Всем привет! 💥
🎙 Сегодня начинаем еженедельную подборку новостей из мира безопасной разработки.
Дайте знать реакциями как вам формат?
📌Делимся результатами исследования Positive Technologies, проведенного на Positive Hack Days 11.
📌 Разоблачение популярных мифов об аппаратных закладках в процессорах
📌 3100 Django-приложений оказались уязвимы из-за включённого режима отладки
📌 Израильские исследователи представили метод скрытой передачи данных с помощью SATA-кабелей
📌 Краткий обзор нынешней ситуации в области пост-квантовой криптографии
📌 Исследователи из NCC Group опубликовали ряд уязвимостей протокола ExpressRLS — наиболее популярного на сегодняшний день протокола радиоуправления любительскими дронами
📌 Разбор уязвимости CVE-2022-21449 в Java 15-18, позволявшей обойти механизм проверки ECDSA-подписи и подделать подписываемое сообщение
📌 Опубликован ТОП докладов технического трека PHDays 11
📌 Microsoft представила детальный разбор уязвимости, позволявшей выйти из песочницы OSX
#мероприятия
🎙 Сегодня начинаем еженедельную подборку новостей из мира безопасной разработки.
Дайте знать реакциями как вам формат?
📌Делимся результатами исследования Positive Technologies, проведенного на Positive Hack Days 11.
📌 Разоблачение популярных мифов об аппаратных закладках в процессорах
📌 3100 Django-приложений оказались уязвимы из-за включённого режима отладки
📌 Израильские исследователи представили метод скрытой передачи данных с помощью SATA-кабелей
📌 Краткий обзор нынешней ситуации в области пост-квантовой криптографии
📌 Исследователи из NCC Group опубликовали ряд уязвимостей протокола ExpressRLS — наиболее популярного на сегодняшний день протокола радиоуправления любительскими дронами
📌 Разбор уязвимости CVE-2022-21449 в Java 15-18, позволявшей обойти механизм проверки ECDSA-подписи и подделать подписываемое сообщение
📌 Опубликован ТОП докладов технического трека PHDays 11
📌 Microsoft представила детальный разбор уязвимости, позволявшей выйти из песочницы OSX
#мероприятия
SecurityLab.ru
Каждая третья российская компания уже строит процессы безопасной разработки
Делимся результатами исследования Positive Technologies, проведенного на Positive Hack Days 11.
👍9🔥3
Как на счет пятничных мемасиков? ☄️
🔥5👍4
🧾 Ловите еженедельную подборку новостей от POSIdev
📌 Опубликован код фреймворка рантайм-защиты Pulsar, ориентированный на IoT-инфраструктуры
📌 Что такое mass assignment и как детектировать этот класс уязвимостей с помощью GitHub CodeSearch
📌 Детальный разбор CVE-2022-20186 (LPE через Arm Mali GPU kernel driver) и техники её эксплуатации
📌 Автор деобфускатора REstringer поделился деталями его разработки и внутреннего устройства
📌 Опубликована очередная awesome-подборка. На этот раз - материалы и ресурсы, посвящённые криптографии открытого ключа
📌 Аналитики из Palo Alto Networks рассказали о том, что поиски уязвимых хостов в сети начинаются уже через 15 минут после публикации CVE об очередной уязвимости
🔐
📌 Опубликован код фреймворка рантайм-защиты Pulsar, ориентированный на IoT-инфраструктуры
📌 Что такое mass assignment и как детектировать этот класс уязвимостей с помощью GitHub CodeSearch
📌 Детальный разбор CVE-2022-20186 (LPE через Arm Mali GPU kernel driver) и техники её эксплуатации
📌 Автор деобфускатора REstringer поделился деталями его разработки и внутреннего устройства
📌 Опубликована очередная awesome-подборка. На этот раз - материалы и ресурсы, посвящённые криптографии открытого ключа
📌 Аналитики из Palo Alto Networks рассказали о том, что поиски уязвимых хостов в сети начинаются уже через 15 минут после публикации CVE об очередной уязвимости
🔐
pulsar.sh
Exein - Pulsar | Pulsar
Next-gen open source framework for the security of everything
👍4
Минутка вакансий
Программист-математик С# (PT Application Inspector), Positive Technologies
Ищем в команду разработки PT Application Inspector программиста C# с хорошим знанием математики (это правда пригодится в работе).
