1️⃣2️⃣3️⃣4️⃣5️⃣6️⃣ Открытый вебинар «Game of Offers» by Похек & Offer
#вебинар #HR #найм #webinar

➡️ Завтра 05.09 с 17:00 до 19:00 в рамках проекта «Оффер в ИБ» совместно с Сергеем Зыбневым состоится открытый вебинар, на котором подробно разберем:
➡️Секреты xxx в офферах. Кейс: x3,75 за год;
➡️Что делать, если собеседующий ведет себя непрофессионально, а вам нужна работа?
➡️Отказы: причины, как избежать, как принять, обратная связь и дальнейшие действия;
➡️Возможность получить оффер от компании, которая вам уже отказала;
➡️Экологичный торг с hr’ом: как и когда уместно?
➡️Бренд специалиста: построить -> усилить -> больше никогда не искать работу.
➕ QA-сессия, где каждый сможет получить развернутый ответ на свой вопрос

Кроме того, после вебинара желающие смогут получить бесплатную индивидуальную консультацию/разбор резюме от специалистов Offer, а самые мотивированные - Оффер в ИБ!

➡️Спикеры:

Сергей:
Этичный Хакер
Ведущий специалист по тестированию на проникновение
Играл за blue & red команды
Автор проекта Похек
Спикер OFFZONE 2024, Standoff Talks 2023

Ульяна:
Ведущий специалист по привлечению талантов компании F.A.C.C.T.
Занимается привлечением талантов в кибербез
Автор канала TechTalentRec

Настя:
Предприниматель в образовании
Преподаватель computer science
Основатель проекта «Offer»
Развивает soft skills и коммуникации в тех сфере

➡️ Количество бесплатных мест ограничено
➡️ Для записи, напиши @aa_belova

До встречи на вебинаре ❤️

Опубликовали видеоролик о том, как прошла ежегодная независимая премия Pentest award 2024!

Радостные лица, толпа заряженных специалистов, и, конечно, счастливые победители с наградами в руках — настоящий праздник этичного хакинга.

Здорово было встретится в офлайне со старыми друзьями и коллегами, познакомиться с новыми людьми, обменяться знаниями и идеями, поговорить о важном, профессиональном, наболевшем.

До встречи в 2025 году 👋

Отдельная благодарность партнерам проекта: BI.ZONE Bug Bounty, VK Bug Bounty, OFFZONE и CyberED.

📺 Полное видео
🔗 Pentest award (архив)
❤ @justsecurity

Десятки, сотни, а может даже тысячи багхантеров изучают дисклознутые отчёты с разных платформ.

Юра aka circuit, ведёт классный side проект: Репорты простым языком @critical_bug

Рекомендую подписаться, т.к. этот канал захватила нейросеть и ведёт канал очень даже успешно.

Там вы прочитаете о раскрытых отчётах с h1, где простыми словами расписано о чем бага, сколько вечно зелёных за неё заплатили и какая критичность. Что делать с этой информацией я думаю и так понятно)

Так что подписывайтесь @critical_bug ❤️

UnderConf. От сообщества – для сообщества

Keynote-спикеры и докладчики крупных конференций, авторы ваших любимых телеграм-каналов про ИБ, ведущие самых известных воркшопов и легенды индустрии в одном месте – на UnderConf, 29.09

@crytech7, Сергей Голованов a.k.a. @sk1ks, @n0nvme и другие представят свои последние разработки и исследования, а Сергей Норд, локпикеры Autopsy Will Tell и хардварщики “Танец Роботов” параллельно проведут для вас топовые воркшопы

На конференции также будет развернута лаборатория Pentest Lab, где можно будет разобраться в сценариях различных атак на части сетевой инфраструктуры компании

В середине дня пройдут дебаты между Алексеем Гришиным и @i_bo0om о том, как расходятся интересы специалистов и бизнеса

