👩‍💻 Большое руководство по защите веб-сайтов

— Изучите основы безопасности, чтобы обеспечить безопасность ваших сайтов

В данном руководстве:
⏺Понимание основ безопасности:
1. Безопасность не должна быть такой страшной!
2. Что такое атаки на безопасность?
3. Понимание понятий «тот же сайт» и «тот же источник»
4. Краткий справочник по заголовкам безопасности
⏺Безопасные соединения с помощью HTTPS:
1. Почему HTTPS важен
2. Включение HTTPS на ваших серверах
3. Что такое смешанный контент?
4. Исправление смешанного контента
5. Когда использовать HTTPS для локальной разработки
6. Как использовать HTTPS для локальной разработки ⏺Предотвращение утечки информации:
1. Песочница браузера
2. Политика одного и того же происхождения
3. Совместное использование ресурсов между источниками (CORS)
4. Создание вашего веб-сайта «изолированного от перекрестного происхождения» с помощью COOP и COEP
5. Почему вам нужна «изоляция перекрестного происхождения» для мощных функций
6. Защитите свои ресурсы от веб-атак с помощью извлечения метаданных

// Не хакинг, а ИБ

🎃 Автоматизируем анонимизацию трафика

Скрипт Tor Iptables – это анонимайзер, который настраивает iptables и tor для перенаправления всех служб и трафика, включая DNS, через сеть Tor

— После запуска TorIptables2 каждое сетевое приложение делает TCP-соединения через Tor, и ни одно из приложений не сможет раскрыть IP-адрес через прямое соединение

🗄 Репозиторий на GitHub – линк.
🗄 Как быстро поменять IP в Linux – линк.

// Не хакинг, а ИБ

📁 Огромная коллекция видеоматериала по поиску уязвимостей веб-приложений

— В репозитории на найдете полезные материалы по тестированию веб-приложений на различные уязвимости

Все гайды разбиты на категории, в зависимости от типа атак и уязвимостей

🗄 Репозиторий на GitHub – линк.

// Не хакинг, а ИБ

📅 В Chrome Web Store нашли вредоносные расширения, установленные 1,7 млн раз

Специалисты Koi Security обнаружили 11 вредоносных расширений в официальном магазине Chrome Web Store

⚠️ Расширения могли следить за действиями пользователей, собирать данные об активности браузера и перенаправлять на потенциально опасные сайты

«Суммарно эти восемнадцать расширений заразили более 2,3 млн пользователей двух браузеров

Из-за особенностей процесса обновления расширений в браузерах Google и Microsoft, вредоносные версии устанавливались незаметно и автоматически

Это одна из самых масштабных кампаний по взлому браузеров, с которыми нам доводилось сталкиваться», — пишут исследователи

🗄 Источник – линк.

// Не хакинг, а ИБ

🤓 Шпаргалка по Git. Решение основных проблем

Git – это система для управления версиями исходного кода программ. 

— Она позволяет отслеживать любые изменения в файлах, хранить их версии и оперативно возвращаться в любое сохранённое состояние

🗄 Шпаргалка – линк.

Дополнительный материал:
🗄 Полезные команды для работы с Git
🗄 Как работать с GitHub в большой команде
🗄 Как бесплатно залить сайт на хостинг GitHub Pages

// Не хакинг, а ИБ

😈 Обходим CSP nonce через дисковый кеш браузера

— Эта статья описывает изощренную технику обхода Content Security Policy (CSP) на основе nonce-значений через эксплуатацию механизмов кеширования браузера

Content Security Policy (CSP) – стандарт безопасности для веб-разработчиков, который ограничивает список источников, из которых можно загружать скрипты и элементы оформления при открытии сайта в браузере. 

Цель CSP – снизить риск атак с внедрением стороннего кода, например межсайтового скриптинга (XSS)

Автор продемонстрирует, как комбинация CSS-инъекций, CSRF-атак и особенностей работы bfcache и дискового кеша может привести к выполнению произвольного JavaScript-кода даже при наличии строгой CSP

🗄 Читать статью – линк.

// Не хакинг, а ИБ

✋ Набор инструментов по форензике

The Sleuth Kit (TSK) – это библиотека и набор инструментов командной строки, которые позволяют вам исследовать образы дисков

— Основные функции TSK позволяют анализировать данные тома и файловой системы

Библиотека может быть включена в более крупные инструменты цифровой криминалистики, а инструменты командной строки могут использоваться напрямую для поиска доказательств

🗄 Официальный сайт – линк.

