GitHub удалил эксплоит для ProxyLogon и подвергся критике
https://xakep.ru/2021/03/12/proxylogon-poc-deleted/
https://xakep.ru/2021/03/12/proxylogon-poc-deleted/
XAKEP
GitHub удалил эксплоит для ProxyLogon и подвергся критике
Принадлежащая Microsoft компания GitHub удалила опубликованный исследователем PoC-эксплоит для уязвимостей ProxyLogon, недавно обнаруженных в Microsoft Exchange. Теперь ИБ-эксперты спорят, правильное ли решение приняло руководство сервиса.
leaky.page
This site hosts a proof of concept for the Spectre vulnerability written in JavaScript. It was developed and optimized for Chrome 88 running on an Intel® Core™ i7-6500U processor on Linux.
https://leaky.page/
This site hosts a proof of concept for the Spectre vulnerability written in JavaScript. It was developed and optimized for Chrome 88 running on an Intel® Core™ i7-6500U processor on Linux.
https://leaky.page/
leaky.page
Spectre in JavaScript
A Spectre demo written in JavaScript for Chrome 88.
CORS misconfiguration vulnerable Lab
This Repository contains CORS misconfiguration related vulnerable codes. One can configure the Vulnerable code on local machine to perform practical exploitation of CORS related misconfiguration issues.
https://github.com/incredibleindishell/CORS_vulnerable_Lab-Without_Database
This Repository contains CORS misconfiguration related vulnerable codes. One can configure the Vulnerable code on local machine to perform practical exploitation of CORS related misconfiguration issues.
https://github.com/incredibleindishell/CORS_vulnerable_Lab-Without_Database
GitHub
GitHub - incredibleindishell/CORS_vulnerable_Lab-Without_Database
Contribute to incredibleindishell/CORS_vulnerable_Lab-Without_Database development by creating an account on GitHub.
Regexploit: DoS-able Regular Expressions
When thinking of Denial of Service (DoS), we often focus on Distributed Denial of Service (DDoS) where millions of zombie machines overload a service by launching a tsunami of data. However, by abusing the algorithms a web application uses, an attacker can bring a server to its knees with as little as a single request. Doing that requires finding algorithms which have terrible performance under certain conditions, and then triggering those conditions. One widespread and frequently vulnerable area is in the misuse of regular expressions (regexes).
https://blog.doyensec.com/2021/03/11/regexploit.html
When thinking of Denial of Service (DoS), we often focus on Distributed Denial of Service (DDoS) where millions of zombie machines overload a service by launching a tsunami of data. However, by abusing the algorithms a web application uses, an attacker can bring a server to its knees with as little as a single request. Doing that requires finding algorithms which have terrible performance under certain conditions, and then triggering those conditions. One widespread and frequently vulnerable area is in the misuse of regular expressions (regexes).
https://blog.doyensec.com/2021/03/11/regexploit.html
Doyensec
Regexploit: DoS-able Regular Expressions
When thinking of Denial of Service (DoS), we often focus on Distributed Denial of Service (DDoS) where millions of zombie machines overload a service by launching a tsunami of data. However, by abusing the algorithms a web application uses, an attacker can…
Если вдруг кому-то потребуется обосновать опасность использования SMS в качестве второго фактора аутентификации: https://queue.acm.org/detail.cfm?id=3425909
Вакансия от Positive Technologies
Positive Technologies, отдел исследований по анализу защищённости приложений, старший разработчик.
География: удаленная работа, предпочтительно СПб
Основными задачами отдела является разработка алгоритмов анализа и защиты приложений, прототипирование и внедрение перспективных технологий в продукты компании.
Позиция подразумевает участие в проектах по исследованию технологий анализа защищённости и защиты приложений, разработку прототипов решений, развитие существующих проектов отдела (универсальный абстрактный интерпретатор, анализатор JavaScript-кода, LibProtection).
Требования к кандидату:
Опыт разработки приложений под .NET (C#);
принципы ООП и проектирования ПО;
методы рефакторинга;
основные алгоритмы и структуры данных.
Будет плюсом:
Понимание принципов работы компиляторов, методов решения задач по анализу кода;
знания в области безопасности веб-приложений;
теоретический бэкграунд (теории вычислений, графов, множеств).
vkochetkov@ptsecurity.com
Positive Technologies, отдел исследований по анализу защищённости приложений, старший разработчик.
География: удаленная работа, предпочтительно СПб
Основными задачами отдела является разработка алгоритмов анализа и защиты приложений, прототипирование и внедрение перспективных технологий в продукты компании.
Позиция подразумевает участие в проектах по исследованию технологий анализа защищённости и защиты приложений, разработку прототипов решений, развитие существующих проектов отдела (универсальный абстрактный интерпретатор, анализатор JavaScript-кода, LibProtection).
Требования к кандидату:
Опыт разработки приложений под .NET (C#);
принципы ООП и проектирования ПО;
методы рефакторинга;
основные алгоритмы и структуры данных.
