#security
Разбираем различные механизмы обеспечения повышенной безопасности контейнеров в Linux.
https://proglib.io/w/ca899a9a
Разбираем различные механизмы обеспечения повышенной безопасности контейнеров в Linux.
https://proglib.io/w/ca899a9a
Хабр
Механизмы обеспечения повышенной безопасности контейнеров в Linux
1. Введение. Что мы называем контейнером Наше с вами современное время во всех учебниках истории уже названо периодом очередной смены производственного уклада или четвертой промышленной революцией...
#writeup #pentest #bugbounty #security
Описание процесса поиска и эксплуатации уязвимостей SSRF, internal traffic hijack и XSS в RESTful-сервисе Netflix Eureka.
https://proglib.io/w/f4858ce5
Описание процесса поиска и эксплуатации уязвимостей SSRF, internal traffic hijack и XSS в RESTful-сервисе Netflix Eureka.
https://proglib.io/w/f4858ce5
#security #pentest #bugbounty
PHP 7.0-8.0 disable_functions bypass
Есть у нас PHP-разработчики? Просто знайте, что в сети опубликован poc для обхода disable_functions в PHP 7.0-8.0.
А белые хакеры знают как это можно применить в своей работе, и они не очень хотят, чтобы этот баг кто-то исправлял 😉😎.
https://proglib.io/w/74e4ded6
PHP 7.0-8.0 disable_functions bypass
Есть у нас PHP-разработчики? Просто знайте, что в сети опубликован poc для обхода disable_functions в PHP 7.0-8.0.
А белые хакеры знают как это можно применить в своей работе, и они не очень хотят, чтобы этот баг кто-то исправлял 😉😎.
https://proglib.io/w/74e4ded6
GitHub
exploits/php-filter-bypass at master · mm0r1/exploits
Pwn stuff. Contribute to mm0r1/exploits development by creating an account on GitHub.
#security #guide
Справочник по разработке безопасных веб-приложений: лучшие практики, анализ и исправление уязвимостей.
https://proglib.io/w/3e42e3da
Справочник по разработке безопасных веб-приложений: лучшие практики, анализ и исправление уязвимостей.
https://proglib.io/w/3e42e3da
vladtoie.gitbook.io
Secure Coding Handbook | Secure Coding Handbook
Practical Vulnerability Management (2020)
Автор: Andrew Magnusson
Главная цель книги — показать практические аспекты устранения слабых мест в системе безопасности и методы защиты от киберугроз.
Книга начинается со знакомства с инструментами и компонентами, используемыми для управления уязвимостями, а также с подробного описания способов улучшения общего состояния безопасности организации.
По мере того, как материал переходит от концептуального к практическому, вы изучите процесс создания системы управления уязвимостями с нуля с использованием open source решений.
Скачать
Автор: Andrew Magnusson
Главная цель книги — показать практические аспекты устранения слабых мест в системе безопасности и методы защиты от киберугроз.
Книга начинается со знакомства с инструментами и компонентами, используемыми для управления уязвимостями, а также с подробного описания способов улучшения общего состояния безопасности организации.
По мере того, как материал переходит от концептуального к практическому, вы изучите процесс создания системы управления уязвимостями с нуля с использованием open source решений.
Скачать
Telegram
Книги для программистов (reserved)
Practical Vulnerability Management (2020)
Автор: Andrew Magnusson
Автор: Andrew Magnusson
#pentest #bugbounty #tip
Когда тестируете различные запросы целевого веб-приложения и получаете в ответ 403 Forbidden, не отчаивайтесь. Пример выше доказывает, что зачастую можно обойти защиту WAF с помощью различных кодировок.
Когда тестируете различные запросы целевого веб-приложения и получаете в ответ 403 Forbidden, не отчаивайтесь. Пример выше доказывает, что зачастую можно обойти защиту WAF с помощью различных кодировок.
#bugbounty #pentest #practice
Много годноты для багхантеров в одном плейлисте: https://proglib.io/w/4af08cad
Много годноты для багхантеров в одном плейлисте: https://proglib.io/w/4af08cad
#security
Объединяем open source инструмент CrowdSec и Docker Compose для защиты приложений в контейнерах, что позволяет:
✔️ Автоматически закрывать скомпрометированным IP-адресам доступ к нашим контейнерным сервисам
✔️ Вручную добавлять/удалять и проверять решения о запрете
✔️ Отслеживать поведение CrowdSec (с помощью cli и дашбордов)
https://proglib.io/w/ec12e509
Объединяем open source инструмент CrowdSec и Docker Compose для защиты приложений в контейнерах, что позволяет:
✔️ Автоматически закрывать скомпрометированным IP-адресам доступ к нашим контейнерным сервисам
✔️ Вручную добавлять/удалять и проверять решения о запрете
✔️ Отслеживать поведение CrowdSec (с помощью cli и дашбордов)
https://proglib.io/w/ec12e509
Хабр
Обеспечиваем безопасность стеков Docker Compose с помощью CrowdSec
В этой статье рассказывается, как объединить CrowdSec и Docker Compose для защиты приложений, заключенных в контейнеры. Это позволит нам:автоматически закрывать скомпрометированным IP-адресам доступ к...
