🔉Уязвимость Text4Shell: из-за чего весь «сыр-бор» и что делать
Кажется, изо всех утюгов в мире кибербезопасности уже говорят про новую уязвимость Text4Shell, как в свое время трубили про знаменитую log4shell.
Команда аналитиков PT Application Inspector [Александр Болдырев, Алексей Новгородов, Максим Суслов] подготовили статью, в которой рассказали:
🔒 из-за чего может появиться эта уязвимость в инфраструктуре;
🔒 что творится внутри библиотеки Apache Commons Text;
🔒 как утилита в PT Application Inspector может обнаружить эту уязвимость и есть ли патч;
❗️И самое главное ― эксперты дали пошаговый алгоритм действий для защиты от атак на эту уязвимость.
🌐 Подробнее читайте в нашем материале
#статьи
Кажется, изо всех утюгов в мире кибербезопасности уже говорят про новую уязвимость Text4Shell, как в свое время трубили про знаменитую log4shell.
Команда аналитиков PT Application Inspector [Александр Болдырев, Алексей Новгородов, Максим Суслов] подготовили статью, в которой рассказали:
🔒 из-за чего может появиться эта уязвимость в инфраструктуре;
🔒 что творится внутри библиотеки Apache Commons Text;
🔒 как утилита в PT Application Inspector может обнаружить эту уязвимость и есть ли патч;
❗️И самое главное ― эксперты дали пошаговый алгоритм действий для защиты от атак на эту уязвимость.
🌐 Подробнее читайте в нашем материале
#статьи
Хабр
Из-за чего весь сыр-бор: про уязвимость Text4Shell
За последнюю неделю в сфере инфобеза стали появляться новости о втором пришествии уязвимости Log4Shell, получившей название Text4Shell . Первым об уязвимости сообщил Alvaro Muñoz, который рассказал о...
🔥14👍4
Forwarded from Positive Technologies
🧑💻 По данным нашего исследования, в сравнении с 2021 годом все больше компаний осознает важность внедрения практик безопасной разработки приложений (DevSecOps).
34% компаний уровня enterprise и 31% представителей малого бизнеса уже внедрили DevSecOps. Это предостерегает их от утечки данных или несанкционированного доступа злоумышленников в инфраструктуру организации.
🔸 Как эволюционирует процесс DevSecOps в России в условиях импортозамещения?
🔸 Какие отечественные средства тестирования, анализа исходного кода и автоматизации существуют на рынке?
🔸 Как адаптировать процесс DevSecOps к новым угрозам, исходящим от open source?
Эти и другие вопросы 25 октября в 11:00 эксперты обсудят в онлайн-эфире AM Live. Среди участников — Денис Кораблев, управляющий директор, директор по продуктам Positive Technologies.
🔗 Зарегистрироваться на эфир можно по ссылке
#PositiveЭксперты
34% компаний уровня enterprise и 31% представителей малого бизнеса уже внедрили DevSecOps. Это предостерегает их от утечки данных или несанкционированного доступа злоумышленников в инфраструктуру организации.
🔸 Как эволюционирует процесс DevSecOps в России в условиях импортозамещения?
🔸 Какие отечественные средства тестирования, анализа исходного кода и автоматизации существуют на рынке?
🔸 Как адаптировать процесс DevSecOps к новым угрозам, исходящим от open source?
Эти и другие вопросы 25 октября в 11:00 эксперты обсудят в онлайн-эфире AM Live. Среди участников — Денис Кораблев, управляющий директор, директор по продуктам Positive Technologies.
🔗 Зарегистрироваться на эфир можно по ссылке
#PositiveЭксперты
🔥2👍1
Плагины Application Inspector. Новая версия🔥
Спасибо всем, кто пользовался нашими плагинами для Visual Studio Code и IntelliJ Platform и давал обратную связь!
🚀 Представляем новую версию 1.2.0.
Что нового:
✅ Возможность сканирования JavaScript и TypeScript кода
✅ Улучшение стабильности работы анализатора
✅ Исправление проблем, возникающих при работе с результатами сканирования
✅ Теперь плагины доступны в маркетах!
🔗 JetBrains Marketplace
🔗 Visual Studio Code Marketplace
___________
❗️Поменялись метаданные плагина, поэтому если у вас предыдущая версия, нужно её удалить перед установкой версии 1.2.0, чтобы они не задублировались 👐🏻
Будем рады комментариям и обратной связи по новой версии в комментариях 👇🏻
#плагины
Спасибо всем, кто пользовался нашими плагинами для Visual Studio Code и IntelliJ Platform и давал обратную связь!
🚀 Представляем новую версию 1.2.0.
Что нового:
✅ Возможность сканирования JavaScript и TypeScript кода
✅ Улучшение стабильности работы анализатора
✅ Исправление проблем, возникающих при работе с результатами сканирования
✅ Теперь плагины доступны в маркетах!
🔗 JetBrains Marketplace
🔗 Visual Studio Code Marketplace
___________
❗️Поменялись метаданные плагина, поэтому если у вас предыдущая версия, нужно её удалить перед установкой версии 1.2.0, чтобы они не задублировались 👐🏻
Будем рады комментариям и обратной связи по новой версии в комментариях 👇🏻
#плагины
JetBrains Marketplace
PT Application Inspector - IntelliJ IDEs Plugin | Marketplace
Overview The PT Application Inspector plugin finds vulnerabilities and undocumented features in application source code. In addition to code analysis, built-in modules...
🔥13👍4
Компьютерные игры — это обычное программное обеспечение. Однако с защитой в них не все так гладко.
Информационная служба Хабра обсудила с Владимиром Кочетковым некоторые проблемы игровой индустрии и геймдева.
