Forwarded from Positive Technologies
Продолжаем делиться в блоге на Хабр своим опытом в области DevOps. В новой статье Тимур Гильмуллин рассказывает, как развивалась концепция DevSecOps в нашей компании. Читайте и вы узнаете:
• как построена архитектура размещения PT Application Inspector в CI-конвейере,
• что такое Security Gates,
• как мы патчим новые уязвимости и что изменилось в процессе разработки после перехода к сканированию кода в сборке.
• как построена архитектура размещения PT Application Inspector в CI-конвейере,
• что такое Security Gates,
• как мы патчим новые уязвимости и что изменилось в процессе разработки после перехода к сканированию кода в сборке.
Хабр
DevSecOps. PT Application Inspector в разработке ПО: блокировка релиза
Изображение: ptsecurity.comВсем привет! Меня зовут Тимур Гильмуллин, я работаю в отделе технологий и процессов разработки Positive Technologies. Неформально нас...
Hex-Rays is excited to announce that IDA Freeware has been upgraded to the latest IDA version (7.6), and now includes a cloud-based decompiler!
https://www.hex-rays.com/blog/announcing-version-7-6-for-ida-freeware/
https://www.hex-rays.com/blog/announcing-version-7-6-for-ida-freeware/
Forwarded from Positive Events
Рассматриваем видеоигры с точки зрения информационной безопасности, тренируемся бороться с уязвимостями и разбираемся с небезопасной десериализацией. Это трек Development, друг 🤟🏻
Будет 11 докладов. Обсудим вопросы построения универсального абстрактного интерпретатора, который может искать уязвимости в коде на различных языках программирования. Посмотрим, какие ошибки чаще всего совершают разработчики приложений на Android и iOS. Учимся разрабатывать безопасные приложения и делаем еще много-много всего интересного и полезного 🤩
А вот какие доклады секции участники ждут больше всего:
20 мая, 14:00 — 15:00 Positive Technologies: опыт внедрения инструментов DevSecOps
20 мая, 15:00 — 16:00 Security gym: тренируйся бороться с уязвимостями
21 мая, 11:00 — 12:00 Информационная безопасность в видеоиграх
На PHDays нет случайных докладов, так что остальные лекции тоже заслуживают внимания. Смотри их тут: https://www.phdays.com/ru/program/schedule/
Будет 11 докладов. Обсудим вопросы построения универсального абстрактного интерпретатора, который может искать уязвимости в коде на различных языках программирования. Посмотрим, какие ошибки чаще всего совершают разработчики приложений на Android и iOS. Учимся разрабатывать безопасные приложения и делаем еще много-много всего интересного и полезного 🤩
А вот какие доклады секции участники ждут больше всего:
20 мая, 14:00 — 15:00 Positive Technologies: опыт внедрения инструментов DevSecOps
20 мая, 15:00 — 16:00 Security gym: тренируйся бороться с уязвимостями
21 мая, 11:00 — 12:00 Информационная безопасность в видеоиграх
На PHDays нет случайных докладов, так что остальные лекции тоже заслуживают внимания. Смотри их тут: https://www.phdays.com/ru/program/schedule/
From theory to practice: analysis and PoC development for CVE-2020-28018 (Use-After-Free in Exim)
...building a PoC for one of the vulnerabilities published by Qualys in Exim
https://adepts.of0x.cc/exim-cve-2020-28018/
...building a PoC for one of the vulnerabilities published by Qualys in Exim
https://adepts.of0x.cc/exim-cve-2020-28018/
From theory to practice: analysis and PoC development for CVE-2020-28018 (Use-After-Free in Exim) |
From theory to practice: analysis and PoC development for CVE-2020-28018 (Use-After-Free in Exim) | AdeptsOf0xCC
Development of a PoC for one of the vulnerabilities published by Qualys in Exim
Уважаемые участники трека безопасной разработки Positive Hack Days 10!
Всех, кто на данный момент получил на почту билет на оффлайн участие в форуме, ждём на площадке трека завтра, к 10:40. Остальные могут принять участие в режиме онлайн по ссылке: https://standoff365.com/phdays10/schedule/development/ (дополнительная регистрация не требуется).
До встречи на треке!
Всех, кто на данный момент получил на почту билет на оффлайн участие в форуме, ждём на площадке трека завтра, к 10:40. Остальные могут принять участие в режиме онлайн по ссылке: https://standoff365.com/phdays10/schedule/development/ (дополнительная регистрация не требуется).
До встречи на треке!
Уважаемые участники нашего трека (в обоих форматах, и онлайн, и оффлайн). Просим вас уделить немного времени для обратной связи по нашему треку: https://forms.gle/5K3hPkMorvdJeY3a9 Эта информация действительно важна для нас и именно на неё мы будем ориентироваться при подготовке наших следующих мероприятий.
