Приручаем GitLab 💻

«Каждый раз, подключаясь на проект, где используется GitLab, видишь одни и те же ошибки или проблемы. На Habr можно найти множество информации, связанной с кейсами, туториалами или просто интересными историями про GitLab. Но сколько бы ни было написано, найти место где было бы собрано всё и сразу — не получилось».

Алексей, DevOps-инженер компании Nixys, решил это исправить и написал статью, в которой рассказал про прикольные фишки Gitlab и инциденты, которые упростят вашу жизнь.

➡️ Приятного чтения!

🚀 Подключайся к Open SysConf уже сегодня!

🔹 Кто удаленно — присоединяйся онлайн, будь вместе с нами.
🔹 Кто оффлайн — встретимся в офисе команды Kolesa Team.

Начнем с базовых вещей, продолжим в low level практике, закончим на ноте размышлений.

Вот здесь доклады и расписание.

Соберутся специалисты и хорошие люди из Алматы, Астаны, других городов РК, соседних государств. Встреча обещает пройти в многостороннем общении, обновлении круга знакомств и новых знаний 🤜🤛

Бери хорошее настроение, желание развития, открывай глаза, настораживай уши, готовь голосовой аппарат и уверенность в том, что все будет хорошо! Be connected on Open SysConf.io 🐴

Всем Peace ✌️

⌨️ Атака Pastejacking: Невидимая угроза

🔍 Pastejacking, - это скрытая манипуляция данными в буфере обмена пользователя. Думаю все замечали, что иногда при копировании информации сайта, автоматически копируется ссылку на страницу или на ресурс. Это тоже своего рода Pastejacking, но так скажем безобидный. Но не все администраторы сайтов честные на руку) Данная атака позволяет хакерам заменять скопированный текст на свой, что скрытно угрожает безопасности данных. Давайте копнем глубже и узнаем, как это работает!

➡️ Механизм атаки:
При атаке Pastejacking, злоумышленник использует JavaScript и другие инструменты для слежки и изменения содержимого буфера обмена. Когда вы копируете текст со страницы, злоумышленник может подменить его данными по своему усмотрению.

➡️ Потенциальные угрозы

1️⃣ Подмена конфиденциальных данных: к примеру при копировании своего bitcoin кошелька вы можете не заметить, что в нём изменилась некоторая часть символов, а по итогу ваша криптовалюта безвозвратно уйдет злоумышленнику.

2️⃣ Заражение невнимательного пользователя: Хакер может подставить вредоносный код, который приведёт к замене легитимного пакета/зависимости/кода на вредоносный, который может привести к заражению проекта или оставит бекдор в вашем коде.

➡️Как защищаться

1️⃣ NoScript. Расширение, которое отключает JavaScript на сайте, поэтому вам данный класс атак никак не затронет. Но по опыту скажу, что решение не очень удобное для повседневного использования.

2️⃣ Внимательность. Проверяйте, что вы вставляете/копируете.

3️⃣ Эмулятор терминала. Лично я пользуюсь только Tilix. Для MacOS советую iTerm. В данных эмуляторах термина есть защита/предупреждение от paste jacking'а.

➡️ Заключение:
Не будьте скрипт-киди и не копируйте всё подряд с сайтов. Pastejacking - хитрая атака, но с правильными мерами защиты можно предотвратить ее эксплуатацию.

🛠 Я создал тестовое веб приложение, где вы можете посмотреть, как работает pastejacking (Ctrl+U), а также проверить его работу на себе.

#phishing

💬 Канал

☄️ ParadeDB — это альтернатива ElasticSearch на основе PostgreSQL для моментального полнотекстового поиска, поиска по сходству и гибридного поиска.

Он предлагает наиболее полные функции поиска среди всех баз данных Postgres, что избавляет от надстроек громоздких сервисов типа поискового движка или векторной БД.

Полноценный релиз — в конце сентября.

#devops #database #db #elasticsearch

@DevOpsKaz

👋Hello, Lambda: что такое бессерверная архитектура и как без боли перейти на serveless в AWS

В новом выпуске шоу «Заходят два архитектора в бар…» поговорим про serveless-технологии. Обсудим, какие интересные решения есть в бессерверной архитектуре, в частности разберём кейс наших партнёров Core 24/7.

Гость выпуска Арман Нургалиев, Cloud Architect в Core 24/7, расскажет про переход компании на serveless в AWS:

🔠Почему отказались от EKS Fargate в пользу AWS Lambda?
🔠С какими проблемами столкнулись при переезде с одного сервиса на другой?
🔠Не обошлось без кодинга: как команда спроектировала архитектуру сервисов?
🔠Какие плюшки получили от перехода и что дальше ждёт платформу?

Оппонировать гостю будут Виталий Лихачев, Senior Software Engineer в Авито (платформа авторизации), и Николай Скинтеев, Teamlead в EBAC Online.

🔠 Приходите на эфир 20 сентября в 19:00 мск узнать больше о serveless-технологии, позадавать вопросы спикерам и высказать своё вау или фи лямбде. Ссылку на встречу пришлёт бармен-бот. Также он хранит все выпуски шоу и презентации гостей.

🤖 Пообщаться с бармен-ботом→

Мы спросили у OWASP OpenCRE Chat, как обойти «403 Forbidden». И он без зазрения совести ответил... 😠

Это чат-бот, который генерирует ответы с помощью большой языковой модели Google PALM2, обучается в интернете, а также собирает ключевые стандарты кибербезопасности из OpenCRE в качестве предпочтительного источника.

Вот что бот предлагает делать с «403 Forbidden»:

➖ Использовать методы HTTP (например, POST вместо GET) или заголовки/параметры URL «переопределения метода» (например, X-HTTP-метода), если внутренний сервер их поддерживает.
➖ Использовать HTTP-заголовки «Client Origin» (например, X-Forwarded-For) для подделки исходного IP-адреса в обход черных списков IP-адресов.
➖ Управлять путем URL-адреса с помощью обхода каталога, изменения регистра, добавления символов или кодирования двойного URL-адреса.

Попробуйте решить свои задачи по безопасности через чат-бот и вы, а потом приходите в комменты и поделитесь своими наблюдениями 🤝

#InfoSec #Cybersecurity #BugBounty #Hacking

@DevOpsKaz