Подборка roadmap-ов по ИБ
#cert #карьера #пентест #roadmap #сертификаты #карта_развития

На канале то тут, то там рассматривались отдельные карты, однако, ещё не было полноценного поста с подборкой.

▪️Подробный роадмап от PT, содержащий ссылки на различные ресурсы и курсы.
▪️Пожалуй, популярнейший роадмап. Классика.
▪️Компактный роадмап от SANS, содержащий их курсы по разделам
▪️Сертификации в области ИБ
▪️Ещё один роадмап от PT — карта компетенций

Пентест-роадмапы:
▪️Статья-роадмап по пентесту
▪️Пентест AD от orangesec - 2025 год

🌚 @poxek | 🌚 @poxek_backup | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

Миша Черешнев из Swordfish Security – Безопасность контейнеров и о жизни в devsecops
#подкаст #DevSecOps #container #контейнеры

Миша расскажет о своем пути в ИБ и о текущей работе. Будет немного о Cloud Native, Rekor и о том, как пройти у него собес.

➡️Таймкоды
00:00 Вступление
00:25 Как попасть в ИБ
00:50 Чем DevSecOps отличается от AppSec?
01:59 Что такое контейнерная безопасность?
04:10 Что такое Supply Chain
07:44 Атаки на Supply Chain
21:39 Уровень развития ИБ в РФ
24:48 Недостатки ИБ в РФ
25:26 Вопросы с собеседований ИБ
29:42 Блиц
30:34 Заключение

🔗 Заценить подкастик

🌚 @poxek | 🌚 @poxek_backup | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

Валентин Мамонтов – Как построить API security, заставить DAST работать и причем тут WAF
#WAF #DAST #API #appsec

В третьем выпуске встретились с Валентином Мамонтовым – экспертом с более, чем 5-летним опытом в сфере ИБ и DevSecOps. Он поможет нам разобраться, почему динамическое сканирование может спасти ваш бизнес от хакеров. А также:
▪️почему WAF не пустая трата денег компании
▪️как правильно внедрять WAF
▪️что может DAST и как правильно им пользоваться
▪️почему одного DAST мало и нужно дополнительно выстраивать API Security ▪️как грамотно построить API Security
▪️какова динамика российского рынка в сфере динамического тестирования
▪️об open source в России И все это с шутками и небольшими выходами за пределы темы.

0:33 Вступление
1:04 Что такое динамическое тестирование? Что такое DAST? Где применяется API Security?
2:40 Из чего состоит DAST инструмент: пауки, ajax spiders
3:33 Виды spiders (пауков)
5:26 Особенности работы DAST с API
6:37 С чем не справляется DAST
8:31 Как увеличить покрытие для DAST
10:18 Где внедрять DAST в CI/CD
14:00 Зачем нужно API Security помимо DAST
19:25 Что такое WAF
20:37 Как работает WAF: сигнатурные WAF и поведенческие WAF
21:24 Как внедрить WAF в компании
24:28 Аппаратные WAF для оптимизации расшифровки траффика
26:44 WAF в kubernetes
27:37 Хорошие отечественные WAF хорошие и какие у них преимущества и недостатки
29:19 Anti-DDos в связке WAF 30:24 Ошибки установки WAF
32:48 Отечественные DAST и почему отечественные DAST хуже иностранных
34:14 Недостатки отечественных DAST
38:40 Российский open-source в ИБ
42:51 Почему в РФ нет своего OWASP и CNCF
45:06 LLM и AI в DAST: когда нейронки заменят пентестера?
47:46 О практиках IAST и RASP
51:09 Тренды в ИБ: ML и как нейронки будут помогать ИБ в будущем
52:09 Тренды в ИБ: развитие облачной индустриии в РФ
53:11 Блиц
54:50 Заключение

🔗Приятного просмотра!

