Опять кому-то сломали лицо пассворд-спреингом, когда не было 2фа (кому-то это майкрософтам)

https://securityaffairs.com/157802/apt/midnight-blizzard-hacked-microsoft-email-accounts.html

Начинаем серию статей по DevOps и DevSecOps, где поделимся интересными идеями о DevOps в общем, рассмотрим инструменты, облегчающие процесс разработки кода. Но особое внимание уделим DevSecOps и особенностям обеспечения безопасности в разработке.👨‍💻

Основы😄:

-Зачем вообще внедрять девопс если все это дорого богато, а штрафы за утечки в РФ стоят копейки(там не сильно интересно, но в целом базу зачем надо описывают)
https://youtube.com/watch?v=ywu7osKVZIw&feature=youtu.be

- Позитивы на стендофе, от лозунгов к реализации devsecops
https://youtu.be/BF24NoqU5ZI?si=sEK1JW5lGHLU7W5m

- Мифический человеко-DevOps
https://habr.com/ru/articles/786854/

- Некоторые техники безопасной разработки https://www.chaossearch.io/blog/advanced-devsecops-techniques-audit-logging

- Строим devsecops pipeline на опенсурс инструментах
https://medium.com/@ikbenezer/building-a-devsecops-pipeline-with-open-source-tools-c296b88cf22c

- Архитектура цикла безопасной разработки здорового человека от microsoft https://learn.microsoft.com/ru-ru/azure/architecture/solution-ideas/articles/devsecops-rolling-branch

- Advanced End-to-End DevSecOps Kubernetes(может понадобиться впн, т.к. medium) https://blog.stackademic.com/advanced-end-to-end-devsecops-kubernetes-three-tier-project-using-aws-eks-argocd-prometheus-fbbfdb956d1a

- Инструменты devsecops, постоянно пополяемый список различных инструментов, заглядываю туда когда надо подобрать нужный инструмент
https://github.com/sottlmarek/DevSecOps

Как все происходит, если не соблюдать🤒:
- Как через Github крупные компании ломают, основные приемы https://securitymedia.org/info/opasnye-svyazi-kak-prestupniki-vzlamyvayut-it-produkty-cherez-github.html

- Почему Rockstar Games и Uber взломаны несмотря на девопс https://www.informationweek.com/software-services/is-it-time-to-rethink-devsecops-after-major-security-breaches-

Интересные канальчики🤠:
•https://t.me/devsecops_weekly
•https://devops.com/category/blogs/devsecops/

Постинг по данной теме можно будет найти по хештегу
#devsecops

Список будет постоянно пополняться

Строим devsecops pipeline на к‌о‌л‌е‌н‌к‌е‌ opensource тулзах

https://medium.com/@ikbenezer/building-a-devsecops-pipeline-with-open-source-tools-c296b88cf22c

Ссылка для РФ без впн:

https://freedium.cfd/https://medium.com/@ikbenezer/building-a-devsecops-pipeline-with-open-source-tools-c296b88cf22c

#devsecops

Кстати довольно таки интересный курс по похеку(взлому) active directory, там все основы, также в конце дают сертификат о прохождении лекций.
Несмотря на то что работодатели не ценят прохождение курсиков udemy - для галочки и знаний нормально

https://www.udemy.com/course/active-directory-exploitation-and-lateral-movement-black-box/

#Redteam

Атаки на Active Directory без учетных данных

https://hadess.io/pwning-the-domain-credentialess-username/

Сборник примеров уязвимого кода на разных языках и способы исправления

https://docs-dev.fluidattacks.com/dquinteroatfluid/criteria/fixes/

Довольно интересно, учитывая что я сейчас собираю уязвимые снипетты для создания sast под скан бизнес логики в сурс коде

Члена lockbit допрашивают, слив произошел
https://youtu.be/J-KP82SCRNs?si=s5o0YsEuJ56f8v_E

Парочка плохих шутеек от жпт(chat gpt) по поводу редтима, решил проверить чувство юмора у нейронки, как у нее получилось судите сами😅

1) Зачем хакеру из красной команды ломать Active Directory, если он может просто спросить пароль у администратора на корпоративной вечеринке?

Потому что на последней вечеринке админ использовал многофакторную аутентификацию: пиво, водка и текила. После этого, даже если хакер и получил бы пароль, вспомнить его уже было бы верхом привилегий!

2)Почему хакер из красной команды прекратил флиртовать с Active Directory?

Потому что когда он предложил зайти поглубже и использовать pass-the-hash, Active Directory ответила: "Ты что, серьёзно? Мне нужен надёжный партнёр, а ты всё время пытаешься перейти к DCSync без предварительных ласк в виде phishing! И да, я заметила, как ты косишься на мои GPOs, мечтая о lateral movement. Нам лучше остаться друзьями... с ограниченными правами!"

3) Хакер из красной команды заявляет на встрече: "Я решил перестать использовать сложные эксплойты для внедрения в сеть. Вместо этого, я начал отправлять IT-отделам письма с угрозами отключить интернет-чайник, если они сами не предоставят мне доступ. Вы не поверите, но эффективность почти 100% - кажется, без утреннего кофе они готовы на все!"

Сегодня наше хакерское комьюнити хочет поздравить Вас, наших прекрасных женщин, с 8 марта! Пусть ваш код всегда будет эффективным, а ваши алгоритмы - безошибочными. Пусть ваша жизнь будет полна интересных задач и успешных проектов, а ваши планы - безопасны от вирусов. Пусть каждый бит вашего женского кода будет неповторимым и вдохновляющим для всех вокруг! С праздником вас, наши самые ценные ресурсы! 🌹❤️

Грустная басня о заработке в багбаунти

Blackcat ломают прод.
По быстрому набросал перевод одной забугор статьи.

Оригинал: https://www.securityweek.com/anatomy-of-a-blackcat-attack-through-the-eyes-of-incident-response/

Годнейшая статья от PT по поводу веб багхантинга, дают советы с чего начать хантинг, приводят реальные кейсы с уязвимостями которые попадаются в практике. В целом - советую ознакомиться.

https://habr.com/ru/companies/pt/articles/758036/

Также у PT-шек есть интересная статейка "Глазами SOC: типичные ошибки red team. Часть 1"
Это интересно учитывая то, что когда занимаешься коммерческим редтимом - часто бывает что компанию предупредили что ее будут взламывать, каждый сотрудник не открывает никаких ссылок, соц.инженерия плохо работает, а вся инфра настроена на то, чтобы поймать тебя, а не как обычно это бывает, что сисадмин уснул на клавиатуре не реагирует на сигналы от мониторинга на инфре.

Поэтому, чтобы в этой среде выживать - можно почитать статейку от птшек

Статья: https://habr.com/ru/companies/pt/articles/765772/

https://caido.io/

Бесплатный аналог бурпа, меньше функционала, но интересный проект

https://grroxy.com/

Встроенный ffuf, прокси, payload generator

grroxy.com по сути это несколько опенсурс тулз в одном проекте, пока бета, но можно запросить доступ. Как пришлет админ - сделаю обзорчик

Лечим больную sql иньекцию(time based) и превращаем в union based

Ссылка на статью:https://infosecwriteups.com/healing-blind-injections-df30b9e0e06f

#Beacon