#security #cloud
Hacking Kubernetes (2021)
Авторы: Andrew Martin, Michael Hausenblas
Книга представляет собой практическое руководство по безопасности Kubernetes с учетом угроз. В каждой главе исследуется архитектура конкретного компонента и возможные настройки по умолчанию, а затем рассматриваются известные атаки и уязвимости.
Вы изучите абстрактную модель угроз распределенной системы, выполняющей произвольные рабочие нагрузки, а затем перейдете к подробной оценке каждого компонента безопасной системы Kubernetes.
И главное — авторы делятся передовой конфигурацией, которая поможет вам защитить кластеры от кибератак.
Скачать
Hacking Kubernetes (2021)
Авторы: Andrew Martin, Michael Hausenblas
Книга представляет собой практическое руководство по безопасности Kubernetes с учетом угроз. В каждой главе исследуется архитектура конкретного компонента и возможные настройки по умолчанию, а затем рассматриваются известные атаки и уязвимости.
Вы изучите абстрактную модель угроз распределенной системы, выполняющей произвольные рабочие нагрузки, а затем перейдете к подробной оценке каждого компонента безопасной системы Kubernetes.
И главное — авторы делятся передовой конфигурацией, которая поможет вам защитить кластеры от кибератак.
Скачать
Telegram
Книги для программистов (reserved)
Hacking Kubernetes (2021)
Авторы: Andrew Martin, Michael Hausenblas
Авторы: Andrew Martin, Michael Hausenblas
#security
Несколько полезных советов и приемов, которые позволят сделать ваше SSH-соединение безопаснее.
https://proglib.io/w/9e9a2281
Несколько полезных советов и приемов, которые позволят сделать ваше SSH-соединение безопаснее.
https://proglib.io/w/9e9a2281
ZeroSec - Adventures In Information Security
Locking Down SSH - The Right Way
A little guide for locking down a VPS or similar to ensure your SSH connection is as secure as can be.
#security #hacktivity
Эксперты центра противодействия кибератакам Solar JSOC и отдела расследования киберинцидентов Solar JSOC CERT собрали и проанализировали ВПО в январе – сентябре 2021 года. Вот что у них получилось.
https://proglib.io/w/b83a5940
Эксперты центра противодействия кибератакам Solar JSOC и отдела расследования киберинцидентов Solar JSOC CERT собрали и проанализировали ВПО в январе – сентябре 2021 года. Вот что у них получилось.
https://proglib.io/w/b83a5940
Хабр
Кого только не встретишь в инфраструктуре: с какими семействами ВПО мы чаще всего имели дело в этом году
Годы идут, а ВПО остается основной головной болью кибербезопасников. Мы недавно считали: почти 40% хакерских атак происходит именно с помощью вредоносного ПО. Одни вирусы даже не успевают попасть в...
#pentest #bugbounty #security
Тред в Твиттере на тему Trusted Types в jQuery 4.0.0 и того, как они могут защитить от DOM XSS.
https://proglib.io/w/258241a1
Тред в Твиттере на тему Trusted Types в jQuery 4.0.0 и того, как они могут защитить от DOM XSS.
https://proglib.io/w/258241a1
Twitter
koto
jQuery 4.0.0 supports Trusted Types github.com/jquery/jquery/… (thanks, @m_gol 👏👏👏) and this integration exemplifies _why_ Trusted Types can stop DOM XSS in a way other approaches can't. Let me explain (thread).
