Компрометация пайплайна позволяет злоумышленнику внедрить вредоносный образ и распространить его в production.
#breach_breakdown
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2❤1
browsersecrets.pdf
387.1 KB
localStorage — удобно, но небезопасно. Любой скрипт получает доступ к данным, а при XSS ваши токены утекут мгновенно.
Сейчас на курсы Proglib действует −40%
#cheat_sheet
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥2🥰2❤1
GraphQL API позволяет строить вложенные запросы. Разработчики отключили introspection в продакшене и установили лимит глубины запроса (max depth: 10). Но забыли ограничить количество алиасов и сложность запроса.
Пример запроса:
{
user1: getUser(id:1){name}
user2: getUser(id:2){name}
...
}#ctf_challenge
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3❤1👍1🥰1
Коллеги, давайте честно: на чём вы реально работаете?
Интересует всё:
— Какой ноутбук (модель, бренд)
Конфигурация (процессор, RAM, накопитель)
— Что для вас критично в железе для задач ИБ
— Хватает ли мощности для запуска виртуалок с тестовыми окружениями?
— Сколько RAM реально нужно, когда одновременно крутится Burp Suite, Wireshark и пара VM?
Пишите в комментариях своё железо и впечатления от него — интересно собрать реальную статистику, чем вооружена наша братия
Please open Telegram to view this post
VIEW IN TELEGRAM
😁2🤔2
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8👏4😁1
Активно эксплуатируются:
Сейчас на курсы Proglib действует −40%
#patch_notes
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥2🥰1
💥 Октябрь — месяц апгрейда!
До конца этого месяца действует скидка 40% на все курсы Proglib Academy(кроме AI-агентов, ML для старта и математики) .
Под акцию попал и наш хит — курс «Алгоритмы и структуры данных».
👨💻 Он подойдёт джунам, мидлам и всем, кто хочет писать код осознанно, а не наугад.
👨🏫 Преподаватели — инженеры из Яндекса и ВШЭ.
🎓 Сертификат по итогам обучения — в портфолио.
➖ 47 видеоуроков и 150 практических задач;
➖ поддержка преподавателей и чат;
➖ доступ к материалам на 12 месяцев.
Полная программа курса тут 👈
👉 Остальные курсы
До конца этого месяца действует скидка 40% на все курсы Proglib Academy
Под акцию попал и наш хит — курс «Алгоритмы и структуры данных».
👨💻 Он подойдёт джунам, мидлам и всем, кто хочет писать код осознанно, а не наугад.
👨🏫 Преподаватели — инженеры из Яндекса и ВШЭ.
🎓 Сертификат по итогам обучения — в портфолио.
➖ 47 видеоуроков и 150 практических задач;
➖ поддержка преподавателей и чат;
➖ доступ к материалам на 12 месяцев.
Полная программа курса тут 👈
👉 Остальные курсы
🥰1
В 2014 году крупнейшая криптобиржа мира Mt. Gox (70% всех BTC-транзакций) внезапно заморозила выводы. Через неделю — банкротство. 850,000 BTC пропали.
Transaction Malleability — уязвимость в Bitcoin-протоколе. Атакующий менял ID транзакции после отправки. Mt. Gox думал, что платёж не прошёл → отправлял BTC повторно.
Большая часть монет хранилась в «горячих» кошельках онлайн. Компрометация приватных ключей (возможно через insider) = годы скрытых краж с 2011.
🕵️ Что с CEO:
Mark Karpelès был арестован в 2015, в 2019 оправдан по растрате, но получил 2.5 года условно за fraud.
BTC упал с $600 до $200. Биржи начали хранить средства оффлайн и подтверждать резервы.
#zero_day_legends
Please open Telegram to view this post
VIEW IN TELEGRAM
🥰1
🧩 Разбор задачи
Раннее мы выкладывали хакер-челлендж📎
➡️ Правильный ответ: 🔥 Alias flooding
Почему именно эта атака:
Alias flooding — это атака, при которой отправляется множество алиасов в одном запросе. Каждый алиас вызывает отдельный резолвер на сервере, что приводит к множественным запросам к базе данных. В результате 1 HTTP-запрос превращается в огромное количество операций, создавая amplification attack (например, 1 запрос = 5000 DB-запросов).
➡️ Почему другие атаки не такие эффективные:
🐸 Библиотека хакера
#ctf_challenge
Раннее мы выкладывали хакер-челлендж
Почему именно эта атака:
Alias flooding — это атака, при которой отправляется множество алиасов в одном запросе. Каждый алиас вызывает отдельный резолвер на сервере, что приводит к множественным запросам к базе данных. В результате 1 HTTP-запрос превращается в огромное количество операций, создавая amplification attack (например, 1 запрос = 5000 DB-запросов).
1. 👾 Exponential field expansion
Эта атака работает за счёт увеличения сложности запросов при глубоком вложении, но она ограничена максимальной глубиной запроса (max depth: 10). Даже при увеличении количества вложений запросы не растут так экспоненциально, как при Alias flooding.
2. ❤️ Batched array flooding
Хотя запросы массивов с алиасами могут создать нагрузку, они требуют больших объёмов данных (например, 1000 пользователей с массивами), что делает эту атаку менее эффективной в контексте минимизации размера запроса.
3. 👍 Nested mutation chaining
Эта атака вызывает нагрузку на базу данных, создавая каскад мутаций, но она требует выполнения нескольких операций, и нагрузка на сервер растёт не так сильно, как при Alias flooding.
#ctf_challenge
Please open Telegram to view this post
VIEW IN TELEGRAM
🥰2
— Реальные сценарии атак, имитируют действия настоящих злоумышленников
— Выявление слабых мест в безопасности организации с фокусом на поведение
— Создание эффективных механизмов обнаружения и защиты от атак
— Улучшение процедур реагирования на инциденты в организации
❤️ — Red Team
👍 — Blue Team
#tool_vs_tool
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2🥰2