В статье вы узнаете:
🔹Возможны ли взлом и кража данных через онлайн-игры, если не считать социальную инженерию?
🔹Помогает ли технология NFT избежать кражи аккаунтов в онлайн-играх?
🔹Существуют ли белые хакеры, которые взламывают игры и потом рассказывают компаниям об этих уязвимостях?
🌐 Подробнее читайте в нашем материале
#статьи
Информационная служба Хабра обсудила с Владимиром Кочетковым некоторые проблемы игровой индустрии и геймдева.
В статье вы узнаете:
🔹Возможны ли взлом и кража данных через онлайн-игры, если не считать социальную инженерию?
🔹Помогает ли технология NFT избежать кражи аккаунтов в онлайн-играх?
🔹Существуют ли белые хакеры, которые взламывают игры и потом рассказывают компаниям об этих уязвимостях?
🌐 Подробнее читайте в нашем материале
#статьи
🔥6👍2
🔊 Код приложения на PHP для проверки SAST-анализатора
🔹 Как определить, насколько ваш анализатор хорош?
🔹 Как сравнить его с конкурентными решениями на рынке?
🔹 Как доказать эффективность, качество алгоритмов и подходов одного SAST-инструмента перед другим?
🚀 Для ответа на эти вопросы наша команда подготовила код на языке PHP, спешим поделиться наработками!
🔎 Приложение не призвано показать качество покрытия технологий и типов уязвимостей, но должно продемонстрировать логику работы анализатора.
❗️Важно! Это приложение не стоит рассматривать, как замену OWASP Benchmark, а скорее как дополнение, ещё один способ для сравнения.
🔹Код состоит из набора файлов, названия которых соответствуют типам проверок. Внутри есть комментарии, которые помогут понять суть происходящего в коде и ожидаемые результаты.
📞 Будем рады обратной связи, пожеланиям и замечаниям.
🔹 Как определить, насколько ваш анализатор хорош?
🔹 Как сравнить его с конкурентными решениями на рынке?
🔹 Как доказать эффективность, качество алгоритмов и подходов одного SAST-инструмента перед другим?
🚀 Для ответа на эти вопросы наша команда подготовила код на языке PHP, спешим поделиться наработками!
🔎 Приложение не призвано показать качество покрытия технологий и типов уязвимостей, но должно продемонстрировать логику работы анализатора.
❗️Важно! Это приложение не стоит рассматривать, как замену OWASP Benchmark, а скорее как дополнение, ещё один способ для сравнения.
🔹Код состоит из набора файлов, названия которых соответствуют типам проверок. Внутри есть комментарии, которые помогут понять суть происходящего в коде и ожидаемые результаты.
📞 Будем рады обратной связи, пожеланиям и замечаниям.
GitHub
GitHub - POSIdev-community/IAMeter_PHP
Contribute to POSIdev-community/IAMeter_PHP development by creating an account on GitHub.
🔥7👍2
📌 В рамках эфира AntiMalware Российский DevSecOps в условиях импортозамещения проводился #опрос участников.
📊 Результаты вопроса "С какого элемента безопасности стоит начать внедрение DevSecOps" комментирует Антон Володченко:
▪️«Сразу скажу, что все аспекты безопасности важны и нужны, но команды и компании, подходящие к обеспечению безопасности, задаются вопросом: "А с чего начать?". И тут нужно делать выбор, что брать в первую очередь.
▪️Как показывает опрос и наш опыт, хорошее решение начинать со статического анализа (SAST), так как и разработка сама начинается с написания кода. Исправлять проблемы безопасности, как и функциональные баги, дешевле и проще на ранних этапах разработки, поэтому мы согласны с выбором большинства ответивших.
▪️Вторым результатом идёт SCA, который часто встраивается рядом с SAST в рамках проверок кода и сборок. Инструментов для SCA довольно много и коммерческих, и бесплатных, результаты такого анализа обычно более понятны для разработчиков и девопсов, поэтому и внедрение оказывается проще.
▪️На третьем месте использование WAF. Тут тоже есть своя логика, так как использование WAF позволяет закрыть дыры без необходимости исправления самого приложения, которое может быть невозможным или слишком затратным. Например, когда есть «легаси код», старые модули или просто подрядная разработка».
📊 Результаты вопроса "С какого элемента безопасности стоит начать внедрение DevSecOps" комментирует Антон Володченко:
▪️«Сразу скажу, что все аспекты безопасности важны и нужны, но команды и компании, подходящие к обеспечению безопасности, задаются вопросом: "А с чего начать?". И тут нужно делать выбор, что брать в первую очередь.
▪️Как показывает опрос и наш опыт, хорошее решение начинать со статического анализа (SAST), так как и разработка сама начинается с написания кода. Исправлять проблемы безопасности, как и функциональные баги, дешевле и проще на ранних этапах разработки, поэтому мы согласны с выбором большинства ответивших.
▪️Вторым результатом идёт SCA, который часто встраивается рядом с SAST в рамках проверок кода и сборок. Инструментов для SCA довольно много и коммерческих, и бесплатных, результаты такого анализа обычно более понятны для разработчиков и девопсов, поэтому и внедрение оказывается проще.
▪️На третьем месте использование WAF. Тут тоже есть своя логика, так как использование WAF позволяет закрыть дыры без необходимости исправления самого приложения, которое может быть невозможным или слишком затратным. Например, когда есть «легаси код», старые модули или просто подрядная разработка».
YouTube
Российский DevSecOps в условиях импортозамещения
Запись прямого эфира онлайн-конференции AM Live (https://www.anti-malware.ru), проходившей 25 октября 2022 года и посвящённой процессу непрерывной безопасной разработки приложений (DevSecOps) в России в условиях новой реальности.
0:00 – Приветствие Льва…
0:00 – Приветствие Льва…
🔥5