🧾 Ловите еженедельную подборку новостей от POSIdev
📌 Опубликован код фреймворка рантайм-защиты Pulsar, ориентированный на IoT-инфраструктуры
📌 Что такое mass assignment и как детектировать этот класс уязвимостей с помощью GitHub CodeSearch
📌 Детальный разбор CVE-2022-20186 (LPE через Arm Mali GPU kernel driver) и техники её эксплуатации
📌 Автор деобфускатора REstringer поделился деталями его разработки и внутреннего устройства
📌 Опубликована очередная awesome-подборка. На этот раз - материалы и ресурсы, посвящённые криптографии открытого ключа
📌 Аналитики из Palo Alto Networks рассказали о том, что поиски уязвимых хостов в сети начинаются уже через 15 минут после публикации CVE об очередной уязвимости
🔐
📌 Опубликован код фреймворка рантайм-защиты Pulsar, ориентированный на IoT-инфраструктуры
📌 Что такое mass assignment и как детектировать этот класс уязвимостей с помощью GitHub CodeSearch
📌 Детальный разбор CVE-2022-20186 (LPE через Arm Mali GPU kernel driver) и техники её эксплуатации
📌 Автор деобфускатора REstringer поделился деталями его разработки и внутреннего устройства
📌 Опубликована очередная awesome-подборка. На этот раз - материалы и ресурсы, посвящённые криптографии открытого ключа
📌 Аналитики из Palo Alto Networks рассказали о том, что поиски уязвимых хостов в сети начинаются уже через 15 минут после публикации CVE об очередной уязвимости
🔐
pulsar.sh
Exein - Pulsar | Pulsar
Next-gen open source framework for the security of everything
👍4
Минутка вакансий
Программист-математик С# (PT Application Inspector), Positive Technologies
Ищем в команду разработки PT Application Inspector программиста C# с хорошим знанием математики (это правда пригодится в работе).
Локация: любой город (удалёнка) или Москва/СПб/Новосибирск (гибридный формат)
Уровень: middle/senior
Требования:
• опыт разработки приложений под .NET (C#) или желание и готовность перейти на наш стек в течение испытательного срока;
• принципы ООП и проектирования ПО;
• методы рефакторинга;
• основные алгоритмы и структуры данных.
Будет плюсом:
• знания синтаксиса и семантики других языков программирования;
• понимание принципов работы компиляторов, методов решения задач по анализу кода;
• знания в области безопасности веб-приложений;
• теоретический бэкграунд (теории вычислений, графов, множеств, формальных языков).
Контакты: @vkochetkov
———
Application Security Expert (Offensive), Тинькофф
ЗП: 150 000 - 300 000 net
Локация: Любой город
Формат работы: гибрид\удаленная работа
Занятость: полная
Уровень: Middle\Senior
Обязанности:
• Проведение аудитов безопасности приложений и сервисов
• Взаимодействие с продуктовыми командами для разбора и устранения найденных уязвимостей
• Автоматизация процессов безопасности
• Заниматься исследовательской деятельностью в области информационной безопасности (Security Research)
• Развитие Bug-Bounty программы
• Строить вместе процесс безопасной разработки ПО (Security SDLC)
Требования:
• Практический опыт анализа приложений
• Опыт работы с инструментами анализа безопасности приложений (Burp/Semgrep)
• Умение читать код на различных языках (Java/JS/Python)
• Умение анализировать исходный код на предмет наличия уязвимостей
• Практическое понимание всех распространенных техник эксплуатации
• Не только понимаете, как работают угрозы из OWASP Top 10, OWASP Mobile Top 10, CWE Top 25, но можете рассказать, как их устранить и не допускать в будущем
• Понимание принципов работы современных веб-приложений, микросервисной архитектуры
• Участие в bug-bounty будет большим плюсом
Контакты: Tg: @voitkat; e.voytkevich@tinkoff.ru
Программист-математик С# (PT Application Inspector), Positive Technologies
Ищем в команду разработки PT Application Inspector программиста C# с хорошим знанием математики (это правда пригодится в работе).