#pentest
Записи мастер-классов на тему тестирования на проникновение от SANS Offensive Operations.
https://proglib.io/w/bd312306
Записи мастер-классов на тему тестирования на проникновение от SANS Offensive Operations.
https://proglib.io/w/bd312306
www.sans.org
Offensive Operations Training & Certifications | SANS Institute
Offensive Operations training at SANS institute - Learn more about our courses & certifications offered both live and online or sign up for one of our offensive operations webcasts
#security #pentest
Справочник по безопасности Active Directory, в котором вы увидите:
✔️ Руководства Microsoft по корпоративной безопасности
✔️ Информацию о текущих угрозах корпоративным сетям и их устранении
✔️ Советы по проектированию и настройке Active Directory, а также по использованию PowerShell в среде Active Directory
https://proglib.io/w/810c0ea1
Справочник по безопасности Active Directory, в котором вы увидите:
✔️ Руководства Microsoft по корпоративной безопасности
✔️ Информацию о текущих угрозах корпоративным сетям и их устранении
✔️ Советы по проектированию и настройке Active Directory, а также по использованию PowerShell в среде Active Directory
https://proglib.io/w/810c0ea1
#news
Подборка секурных новостей от Jet CSIRT / «Лаборатории Касперского» и киберинцидентов Acronis.
Подборка секурных новостей от Jet CSIRT / «Лаборатории Касперского» и киберинцидентов Acronis.
Хабр
ТОП-3 ИБ-событий недели по версии Jet CSIRT
Сегодня в ТОП-3 — крупнейшая DDoS-атака на Azure, новый криптомайнер, нацеленный на Huawei Cloud, и новая программа-вымогатель. Новости собирал Никита Комаров, аналитик центра мониторинга и...
Привет! На связи Библиотека программиста.
Чтобы устроиться на хорошую работу и прокачать личный бренд, нужно уметь доносить мысли и рассказывать о проектах. Не у всех получается с ходу, особенно в тексте.
Неделю назад мы запустили на Степике бесплатный курс для всех, кто интересуется написанием статей об информационных технологиях. Уже доступны первые два модуля курса, готовим ещё пять.
🎓 Про что курс. Рассказываем, как собирать материал, конструировать внятный текст, делать авторскую редактуру, иллюстрировать и распространять статьи. Всё это с большим количеством примеров, иллюстраций и тестов для самоконтроля.
⛳️ Цель курса: научить программистов писать интересные и занятные тексты о собственных проектах и профессиональных интересах. Для прохождения курса опыт написания публикаций значения не имеет.
Ссылка на курс: https://stepik.org/101672
Чтобы устроиться на хорошую работу и прокачать личный бренд, нужно уметь доносить мысли и рассказывать о проектах. Не у всех получается с ходу, особенно в тексте.
Неделю назад мы запустили на Степике бесплатный курс для всех, кто интересуется написанием статей об информационных технологиях. Уже доступны первые два модуля курса, готовим ещё пять.
🎓 Про что курс. Рассказываем, как собирать материал, конструировать внятный текст, делать авторскую редактуру, иллюстрировать и распространять статьи. Всё это с большим количеством примеров, иллюстраций и тестов для самоконтроля.
⛳️ Цель курса: научить программистов писать интересные и занятные тексты о собственных проектах и профессиональных интересах. Для прохождения курса опыт написания публикаций значения не имеет.
Ссылка на курс: https://stepik.org/101672
Stepik: online education
Статьи для IT: как объяснять и распространять значимые идеи
Для тех, кто любит качественные IT-публикации и хочет научиться интересно писать о программировании и собственных IT-проектах
#security #blueteam
Обзор правил YARA: изучение инструмента исследования вредоносного ПО
Перевод обзорной статьи, в которой разбираются:
- Принцип действия правил YARA
- Примеры использования правил YARA
- Полезные факты о YARA
- Создание правил YARA
https://proglib.io/w/6d51a52c
Обзор правил YARA: изучение инструмента исследования вредоносного ПО
Перевод обзорной статьи, в которой разбираются:
- Принцип действия правил YARA
- Примеры использования правил YARA
- Полезные факты о YARA
- Создание правил YARA
https://proglib.io/w/6d51a52c
Хабр
Обзор правил YARA: изучение инструмента исследования вредоносного ПО
Правила YARA используются для классификации и идентификации образцов вредоносных программ путем создания описаний их семейств на основе текстовых или двоичных шаблонов. Сегодня мы разберем: Принцип...
#security #cloud
Чек-лист для проверки безопасности Kubernetes-кластера.
https://proglib.io/w/7bd35920
Чек-лист для проверки безопасности Kubernetes-кластера.
https://proglib.io/w/7bd35920
GitHub
kubernetes-security-checklist/README-RU.md at main · Vinum-Security/kubernetes-security-checklist
Kubernetes Security Checklist and Requirements - All in One (authentication, authorization, logging, secrets, configuration, network, workloads, dockerfile) - Vinum-Security/kubernetes-security-che...