
💬 А какое слово отравляет вашу жизнь? Поделитесь в комментариях 👇
📌 Охотники за ошибками, ваш выход. Тут у Яндекса можно попробовать найти уязвимости в умных устройствах и получить награду в миллион за найденные ошибки в продуктах компании. Кто рискнёт?
🔎 Вот инфа подробнее: Яндекс расширил программу Bug Bounty и добавил туда умные устройства, в том числе самые новые — Станцию Дуо Макс, Миди и ТВ Станции. Максимальная сумма вознаграждения увеличилась до миллиона.
#bugbounty #news
🔎 Вот инфа подробнее: Яндекс расширил программу Bug Bounty и добавил туда умные устройства, в том числе самые новые — Станцию Дуо Макс, Миди и ТВ Станции. Максимальная сумма вознаграждения увеличилась до миллиона.
#bugbounty #news
🤦♂️🔐 1 февраля этого года компания Ivanti объявила о закрытии серьезных уязвимостей в своих продуктах Ivanti Connect Secure и Ivanti Policy Secure. Эти уязвимости, обнаруженные в декабре 2023 года, уже активно эксплуатировались злоумышленниками, представляя значительную угрозу для VPN-серверов. Сложности с разработкой патча привели к тому, что CISA потребовало отключить уязвимые решения за день до выпуска обновлений. Это уже второй серьезный инцидент с продуктами Ivanti, предыдущий произошел в августе 2023 года.
Команда Volexity обнаружила две уязвимости (CVE-2023-46805 и CVE-2024-21887) в VPN-сервере, позволяющие обходить аутентификацию и выполнять произвольные команды. После публикации информации об уязвимостях количество атак значительно увеличилось. Ivanti предложила временные решения, но некоторые из них были обойдены атакующими. В конечном итоге, для полной защиты требовалась переустановка ПО с нуля и установка патча.
Естественно, команду Assetnote эти уязвимости заинтересовали. Их исследования, реверс прошивки и многое другое — под катом:
⚡️High Signal Detection and Exploitation of Ivanti's Pulse Connect Secure Auth Bypass RCE
⚡️Ivanti's Pulse Connect Secure Auth Bypass Round Two
#pentest #reverse #CVE
Команда Volexity обнаружила две уязвимости (CVE-2023-46805 и CVE-2024-21887) в VPN-сервере, позволяющие обходить аутентификацию и выполнять произвольные команды. После публикации информации об уязвимостях количество атак значительно увеличилось. Ivanti предложила временные решения, но некоторые из них были обойдены атакующими. В конечном итоге, для полной защиты требовалась переустановка ПО с нуля и установка патча.
Естественно, команду Assetnote эти уязвимости заинтересовали. Их исследования, реверс прошивки и многое другое — под катом:
⚡️High Signal Detection and Exploitation of Ivanti's Pulse Connect Secure Auth Bypass RCE
⚡️Ivanti's Pulse Connect Secure Auth Bypass Round Two
#pentest #reverse #CVE
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Сравниваете ли вы свои карьерные достижения (повышение грейда) с успехами других людей?
Anonymous Poll
22%
Да — от установки «быть не хуже других» не убежишь
23%
Стараюсь не делать этого, т. к. пользы нет, а вреда достаточно
41%
Сравнений не избежать, но я стараюсь вдохновляться на действия и мотивировать себя
11%
Да, но в итоге чувствую только недовольство по отношению к другим и себе
21%
Сравниваю, но никому не завидую
9%
Сравниваю и наслаждаюсь своей крутостью
5%
Свой вариант (напишу в комментариях)
Создатель SSH Tatu Ylonen написал первую версию SSH весной 1995 года, чтобы заменить telnet (порт 23) и ftp (порт 21). Порт 22 в то время не был занят.
Ylonen просто обратился в IANA, которой тогда управляли Jon Postel и Joyce K. Reynolds, отправив письмо с просьбой о выделении порта 22 для SSH, и на следующий день получил утвердительный ответ 🤷♂️
Please open Telegram to view this post
VIEW IN TELEGRAM
Ssh
The story of the SSH port is 22.
The SSH port is 22. This is the story of how it got that port number. And practical configuration instructions.