🌚 Организаторы дали именной прокод для моих подписчиков: у него было 30 активаций, осталось уже меньше POHEK100underconfPROMOKODEMEGAFUN

Подробная программа уже доступна на сайте. Переходите, любуйтесь и покупайте билеты! До встречи на UnderConf 29.09 в 9:00, в Холидей Инн Сокольники по адресу г. Москва Русаковская ул., 24

Канал | Чат

🗣 Артем Семенов, Positive Technologies: Мы становимся свидетелями зарождения процесса безопасной разработки ML и ИИ

В эпоху стремительного развития искусственного интеллекта вопросы его безопасности выходят на первый план. Как защитить нейросети от атак, обеспечить этические рамки и разрабатывать безопасные системы с использованием ИИ?

➡️ Об этом порталу Cyber Media рассказал Артем Семенов, инженер внедрения платформы безопасной разработки Positive Technologies и автор тг-канала PWN AI.

🖥 Basic Java Deserialization (1 part)
#java #deser #deserialization

Все мы когда-нибудь дорастаем до того момента, когда к нам на проекте попадется приложение на Java и вы в судорожном фаззинге случайно натыкаетесь на что-то непонятное, а это оказывается десериализация.
Но сначала надо разобраться, что такое сериализация. Это процесс преобразования объекта или структуры данных в последовательность байтов для хранения или передачи. Это позволяет сохранить состояние объекта и позже восстановить его.

Соответственно десериализация - обратный процесс, при котором последовательность байтов преобразуется обратно в объект или структуру данных.
Вот вам пример кода:

import java.io.*;

// Класс, который мы будем сериализовать
class User implements Serializable {
    private static final long serialVersionUID = 1L;
    private String name;
    private int age;

    public User(String name, int age) {
        this.name = name;
        this.age = age;
    }

    @Override
    public String toString() {
        return "User{name='" + name + "', age=" + age + "}";
    }
}

public class SerializationExample {
    public static void main(String[] args) {
        // Создаем объект для сериализации
        User user = new User("Sergey", 20);

        // Сериализация
        try (FileOutputStream fileOut = new FileOutputStream("user.ser");
             ObjectOutputStream out = new ObjectOutputStream(fileOut)) {
            out.writeObject(user);
            System.out.println("Объект сериализован в файл user.ser");
        } catch (IOException i) {
            i.printStackTrace();
        }

        // Десериализация
        User deserializedUser = null;
        try (FileInputStream fileIn = new FileInputStream("user.ser");
             ObjectInputStream in = new ObjectInputStream(fileIn)) {
            deserializedUser = (User) in.readObject();
        } catch (IOException i) {
            i.printStackTrace();
        } catch (ClassNotFoundException c) {
            System.out.println("Класс User не найден");
            c.printStackTrace();
        }

        if (deserializedUser != null) {
            System.out.println("Десериализованный объект: " + deserializedUser);
        }
    }
}

Атака десериализации - это тип атаки, при котором злоумышленник манипулирует сериализованными данными, чтобы вызвать нежелательное поведение в приложении при их десериализации.

Вот пример уязвимого кода:

import java.io.*;
import java.net.ServerSocket;
import java.net.Socket;

public class VulnerableServer {
    public static void main(String[] args) {
        try (ServerSocket serverSocket = new ServerSocket(1234)) {
            System.out.println("Сервер запущен. Ожидание подключений...");
            while (true) {
                try (Socket clientSocket = serverSocket.accept();
                     ObjectInputStream ois = new ObjectInputStream(clientSocket.getInputStream())) {
                    
                    // Уязвимый код: прямая десериализация без проверок
                    Object obj = ois.readObject();
                    System.out.println("Получен объект: " + obj);
                    
                } catch (Exception e) {
                    e.printStackTrace();
                }
            }
        } catch (IOException e) {
            e.printStackTrace();
        }
    }
}

Уязвимость в строке:

javaCopyObject obj = ois.readObject();

Здесь происходит прямая десериализация объекта без каких-либо проверок. Это позволяет злоумышленнику отправить любой сериализованный объект, который будет десериализован и выполнен в контексте сервера. Подобный код может привести к RCE.

