Торговля лицом FTW https://habr.com/ru/company/ruvds/blog/546026/

Deep Learning for Symbolic Mathematics

Neural networks have a reputation for being better at solving statistical or approximate problems than at performing calculations or working with symbolic data. In this paper, we show that they can be surprisingly good at more elaborated tasks
in mathematics, such as symbolic integration and solving differential equations. We propose a syntax for representing mathematical problems, and methods for generating large datasets that can be used to train sequence-to-sequence models. We achieve results that outperform commercial Computer Algebra Systems such as Matlab or Mathematica.

https://arxiv.org/pdf/1912.01412.pdf

A Spectre proof-of-concept for a Spectre-proof web

In this post, we will share the results of Google Security Team's research on the exploitability of Spectre against web users, and present a fast, versatile proof-of-concept (PoC) written in JavaScript which can leak information from the browser's memory. We've confirmed that this proof-of-concept, or its variants, function across a variety of operating systems, processor architectures, and hardware generations.

https://security.googleblog.com/2021/03/a-spectre-proof-of-concept-for-spectre.html

GitHub удалил эксплоит для ProxyLogon и подвергся критике

https://xakep.ru/2021/03/12/proxylogon-poc-deleted/

leaky.page

This site hosts a proof of concept for the Spectre vulnerability written in JavaScript. It was developed and optimized for Chrome 88 running on an Intel® Core™ i7-6500U processor on Linux.

https://leaky.page/

CORS misconfiguration vulnerable Lab

This Repository contains CORS misconfiguration related vulnerable codes. One can configure the Vulnerable code on local machine to perform practical exploitation of CORS related misconfiguration issues.

https://github.com/incredibleindishell/CORS_vulnerable_Lab-Without_Database

Regexploit: DoS-able Regular Expressions

When thinking of Denial of Service (DoS), we often focus on Distributed Denial of Service (DDoS) where millions of zombie machines overload a service by launching a tsunami of data. However, by abusing the algorithms a web application uses, an attacker can bring a server to its knees with as little as a single request. Doing that requires finding algorithms which have terrible performance under certain conditions, and then triggering those conditions. One widespread and frequently vulnerable area is in the misuse of regular expressions (regexes).

https://blog.doyensec.com/2021/03/11/regexploit.html

Если вдруг кому-то потребуется обосновать опасность использования SMS в качестве второго фактора аутентификации: https://queue.acm.org/detail.cfm?id=3425909

Вакансия от Positive Technologies

Positive Technologies, отдел исследований по анализу защищённости приложений, старший разработчик.

География: удаленная работа, предпочтительно СПб

Основными задачами отдела является разработка алгоритмов анализа и защиты приложений, прототипирование и внедрение перспективных технологий в продукты компании.

Позиция подразумевает участие в проектах по исследованию технологий анализа защищённости и защиты приложений, разработку прототипов решений, развитие существующих проектов отдела (универсальный абстрактный интерпретатор, анализатор JavaScript-кода, LibProtection).

Требования к кандидату:

Опыт разработки приложений под .NET (C#);
принципы ООП и проектирования ПО;
методы рефакторинга;
основные алгоритмы и структуры данных.

Будет плюсом:

Понимание принципов работы компиляторов, методов решения задач по анализу кода;
знания в области безопасности веб-приложений;
теоретический бэкграунд (теории вычислений, графов, множеств).

vkochetkov@ptsecurity.com

‼️ Как вы уже возможно знаете, PHDays в этом году пройдёт в гибридном формате (ламповый оффлайн + массовый онлайн) 20-21 мая в отеле Хаятт Ридженси Москва Петровский Парк: https://www.phdays.com/ru/press/news/positive-hack-days-10-nachalo-costoitsya-20-21-maya-2021-goda/ Количество билетов в свободной продаже в этом году крайне ограничено и одним из альтернативных способов получить возможность участия в оффлайн активностях форума является выступление с докладом или мастер-классом.

В рамках форума планируется в том числе проведение очередного митапа PDUG в традиционном формате трека выступлений. Программа трека ещё формируется и, если вы хотите принять в нём участие, сейчас самое время отправить заявку на CFP: https://www.phdays.com/ru/press/news/positive-hack-days-otkryvaet-call-for-papers-stante-dokladchikom/ (тематика трека: "Secure development").

CFP продлится, как минимум, до 28 марта. Если вы не успеваете определиться с конкретной темой до этой даты, или хотите выступить в формате, не предусмотренном CFP, то пишите на vkochetkov@ptsecurity.com, что-нибудь обязательно придумаем :)

Детальный разбор уязвимостей, недавно обнаруженных в ядре Linux

https://habr.com/ru/company/skillfactory/blog/548366/

TLS 1.0, 1.1 официально объявлены устаревшими: https://datatracker.ietf.org/doc/rfc8996/