// Не хакинг, а ИБ

🤨 ФБР закрыло крупный пиратский сайт nsw2u с играми для Nintendo Switch

— ФБР закрыло крупный пиратский сайт распространявший нелицензионные ROM-файлы для Nintendo Switch

⚠️ Nsw2u был одним из самых известных онлайн-хранилищ ROM-файлов для Switch, позволявших людям играть в игры без покупки лицензионных копий

Также компания теперь отключает Switch 2 за использование картриджей MIG Flash, которые эмулируют оригинальный картридж Nintendo Switch и позволяют хранить игровые копии на карте microSD

🗄 Источник – линк.

// Не хакинг, а ИБ

📖 Бесплатный видеокурс по взлому, сделанный в HackerOne

Hacker101 – бесплатный образовательный сайт для хакеров, управляемый компанией HackerOne

— На ресурсе доступны видеоуроки, руководства и ресурсы по веб-безопасности. Также есть сообщество Discord, где можно общаться с другими пользователями

Кроме того, на сайте есть CTF – классическая задача для спецов ИБ, в которой нужно получить доступ к системе и найти флаг (обычно строку)

🗄 Репозиторий на GitHub – линк.
🗄 Смотреть на YouTube – линк.

// Не хакинг, а ИБ

🖥 Шпаргалка по Bash

— Эта шпаргалка охватывает ключевые аспекты работы с Bash: базовые команды для навигации и управления файлами, перенаправление ввода-вывода, использование переменных, циклов и условий, а также приёмы ускорения работы (алиасы, автодополнение, история команд)

Материал подойдёт как новичкам, осваивающим терминал, так и опытным пользователям, ищущим краткий справочник для повседневных задач — от администрирования серверов до автоматизации рутинных операций

🗄 Шпаргалка – линк.

// Не хакинг, а ИБ

💻 О механизмах безопасности OpenSSH: разбираем уязвимости 2024 года

OpenSSH (англ. Open Secure Shell: открытая безопасная оболочка) – набор программ, предоставляющих шифрование сеансов связи по компьютерным сетям с использованием протокола SSH

Прошлый год интересно проходил для SSH:
⏺Весной: бэкдор в xz-utils (CVE-2024-3094), в результате эксплуатации которого были скомпрометированы системы с systemd, в которых в OpenSSH есть зависимость liblzma, отсутствующая в нем изначально и самим OpenSSH напрямую не используемая (то есть скорее речь об атаке на цепочку поставок этих дистрибутивов, а не конкретно на OpenSSH)
⏺В июле: критически опасная уязвимость «состояния гонки» для систем на базе glibc, получившая название regreSSHion (CVE-2024-6387) и представляющая собой перерожденную CVE-2006-5051. Спустя еще неделю была опубликована схожая проблема, получившая идентификатор CVE-2024-6409
⏺В августе: еще одна, уже специфичная для FreeBSD, CVE-2024-7589

🗄 Читать статью – линк.

// Не хакинг, а ИБ

🔎 Анализатор веб логов реального времени

GoAccess – это приложение для веб-аналитики с открытым исходным кодом для операционных систем, похожих на Unix

— Он предоставляет быструю и ценную HTTP статистику для системных администраторов, которым требуется визуальный отчёт по работе сервера создаваемый на лету

Инструмент подходит для мониторинга веб-трафика, анализа производительности сервера и выявления потенциальных угроз безопасности

🗄 Официальный сайт – линк.
🗄 Руководство по инструменту – линк.

// Не хакинг, а ИБ

🎃 Иностранные сервисы связи попали в чёрный список?

— Правительство России разрабатывает предложения о введении новых ограничений на использование иностранного ПО, включая коммуникационные сервисы

Соответствующее поручение содержится в перечне, утверждённом Путиным по итогам майской встречи с представителями бизнеса

⚠️ Согласно документу, к 1 сентября кабмин должен представить предложения «о введении дополнительных ограничений на использование в России ПО, произведённого в недружественных иностранных государствах»

Под данную формулировку попадают Instagram, WhatsApp, Telegram и так далее.

