#guide #security
Справочник по ключам доступа AWS
Ключи доступа AWS представляют собой учетные данные, используемые для предоставления программного доступа или доступа на основе CLI к API AWS. В статье описывается, что они собой представляют, как идентифицировать различные типы ключей, где вы, вероятно, найдете их в разных службах, а также порядок приоритета доступа для различных SDK и инструментов.
https://proglib.io/w/4b207ddb
Справочник по ключам доступа AWS
Ключи доступа AWS представляют собой учетные данные, используемые для предоставления программного доступа или доступа на основе CLI к API AWS. В статье описывается, что они собой представляют, как идентифицировать различные типы ключей, где вы, вероятно, найдете их в разных службах, а также порядок приоритета доступа для различных SDK и инструментов.
https://proglib.io/w/4b207ddb
www.nojones.net
AWS Access Keys - A Reference - Nick Jones
<p>AWS Access Keys are the credentials used to provide programmatic or CLI-based access to the AWS APIs. This post outlines what they are, how to identify the different types of keys, where you’re likely to find them across the different services, and the…
FontOnLake (Eset - 2021).pdf
652.5 KB
#reverse #apt
Разбор Linux-малвари FontOnLake
Специалисты ESET рассказали о малвари FontOnLake, которая сочетает в себе компоненты бэкдора и руткита. Известно, что вредонос используется в направленных атаках против организаций в Юго-Восточной Азии.
https://proglib.io/w/c9593482
Разбор Linux-малвари FontOnLake
Специалисты ESET рассказали о малвари FontOnLake, которая сочетает в себе компоненты бэкдора и руткита. Известно, что вредонос используется в направленных атаках против организаций в Юго-Восточной Азии.
https://proglib.io/w/c9593482
#security
Безопасная работа с DOM с помощью Sanitizer API для борьбы с XSS-уязвимостями.
https://proglib.io/w/5e6ac700
Безопасная работа с DOM с помощью Sanitizer API для борьбы с XSS-уязвимостями.
https://proglib.io/w/5e6ac700
web.dev
Safe DOM manipulation with the Sanitizer API
The new Sanitizer API aims to build a robust processor for arbitrary strings to be safely inserted into a page. This article introduces the API, and explains its usage.
#security #pentest #bugbounty #guide
Видеоурок по фундаментальным основам безопасности веб-приложений.
https://proglib.io/w/d629ee5e
Видеоурок по фундаментальным основам безопасности веб-приложений.
https://proglib.io/w/d629ee5e
YouTube
Web Application Security Fundamentals (must know basics for developers, testers and hackers)
This video covers the basic building blocks of web applications, such as HTML, HTTP, JavaScript and Cookies! Furthermore core web applications security concepts such as the Same-Origin Policy are discussed in detail to provide the foundation to understand…
#security
Разбираем различные механизмы обеспечения повышенной безопасности контейнеров в Linux.
https://proglib.io/w/ca899a9a
Разбираем различные механизмы обеспечения повышенной безопасности контейнеров в Linux.
https://proglib.io/w/ca899a9a
Хабр
Механизмы обеспечения повышенной безопасности контейнеров в Linux
1. Введение. Что мы называем контейнером Наше с вами современное время во всех учебниках истории уже названо периодом очередной смены производственного уклада или четвертой промышленной революцией...
#writeup #pentest #bugbounty #security
Описание процесса поиска и эксплуатации уязвимостей SSRF, internal traffic hijack и XSS в RESTful-сервисе Netflix Eureka.
https://proglib.io/w/f4858ce5
Описание процесса поиска и эксплуатации уязвимостей SSRF, internal traffic hijack и XSS в RESTful-сервисе Netflix Eureka.
https://proglib.io/w/f4858ce5
#security #pentest #bugbounty
PHP 7.0-8.0 disable_functions bypass
Есть у нас PHP-разработчики? Просто знайте, что в сети опубликован poc для обхода disable_functions в PHP 7.0-8.0.
А белые хакеры знают как это можно применить в своей работе, и они не очень хотят, чтобы этот баг кто-то исправлял 😉😎.
https://proglib.io/w/74e4ded6
PHP 7.0-8.0 disable_functions bypass
Есть у нас PHP-разработчики? Просто знайте, что в сети опубликован poc для обхода disable_functions в PHP 7.0-8.0.