Как думаете, через сколько дней в sudo для винды появятся первые баги?👇
Forwarded from Библиотека шарписта | C#, F#, .NET, ASP.NET
😱 Команда Microsoft представила утилиту sudo для Windows
🔐 Кто работал в *nix, знают, что sudo позволяет выполнять привилегированные команды обычным пользователям без необходимости ввода пароля суперпользователя.
⚒️ Sudo для Windows — это новый способ запуска команд с повышенными привилегиями прямо в терминале пользователя. Казалось бы, отличная новость, — операционная система развивается. Но в случае с Microsoft всегда в сообществе происходит переполох.
🤯 Мейнтейнеры оригинального проекта sudo вместе с сообществом решили перенести Word в OpenBSD, при этом повторить путь Microsoft:
🔸Не заботиться о совместимом поведении
🔸Не заботиться о товарных знаках или де-факто товарных знаках
🔸Не спрашивать первоначальные продуктовые команды, все ли в порядке
🔐 Кто работал в *nix, знают, что sudo позволяет выполнять привилегированные команды обычным пользователям без необходимости ввода пароля суперпользователя.
⚒️ Sudo для Windows — это новый способ запуска команд с повышенными привилегиями прямо в терминале пользователя. Казалось бы, отличная новость, — операционная система развивается. Но в случае с Microsoft всегда в сообществе происходит переполох.
🤯 Мейнтейнеры оригинального проекта sudo вместе с сообществом решили перенести Word в OpenBSD, при этом повторить путь Microsoft:
🔸Не заботиться о совместимом поведении
🔸Не заботиться о товарных знаках или де-факто товарных знаках
🔸Не спрашивать первоначальные продуктовые команды, все ли в порядке
📌 Токен кэшировался в случае следующего запроса:
https://chat.openai.com/share/%2F..%2Fapi/auth/session?cachebuster=123 #bugbounty #writeup
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Библиотека Go-разработчика | Golang
🍋 Подборка лучших статей «Библиотеки программиста» за январь: сохраняй в заметки, чтобы не пропустить #самыйсок
🏖️ Чек лист идеального отдыха: 5 психологических техник расслабления
👨💻 Особенности работы в ИТ: информация из первых рук
🏖️ Синдром упущенного отпуска: почему так опасно игнорировать заслуженный отдых
🤖 Итоги недели в мире ИИ и обзоры новых сервисов: новые модели для генерации впечатляющих видео
💰⬆️ 10 факторов, влияющих на зарплату программиста
👨💻🧩 Психология и ИТ: 17 личностных качеств, необходимых для успешной карьеры
🏃 Самоучитель по Go для начинающих:
👉 Часть 5. Условные конструкции if-else и switch-case. Цикл for. Вложенные и бесконечные циклы
👉 Часть 6. Функции и аргументы. Области видимости. Рекурсия. Defer
🏖️ Чек лист идеального отдыха: 5 психологических техник расслабления
👨💻 Особенности работы в ИТ: информация из первых рук
🏖️ Синдром упущенного отпуска: почему так опасно игнорировать заслуженный отдых
🤖 Итоги недели в мире ИИ и обзоры новых сервисов: новые модели для генерации впечатляющих видео
💰⬆️ 10 факторов, влияющих на зарплату программиста
👨💻🧩 Психология и ИТ: 17 личностных качеств, необходимых для успешной карьеры
🏃 Самоучитель по Go для начинающих:
👉 Часть 5. Условные конструкции if-else и switch-case. Цикл for. Вложенные и бесконечные циклы
👉 Часть 6. Функции и аргументы. Области видимости. Рекурсия. Defer
🔐 Следующим поколением средств защиты после WAF стал WAAP (Web Application and API Protection). Термин впервые начал использовать Gartner для описания защиты современных, постоянно меняющихся веб-сервисов. И там, где используется термин API, важно упомянуть про API-First, подход к разработке серверных приложений, при котором API является наиболее важной частью продукта.
📌 Что имеем на выходе? К традиционным средствам защиты (WAF) должны быть добавлены следующие возможности:
☑️ Защита от ботов/скрейпинга, DDoS-атак уровня L7 и угроз OWASP top 10
☑️ Защита API
☑️ Учет изменений в веб-приложениях
☑️ Использование TI-feed'ов для блокировок
☑️ Использование продвинутых механизмов ограничения количества запросов
☑️ Использование смарт-капчи
☑️ Использование механизмов ML для выявления аномалий, мутаций и построения датасетов
😎 Лука Сафонов рассказал подробнее о WAAP и поделился своими мыслями.