Заранее огромное спасибо, организаторы трека безопасной разработки PHDays 10.
Заранее огромное спасибо, организаторы трека безопасной разработки PHDays 10.
Google Docs
Отзыв о треке безопасной разработки на PHDays 10
Благодарим за участие! Мы усердно работали над организацией мероприятия и надеемся, что вы хорошо провели на нем время.
Чтобы мы могли улучшить программу и уровень организации будущих мероприятий, заполните эту короткую анкету. Ваши ответы будут анонимными.
Чтобы мы могли улучшить программу и уровень организации будущих мероприятий, заполните эту короткую анкету. Ваши ответы будут анонимными.
Минутка вакансий:
#job #appsec #remote #relocation #fulltime #office #Limassol
Application Security Engineer Job, Remote or Relocation to EU
Position: Application Security Engineer
Location: Relocation to Limassol, Cyprus
Salary: 50 000 - 80 000 euro net annually after taxes
Employment: Permanent, full-time.
We are looking for Application Security Engineers for an international company, developing high-loaded fault-tolerant financial application for traders and investment companies all over the world
These positions are open in the new cybersecurity team located in Limassol and imply challenging tasks in building application security and SDLC processes in a fintech product company almost from the scratch.
Main duties:
- Help the Company evolve its application security functions and services
- Participate in and support application security reviews and threat modeling, including code review and dynamic testing.
- Own and perform application security vulnerability management.
- Support the bug bounty program.
- Support and consult with product and development teams in the area of application security.
Codebase: C++, Python, Go, PHP, JavaScript
Requirements:
- At least three years of practical experience in Application Security and five years of experience in the IT/Security area.
- Upper-Intermediate English and fluent Russian
- Master/Bachelor's degree in a relevant major
Benefits:
Relocation and work permit support, medical insurance for the employee and his/her family, sport, catering, and a lot of over perks and benefits
For more details please contact:
@RadyukE
ekaterinaradyuk@gmail.com
#job #appsec #remote #relocation #fulltime #office #Limassol
Application Security Engineer Job, Remote or Relocation to EU
Position: Application Security Engineer
Location: Relocation to Limassol, Cyprus
Salary: 50 000 - 80 000 euro net annually after taxes
Employment: Permanent, full-time.
We are looking for Application Security Engineers for an international company, developing high-loaded fault-tolerant financial application for traders and investment companies all over the world
These positions are open in the new cybersecurity team located in Limassol and imply challenging tasks in building application security and SDLC processes in a fintech product company almost from the scratch.
Main duties:
- Help the Company evolve its application security functions and services
- Participate in and support application security reviews and threat modeling, including code review and dynamic testing.
- Own and perform application security vulnerability management.
- Support the bug bounty program.
- Support and consult with product and development teams in the area of application security.
Codebase: C++, Python, Go, PHP, JavaScript
Requirements:
- At least three years of practical experience in Application Security and five years of experience in the IT/Security area.
- Upper-Intermediate English and fluent Russian
- Master/Bachelor's degree in a relevant major
Benefits:
Relocation and work permit support, medical insurance for the employee and his/her family, sport, catering, and a lot of over perks and benefits
For more details please contact:
@RadyukE
ekaterinaradyuk@gmail.com
Минутка вакансий:
Лаборатория Касперского в поисках талантов!
Ищем Application Security Specialist в сильную команду, занимающуюся анализом защищенности мобильных и веб-приложений, а также облачных решений и решений на блокчейне. Цель наших работ – выявление уязвимостей в приложениях наших заказчиков.
Подробнее о вакансии
В команде есть:
• постоянный обмен опытом,
• интересные исследования,
• возможность принять участие в проектах смежных направлений (pentest, reverse).
Если Вы любите изучать технологии, имеете опыт как обнаружения уязвимости, так и развития атаки, то свяжитесь с @alina_the_researcher
Лаборатория Касперского в поисках талантов!
Ищем Application Security Specialist в сильную команду, занимающуюся анализом защищенности мобильных и веб-приложений, а также облачных решений и решений на блокчейне. Цель наших работ – выявление уязвимостей в приложениях наших заказчиков.
Подробнее о вакансии
В команде есть:
• постоянный обмен опытом,
• интересные исследования,
• возможность принять участие в проектах смежных направлений (pentest, reverse).
Если Вы любите изучать технологии, имеете опыт как обнаружения уязвимости, так и развития атаки, то свяжитесь с @alina_the_researcher
hh.ru
Вакансия Application Security Specialist в Москве, работа в компании Лаборатория Касперского
Зарплата: не указана. Москва. Требуемый опыт: 3–6 лет. Полная занятость. Дата публикации: 20.04.2022.