🌚 @poxek | 📺 RuTube | 🌚 Мерч Похек

🖥 Basic Java Deserialization (2 part)

Теперь поговорим о том, как защищаться от десериализации

Пример безопасного кода:

import java.io.*;
import java.net.ServerSocket;
import java.net.Socket;
import java.util.HashSet;
import java.util.Set;

public class SecureServer {
    private static final Set<String> ALLOWED_CLASSES = new HashSet<>();
    static {
        ALLOWED_CLASSES.add("java.lang.String");
        ALLOWED_CLASSES.add("java.util.ArrayList");
    }

    public static void main(String[] args) {
        try (ServerSocket serverSocket = new ServerSocket(1234)) {
            System.out.println("Сервер запущен. Ожидание подключений...");
            while (true) {
                try (Socket clientSocket = serverSocket.accept();
                     ObjectInputStream ois = new ObjectInputStream(clientSocket.getInputStream()) {
                         @Override
                         protected Class<?> resolveClass(ObjectStreamClass desc) throws IOException, ClassNotFoundException {
                             if (!ALLOWED_CLASSES.contains(desc.getName())) {
                                 throw new InvalidClassException("Недопустимый класс", desc.getName());
                             }
                             return super.resolveClass(desc);
                         }
                     }) {
                    
                    Object obj = ois.readObject();
                    System.out.println("Получен объект: " + obj);
                    
                } catch (Exception e) {
                    e.printStackTrace();
                }
            }
        } catch (IOException e) {
            e.printStackTrace();
        }
    }
}

Исправления:
➡️Создан белый список разрешенных классов (ALLOWED_CLASSES).
➡️Переопределен метод resolveClass для проверки классов перед десериализацией.
➡️Выбрасывается исключение при попытке десериализовать недопустимый класс.

Также есть другие практики по защите от десеров. К примеру Java SecurityManager, transient. С другой стороны вы можете закостылить защиту через сторонние библиотеки: SerialKiller, fastjson2, YamlBeans

➡️ В завершение хочу сказать, что если вы нашли у меня ошибку, напишите об этом, пожалуйста в комментариях)
➡️ А если вам понравилось и вы хотите продолжить изучение, то предлагаю почитать Java Deserialization Cheat Sheet

🌚 @poxek | 📺 RuTube | 🌚 Мерч Похек

❗️ Как реагировать на атаки шифровальщиков: рекомендации для CISO ❗️
#ciso

Атаки вирусов-шифровальщиков остаются серьезной угрозой информационной безопасности компаний. От них не застрахованы даже корпорации с многоуровневыми системами защиты, целыми армиями ИБ-специалистов и арсеналами СЗИ.

Если корпоративная сеть подверглась такой атаке, ИБ-службе и CISO лучше поскорее подключить команду реагирования. Однако бизнес и штатные сотрудники службы безопасности могут самостоятельно снизить риск атак программ-вымогателей, дополнительно защитить критичные файлы и облегчить расследование, если избежать инцидента все же не удалось. Как именно? Рассказывает Семен Рогачев, руководитель отдела реагирования на инциденты Бастиона.

➡️ Читать далее

🌚 @poxek | 📺 RuTube | 🌚 Мерч Похек

🔵 Инженер техподдержки? Получи оффер в YADRO всего за неделю!

У тебя есть возможность поучаствовать в One Week Offer от крупнейшей технологической компании России - лидера инженерной индустрии.

Если ты хорошо знаешь принципы серверной архитектуры и СХД и хочешь стать частью масштабных проектов:

• Пришли своё резюме и заполни форму участия до 22 сентября.
• Пройди техническое интервью.
• Получи оффер после успешного собеседования.

Скорее переходи по ссылке, оставляй заявку и стань частью команды.