PortsWigger выпустил свежий патч для Burp Suite (1 октября).
В нём — исправления стабильности, улучшения работы Proxy и мелкие security-фиксы.
• старые плагины могут работать нестабильно;
• обновление повышает совместимость с последними Java-версиями;
• в Pro-версии улучшили работу Intruder и Repeater.
🔁 Проверить: Help → Check for updates
или скачайте последнюю сборку
#patch_notes
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥2❤1
💥 Один заражённый пакет — тысячи уязвимых проектов
Иногда атака приходит не через уязвимый сервер, а прямо из зависимостей.
Недавний кейс с npm/pip показал, как вредоносное обновление смогло попасть в CI/CD и скомпрометировать сборки без участия разработчиков.
➡️ В карточках — коротко о том, как это произошло, почему почти никто не заметил и какие шаги помогут защититься от подобных supply-chain атак.
🐸 Библиотека хакера
#breach_breakdown
Иногда атака приходит не через уязвимый сервер, а прямо из зависимостей.
Недавний кейс с npm/pip показал, как вредоносное обновление смогло попасть в CI/CD и скомпрометировать сборки без участия разработчиков.
#breach_breakdown
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2🔥1
Компактный референс для мгновенного понимания: INNER, LEFT, RIGHT, FULL — что возвращают и когда применять.
#cheat_sheet
Please open Telegram to view this post
VIEW IN TELEGRAM
❤3👍1
💥 Весь октябрь -40% на курсы для разработчиков в proglib.academy
Бери знания под свой стек:
Python | алгоритмы | математика для Data Science | архитектура кода.
⚡️ Пока скидка действует, апдейтни свои навыки
Бери знания под свой стек:
Python | алгоритмы | математика для Data Science | архитектура кода.
Пока одни ждут «идеальный момент», другие просто учатся.
А потом берут ваши офферы.
⚡️ Пока скидка действует, апдейтни свои навыки
❤2
🧩 Хакер-челлендж
На проде магазина замечают странные списания: одни пользователи платят дважды, у других приходит товар без списания. Вот фрагмент логов (время в ms).
❓ Что наиболее правдоподобно объясняет произошедшее, голосуйте эмодзи
🔥 — Неправильно реализован механизм идемпотентности:
👾 — Race condition/несинхронизированное состояние между бэкендами: параллельные запросы обрабатываются разными экземплярами, каждый создал транзакцию до репликации/блокировки.
❤️ — Replay-атака: перехват и повторная отправка запроса с тем же ключом с других IP.
👍 — Интеграционный баг с платёжным провайдером: двойное создание транзакции на стороне провайдера или несогласованность статусов.
🐸 Библиотека хакера
#ctf_challenge
На проде магазина замечают странные списания: одни пользователи платят дважды, у других приходит товар без списания. Вот фрагмент логов (время в ms).
🔥 — Неправильно реализован механизм идемпотентности:
Idempotency-Key
не проверяется глобально/атомарно (ключ принимается разными бекендами), из-за чего созданы две транзакции.👾 — Race condition/несинхронизированное состояние между бэкендами: параллельные запросы обрабатываются разными экземплярами, каждый создал транзакцию до репликации/блокировки.
❤️ — Replay-атака: перехват и повторная отправка запроса с тем же ключом с других IP.
👍 — Интеграционный баг с платёжным провайдером: двойное создание транзакции на стороне провайдера или несогласованность статусов.
#ctf_challenge
Please open Telegram to view this post
VIEW IN TELEGRAM
👾12❤11👍1🔥1🥱1
Please open Telegram to view this post
VIEW IN TELEGRAM
😁6👾1
WatchGuard выпустил новые rackmount-устройства Firebox M Series, которые обеспечат вам:
Эти устройства — отличное решение для высокозащищённых корпоративных сетей, где важна безопасность и масштабируемость.
#patch_notes
Please open Telegram to view this post
VIEW IN TELEGRAM
❤🔥2👍1🔥1
В 2011 году Sony пережила одну из крупнейших атак в истории гейминга. Неизвестные взломали PlayStation Network, похитив данные 77 миллионов пользователей — от логинов до истории покупок.
Уязвимость оказалась не технической, а организационной — компания не обновила старые серверы и недооценила риск SQL-инъекций.
#zero_day_legends
Please open Telegram to view this post
VIEW IN TELEGRAM
❤3👾3💯2
Раннее мы выкладывали задачу
В логах магазина видно два почти одинаковых запроса на оплату с одинаковым Idempotency-Key. Но обработаны они разными инстансами: один вернул статус processing, второй — paid. В итоге пользователю пришёл товар, но система зарегистрировала две транзакции.
1. 🔥 Неправильно реализована идемпотентность: проверка Idempotency-Key не выполняется централизованно или атомарно. Из-за этого два разных инстанса приняли один и тот же ключ и создали две транзакции. Это самая вероятная причина проблемы.
2. 👾 Race condition: параллельные запросы были обработаны разными инстансами, что привело к созданию двух транзакций до синхронизации состояния между ними.
3. ❤️ Replay-атака: маловероятно, потому что IP-адреса в логах разные. Хотя теоретически возможно, что запрос был повторно отправлен с тем же ключом.
4. 👍 Интеграционный баг с платёжным провайдером: это также возможно, но не является основной причиной. Провайдер зарегистрировал оба статуса, но ошибки на его стороне не столь очевидны.
Правильный ответ:
#ctf_challenge
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3🔥2❤1