#security
📌 Что имеем на выходе? К традиционным средствам защиты (WAF) должны быть добавлены следующие возможности:
☑️ Защита от ботов/скрейпинга, DDoS-атак уровня L7 и угроз OWASP top 10
☑️ Защита API
☑️ Учет изменений в веб-приложениях
☑️ Использование TI-feed'ов для блокировок
☑️ Использование продвинутых механизмов ограничения количества запросов
☑️ Использование смарт-капчи
☑️ Использование механизмов ML для выявления аномалий, мутаций и построения датасетов
😎 Лука Сафонов рассказал подробнее о WAAP и поделился своими мыслями.
#security
🔍 Sensecon 23: от драйверов Windows к практически полностью рабочему EDR
Было ли у вас такое, когда вам пришлось реализовать руками какой-то софт, чтобы понять его работу под капотом? Именно так получилось у автора статьи про антивирус/EDR.
Сначала он рассмотрел историю антивирусов, разобрался, как они работали и почему полагались на драйвер ядра, затем разобрался, как создать собственный драйвер ядра и, наконец, как превратить его в почти полностью работающий EDR.
👉 Читать
#practice #security
Было ли у вас такое, когда вам пришлось реализовать руками какой-то софт, чтобы понять его работу под капотом? Именно так получилось у автора статьи про антивирус/EDR.
Сначала он рассмотрел историю антивирусов, разобрался, как они работали и почему полагались на драйвер ядра, затем разобрался, как создать собственный драйвер ядра и, наконец, как превратить его в почти полностью работающий EDR.
👉 Читать
#practice #security
💬 Что такое GraphQL batching и как ее можно использовать для обхода ограничения скорости?
GraphQL batching (пакетная обработка) позволяет отправлять несколько запросов или мутаций на эндпоинт GraphQL в одном запросе, используя массивы или псевдонимы. После чего каждый запрос/мутация выполняется, и в ответ возвращается набор результатов.
Это позволяет обойти ограничение скорости, потому что вместо отправки n запросов на определенный эндпоинт можно отправить один запрос, содержащий
👉 Подробнее
#вопросы_с_собесов
GraphQL batching (пакетная обработка) позволяет отправлять несколько запросов или мутаций на эндпоинт GraphQL в одном запросе, используя массивы или псевдонимы. После чего каждый запрос/мутация выполняется, и в ответ возвращается набор результатов.
Это позволяет обойти ограничение скорости, потому что вместо отправки n запросов на определенный эндпоинт можно отправить один запрос, содержащий
n запросов/мутаций.👉 Подробнее
#вопросы_с_собесов
Forwarded from Библиотека Go-разработчика | Golang
🥇 Спортивная мотивация и мотивация в IT, что общего?
Рассказываем, как использовать психологические инструменты из спорта, чтобы увеличить внутреннюю мотивацию и повысить продуктивность.
👉 Читать статью
👉 Зеркало
Рассказываем, как использовать психологические инструменты из спорта, чтобы увеличить внутреннюю мотивацию и повысить продуктивность.
👉 Читать статью
👉 Зеркало
⚒️ Active Directory Enumeration для Red Team специалистов
Какая главная задача для команды red team, кроме «получить максимальный импакт»? Конечно, остаться как можно дольше незамеченным для средств защиты и команды blue team.
Вы когда-нибудь задумывались, как на той стороне могут отслеживать подозрительную активность LDAP? Гайд от MDSec подробно рассказывает об этом, а также делится подходами к operational security для red team команд, проводящих разведку LDAP.
#pentest #recon #redteam
Какая главная задача для команды red team, кроме «получить максимальный импакт»? Конечно, остаться как можно дольше незамеченным для средств защиты и команды blue team.
Вы когда-нибудь задумывались, как на той стороне могут отслеживать подозрительную активность LDAP? Гайд от MDSec подробно рассказывает об этом, а также делится подходами к operational security для red team команд, проводящих разведку LDAP.
#pentest #recon #redteam
🤔 Как нестандартно войти в АйТи
Многие IT-специалисты приходят в эту сферу нестандартным путем — кто-то начинал как самоучка, а кто-то стал программистом случайно. Был ли у вас необычный старт карьеры в IT?