🌚 @poxek | 🌚 @poxek_backup | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

Экспериментальная ИБ ИИ модель от Google - Sec-Gemini v1
#Google #ai #security #кибербез #ииагент #ии

Что из себя представляет Sec-Gemini v1?
Sec-Gemini v1 — это не просто очередная ИИ-игрушка с громким именем. Эта модель объединяет продвинутые возможности Gemini с актуальными знаниями и инструментами в области кибербезопасности. Фактически, это гибрид на стероидах, способный выполнять комплексный анализ киберугроз, оценивать уязвимости и прогнозировать потенциальные атаки с беспрецедентной точностью.

Интеграция с топовыми источниками данных
Одна из ключевых фишек Sec-Gemini v1 — глубокая интеграция с профессиональными базами данных:
➡️Google Threat Intelligence (GTI)
➡️Open Source Vulnerabilities (OSV)
➡️Mandiant Threat Intelligence

🔗Читать подробнее в моем блоге


P.S. в отрыве от всех фактов, моё мнение, что пока это не заточенный на какой либо поиск уязвимостей ИИ, а скорее агент для поиска информации, направленный на ИБ сферу и которому автоматически скармливаются определённые базы знаний. Не выглядит как революция от Google.

🌚 @poxek | 🌚 blog.poxek.cc | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

⚡️ Vibe coding: хайп или революция в разработке? ⚡️
#videcoding #coding #разработка #dev #developer #cursor #windsurf #copilot

Недавно один хороший знакомый начал спрашивать тут и тут про вайбкодинг 🕺, что это, зачем оно и как вкатиться. Я ему в голосовой описал в двух словах, что это, как это. Но показалось, что можно рассказать про это подробнее на канале, раз я тоже один из таких "вкатунов"))

Собственно мой активный путь в "вайб кодинге"... всё ещё не привычно говорить столько зумерских слов в одном предложении... Начался с поста от Омара про то, что ты динозавр если ещё не используешь активно ИИ, я до этого пользовался ChatGPT, Claude чуть туда сюда, но не полноценными IDE с ИИ. А так как я прислушиваюсь к старшим коллегам, решил что тоже пора пробовать. Пробовал разные среды, расширения, плагины, сервисы и т.д. Потратил на все тесты более 300$ точно.

📌В итоге пришёл к своему идеалу: Cursor IDE с платной подпиской (вам может хватить и бесплатного тарифа, если вы не кодите на постоянке) и модели от Claude: Sonnet 3.7 для доработки фич и Sonnet 3.7 Thinking для планирования хода разработки, проектирования и собственно создания фич с нуля.

🔗Для тех кому интересно узнать больше о том, как vibe coding появился. Советы от меня при разработке, почекать сравнительную таблица инструментов для вайб кодинга, то велком читать статью в блоге

🌚 @poxek | 🌚 blog.poxek.cc | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

🖼️ Kubernetes Security Hardening: от основ до продвинутых техник защиты
#k8s #security_hardening #kubernetes #container #контейнер #devsecops #appsec

Кластеры Kubernetes, будучи основой современной облачной инфраструктуры, часто становятся привлекательной мишенью для атак. Согласно данным от NSA и CISA, Kubernetes обычно атакуют с тремя основными целями: кража данных, использование вычислительных ресурсов (например, для майнинга криптовалюты) и организация DDoS-атак. В этой статье мы разберем комплексный подход к настройке безопасности Kubernetes от простых базовых мер до продвинутых техник защиты.

➡️Уровни безопасности Kubernetes
Прежде чем начать настройку безопасности, важно понимать, что защита Kubernetes должна осуществляться на нескольких уровнях:

1️⃣ Безопасность на уровне хоста (Host Level Security)
Это базовый уровень защиты, включающий настройку безопасности непосредственно на серверах, где запущены компоненты Kubernetes.

2️⃣ Безопасность на уровне кластера (Cluster Level Security)
Этот уровень включает настройку безопасности компонентов управления Kubernetes, API-сервера, etcd и других критических компонентов.

3️⃣ Безопасность на уровне рабочих нагрузок (Workload Level Security)
Этот уровень относится к безопасности развертываемых приложений, контейнеров и объектов Kubernetes.

🔗Читать дальше

p.s. я только погружаюсь в тему, могут быть ошибки или пробелы в знаниях. Открыт к доработке статьи, пишите в комментах ваши пожелания, что добавить в статью или какую ещё тему разобрать связанную с k8s.