Локация: любой город (удалёнка) или Москва/СПб/Новосибирск (гибридный формат)
Уровень: middle/senior
Требования:
• опыт разработки приложений под .NET (C#) или желание и готовность перейти на наш стек в течение испытательного срока;
• принципы ООП и проектирования ПО;
• методы рефакторинга;
• основные алгоритмы и структуры данных.
Будет плюсом:
• знания синтаксиса и семантики других языков программирования;
• понимание принципов работы компиляторов, методов решения задач по анализу кода;
• знания в области безопасности веб-приложений;
• теоретический бэкграунд (теории вычислений, графов, множеств, формальных языков).
Контакты: @vkochetkov
———
Application Security Expert (Offensive), Тинькофф
ЗП: 150 000 - 300 000 net
Локация: Любой город
Формат работы: гибрид\удаленная работа
Занятость: полная
Уровень: Middle\Senior
Обязанности:
• Проведение аудитов безопасности приложений и сервисов
• Взаимодействие с продуктовыми командами для разбора и устранения найденных уязвимостей
• Автоматизация процессов безопасности
• Заниматься исследовательской деятельностью в области информационной безопасности (Security Research)
• Развитие Bug-Bounty программы
• Строить вместе процесс безопасной разработки ПО (Security SDLC)
Требования:
• Практический опыт анализа приложений
• Опыт работы с инструментами анализа безопасности приложений (Burp/Semgrep)
• Умение читать код на различных языках (Java/JS/Python)
• Умение анализировать исходный код на предмет наличия уязвимостей
• Практическое понимание всех распространенных техник эксплуатации
• Не только понимаете, как работают угрозы из OWASP Top 10, OWASP Mobile Top 10, CWE Top 25, но можете рассказать, как их устранить и не допускать в будущем
• Понимание принципов работы современных веб-приложений, микросервисной архитектуры
• Участие в bug-bounty будет большим плюсом
Контакты: Tg: @voitkat; e.voytkevich@tinkoff.ru
Программист-математик С# (PT Application Inspector), Positive Technologies
Ищем в команду разработки PT Application Inspector программиста C# с хорошим знанием математики (это правда пригодится в работе).
Локация: любой город (удалёнка) или Москва/СПб/Новосибирск (гибридный формат)
Уровень: middle/senior
Требования:
• опыт разработки приложений под .NET (C#) или желание и готовность перейти на наш стек в течение испытательного срока;
• принципы ООП и проектирования ПО;
• методы рефакторинга;
• основные алгоритмы и структуры данных.
Будет плюсом:
• знания синтаксиса и семантики других языков программирования;
• понимание принципов работы компиляторов, методов решения задач по анализу кода;
• знания в области безопасности веб-приложений;
• теоретический бэкграунд (теории вычислений, графов, множеств, формальных языков).
Контакты: @vkochetkov
———
Application Security Expert (Offensive), Тинькофф
ЗП: 150 000 - 300 000 net
Локация: Любой город
Формат работы: гибрид\удаленная работа
Занятость: полная
Уровень: Middle\Senior
Обязанности:
• Проведение аудитов безопасности приложений и сервисов
• Взаимодействие с продуктовыми командами для разбора и устранения найденных уязвимостей
• Автоматизация процессов безопасности
• Заниматься исследовательской деятельностью в области информационной безопасности (Security Research)
• Развитие Bug-Bounty программы
• Строить вместе процесс безопасной разработки ПО (Security SDLC)
Требования:
• Практический опыт анализа приложений
• Опыт работы с инструментами анализа безопасности приложений (Burp/Semgrep)
• Умение читать код на различных языках (Java/JS/Python)
• Умение анализировать исходный код на предмет наличия уязвимостей
• Практическое понимание всех распространенных техник эксплуатации
• Не только понимаете, как работают угрозы из OWASP Top 10, OWASP Mobile Top 10, CWE Top 25, но можете рассказать, как их устранить и не допускать в будущем
• Понимание принципов работы современных веб-приложений, микросервисной архитектуры
• Участие в bug-bounty будет большим плюсом
Контакты: Tg: @voitkat; e.voytkevich@tinkoff.ru
👍2❤1
🧾Сегодня четверг, а значит пора глянуть еженедельную подборку новостей от POSIdev 👇🏻
◾️ Компьютер с процессором Intel Xeon взломал постквантовый алгоритм шифрования всего за час
◾️ Группа исследователей из Oxeye обнаружила уязвимость, затрагивающую приложения на языке Go и позволяющую обходить проверки, основанные на разборе параметров HTTP-запросов.