Расскажите нам свою историю! Ваш опыт может вдохновить тех, кто мечтает о переменах, но пока не решается начать.
❤️ С нетерпением ждем ваших комментариев!
Многие IT-специалисты приходят в эту сферу нестандартным путем — кто-то начинал как самоучка, а кто-то стал программистом случайно. Был ли у вас необычный старт карьеры в IT?
Расскажите нам свою историю! Ваш опыт может вдохновить тех, кто мечтает о переменах, но пока не решается начать.
❤️ С нетерпением ждем ваших комментариев!
Самые полезные каналы для программистов в одной подборке!
Сохраняйте себе, чтобы не потерять 💾
🔥Для всех
Библиотека программиста — новости, статьи, досуг, фундаментальные темы
Книги для программистов
IT-мемы
Proglib Academy — тут мы рассказываем про обучение и курсы
#️⃣C#
Книги для шарпистов | C#, .NET, F#
Библиотека шарписта — полезные статьи, новости и обучающие материалы по C#
Библиотека задач по C# — код, квизы и тесты
Библиотека собеса по C# — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Вакансии по C#, .NET, Unity Вакансии по PHP, Symfony, Laravel
☁️DevOps
Библиотека devops’а — полезные статьи, новости и обучающие материалы по DevOps
Вакансии по DevOps & SRE
Библиотека задач по DevOps — код, квизы и тесты
Библиотека собеса по DevOps — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
🐘PHP
Библиотека пхпшника — полезные статьи, новости и обучающие материалы по PHP
Вакансии по PHP, Symfony, Laravel
Библиотека PHP для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по PHP — код, квизы и тесты
🐍Python
Библиотека питониста — полезные статьи, новости и обучающие материалы по Python
Вакансии по питону, Django, Flask
Библиотека Python для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Python — код, квизы и тесты
☕Java
Библиотека джависта — полезные статьи по Java, новости и обучающие материалы
Библиотека Java для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Java — код, квизы и тесты
Вакансии для java-разработчиков
👾Data Science
Книги для дата сайентистов | Data Science
Библиотека Data Science — полезные статьи, новости и обучающие материалы по Data Science
Библиотека Data Science для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Data Science — код, квизы и тесты
Вакансии по Data Science, анализу данных, аналитике, искусственному интеллекту
🦫Go
Книги для Go разработчиков
Библиотека Go разработчика — полезные статьи, новости и обучающие материалы по Go
Библиотека Go для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Go — код, квизы и тесты
Вакансии по Go
🧠C++
Книги для C/C++ разработчиков
Библиотека C/C++ разработчика — полезные статьи, новости и обучающие материалы по C++
Библиотека C++ для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по C++ — код, квизы и тесты
Вакансии по C++
💻Другие профильные каналы
Библиотека фронтендера
Библиотека мобильного разработчика
Библиотека хакера
Библиотека тестировщика
💼Каналы с вакансиями
Вакансии по фронтенду, джаваскрипт, React, Angular, Vue
Вакансии для мобильных разработчиков
Вакансии по QA тестированию
InfoSec Jobs — вакансии по информационной безопасности
📁Чтобы добавить папку с нашими каналами, нажмите 👉сюда👈
🤖Также у нас есть боты:
Бот с IT-вакансиями
Бот с мероприятиями в сфере IT
Мы в других соцсетях:
🔸VK
🔸YouTube
🔸Дзен
🔸Facebook *
🔸Instagram *
* Организация Meta запрещена на территории РФ
Сохраняйте себе, чтобы не потерять 💾
🔥Для всех
Библиотека программиста — новости, статьи, досуг, фундаментальные темы
Книги для программистов
IT-мемы
Proglib Academy — тут мы рассказываем про обучение и курсы
#️⃣C#
Книги для шарпистов | C#, .NET, F#
Библиотека шарписта — полезные статьи, новости и обучающие материалы по C#
Библиотека задач по C# — код, квизы и тесты
Библиотека собеса по C# — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Вакансии по C#, .NET, Unity Вакансии по PHP, Symfony, Laravel
☁️DevOps
Библиотека devops’а — полезные статьи, новости и обучающие материалы по DevOps
Вакансии по DevOps & SRE
Библиотека задач по DevOps — код, квизы и тесты
Библиотека собеса по DevOps — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
🐘PHP
Библиотека пхпшника — полезные статьи, новости и обучающие материалы по PHP
Вакансии по PHP, Symfony, Laravel