🌚 @poxek | 🌚 blog.poxek.cc | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

😻 HTTP Request Smuggling: как особенности в обработке HTTP-заголовков приводят к атакам CL.TE и TE.CL
#http #request #smuggling #pentest #websec

Не опять, а снова годная статья от моего хорошего знакомого, рекомендую к прочтению)

HTTP Request Smuggling или контрабанда HTTP-запросов — тип уязвимости, который возникает из-за несоответствий в обработке HTTP-запросов между фронтендом и бэкендом. Каким образом различия в интерпретации заголовков позволяют атакующим использовать эту уязвимость? Как HTTP Request Smuggling можно использован в сочетании с Web Cache Poisoning? И на что обратить внимание, чтобы предотвратить подобные атаки? Разберем вместе на примере лабораторных работ с PortSwigger.

Концепция HTTP Request Smuggling
HTTP Request Smuggling — это тип уязвимости, который возникает из-за несоответствий в обработке HTTP-запросов между фронтендом, например, балансировщиком нагрузки или reverse proxy, и бэкендом — сервером приложения. Фронтенд выступает в роли посредника, который принимает запросы от клиентов и передает их на бэкенд для дальнейшей обработки.

Однако, если фронтенд и бэкенд по-разному интерпретируют заголовки Content-Length и Transfer-Encoding, это может привести к уязвимостям. Например:
➡️Фронтенд может использовать заголовок Content-Length для определения размера тела запроса.
➡️Бэкенд, в свою очередь, может полагаться на заголовок Transfer-Encoding: chunked, который указывает, что тело запроса передается частями.

Если запрос содержит оба заголовка одновременно, это может привести к тому, что часть запроса останется необработанной и «перетечет» в следующий запрос. В результате у атакующего появится возможность внедрить вредоносные данные или манипулировать поведением сервера.

🔗Читать дальше

🌚 @poxek | 🌚 blog.poxek.cc | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

SSTI в Python под микроскопом: разбираем Python-шаблонизаторы
#SSTI #python #Django #jinja2

Статья от Сергея Арефьева, пентестер BI.ZONE. В этой статье он хочет подробно раскрыть тему SSTI (server-side template injection) в контексте Python 3. Сразу оговорюсь, что это не какой-то новый ресерч с rocket-science-векторами. Он лишь взял уже известные PoC и посмотрел, как и почему они работают, для более полного понимания вопроса.
Он рассмотрит, какой импакт атакующие могут получить, используя SSTI в пяти самых популярных шаблонизаторах для Python: Jinja2, Django Templates, Mako, Chameleon, Tornado Templates. Кроме того, немного углубится в работу известных PoC. Он поделится опытом и вариантами улучшения тех PoC, которые могут быть полезны при тестировании.

🔗Читать дальше

🌚 @poxek | 🌚 blog.poxek.cc | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

💻 Деньги на ветер

На днях, гуляя по теневому ресурсу, обнаружил сомнительный мануал по крупному заработку. Автор утверждает, что за 3 дня заработал этим способом ~$3000. Я решил изучить мануал и эксплойт.

Первое, на что я обратил внимание, — это на позитивные комментарии к посту, а именно на эти аккаунты. Они были созданы в один и тот же день, а также комментируют одни и те же посты с подобными сомнительными заработками.

▎ В чём суть легенды мануала?

В прикрепленном PDF (чист от вирусов) мануал по использованию эксплойта для сервиса G2A (торговая площадка, специализирующаяся на игровой продукции). Эксплойт, вставленный в браузер расширением Tampermonkey, якобы меняет часовой пояс браузера всякий раз, когда мы делаем новый заказ на G2A. Это приводит к тому, что заказ будет отмечен как "Истёк" на платежном процессоре G2A - Bitbay (биржа по торговле криптовалютой), однако заказ не будет отмечен как истёкший на стороне G2A. Деньги будут мгновенно возвращены на кошелек Bitbay, если эта транзакция на большую сумму (более 0,001 BTC ≈ 6518 руб на данный момент). В итоге товар получен, а деньги возвращены. Также в мануале совет, что именно покупать на G2A с данным скриптом — купоны Amazon на $100-500, которые потом можно перепродать другим.