◾️ Всеобъемлющий гайд по моделированию угроз приложений
◾️ Вышла новая версия ImHex - многофункционального HEX-редактора для реверс-инженеров и разработчиков
◾️ Эксперты из Digital Security опубликовали очередную статью из цикла об анализе iOS-приложений
🔐
◾️ Компьютер с процессором Intel Xeon взломал постквантовый алгоритм шифрования всего за час
◾️ Группа исследователей из Oxeye обнаружила уязвимость, затрагивающую приложения на языке Go и позволяющую обходить проверки, основанные на разборе параметров HTTP-запросов.
◾️ Всеобъемлющий гайд по моделированию угроз приложений
◾️ Вышла новая версия ImHex - многофункционального HEX-редактора для реверс-инженеров и разработчиков
◾️ Эксперты из Digital Security опубликовали очередную статью из цикла об анализе iOS-приложений
🔐
about.gitlab.com
The most-comprehensive AI-powered DevSecOps platform
From planning to production, bring teams together in one application. Ship secure code more efficiently to deliver value faster.
🔥5
PT BlackBox. Онлайн-запуск🚀
|23 августа в 14:00|
Идеальный исходный код еще не гарантирует безопасность. Важно проводить динамическое тестирование приложения и анализировать его поведение в среде использования. Это поможет вовремя найти уязвимости и предотвратить реализацию недопустимых событий.
Решения DAST (Dynamic Application Security Testing) с открытым кодом, представленные на рынке, не могут похвастаться высоким качеством сканирования. Коммерческие DAST-инструменты поставляют только зарубежные вендоры.
⚡️23 августа состоится онлайн-запуск российского динамического анализатора приложений ― PT BlackBox.⚡️
Эксперты Positive Technologies расскажут, зачем бизнесу нужен DAST, как развивалась технология этого метода, и продемонстрируют новый продукт.
👉🏻 Зарегистрироваться
|23 августа в 14:00|
Идеальный исходный код еще не гарантирует безопасность. Важно проводить динамическое тестирование приложения и анализировать его поведение в среде использования. Это поможет вовремя найти уязвимости и предотвратить реализацию недопустимых событий.
Решения DAST (Dynamic Application Security Testing) с открытым кодом, представленные на рынке, не могут похвастаться высоким качеством сканирования. Коммерческие DAST-инструменты поставляют только зарубежные вендоры.
⚡️23 августа состоится онлайн-запуск российского динамического анализатора приложений ― PT BlackBox.⚡️
Эксперты Positive Technologies расскажут, зачем бизнесу нужен DAST, как развивалась технология этого метода, и продемонстрируют новый продукт.
👉🏻 Зарегистрироваться
🔥6
📃 Еженедельная подборка новостей от POSIdev 👇🏻
▫️AWSGoat - учебное уязвимое приложение для AWS-инфраструктур, основанное на последнем OWASP Top 10
▫️Группа исследователей раскрыла новый метод атаки на ЦП Intel
▫️Эксперты предупредили об опасности сокрытия вредоносных приложений в мемах
▫️Обновлена библиотека LibAFL для построения фаззеров
▫️О взгляде на код C/C++ глазами реверсера
🔐
▫️AWSGoat - учебное уязвимое приложение для AWS-инфраструктур, основанное на последнем OWASP Top 10
▫️Группа исследователей раскрыла новый метод атаки на ЦП Intel
▫️Эксперты предупредили об опасности сокрытия вредоносных приложений в мемах
▫️Обновлена библиотека LibAFL для построения фаззеров
▫️О взгляде на код C/C++ глазами реверсера
🔐
GitHub
GitHub - ine-labs/AWSGoat: AWSGoat : A Damn Vulnerable AWS Infrastructure
AWSGoat : A Damn Vulnerable AWS Infrastructure. Contribute to ine-labs/AWSGoat development by creating an account on GitHub.
👍3