Как думаете, через сколько дней в sudo для винды появятся первые баги?👇

😱 Команда Microsoft представила утилиту sudo для Windows

🔐 Кто работал в *nix, знают, что sudo позволяет выполнять привилегированные команды обычным пользователям без необходимости ввода пароля суперпользователя.

⚒️ Sudo для Windows — это новый способ запуска команд с повышенными привилегиями прямо в терминале пользователя. Казалось бы, отличная новость, — операционная система развивается. Но в случае с Microsoft всегда в сообществе происходит переполох.

🤯 Мейнтейнеры оригинального проекта sudo вместе с сообществом решили перенести Word в OpenBSD, при этом повторить путь Microsoft:

🔸Не заботиться о совместимом поведении
🔸Не заботиться о товарных знаках или де-факто товарных знаках
🔸Не спрашивать первоначальные продуктовые команды, все ли в порядке

🍋 Подборка лучших статей «Библиотеки программиста» за январь: сохраняй в заметки, чтобы не пропустить #самыйсок

🏖️ Чек лист идеального отдыха: 5 психологических техник расслабления
👨‍💻 Особенности работы в ИТ: информация из первых рук
🏖️ Синдром упущенного отпуска: почему так опасно игнорировать заслуженный отдых
🤖 Итоги недели в мире ИИ и обзоры новых сервисов: новые модели для генерации впечатляющих видео
💰⬆️ 10 факторов, влияющих на зарплату программиста
👨‍💻🧩 Психология и ИТ: 17 личностных качеств, необходимых для успешной карьеры
🏃 Самоучитель по Go для начинающих:
👉 Часть 5. Условные конструкции if-else и switch-case. Цикл for. Вложенные и бесконечные циклы
👉 Часть 6. Функции и аргументы. Области видимости. Рекурсия. Defer

🔐 Следующим поколением средств защиты после WAF стал WAAP (Web Application and API Protection). Термин впервые начал использовать Gartner для описания защиты современных, постоянно меняющихся веб-сервисов. И там, где используется термин API, важно упомянуть про API-First, подход к разработке серверных приложений, при котором API является наиболее важной частью продукта.

📌 Что имеем на выходе? К традиционным средствам защиты (WAF) должны быть добавлены следующие возможности:

☑️ Защита от ботов/скрейпинга, DDoS-атак уровня L7 и угроз OWASP top 10
☑️ Защита API
☑️ Учет изменений в веб-приложениях
☑️ Использование TI-feed'ов для блокировок
☑️ Использование продвинутых механизмов ограничения количества запросов
☑️ Использование смарт-капчи
☑️ Использование механизмов ML для выявления аномалий, мутаций и построения датасетов

😎 Лука Сафонов рассказал подробнее о WAAP и поделился своими мыслями.

#security

🔍 Sensecon 23: от драйверов Windows к практически полностью рабочему EDR

Было ли у вас такое, когда вам пришлось реализовать руками какой-то софт, чтобы понять его работу под капотом? Именно так получилось у автора статьи про антивирус/EDR.

Сначала он рассмотрел историю антивирусов, разобрался, как они работали и почему полагались на драйвер ядра, затем разобрался, как создать собственный драйвер ядра и, наконец, как превратить его в почти полностью работающий EDR.

👉 Читать

#practice #security

💬 Что такое GraphQL batching и как ее можно использовать для обхода ограничения скорости?

GraphQL batching (пакетная обработка) позволяет отправлять несколько запросов или мутаций на эндпоинт GraphQL в одном запросе, используя массивы или псевдонимы. После чего каждый запрос/мутация выполняется, и в ответ возвращается набор результатов.

Это позволяет обойти ограничение скорости, потому что вместо отправки n запросов на определенный эндпоинт можно отправить один запрос, содержащий n запросов/мутаций.

👉 Подробнее

#вопросы_с_собесов

🥇 Спортивная мотивация и мотивация в IT, что общего?

Рассказываем, как использовать психологические инструменты из спорта, чтобы увеличить внутреннюю мотивацию и повысить продуктивность.

👉 Читать статью
👉 Зеркало

⚒️ Active Directory Enumeration для Red Team специалистов

Какая главная задача для команды red team, кроме «получить максимальный импакт»? Конечно, остаться как можно дольше незамеченным для средств защиты и команды blue team.

Вы когда-нибудь задумывались, как на той стороне могут отслеживать подозрительную активность LDAP? Гайд от MDSec подробно рассказывает об этом, а также делится подходами к operational security для red team команд, проводящих разведку LDAP.

#pentest #recon #redteam

🤔 Как нестандартно войти в АйТи

Многие IT-специалисты приходят в эту сферу нестандартным путем — кто-то начинал как самоучка, а кто-то стал программистом случайно. Был ли у вас необычный старт карьеры в IT?

Расскажите нам свою историю! Ваш опыт может вдохновить тех, кто мечтает о переменах, но пока не решается начать.

❤️ С нетерпением ждем ваших комментариев!