Звучит привлекательно для злоумышленника. Но в образовательных целях решил взяться за изучение эксплойта и его использования на практике. Первым делом обнаружил, что код в скрипте обфусцирован, то есть он трудночитаемый и сложный для анализа. Закинул код нейросетям и попросил провести анализ. Вирусная активность не была обнаружена, но нашлась одна тонкость, которая упущена в легенде мануала.

▎ Разбираемся

Оказывается, существует вероятность (точно не выявлено, но множество подозрений), что в страницу подставляется мошеннический QR-код для оплаты вместо официального. И под видом того, что вылезает оплата со сменой часового пояса, на самом деле деньги улетят мошеннику — автору скрипта.

Решил проверить, работает ли вообще данный развод на практике. На всякий случай скрипт я вставлял в чистой песочнице Windows, мало ли что в этом скрипте может храниться. И да. После нажатия "Оформить заказ" в корзине мне вылез alert "Timezone changed! Press OK to continue". На странице вылезло окно оплаты биткоинами QR-кодом. Если набрать слишком маленькую корзину (до 0,001 BTC, то вылезает alert с предупреждением, что эксплойт не сработает).

Дополнительное замечание: без использования данного кода в расширении браузера из корзины идёт редирект на вариацию оплаты, а после выбора оплаты биткоинами происходит ещё редирект на страницу с оплатой. Но с использованием "эксплойта" окно оплаты биткойнами появляется поверх корзины (которое ещё и нельзя закрыть), что дополнительно вызывает сильные подозрения в правдивости эксплойта.

Я пробовал поосинтить BTC адреса, но никакой информации в интернете я про них не нашел. Это новые кошельки. Генерируются каждый раз новые при повторной попытке оплатить заказ.

Не стал пытаться оплачивать, потому что был уверен в том, что это просто развод социальной инженерией, где скамер скамит скамеров. С большей вероятностью эти деньги бы никто и не вернул, лишь бы проспонсировали злоумышленника-автора скрипта. Плюс непонятно, на что направлено такое спонсорство: в руки злоумышленника или каким-то запрещенным организациям в РФ? Будьте с этим предельно осторожны и в принципе не пробуйте чёрные способы заработка, иначе можно надолго присесть.

После подачи в репорт автор и ветка обсуждения были быстро заблокированы модерацией сайта.

Атаки через новый OAuth flow, authorization code injection, и помогут ли HttpOnly, PKCE и BFF
#oauth #auth #code_injection #cookie #httpOnly #PKCE #BFF

В статье детально рассмотрим интересный вектор атаки на приложения, использующие OAuth/OIDC, разберем, какие предусловия для этого нужны, и увидим, что они не так недостижимы, как может показаться на первый взгляд. Затронем использование паттерна Backend-for-Frontend и способы реализации PKCE для confidential clients, попутно проверив, помогают ли они защититься от рассматриваемой атаки. Взглянем и на другие существующие рекомендации и предлагаемые лучшие практики, а также подумаем над прочими мерами защиты, которые действительно могут помочь. Все это с примерами, схемами и даже видео.

Материал будет интересен как для занимающихся разработкой приложений, так и для представляющих атакующую сторону.

🔗Читать дальше

🌚 @poxek | 🌚 blog.poxek.cc | 📺 YT | 📺 RT | 📺 VK

Сертификация ФСТЭК: как мы перестали бояться и полюбили процесс
#ФСТЭК #сертифицирование #ПО

Знаете, как обычно проходит первая встреча с сертификацией ФСТЭК? Примерно как встреча с медведем в лесу. Все знают, что он где-то есть, все слышали истории о том, как другие его видели, но пока не столкнешься сам — не поймешь масштаба.

«Документации будет столько, что можно небольшой лес сохранить», «Год минимум, а то и полтора», «Придется выделить целую команду», «А потом еще и каждое обновление...» — такое слышишь постоянно. И когда мы только начинали, эти страшилки не казались преувеличением.