Локация: любой город (удалёнка) или Москва/СПб/Новосибирск (гибридный формат)
Уровень: middle/senior
Требования:
• опыт разработки приложений под .NET (C#) или желание и готовность перейти на наш стек в течение испытательного срока;
• принципы ООП и проектирования ПО;
• методы рефакторинга;
• основные алгоритмы и структуры данных.
Будет плюсом:
• знания синтаксиса и семантики других языков программирования;
• понимание принципов работы компиляторов, методов решения задач по анализу кода;
• знания в области безопасности веб-приложений;
• теоретический бэкграунд (теории вычислений, графов, множеств, формальных языков).
Контакты: @vkochetkov
———
Application Security Expert (Offensive), Тинькофф
ЗП: 150 000 - 300 000 net
Локация: Любой город
Формат работы: гибрид\удаленная работа
Занятость: полная
Уровень: Middle\Senior
Обязанности:
• Проведение аудитов безопасности приложений и сервисов
• Взаимодействие с продуктовыми командами для разбора и устранения найденных уязвимостей
• Автоматизация процессов безопасности
• Заниматься исследовательской деятельностью в области информационной безопасности (Security Research)
• Развитие Bug-Bounty программы
• Строить вместе процесс безопасной разработки ПО (Security SDLC)
Требования:
• Практический опыт анализа приложений
• Опыт работы с инструментами анализа безопасности приложений (Burp/Semgrep)
• Умение читать код на различных языках (Java/JS/Python)
• Умение анализировать исходный код на предмет наличия уязвимостей
• Практическое понимание всех распространенных техник эксплуатации
• Не только понимаете, как работают угрозы из OWASP Top 10, OWASP Mobile Top 10, CWE Top 25, но можете рассказать, как их устранить и не допускать в будущем
• Понимание принципов работы современных веб-приложений, микросервисной архитектуры
• Участие в bug-bounty будет большим плюсом
Контакты: Tg: @voitkat; e.voytkevich@tinkoff.ru
👍2❤1
🧾Сегодня четверг, а значит пора глянуть еженедельную подборку новостей от POSIdev 👇🏻
◾️ Компьютер с процессором Intel Xeon взломал постквантовый алгоритм шифрования всего за час
◾️ Группа исследователей из Oxeye обнаружила уязвимость, затрагивающую приложения на языке Go и позволяющую обходить проверки, основанные на разборе параметров HTTP-запросов.
◾️ Всеобъемлющий гайд по моделированию угроз приложений
◾️ Вышла новая версия ImHex - многофункционального HEX-редактора для реверс-инженеров и разработчиков
◾️ Эксперты из Digital Security опубликовали очередную статью из цикла об анализе iOS-приложений
🔐
◾️ Компьютер с процессором Intel Xeon взломал постквантовый алгоритм шифрования всего за час
◾️ Группа исследователей из Oxeye обнаружила уязвимость, затрагивающую приложения на языке Go и позволяющую обходить проверки, основанные на разборе параметров HTTP-запросов.
◾️ Всеобъемлющий гайд по моделированию угроз приложений
◾️ Вышла новая версия ImHex - многофункционального HEX-редактора для реверс-инженеров и разработчиков
◾️ Эксперты из Digital Security опубликовали очередную статью из цикла об анализе iOS-приложений
🔐
about.gitlab.com
The most-comprehensive AI-powered DevSecOps platform
From planning to production, bring teams together in one application. Ship secure code more efficiently to deliver value faster.
🔥5
PT BlackBox. Онлайн-запуск🚀
|23 августа в 14:00|
Идеальный исходный код еще не гарантирует безопасность. Важно проводить динамическое тестирование приложения и анализировать его поведение в среде использования. Это поможет вовремя найти уязвимости и предотвратить реализацию недопустимых событий.
Решения DAST (Dynamic Application Security Testing) с открытым кодом, представленные на рынке, не могут похвастаться высоким качеством сканирования. Коммерческие DAST-инструменты поставляют только зарубежные вендоры.
⚡️23 августа состоится онлайн-запуск российского динамического анализатора приложений ― PT BlackBox.⚡️
Эксперты Positive Technologies расскажут, зачем бизнесу нужен DAST, как развивалась технология этого метода, и продемонстрируют новый продукт.