А белые хакеры знают как это можно применить в своей работе, и они не очень хотят, чтобы этот баг кто-то исправлял 😉😎.
https://proglib.io/w/74e4ded6
GitHub
exploits/php-filter-bypass at master · mm0r1/exploits
Pwn stuff. Contribute to mm0r1/exploits development by creating an account on GitHub.
#security #guide
Справочник по разработке безопасных веб-приложений: лучшие практики, анализ и исправление уязвимостей.
https://proglib.io/w/3e42e3da
Справочник по разработке безопасных веб-приложений: лучшие практики, анализ и исправление уязвимостей.
https://proglib.io/w/3e42e3da
vladtoie.gitbook.io
Secure Coding Handbook | Secure Coding Handbook
Practical Vulnerability Management (2020)
Автор: Andrew Magnusson
Главная цель книги — показать практические аспекты устранения слабых мест в системе безопасности и методы защиты от киберугроз.
Книга начинается со знакомства с инструментами и компонентами, используемыми для управления уязвимостями, а также с подробного описания способов улучшения общего состояния безопасности организации.
По мере того, как материал переходит от концептуального к практическому, вы изучите процесс создания системы управления уязвимостями с нуля с использованием open source решений.
Скачать
Автор: Andrew Magnusson
Главная цель книги — показать практические аспекты устранения слабых мест в системе безопасности и методы защиты от киберугроз.
Книга начинается со знакомства с инструментами и компонентами, используемыми для управления уязвимостями, а также с подробного описания способов улучшения общего состояния безопасности организации.
По мере того, как материал переходит от концептуального к практическому, вы изучите процесс создания системы управления уязвимостями с нуля с использованием open source решений.
Скачать
Telegram
Книги для программистов (reserved)
Practical Vulnerability Management (2020)
Автор: Andrew Magnusson
Автор: Andrew Magnusson
#pentest #bugbounty #tip
Когда тестируете различные запросы целевого веб-приложения и получаете в ответ 403 Forbidden, не отчаивайтесь. Пример выше доказывает, что зачастую можно обойти защиту WAF с помощью различных кодировок.
Когда тестируете различные запросы целевого веб-приложения и получаете в ответ 403 Forbidden, не отчаивайтесь. Пример выше доказывает, что зачастую можно обойти защиту WAF с помощью различных кодировок.
#bugbounty #pentest #practice
Много годноты для багхантеров в одном плейлисте: https://proglib.io/w/4af08cad
Много годноты для багхантеров в одном плейлисте: https://proglib.io/w/4af08cad
#security
Объединяем open source инструмент CrowdSec и Docker Compose для защиты приложений в контейнерах, что позволяет:
✔️ Автоматически закрывать скомпрометированным IP-адресам доступ к нашим контейнерным сервисам
✔️ Вручную добавлять/удалять и проверять решения о запрете
✔️ Отслеживать поведение CrowdSec (с помощью cli и дашбордов)
https://proglib.io/w/ec12e509
Объединяем open source инструмент CrowdSec и Docker Compose для защиты приложений в контейнерах, что позволяет:
✔️ Автоматически закрывать скомпрометированным IP-адресам доступ к нашим контейнерным сервисам
✔️ Вручную добавлять/удалять и проверять решения о запрете
✔️ Отслеживать поведение CrowdSec (с помощью cli и дашбордов)
https://proglib.io/w/ec12e509
Хабр
Обеспечиваем безопасность стеков Docker Compose с помощью CrowdSec
В этой статье рассказывается, как объединить CrowdSec и Docker Compose для защиты приложений, заключенных в контейнеры. Это позволит нам:автоматически закрывать скомпрометированным IP-адресам доступ к...
#security #cloud
Hacking Kubernetes (2021)
Авторы: Andrew Martin, Michael Hausenblas
Книга представляет собой практическое руководство по безопасности Kubernetes с учетом угроз. В каждой главе исследуется архитектура конкретного компонента и возможные настройки по умолчанию, а затем рассматриваются известные атаки и уязвимости.