Самые полезные каналы для программистов в одной подборке!

Сохраняйте себе, чтобы не потерять 💾

🔥Для всех

Библиотека программиста — новости, статьи, досуг, фундаментальные темы
Книги для программистов
IT-мемы
Proglib Academy — тут мы рассказываем про обучение и курсы

#️⃣C#

Книги для шарпистов | C#, .NET, F#
Библиотека шарписта — полезные статьи, новости и обучающие материалы по C#
Библиотека задач по C# — код, квизы и тесты
Библиотека собеса по C# — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Вакансии по C#, .NET, Unity Вакансии по PHP, Symfony, Laravel

☁️DevOps

Библиотека devops’а — полезные статьи, новости и обучающие материалы по DevOps
Вакансии по DevOps & SRE
Библиотека задач по DevOps — код, квизы и тесты
Библиотека собеса по DevOps — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования

🐘PHP

Библиотека пхпшника — полезные статьи, новости и обучающие материалы по PHP
Вакансии по PHP, Symfony, Laravel
Библиотека PHP для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по PHP — код, квизы и тесты

🐍Python

Библиотека питониста — полезные статьи, новости и обучающие материалы по Python
Вакансии по питону, Django, Flask
Библиотека Python для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Python — код, квизы и тесты

☕Java

Библиотека джависта — полезные статьи по Java, новости и обучающие материалы
Библиотека Java для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Java — код, квизы и тесты
Вакансии для java-разработчиков

👾Data Science

Книги для дата сайентистов | Data Science
Библиотека Data Science — полезные статьи, новости и обучающие материалы по Data Science
Библиотека Data Science для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Data Science — код, квизы и тесты
Вакансии по Data Science, анализу данных, аналитике, искусственному интеллекту

🦫Go

Книги для Go разработчиков
Библиотека Go разработчика — полезные статьи, новости и обучающие материалы по Go
Библиотека Go для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Go — код, квизы и тесты
Вакансии по Go

🧠C++

Книги для C/C++ разработчиков
Библиотека C/C++ разработчика — полезные статьи, новости и обучающие материалы по C++
Библиотека C++ для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по C++ — код, квизы и тесты
Вакансии по C++

💻Другие профильные каналы

Библиотека фронтендера
Библиотека мобильного разработчика
Библиотека хакера
Библиотека тестировщика

💼Каналы с вакансиями

Вакансии по фронтенду, джаваскрипт, React, Angular, Vue
Вакансии для мобильных разработчиков
Вакансии по QA тестированию
InfoSec Jobs — вакансии по информационной безопасности

📁Чтобы добавить папку с нашими каналами, нажмите 👉сюда👈

🤖Также у нас есть боты:
Бот с IT-вакансиями
Бот с мероприятиями в сфере IT

Мы в других соцсетях:
🔸VK
🔸YouTube
🔸Дзен
🔸Facebook *
🔸Instagram *

* Организация Meta запрещена на территории РФ

🔐 В каждой версии Windows (начиная с Vista) есть стандартный компонент UAC (User Account Control). Он включен по умолчанию и предназначен для разделения привилегий путем требования «согласия» админа.

Несмотря на то, что он был разработан для добавления дополнительного уровня безопасности от несанкционированных изменений ОС, оказалось, что он полон дыр.

Существует множество известных способов обойти UAC и выполнять действия с повышенными привилегиями без каких-либо запросов или согласия, предоставляемых пользователем в интерактивном режиме.

🤯 Один из таких — использование контекстов дейтаграмм SSPI (Security Support Provider Interface). Под катом — ресёрч на эту тему.

#pentest #redteam #research

🧑‍💻 Статьи для IT: как объяснять и распространять значимые идеи

Напоминаем, что у нас есть бесплатный курс для всех, кто хочет научиться интересно писать — о программировании и в целом.

Что: семь модулей, посвященных написанию, редактированию, иллюстрированию и распространению публикаций.

Для кого: для авторов, копирайтеров и просто программистов, которые хотят научиться интересно рассказывать о своих проектах.

👉Материалы регулярно дополняются, обновляются и корректируются. А еще мы отвечаем на все учебные вопросы в комментариях курса.

🩷👨‍💻 Пока влюбленные шлют друг другу валентинки, айтишники отмечают свой профессиональный праздник. 14 февраля считается неофициальным днем компьютерщика.

🤦‍♂️ Так совпало, что именно в этот день в 1946 году общественности был продемонстрирован первый работающий электронный компьютер ENIAC I. Именно к этому событию приурочено празднование.

💬 А ведь раньше действительно айтишников называли компьютерщиками… Или кого там так называли? Кто винду мог переустановить?

⌨️ Пример однострочника для быстрого обнаружения XSS в PHP-файлах:

rg --no-heading "echo.*\\\$_GET" | grep "\.php:" | grep -v -e "(\$_GET" -e "( \$_GET" -e "esc_" -e "admin_url" -e "(int)" -e htmlentities

#bugbounty #tips