👉🏻 Зарегистрироваться
|23 августа в 14:00|
Идеальный исходный код еще не гарантирует безопасность. Важно проводить динамическое тестирование приложения и анализировать его поведение в среде использования. Это поможет вовремя найти уязвимости и предотвратить реализацию недопустимых событий.
Решения DAST (Dynamic Application Security Testing) с открытым кодом, представленные на рынке, не могут похвастаться высоким качеством сканирования. Коммерческие DAST-инструменты поставляют только зарубежные вендоры.
⚡️23 августа состоится онлайн-запуск российского динамического анализатора приложений ― PT BlackBox.⚡️
Эксперты Positive Technologies расскажут, зачем бизнесу нужен DAST, как развивалась технология этого метода, и продемонстрируют новый продукт.
👉🏻 Зарегистрироваться
🔥6
📃 Еженедельная подборка новостей от POSIdev 👇🏻
▫️AWSGoat - учебное уязвимое приложение для AWS-инфраструктур, основанное на последнем OWASP Top 10
▫️Группа исследователей раскрыла новый метод атаки на ЦП Intel
▫️Эксперты предупредили об опасности сокрытия вредоносных приложений в мемах
▫️Обновлена библиотека LibAFL для построения фаззеров
▫️О взгляде на код C/C++ глазами реверсера
🔐
▫️AWSGoat - учебное уязвимое приложение для AWS-инфраструктур, основанное на последнем OWASP Top 10
▫️Группа исследователей раскрыла новый метод атаки на ЦП Intel
▫️Эксперты предупредили об опасности сокрытия вредоносных приложений в мемах
▫️Обновлена библиотека LibAFL для построения фаззеров
▫️О взгляде на код C/C++ глазами реверсера
🔐
GitHub
GitHub - ine-labs/AWSGoat: AWSGoat : A Damn Vulnerable AWS Infrastructure
AWSGoat : A Damn Vulnerable AWS Infrastructure. Contribute to ine-labs/AWSGoat development by creating an account on GitHub.
👍3
Твой ковер у нас, Лебовски!👀
Cможешь забрать его 23 августа после того, как рандомайзер выберет тебя в качестве победителя среди участников онлайн-запуска PT BlackBox.
Зачем?
На ковре опасные уязвимости, сможешь вытирать о них ноги, ведь в твоем приложении их нет. Или есть? Тогда тебе точно нужно быть 23 августа в 14:00 на онлайн-запуске российского динамического анализатора — PT BlackBox.
Больше нет времени объяснять! Регистрируйся!💥
Cможешь забрать его 23 августа после того, как рандомайзер выберет тебя в качестве победителя среди участников онлайн-запуска PT BlackBox.
Зачем?
На ковре опасные уязвимости, сможешь вытирать о них ноги, ведь в твоем приложении их нет. Или есть? Тогда тебе точно нужно быть 23 августа в 14:00 на онлайн-запуске российского динамического анализатора — PT BlackBox.
Больше нет времени объяснять! Регистрируйся!💥
🔥13👍2
Онлайн-запуск PT BlackBox уже сегодня🚀
Начинаем в 14:00. Ссылку на трансляцию пришлем чуть позже.
А еще это твой последний шанс, Лебовски, выиграть ковер с уязвимостями. Да-да, тот самый, который задает стиль всей комнате.
Успей зарегистрироваться здесь👈 до 12:00 (по МСК), если до сих пор этого не сделал, и подключайся в 14:00 к трансляции. Ковер и другой приятный мерч разыграем в финале.😎
Начинаем в 14:00. Ссылку на трансляцию пришлем чуть позже.
А еще это твой последний шанс, Лебовски, выиграть ковер с уязвимостями. Да-да, тот самый, который задает стиль всей комнате.
Успей зарегистрироваться здесь👈 до 12:00 (по МСК), если до сих пор этого не сделал, и подключайся в 14:00 к трансляции. Ковер и другой приятный мерч разыграем в финале.😎
🔥9👍2
Начинаем онлайн-запуск 🚀 PT BlackBox в 14:00
Cмотрите трансляцию по ссылке 👈🏻
Cмотрите трансляцию по ссылке 👈🏻
👍5💩1