Будет плюсом:
Понимание принципов работы компиляторов, методов решения задач по анализу кода;
знания в области безопасности веб-приложений;
теоретический бэкграунд (теории вычислений, графов, множеств).
vkochetkov@ptsecurity.com
‼️ Как вы уже возможно знаете, PHDays в этом году пройдёт в гибридном формате (ламповый оффлайн + массовый онлайн) 20-21 мая в отеле Хаятт Ридженси Москва Петровский Парк: https://www.phdays.com/ru/press/news/positive-hack-days-10-nachalo-costoitsya-20-21-maya-2021-goda/ Количество билетов в свободной продаже в этом году крайне ограничено и одним из альтернативных способов получить возможность участия в оффлайн активностях форума является выступление с докладом или мастер-классом.
В рамках форума планируется в том числе проведение очередного митапа PDUG в традиционном формате трека выступлений. Программа трека ещё формируется и, если вы хотите принять в нём участие, сейчас самое время отправить заявку на CFP: https://www.phdays.com/ru/press/news/positive-hack-days-otkryvaet-call-for-papers-stante-dokladchikom/ (тематика трека: "Secure development").
CFP продлится, как минимум, до 28 марта. Если вы не успеваете определиться с конкретной темой до этой даты, или хотите выступить в формате, не предусмотренном CFP, то пишите на vkochetkov@ptsecurity.com, что-нибудь обязательно придумаем :)
В рамках форума планируется в том числе проведение очередного митапа PDUG в традиционном формате трека выступлений. Программа трека ещё формируется и, если вы хотите принять в нём участие, сейчас самое время отправить заявку на CFP: https://www.phdays.com/ru/press/news/positive-hack-days-otkryvaet-call-for-papers-stante-dokladchikom/ (тематика трека: "Secure development").
CFP продлится, как минимум, до 28 марта. Если вы не успеваете определиться с конкретной темой до этой даты, или хотите выступить в формате, не предусмотренном CFP, то пишите на vkochetkov@ptsecurity.com, что-нибудь обязательно придумаем :)
Phdays
«Positive Hack Days 10: Начало» cостоится 20–21 мая 2021 года
Международный форум по практической безопасности Positive Hack Days проходит каждую весну в Москве. Конференция, организованная компанией Positive Technologies, на два дня собирает вместе ведущих безопасников и хакеров со всего мира, представителей госструктур…
Детальный разбор уязвимостей, недавно обнаруженных в ядре Linux
https://habr.com/ru/company/skillfactory/blog/548366/
https://habr.com/ru/company/skillfactory/blog/548366/
Хабр
Серьёзная безопасность: всплывшие спустя 15 лет баги в ядре Linux
12 марта исследователи кибербезопасности GRIMM опубликовали информацию о трёх интересных багах в ядре Linux. В коде, который игнорировали около 15 лет. К счастью...
MindAPI
MindAPI is a mindmap which combines years of experience in testing API security.
https://github.com/dsopas/MindAPI
MindAPI is a mindmap which combines years of experience in testing API security.
https://github.com/dsopas/MindAPI
GitHub
GitHub - dsopas/MindAPI: Organize your API security assessment by using MindAPI. It's free and open for community collaboration.
Organize your API security assessment by using MindAPI. It's free and open for community collaboration. - dsopas/MindAPI
TLS 1.0, 1.1 официально объявлены устаревшими: https://datatracker.ietf.org/doc/rfc8996/
IETF Datatracker
RFC 8996: Deprecating TLS 1.0 and TLS 1.1
This document formally deprecates Transport Layer Security (TLS) versions 1.0 (RFC 2246) and 1.1 (RFC 4346). Accordingly, those documents have been moved to Historic status. These versions lack support for current and recommended cryptographic algorithms…
Secure Coding Urban Myths and Their Realities
Urban myths rely on their communities of origin to thrive and survive. Perpetuated by offhand anecdotes, sensational news stories, and friend-of-a-friend legends, urban myths about secure coding are no different; as developers share tidbits of information around common struggles and issues in application security, those conundrums quickly become myths that can make secure coding seem daunting.
https://info.veracode.com/six-urban-myths-about-secure-coding-ebook-resource.html
Urban myths rely on their communities of origin to thrive and survive. Perpetuated by offhand anecdotes, sensational news stories, and friend-of-a-friend legends, urban myths about secure coding are no different; as developers share tidbits of information around common struggles and issues in application security, those conundrums quickly become myths that can make secure coding seem daunting.
https://info.veracode.com/six-urban-myths-about-secure-coding-ebook-resource.html
Spectre v4: Security Analysis of AMD Zen3 Architecture Predictive Store Forwarding
https://www.amd.com/system/files/documents/security-analysis-predictive-store-forwarding.pdf
https://www.amd.com/system/files/documents/security-analysis-predictive-store-forwarding.pdf
AMD
AMD Documentation Hub
Find solution briefs, datasheets, tuning guides, programmer references, and more documentation for AMD processors, accelerators, graphics, and other products.