Библиотека PHP для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по PHP — код, квизы и тесты
🐍Python
Библиотека питониста — полезные статьи, новости и обучающие материалы по Python
Вакансии по питону, Django, Flask
Библиотека Python для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Python — код, квизы и тесты
☕Java
Библиотека джависта — полезные статьи по Java, новости и обучающие материалы
Библиотека Java для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Java — код, квизы и тесты
Вакансии для java-разработчиков
👾Data Science
Книги для дата сайентистов | Data Science
Библиотека Data Science — полезные статьи, новости и обучающие материалы по Data Science
Библиотека Data Science для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Data Science — код, квизы и тесты
Вакансии по Data Science, анализу данных, аналитике, искусственному интеллекту
🦫Go
Книги для Go разработчиков
Библиотека Go разработчика — полезные статьи, новости и обучающие материалы по Go
Библиотека Go для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Go — код, квизы и тесты
Вакансии по Go
🧠C++
Книги для C/C++ разработчиков
Библиотека C/C++ разработчика — полезные статьи, новости и обучающие материалы по C++
Библиотека C++ для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по C++ — код, квизы и тесты
Вакансии по C++
💻Другие профильные каналы
Библиотека фронтендера
Библиотека мобильного разработчика
Библиотека хакера
Библиотека тестировщика
💼Каналы с вакансиями
Вакансии по фронтенду, джаваскрипт, React, Angular, Vue
Вакансии для мобильных разработчиков
Вакансии по QA тестированию
InfoSec Jobs — вакансии по информационной безопасности
📁Чтобы добавить папку с нашими каналами, нажмите 👉сюда👈
🤖Также у нас есть боты:
Бот с IT-вакансиями
Бот с мероприятиями в сфере IT
Мы в других соцсетях:
🔸VK
🔸YouTube
🔸Дзен
🔸Facebook *
🔸Instagram *
* Организация Meta запрещена на территории РФ
🔐 В каждой версии Windows (начиная с Vista) есть стандартный компонент UAC (User Account Control). Он включен по умолчанию и предназначен для разделения привилегий путем требования «согласия» админа.
Несмотря на то, что он был разработан для добавления дополнительного уровня безопасности от несанкционированных изменений ОС, оказалось, что он полон дыр.
Существует множество известных способов обойти UAC и выполнять действия с повышенными привилегиями без каких-либо запросов или согласия, предоставляемых пользователем в интерактивном режиме.
🤯 Один из таких — использование контекстов дейтаграмм SSPI (Security Support Provider Interface). Под катом — ресёрч на эту тему.
#pentest #redteam #research
Несмотря на то, что он был разработан для добавления дополнительного уровня безопасности от несанкционированных изменений ОС, оказалось, что он полон дыр.
Существует множество известных способов обойти UAC и выполнять действия с повышенными привилегиями без каких-либо запросов или согласия, предоставляемых пользователем в интерактивном режиме.
🤯 Один из таких — использование контекстов дейтаграмм SSPI (Security Support Provider Interface). Под катом — ресёрч на эту тему.
#pentest #redteam #research
Please open Telegram to view this post
VIEW IN TELEGRAM
🧑💻 Статьи для IT: как объяснять и распространять значимые идеи
Напоминаем, что у нас есть бесплатный курс для всех, кто хочет научиться интересно писать — о программировании и в целом.
Что: семь модулей, посвященных написанию, редактированию, иллюстрированию и распространению публикаций.
Для кого: для авторов, копирайтеров и просто программистов, которые хотят научиться интересно рассказывать о своих проектах.
👉Материалы регулярно дополняются, обновляются и корректируются. А еще мы отвечаем на все учебные вопросы в комментариях курса.
Напоминаем, что у нас есть бесплатный курс для всех, кто хочет научиться интересно писать — о программировании и в целом.
Что: семь модулей, посвященных написанию, редактированию, иллюстрированию и распространению публикаций.
Для кого: для авторов, копирайтеров и просто программистов, которые хотят научиться интересно рассказывать о своих проектах.
👉Материалы регулярно дополняются, обновляются и корректируются. А еще мы отвечаем на все учебные вопросы в комментариях курса.