Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
😁25😢2
📌 Наиболее интересные публикации по аппсеку за прошедшую неделю
📰 Обзор изменений OpenSSL v3.2.0.
📰 Краткое описание трёх последних уязвимостей в ownCloud, вовсю эксплуатируемых хакерами в настоящий момент.
📰 Обзор возможностей PolarDNS — DNS-сервера для пентестов.
📰 Коротко, о принципах шифрования с разделением секрета.
📰 Как новичку вкатиться в AppSec? Мнение сотрудника Angara Security.
📰 Майндмап пентеста инстансов в Azure.
📰 Статья об XXE на примере уязвимостей в OpenCMS.
📰 Сразу две статьи об управлении доступом: про IAM, и про SSO.
📰 Туториал по Slither от экспертов Positive Technologies — SAST-инструментарий для анализа смарт-контрактов.
📰 Обзор изменений OpenSSL v3.2.0.
📰 Краткое описание трёх последних уязвимостей в ownCloud, вовсю эксплуатируемых хакерами в настоящий момент.
📰 Обзор возможностей PolarDNS — DNS-сервера для пентестов.
📰 Коротко, о принципах шифрования с разделением секрета.
📰 Как новичку вкатиться в AppSec? Мнение сотрудника Angara Security.
📰 Майндмап пентеста инстансов в Azure.
📰 Статья об XXE на примере уязвимостей в OpenCMS.
📰 Сразу две статьи об управлении доступом: про IAM, и про SSO.
📰 Туториал по Slither от экспертов Positive Technologies — SAST-инструментарий для анализа смарт-контрактов.
❤7👍1
🐛 CVE-2023-48292, обнаруженная в приложении XWiki Admin Tools до версии 4.5.1, может приводить к исполнению произвольного кода. Уязвимость заключается возможности запуска системных команд на эндпойнте
/xwiki/bin/view/Admin/RunShellCommand без проверки CSRF-токена. Атакующий может сформировать ссылку, для которой будет исполнена произвольная команда с административными правами (например, /xwiki/bin/view/Admin/RunShellCommand?command=touch%20/tmp/pwned). Патч добавляет функциональность генерации/валидации CSRF-токенов с помощью функции "services.csrf.isTokenValid".🐛 CVE-2023-48712 в ownCloud до версии 10.13.1 может приводить к обходу процесса аутентификации. Уязвимость заключается в возможности использования пустой строки для значения "
signing-key" в качестве соли для функции формирования ключа "hash_pbkdf2". В исправлении добавили проверку заполненности значения переменной "$signingKey" в функции "verifySignature".🐛 CVE-2023-48699 в библиотеке fastbots до версии 0.1.5 может приводить к исполнению произвольного Python кода. Уязвимость заключается в возможности исполнения через функцию "
eval" данных, поступающих из файла "locators.ini". Атакующий может подменить файл "locators.ini" с измененной директивой "locator_name", включающей в себя произвольный Python код. В исправлении было исключено попадание пользовательских данных в функцию "eval". 🐛 CVE-2023-6293, обнаруженная в библиотеке sequelize-typenoscript до версий 2.1.6, может приводить к Prototype Pollution. Уязвимость связана с возможностью в функции "
deepAssign" резолвинга атрибута объекта как прототипа объекта . В патче была добавлена проверка по "черному" списку имен атрибутов (['proto', 'constructor', 'prototype']).🐛 CVE-2023-48228, обнаруженная в платформе для менеджмента Pimcore до версии 11.1.1, может приводить к обходу процесса авторизации. К уязвимости приводила ошибка логики - проверка параметра PKCE "
code_verifier" в процессе валидации токена проходила даже при его отсутствии, что делает "Proof Key for Code Exchange" неэффективным. В патче была добавлена проверка на существование "code_verifier" и при его отсутствии срабатывает исключение "TokenError".Please open Telegram to view this post
VIEW IN TELEGRAM
👍6🔥3🥰1
Всех с первой декабрьской пятницей! 🥳
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🤣21❤🔥3🔥2❤1
Forwarded from SafeCode — конференция по безопасности приложений
#подкаст
Новый выпуск подкаста [SafeCode Live] — о принципах статического анализа кода (SAST)
Сегодня в разработке ПО не обходятся без функционального тестирования — так проверяют качество конечного продукта. Наравне с этим всё чаще применяют подходы к анализу кода на уязвимости, обеспечивая комплексную оценку надежности ПО.
Один из ключевых инструментов проверки на надежность — статический анализатор кода. В этом выпуске разбираемся, где и почему применяют подобные инструменты, и какие у них есть особенности.
Будет интересно разработчикам и всем, кто (уже или еще пока не) озабочен безопасностью своего софта.
Участники обсуждают:
— назначение статических анализаторов;
— типы и алгоритмы анализа;
— уровень качества, которые обеспечивают подходы к анализу кода;
— ложноположительные и ложноотрицательные срабатывания;
— контекстные особенности при анализе разных языков программирования;
— способы сравнения SAST-инструментов.
Гости:
— Андрей Белеванцев, ведущий научный сотрудник Института системного программирования им. В.П. Иванникова РАН. Занимается статическим анализом, участвует в разработке анализатора Svace.
— Алексей Смирнов, основатель системы композиционного анализа CodeScoring. Специализируется на обработке текстовых данных в контексте анализа исходных кодов.
— Владимир Кочетков, руководитель направления экспертизы AppSec в Positive Technologies. Эксперт по безопасности приложений.
Ведущий:
Сергей Деев, эксперт по кибербезопасности в МТС RED.
Выпуск уже на:
— YouTube
— Apple Podcasts
— Яндекс Музыке
— ВКонтакте
Слушайте где удобно!
Новый выпуск подкаста [SafeCode Live] — о принципах статического анализа кода (SAST)
Сегодня в разработке ПО не обходятся без функционального тестирования — так проверяют качество конечного продукта. Наравне с этим всё чаще применяют подходы к анализу кода на уязвимости, обеспечивая комплексную оценку надежности ПО.
Один из ключевых инструментов проверки на надежность — статический анализатор кода. В этом выпуске разбираемся, где и почему применяют подобные инструменты, и какие у них есть особенности.
Будет интересно разработчикам и всем, кто (уже или еще пока не) озабочен безопасностью своего софта.
Участники обсуждают:
— назначение статических анализаторов;
— типы и алгоритмы анализа;
— уровень качества, которые обеспечивают подходы к анализу кода;
— ложноположительные и ложноотрицательные срабатывания;
— контекстные особенности при анализе разных языков программирования;
— способы сравнения SAST-инструментов.
Гости:
— Андрей Белеванцев, ведущий научный сотрудник Института системного программирования им. В.П. Иванникова РАН. Занимается статическим анализом, участвует в разработке анализатора Svace.
— Алексей Смирнов, основатель системы композиционного анализа CodeScoring. Специализируется на обработке текстовых данных в контексте анализа исходных кодов.
— Владимир Кочетков, руководитель направления экспертизы AppSec в Positive Technologies. Эксперт по безопасности приложений.
Ведущий:
Сергей Деев, эксперт по кибербезопасности в МТС RED.
Выпуск уже на:
— YouTube
— Apple Podcasts
— Яндекс Музыке
— ВКонтакте
Слушайте где удобно!
🔥12❤🔥4🥰3