Forwarded from Standoff 365
🍾 Обновление киберполигона Standoff 365
Есть повод вернуться к онлайн-киберполигону: мы добавили новое недопустимое событие!
👨🏻💻 Программисты в ходе работы над бэкендом следовали принципам SSDL, но использовали словарные пароли. Получите RCE на сервисе продажи авиабилетов app-ai.hws.stf.
Название НС: обход механизмов обеспечения безопасной разработки и исполнение произвольного кода на сервисе продажи авиабилетов.
Уровень опасности высокий.
Получить 7500 баллов за реализацию → range.standoff365.com/risk/48
Есть повод вернуться к онлайн-киберполигону: мы добавили новое недопустимое событие!
👨🏻💻 Программисты в ходе работы над бэкендом следовали принципам SSDL, но использовали словарные пароли. Получите RCE на сервисе продажи авиабилетов app-ai.hws.stf.
Название НС: обход механизмов обеспечения безопасной разработки и исполнение произвольного кода на сервисе продажи авиабилетов.
Уровень опасности высокий.
Получить 7500 баллов за реализацию → range.standoff365.com/risk/48
«На словах ты ― Лев Толстой, а в релизе...»
… все уже по-другому 🤓
А что, если взять классический пайплайн, внедрить инструменты DevSecOps, найти уязвимости с помощью методов белого и черного ящика, а затем выпустить в продакшен? Уже другое дело 👀
👉🏻 23 марта расскажем подробнее.
🎙Вебинар «Строим пайплайн безопасной разработки с помощью PT Application Inspector и PT BlackBox» состоится в 14:00 (МСК).
🧑💻Разработчики, тестировщики, инженеры DevOps и DevSecOps и их тимлиды, регистрируйтесь, будем вам рады 🤗
… все уже по-другому 🤓
А что, если взять классический пайплайн, внедрить инструменты DevSecOps, найти уязвимости с помощью методов белого и черного ящика, а затем выпустить в продакшен? Уже другое дело 👀
👉🏻 23 марта расскажем подробнее.
🎙Вебинар «Строим пайплайн безопасной разработки с помощью PT Application Inspector и PT BlackBox» состоится в 14:00 (МСК).
🧑💻Разработчики, тестировщики, инженеры DevOps и DevSecOps и их тимлиды, регистрируйтесь, будем вам рады 🤗
🔥9❤1
Forwarded from Кораблев пишет. Иногда по делу
Мир никогда не стоит на месте, какие-то технологии появляются и быстро исчезают. Какие-то с нами остаются надолго. Кажется, настало время признать, что Kubernetes перешел в разряд технологий, которые с нами надолго и никуда в ближайшем будущем не исчезнут.
Первый продукт Positive Technologies, который работал в Kubernetes, был PT Multiscanner. В 2017 году, осенью, вышла версия 1.0, она несла с собой в дистрибутиве сам Kubernetes, скрипт установки вытягивал с docker-registry Positive Technologies образы необходимые для работы, таким образом осуществлялась установка.
Поначалу мы его использовали как продвинутую систему оркестрации только нашего продукта. Тогда это было немного чересчур, но в самой большой инсталляции на текущий день используется 16 мощных нод и благодаря Kubernetes это по-настоящему отказоустойчивая и масштабируемая история.
Мы искренне верили, что Kubernetes как более современный подход к построению инфраструктуры приложений победит со временем, поэтому непрерывно исследовали вопросы его безопасности. Это не могло не вылиться в продукт.
С 2017 года прошло уже 6 лет. По нашей оценке, то будущее, о котором мы грезили, наступило.
Сейчас даже среди самых консервативных клиентов невозможно найти тех, у кого 1-2-3% инфраструктуры уже не было бы на Kubernetes. Наиболее же продвинутые давно перевели на него всю инфраструктуру.
Многие наши продукты умеют работать в Kubernetes, появляются и те, которые могут его защищать.
Так, продукт PT Container Security уже проходит пилотирование в нескольких клиентах и готовится увидеть коммерческий свет в этом году.
Руководитель его разработки, Никита Ладошкин, из той самой команды продукта Multiscanner-2017, сегодня на конференции VK Kubernetes будет участвовать в дискуссии вместе с Димой Евдокимовым (Luntry), в 18:00. Думаю, будет интересно.
Ссылка на регистрацию — https://mcs.mail.ru/events/vk-kubernetes-conf23
Первый продукт Positive Technologies, который работал в Kubernetes, был PT Multiscanner. В 2017 году, осенью, вышла версия 1.0, она несла с собой в дистрибутиве сам Kubernetes, скрипт установки вытягивал с docker-registry Positive Technologies образы необходимые для работы, таким образом осуществлялась установка.
Поначалу мы его использовали как продвинутую систему оркестрации только нашего продукта. Тогда это было немного чересчур, но в самой большой инсталляции на текущий день используется 16 мощных нод и благодаря Kubernetes это по-настоящему отказоустойчивая и масштабируемая история.
Мы искренне верили, что Kubernetes как более современный подход к построению инфраструктуры приложений победит со временем, поэтому непрерывно исследовали вопросы его безопасности. Это не могло не вылиться в продукт.
С 2017 года прошло уже 6 лет. По нашей оценке, то будущее, о котором мы грезили, наступило.
Сейчас даже среди самых консервативных клиентов невозможно найти тех, у кого 1-2-3% инфраструктуры уже не было бы на Kubernetes. Наиболее же продвинутые давно перевели на него всю инфраструктуру.
Многие наши продукты умеют работать в Kubernetes, появляются и те, которые могут его защищать.
Так, продукт PT Container Security уже проходит пилотирование в нескольких клиентах и готовится увидеть коммерческий свет в этом году.
Руководитель его разработки, Никита Ладошкин, из той самой команды продукта Multiscanner-2017, сегодня на конференции VK Kubernetes будет участвовать в дискуссии вместе с Димой Евдокимовым (Luntry), в 18:00. Думаю, будет интересно.
Ссылка на регистрацию — https://mcs.mail.ru/events/vk-kubernetes-conf23
Vk
VK Kubernetes Conf - конференция об использовании Kubernetes в России
Приглашаем на конференцию всех, кто вместе с нами развивает экосистему Kubernetes в России!
Forwarded from PT Product Update
This media is not supported in your browser
VIEW IN TELEGRAM
🎙В 14:00 начинаем вебинар "Строим пайплайн безопасной разработки с помощью PT Application Inspector и PT BlackBox"
👉🏻 Подключиться
👉🏻 Подключиться
🔥7👍5😁1
❓Зачем защищать мобильные приложения?
Нет смысла тратить время и силы на проверку приложений. Магазины все равно делают это перед публикацией. А если нет, то и так сойдёт – под требования регуляторов мобилки не попадают и вектор атаки у них узкий. То ли дело серверная сторона…😱
👆🏻Вот вам краткое содержание мифов, которые ходят вокруг безопасности мобильных приложений.
🎙29 марта на вебинаре команда Стингрей Технолоджиз развеет эти и другие заблуждения, расскажет, как построить эффективный процесс анализа безопасности, и представит новые фишки Стингрей.
Всем желающим – быть! Начало в 16:00 (мск). Не забудьте зарегистрироваться🤗
Нет смысла тратить время и силы на проверку приложений. Магазины все равно делают это перед публикацией. А если нет, то и так сойдёт – под требования регуляторов мобилки не попадают и вектор атаки у них узкий. То ли дело серверная сторона…😱
👆🏻Вот вам краткое содержание мифов, которые ходят вокруг безопасности мобильных приложений.
🎙29 марта на вебинаре команда Стингрей Технолоджиз развеет эти и другие заблуждения, расскажет, как построить эффективный процесс анализа безопасности, и представит новые фишки Стингрей.
Всем желающим – быть! Начало в 16:00 (мск). Не забудьте зарегистрироваться🤗
👍5🔥3❤1😢1
🔎 Насколько эффективен ваш SAST-анализатор кода? Можно проверить с помощью IAMeter
🔊 Мы выложили в открытый доступ на GitHub новую версию IAMeter. Приложение покажет, насколько качественно выявляет уязвимости ваш SAST-инструмент, и все ли хорошо в тестировании методом белого ящика.
🎯Цель IAMeter ― не имитирование случайно допущенных уязвимостей в исходном коде, а целенаправленное использование семантически сложных конструкций.
🧑💻 Эксперты команды PT Application Inspector Евгений Букреев, Алексей Новгородов и Владимир Кочетков рассказали в статье на Хабр, как анализируется исходный код SAST-инструментами и как выбранный способ анализа влияет на качество результата.
🔊 Мы выложили в открытый доступ на GitHub новую версию IAMeter. Приложение покажет, насколько качественно выявляет уязвимости ваш SAST-инструмент, и все ли хорошо в тестировании методом белого ящика.
🎯Цель IAMeter ― не имитирование случайно допущенных уязвимостей в исходном коде, а целенаправленное использование семантически сложных конструкций.
🧑💻 Эксперты команды PT Application Inspector Евгений Букреев, Алексей Новгородов и Владимир Кочетков рассказали в статье на Хабр, как анализируется исходный код SAST-инструментами и как выбранный способ анализа влияет на качество результата.
Хабр
IAMeter: не ошибается ли SAST-сканер?
SAST (static application security testing) — способ тестирования приложений на безопасность методом белого ящика. Это означает, что анализатору необходим исходный код проверяемого приложения, однако,...
👍9🔥3👎1
Плагины Application Inspector для Visual Studio Code и IntelliJ Platform. 🔥
🚀 Представляем новую версию 1.3.0
Что нового:
✅ Добавлен модуль сканирования Python кода
🔗 JetBrains Marketplace
🔗 JetBrains GitHub
🔗 Visual Studio Code Marketplace
🔗 Visual Studio Code GitHub
🚀 Представляем новую версию 1.3.0
Что нового:
✅ Добавлен модуль сканирования Python кода
🔗 JetBrains Marketplace
🔗 JetBrains GitHub
🔗 Visual Studio Code Marketplace
🔗 Visual Studio Code GitHub
JetBrains Marketplace
PT Application Inspector - IntelliJ IDEs Plugin | Marketplace
Overview The PT Application Inspector plugin finds vulnerabilities and undocumented features in application source code. In addition to code analysis, built-in modules...
🔥10❤🔥5
Рады сообщить о финализации программы докладов нашего трека на Positive Hack Days 12. В этом году она включает в себя рекордное количество докладов: 18❗️
📝 Как обезопасить от санкций ваш открытый проект на GitHub
Александр Попов
📝 Язык запросов к коду... не нужен?
Владимир Кочетков, Сергей Подкорытов
📝 Опыт тестирования и верификации ядра Linux
Алексей Хорошилов
📝 Как применять подходы ZeroTrust при построении процесса безопасной разработки
Светлана Газизова
📝 SCAзка о SCAнерах
Виктор Бобыльков, Дмитрий Евдокимов
📝 "Казнить нельзя помиловать", уязвимости из-за ошибок в бизнес-логике
Ксения Змичеровская
📝 Как разработчики анализатора исходного кода с одной экспонентой боролись
Георгий Александрия
📝 Я реверсер, я так вижу!
Дмитрий Скляров
📝 CTF для команд разработки: как найти и воспитать секьюрити чемпионов
Артемий Богданов
📝 Архитектура сервисов: снижение трудозатрат и повышение безопасности
Юрий Кардюков
📝 Руководство бравого докер-секурити мастера
Сергей Задорожный
📝 Процесс разработки ИБ экспертизы для АСУТП систем в Positive Technologies
Илья Косынкин
📝 Безопасность цепочек поставки
Дмитрий Шмойлов
📝 Коррелятор, его экспертиза и как это бывает
Станислав Антонов
📝 Насколько хорош ваш DAST? Оцениваем покрытие при сканировании сайта
Александр Колчанов
📝 DAF: путь самурая в безопасной разработке
Алина Новопольцева
📝 Как внедряем ML в Positive Technologies
Николай Лыфенко
📝 История одной уязвимости
Андрей Наенко
Планируете в этом году посетить конференцию? ;)
📝 Как обезопасить от санкций ваш открытый проект на GitHub
Александр Попов
📝 Язык запросов к коду... не нужен?
Владимир Кочетков, Сергей Подкорытов
📝 Опыт тестирования и верификации ядра Linux
Алексей Хорошилов
📝 Как применять подходы ZeroTrust при построении процесса безопасной разработки
Светлана Газизова
📝 SCAзка о SCAнерах
Виктор Бобыльков, Дмитрий Евдокимов
📝 "Казнить нельзя помиловать", уязвимости из-за ошибок в бизнес-логике
Ксения Змичеровская
📝 Как разработчики анализатора исходного кода с одной экспонентой боролись
Георгий Александрия
📝 Я реверсер, я так вижу!
Дмитрий Скляров
📝 CTF для команд разработки: как найти и воспитать секьюрити чемпионов
Артемий Богданов
📝 Архитектура сервисов: снижение трудозатрат и повышение безопасности
Юрий Кардюков
📝 Руководство бравого докер-секурити мастера
Сергей Задорожный
📝 Процесс разработки ИБ экспертизы для АСУТП систем в Positive Technologies
Илья Косынкин
📝 Безопасность цепочек поставки
Дмитрий Шмойлов
📝 Коррелятор, его экспертиза и как это бывает
Станислав Антонов
📝 Насколько хорош ваш DAST? Оцениваем покрытие при сканировании сайта
Александр Колчанов
📝 DAF: путь самурая в безопасной разработке
Алина Новопольцева
📝 Как внедряем ML в Positive Technologies
Николай Лыфенко
📝 История одной уязвимости
Андрей Наенко
Планируете в этом году посетить конференцию? ;)
Please open Telegram to view this post
VIEW IN TELEGRAM
phdays.com
Positive Hack Days Fest
Международный киберфестиваль для всех, кто хочет погрузиться в мир кибербезопасности. Любой желающий может узнать, как устроен цифровой мир, повысить уровень своей защищенности и круто провести время
👍8❤5💩1
Билеты на трек по разработке в рамках форума Positive Hack Days 12!
По традиции мы открываем сбор заявок на участие в треке по разработке. Билеты бесплатные, но их количество ограничено.
Для того чтобы подать заявку на бесплатное участие заполните, пожалуйста, анкету. Сбор заявок на оффлайн-участие продлится до 27 апреля.
Информация по билетам придет на эл.почту до 15 мая.
По традиции мы открываем сбор заявок на участие в треке по разработке. Билеты бесплатные, но их количество ограничено.
Для того чтобы подать заявку на бесплатное участие заполните, пожалуйста, анкету. Сбор заявок на оффлайн-участие продлится до 27 апреля.
Информация по билетам придет на эл.почту до 15 мая.
Forwarded from Positive Events
Одна из самых ожидаемых частей киберфестиваля Positive Hack Days 12 — это, конечно, конкурсная программа! 🔥
В этом году участников ждут как уже ставшие традиционными конкурсы, так и новинки — например, квест-соревнование AI Track: Data Breakout.
Задача участников — объединиться в команды по три человека, как можно быстрее взломать сейф хозяина и украсть секреты. Главное — быть проворнее своих соперников!
После проникновения в офис у вас будет только 300 секунд до обнаружения ⏱
За это время вашей команде необходимо будет решить ряд логических головоломок, избегая защитных приманок. Стоит помнить, что сейф имеет трехступенчатую защиту!
Все участники конкурса получат наш фирменный мерч, а три команды, которые быстрее всех украдут секреты — рюкзаки и сертификаты Madrobots 🎒
Квест-соревнование будет проходить в кибердеревне, для прохода в эту зону нужно приобрести билет на киберфестиваль.
#PHD12
В этом году участников ждут как уже ставшие традиционными конкурсы, так и новинки — например, квест-соревнование AI Track: Data Breakout.
Задача участников — объединиться в команды по три человека, как можно быстрее взломать сейф хозяина и украсть секреты. Главное — быть проворнее своих соперников!
После проникновения в офис у вас будет только 300 секунд до обнаружения ⏱
За это время вашей команде необходимо будет решить ряд логических головоломок, избегая защитных приманок. Стоит помнить, что сейф имеет трехступенчатую защиту!
Все участники конкурса получат наш фирменный мерч, а три команды, которые быстрее всех украдут секреты — рюкзаки и сертификаты Madrobots 🎒
Квест-соревнование будет проходить в кибердеревне, для прохода в эту зону нужно приобрести билет на киберфестиваль.
#PHD12
❤🔥2👍1