Вы изучите абстрактную модель угроз распределенной системы, выполняющей произвольные рабочие нагрузки, а затем перейдете к подробной оценке каждого компонента безопасной системы Kubernetes.
И главное — авторы делятся передовой конфигурацией, которая поможет вам защитить кластеры от кибератак.
Скачать
Hacking Kubernetes (2021)
Авторы: Andrew Martin, Michael Hausenblas
Книга представляет собой практическое руководство по безопасности Kubernetes с учетом угроз. В каждой главе исследуется архитектура конкретного компонента и возможные настройки по умолчанию, а затем рассматриваются известные атаки и уязвимости.
Вы изучите абстрактную модель угроз распределенной системы, выполняющей произвольные рабочие нагрузки, а затем перейдете к подробной оценке каждого компонента безопасной системы Kubernetes.
И главное — авторы делятся передовой конфигурацией, которая поможет вам защитить кластеры от кибератак.
Скачать
Telegram
Книги для программистов (reserved)
Hacking Kubernetes (2021)
Авторы: Andrew Martin, Michael Hausenblas
Авторы: Andrew Martin, Michael Hausenblas
#security
Несколько полезных советов и приемов, которые позволят сделать ваше SSH-соединение безопаснее.
https://proglib.io/w/9e9a2281
Несколько полезных советов и приемов, которые позволят сделать ваше SSH-соединение безопаснее.
https://proglib.io/w/9e9a2281
ZeroSec - Adventures In Information Security
Locking Down SSH - The Right Way
A little guide for locking down a VPS or similar to ensure your SSH connection is as secure as can be.
#security #hacktivity
Эксперты центра противодействия кибератакам Solar JSOC и отдела расследования киберинцидентов Solar JSOC CERT собрали и проанализировали ВПО в январе – сентябре 2021 года. Вот что у них получилось.
https://proglib.io/w/b83a5940
Эксперты центра противодействия кибератакам Solar JSOC и отдела расследования киберинцидентов Solar JSOC CERT собрали и проанализировали ВПО в январе – сентябре 2021 года. Вот что у них получилось.
https://proglib.io/w/b83a5940
Хабр
Кого только не встретишь в инфраструктуре: с какими семействами ВПО мы чаще всего имели дело в этом году
Годы идут, а ВПО остается основной головной болью кибербезопасников. Мы недавно считали: почти 40% хакерских атак происходит именно с помощью вредоносного ПО. Одни вирусы даже не успевают попасть в...
#pentest #bugbounty #security
Тред в Твиттере на тему Trusted Types в jQuery 4.0.0 и того, как они могут защитить от DOM XSS.
https://proglib.io/w/258241a1
Тред в Твиттере на тему Trusted Types в jQuery 4.0.0 и того, как они могут защитить от DOM XSS.
https://proglib.io/w/258241a1
Twitter
koto
jQuery 4.0.0 supports Trusted Types github.com/jquery/jquery/… (thanks, @m_gol 👏👏👏) and this integration exemplifies _why_ Trusted Types can stop DOM XSS in a way other approaches can't. Let me explain (thread).
#pentest
Записи мастер-классов на тему тестирования на проникновение от SANS Offensive Operations.
https://proglib.io/w/bd312306
Записи мастер-классов на тему тестирования на проникновение от SANS Offensive Operations.
https://proglib.io/w/bd312306
www.sans.org
Offensive Operations Training & Certifications | SANS Institute
Offensive Operations training at SANS institute - Learn more about our courses & certifications offered both live and online or sign up for one of our offensive operations webcasts
#security #pentest
Справочник по безопасности Active Directory, в котором вы увидите:
✔️ Руководства Microsoft по корпоративной безопасности
✔️ Информацию о текущих угрозах корпоративным сетям и их устранении
✔️ Советы по проектированию и настройке Active Directory, а также по использованию PowerShell в среде Active Directory
https://proglib.io/w/810c0ea1
Справочник по безопасности Active Directory, в котором вы увидите:
✔️ Руководства Microsoft по корпоративной безопасности
✔️ Информацию о текущих угрозах корпоративным сетям и их устранении
✔️ Советы по проектированию и настройке Active Directory, а также по использованию PowerShell в среде Active Directory
https://proglib.io/w/810c0ea1