Наибольший интерес вызывала перспектива регулярных инспекций. Продукт живой — он растет, развивается. У нас продуктов целая экосистема ПО виртуализации, десяток значимых обновлений каждый год, и каждое потребует инспекционного контроля. Но в какой-то момент стало понятно: либо мы научимся проходить сертификацию и последующие проверки красиво, либо увязнем в бесконечном марафоне.

Спойлер: мы научились. Теперь сертификация ФСТЭК для нас — это не квест с неизвестным финалом, а понятный процесс с измеримыми параметрами.

🔗Ребята умеют создать интригу, не правда ли?)

🌚 @poxek | 🌚 blog.poxek.cc | 📺 YT | 📺 RT | 📺 VK

Аутентификация для WebSocket и SSE: до сих пор нет стандарта?
#auth #websocket #WS #SSE

WebSocket и SSE появились более десяти лет назад, однако до сих пор в стандартах отсутствуют рекомендации по решению задачи аутентификации для подобных соединений.
В статье разберем особенности аутентификации применительно к протоколу WebSocket и технологии Server-Sent Events, обсудим, какие нюансы могут быть, когда клиентская часть находится в браузере, и на что еще стоит обратить внимание, чтобы избежать неочевидных проблем.

А еще заодно поговорим про уязвимость Cross-Site WebSocket Hijacking (CSWSH) и в целом посмотрим на многие вопросы через призму информационной безопасности.

🔗Читать дальше

🌚 @poxek | 🌚 blog.poxek.cc | 📺 YT | 📺 RT | 📺 VK

Охотники на баги и где они обитают: итоги опроса о багхантинге
#bugbounty #bughunters #багбаунти #багхантинг

PT сделали исследование и написали спец статью для Хабр о портрете багхантеров, получилось интересно, хоть и с призмой явного перевеса в "свою сторону"))

В мире, где цифровые технологии пронизывают все аспекты жизни, безопасность разработки становится не просто важной, а критически необходимой. Однако с ростом сложности IT-решений и ускорением темпов обновлений обеспечить безупречную защиту данных и пользовательского опыта становится всё труднее. В таких условиях компании всё чаще обращаются к сообществу, запуская программы багхантинга — поиска уязвимостей силами внешних специалистов за вознаграждение.

Мы решили узнать, как российское IT-сообщество воспринимает багхантинг, и провели опрос среди читателей Хабра. Более 300 человек прошли тест до конца, около 1000 ответили на часть вопросов, что позволило нам составить портрет современного багхантера. Спасибо всем участникам! А теперь давайте разберёмся, что же удалось выяснить. В конце каждого раздела дадим галерею с итогами опроса, чтобы вы могли посмотреть на полное распределение процентов по ответам.

P.S. очень классные картинки нагенерили))

🔗Изучить исследдование

🌚 @poxek | 🌚 blog.poxek.cc | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

Разбор CVE-2025-24071 от BIZONE
#CVE-2025-24071 #BIZONE #Windows #Microsoft #NetNTLMv2

Статья от Ильи Ефимова, ведущего аналитика SOC компании BI.ZONE. В этой статье он расскажет о нашумевшей CVE-2025-24071, которая позволяет атакующим получить NetNTLMv2-хеш-суммы паролей в результате некорректной обработки файлов .library-ms в Windows Explorer. Сама уязвимость уже эксплуатируется in-the-wild, о чем свидетельствуют данные, полученные от исследователей в области кибербезопасности. В своем небольшом исследовании он покажет, за счет чего происходит эксплуатация уязвимости, примеры событий, а также расскажет, как обнаружить такую активность.

Что такое .library-ms-файл
Начнем с того, что собой представляет файл .library-ms. Исходя из документации Microsoft, .library-ms-файлы — это XML-файлы, которые определяют библиотеки Windows (Windows Libraries) — специальные виртуальные коллекции папок и файлов, представленные в проводнике.

🔗Читать дальше

🌚 @poxek | 🌚 blog.poxek.cc | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча