This media is not supported in your browser
VIEW IN TELEGRAM
🦸🦸♀️ AppSec cпециалист — герой нашего времени из мира кибербезопасности.
🔘 Он выстраивает мост между безопасностью, IT и разработкой.
🔘 Не падает в обморок от DevOps, Agile, Kanban и waterfall.
🔎 Светлана Газизова, руководитель направления аудита и аналитики безопасной разработки Swordfish Security, расскажет, где найти такого специалиста.
Полная запись доступна на нашем YouTube-канале!
🔘 Он выстраивает мост между безопасностью, IT и разработкой.
🔘 Не падает в обморок от DevOps, Agile, Kanban и waterfall.
🔎 Светлана Газизова, руководитель направления аудита и аналитики безопасной разработки Swordfish Security, расскажет, где найти такого специалиста.
Полная запись доступна на нашем YouTube-канале!
👍10🔥4
Ну ладно, ладно... вот мемы, наконец 🤗 Всем чудесного завершения пятницы)
🔥19😁6❤4🎉3
Проверяя домашки студентов, наткнулся на подаренное одним из них определение, которое оказалось просто прекрасно: "маринованный пароль".
Это пароль, к которому, при расчёте хэша, одновременно применяется, и salt, и pepper 😁
Это пароль, к которому, при расчёте хэша, одновременно применяется, и salt, и pepper 😁
😁23🤣14🔥7👍4
🐛 CVE-2023-49280, обнаруженная в приложении XWiki Change Request до версии 1.10, позволяет нарушителю получить хэш пароля пользователя, выполнив редактирование профилей пользователей и скачав созданный XML-файл. В исправлении разработчики добавили функцию контроля прав на редактирование страницы
isEditWithChangeRequestAllowed и функцию isObjectContainingPassword, в которой проверяют наличие пароля в формируемой странице. И при наличии пароля выдается исключение.🐛 CVE-2023-49286 - уязвимость в программе кэширующего прокси-сервера Squid до версии 6.5, которая может приводить к denial-of-service (DoS). Проблема связана с ошибкой в проверке файловых дескрипторов
crfd, cwfd, debug_log при обработке процесса Helper. В патче была добавлена функция контроля dupOrExit c вызовом исключения при отрицательном результате проверки. 🐛 CVE-2023-6568 относится к уязвимости Cross-site Scripting (XSS) в репозитории GitHub mlflow/mlflow версии 2.9.0. Уязвимость заключается во включении содержимого заголовка
'Content-Type' в состав формируемого response при уведомлении об ошибке . В исправлении исключили участие заголовка запроса в формировании response.🐛 CVE-2023-22522, обнаруженная в Confluence Data Server до версий 7.19.1, 8.4.5, 8.5.4 и в Confluence Data Center до версий 8.6.2 и 8.7.1, приводит к RCE. проблема возникает из-за уязвимости Template Injection, которая позволяет нарушителю, включая с правами анонимного доступа, встроить инъекцию внутрь Confluence страницы. Более подробную информацию можно посмотреть в бюллетене безопасности по ссылке.
🐛 Критическая уязвимость в WordPress версиях 6.4-6.4.1, потенциально приводящая к Remote Code Execution. Уязвимость связана с классом
WP_HTML_Token и функцией __destruct, которая является "магическим" методом и автоматически вызывается PHP при высвобождении объекта. В исправлении разработчики добавили в класс WP_HTML_Token другой "магический" метод __wakeup, внутри которого вызывается исключение, что предотвращает возможную реализацию атаки через Object Injection. Детальная информация по уязвимости приведена в статье.Please open Telegram to view this post
VIEW IN TELEGRAM
❤🔥2👍2
📌 Наиболее интересные публикации за прошедшую неделю
📰 Введение в работу с WPScan. На фоне последних CVE в плагинах Wordpress может быть актуально.
📰 Вышла новая версия Cryptolyzer — анализатора настроек множества протоколов, использующих криптографию.
📰 Разбор вымогателя Rhysida.
📰 Беглый обзор техник, используемых Google для защиты прошивок сотовых модулей в Android.
📰 Разбор CVE-2023-22518 (байпасс аутентификации в Confluence).
📰 Вторая часть цикла статей, посвящённого истории криптографии.
📰 Любопытная статья об опыте скрещивания языковых моделей с Syzkaller.
📰 Внезапно, Log4Shell всё ещё актуальна на реальных системах.
📰 План погружения в сферу инфобеза от Яндекс Практикума.
📰 Достаточно емкий обзор генераторов случайных чисел. Список литературы заслуживает отдельного внимания.
📰 Краткое описание забавной CVE-2023-24893 (OS Commanding в VSCode).
📰 Свыше 100 форков заведомо уязвимых приложений на различных языках и стеках.
📰 Введение в работу с WPScan. На фоне последних CVE в плагинах Wordpress может быть актуально.
📰 Вышла новая версия Cryptolyzer — анализатора настроек множества протоколов, использующих криптографию.
📰 Разбор вымогателя Rhysida.
📰 Беглый обзор техник, используемых Google для защиты прошивок сотовых модулей в Android.
📰 Разбор CVE-2023-22518 (байпасс аутентификации в Confluence).
📰 Вторая часть цикла статей, посвящённого истории криптографии.
📰 Любопытная статья об опыте скрещивания языковых моделей с Syzkaller.
📰 Внезапно, Log4Shell всё ещё актуальна на реальных системах.
📰 План погружения в сферу инфобеза от Яндекс Практикума.
📰 Достаточно емкий обзор генераторов случайных чисел. Список литературы заслуживает отдельного внимания.
📰 Краткое описание забавной CVE-2023-24893 (OS Commanding в VSCode).
📰 Свыше 100 форков заведомо уязвимых приложений на различных языках и стеках.
👍3❤2
This media is not supported in your browser
VIEW IN TELEGRAM
Уязвимости стоят больше, чем кажется
🚨 Штраф 500 миллионов рублей, утечки данных пользователей, удар по репутации компании — лишь малая часть бед, которые влекут уязвимости.
💡 Подробнее об этом на IT-пикнике рассказал Антон Володченко, руководитель продукта PT Application Inspector
🚨 Штраф 500 миллионов рублей, утечки данных пользователей, удар по репутации компании — лишь малая часть бед, которые влекут уязвимости.
💡 Подробнее об этом на IT-пикнике рассказал Антон Володченко, руководитель продукта PT Application Inspector
👍4❤2🔥2
Всем чудесной и спокойной пятницы ❄️
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤🔥12😁11👍5🥰3❤1