🗄 Источник – линк.

// Не хакинг, а ИБ

📝 Список наиболее распространенных угроз безопасности

— Он включает в себя более 700 слабых мест, которые можно увидеть в исследованиях и разработках

Ресурс также полезен для разработчиков, которые хотят узнать о CVE

🗄 Сборник – линк.

// Не хакинг, а ИБ

🎉 Большой розыгрыш от крупнейшего IT-медиа 1337, легендарного паблика Рифмы и Панчи, канала Техно.

Победителей будет много, а для участия нужны лишь пара кликов:

1. Подписаться на Рифмы и Панчи, 1337 и на Техно.

2. Нажать «Участвовать» под этим постом

Что по призам:

1 место - Iphone 16 Pro
2 место - PS5 Slim
3 место - Nintendo Switch 2
4-10 места - 10 000 рублей на карту

Победителей определим 21 июля в 18:00 МСК. Всем удачи!

📄 Mindmap по OWASP Testing Checklist

OWASP Testing Checklist – это всестороннее руководство, которое позволяет профессионалам систематически выявлять, оценивать и устранять уязвимости в веб-приложениях

Чеклист разделён на несколько ключевых категорий:
⏺Сбор информации. На этом этапе собирают подробные данные о веб-приложении, включая конфигурацию сервера, доменные имена и сторонние интеграции.
⏺Проверка конфигурации. Включает проверку на неправильно настроенные security-хедеры, устаревшее программное обеспечение и незащищённые базы данных. Также в этом разделе подчёркивается необходимость защиты резервных файлов, каталогов и чувствительных данных.
⏺Тестирование управления идентификацией. Раздел охватывает тестирование механизмов аутентификации, управления сессиями и контроля доступа

// Не хакинг, а ИБ

✔️ Инструмент тактической разведки

CloudFail – это инструмент тактической разведки, который направлен на сбор достаточной информации о цели, защищенной Cloudflare, в надежде обнаружить местоположение сервера

Используя Tor для маскировки всех запросов, инструмент теперь имеет 3 разных этапа атаки:
⏺Сканирование неправильной настройки DNS используя DNSDumpster.com
⏺Сканирование по базе данных Crimeflare.com
⏺Сканирование брут-форсом по 2897 субдоменам

🗄 Репозиторий на GitHub – линк.

// Не хакинг, а ИБ

🎃 Хакер-легенда HD Moore: от ПК с мусорки до Metasploit Framework

Джеймс Мур – создатель легендарного Metasploit Framework, он прошел путь, далекий от классических историй успеха Кремниевой долины: у Мура нет докторской степени, многомиллионного стартапа или офиса в Калифорнии

— Вместо этого школьные эксперименты с реверс-инжинирингом по заказу ВВС США, разобранные компьютеры с помойки и ночи в подпольных IRC-чатах, где обсуждались взломы телефонных сетей и финансовых систем

В этой статье – история HD Moore: от первых хакерских экспериментов до фреймворка, которым сегодня пользуются и киберпреступники, и спецслужбы.

🗄 Читать статью – линк.

// Не хакинг, а ИБ

🤨 ФБР признало своё бессилие перед новой тактикой хакеров Interlock

⚠️ В США зафиксирована волна атак, в которых задействована группировка Interlock, использующая тактику двойного вымогательства против компаний и объектов критической инфраструктуры

Сначала с инфицированных систем похищаются конфиденциальные данные, затем сами файлы шифруются

— Таким образом, на жертву оказывается двойное давление: выкуп требуется не только за расшифровку информации, но и за сохранение её от публичного обнародования

Группировка Interlock действует сравнительно недавно – первые атаки были зарегистрированы в сентябре 2024 года

За это время она успела выйти за рамки одной страны и поразить организации в различных отраслях по всему миру

🗄 Источник – линк.

// Не хакинг, а ИБ

📄 Шпаргалка по Mimikatz

Mimikatz – это инструмент с открытым исходным кодом, который позволяет извлекать из памяти учётные данные Windows, а также просматривать и сохранять учётные данные аутентификации, такие как тикеты Kerberos

Он часто используется ИБ-специалистами и злоумышленниками для тестирования и эксплуатации уязвимостей в Windows

🗄 Репозиторий на GitHub – линк.

// Не хакинг, а ИБ