Коллекция уязвимостей в малвари (!!) с достаточно подробными разборами проблем: https://www.malvuln.com/
Malvuln
Malvuln – Malware Vulnerability Research & Exploits Database
Unique source for malware vulnerability research, exploits, and threat intelligence. Track security flaws in malware and C2 infrastructure.
Introducing DOM Invader: DOM XSS just got a whole lot easier to find.
PortSwigger just released a new tool for Burp Suite Professional and Burp Suite Community Edition that's going to make testing for DOM XSS much easier - and we think you're going to like it. Meet: DOM Invader.
https://portswigger.net/blog/introducing-dom-invader
PortSwigger just released a new tool for Burp Suite Professional and Burp Suite Community Edition that's going to make testing for DOM XSS much easier - and we think you're going to like it. Meet: DOM Invader.
https://portswigger.net/blog/introducing-dom-invader
PortSwigger Blog
Introducing DOM Invader: DOM XSS just got a whole lot easier to find
Of the three main types of XSS, DOM-based XSS is by far the most difficult to find and exploit. But we come bearing good news! PortSwigger just released a new tool for Burp Suite Professional and Burp
Parameter Tampering Vulnerability Using 3 Different Approaches
Parameter Tampering is a web-based, business logic attack. It involves the manipulation of the parameters exchanged between client and server to modify the application data such as user credentials, permissions, price, the number of products, etc...
https://cobalt.io/blog/parameter-tampering-vulnerability-using-3-different-approaches
Parameter Tampering is a web-based, business logic attack. It involves the manipulation of the parameters exchanged between client and server to modify the application data such as user credentials, permissions, price, the number of products, etc...
https://cobalt.io/blog/parameter-tampering-vulnerability-using-3-different-approaches
www.cobalt.io
Parameter Tampering Vulnerability Using 3 Different Approaches | Cobalt
Top VS Code Extensions for Application Security in 2021
Visual Studio Code (VS Code) is arguably the most popular integrated development environment-code editor. In this article, we will be looking at some extensions that enhance our vulnerability detection and correction powers.
https://devdojo.com/yoda/top-vs-code-extensions-for-application-security-in-2021
Visual Studio Code (VS Code) is arguably the most popular integrated development environment-code editor. In this article, we will be looking at some extensions that enhance our vulnerability detection and correction powers.
https://devdojo.com/yoda/top-vs-code-extensions-for-application-security-in-2021
DevDojo
Top VS Code Extensions for Application Security in 2021 - DevDojo
Companies are investing heavily in technologies to protect their users' data as part of policies. Hackers and other bad players will get more sophisticated in s...
Trusted Types API for JavaScript DOM Security
The team at Google Chrome announced an API called Trusted Types API in order to control DOM XSS security vulnerabilities. They mainly introduced this as DOM-based XSS vulnerabilities were growing as opposed to server-side XSS vulnerabilities.
https://blog.bitsrc.io/trusted-types-api-for-javanoscript-dom-security-fcdafa927e73
The team at Google Chrome announced an API called Trusted Types API in order to control DOM XSS security vulnerabilities. They mainly introduced this as DOM-based XSS vulnerabilities were growing as opposed to server-side XSS vulnerabilities.
https://blog.bitsrc.io/trusted-types-api-for-javanoscript-dom-security-fcdafa927e73
Medium
Trusted Types API for JavaScript DOM Security
Protecting against DOM XSS security vulnerabilities in JavaScript using Trusted Types API
All about Password Reset vulnerabilities
For today we are going to talk about some web security vulnerability, which occurs on password reset functionality. So for today, we will see a brief methodology and approach for finding bugs in this very common functionality.
https://infosecwriteups.com/all-about-password-reset-vulnerabilities-3bba86ffedc7
For today we are going to talk about some web security vulnerability, which occurs on password reset functionality. So for today, we will see a brief methodology and approach for finding bugs in this very common functionality.
https://infosecwriteups.com/all-about-password-reset-vulnerabilities-3bba86ffedc7
Medium
All about Password Reset vulnerabilities
Bug bounty approach for finding bugs in password reset function
Пожалуйста, ознакомьтесь с обновленными правилами поведения в чате и комментариях.
Please read the updated chat and comments code of conduct.
https://news.1rj.ru/str/ru_appsec/2
Please read the updated chat and comments code of conduct.
https://news.1rj.ru/str/ru_appsec/2
macOS 11’s hidden security improvements
A deep dive into macOS 11’s internals reveals some security surprises that deserve to be more widely known.
https://blog.malwarebytes.com/mac/2021/08/macos-11s-hidden-security-improvements/
A deep dive into macOS 11’s internals reveals some security surprises that deserve to be more widely known.
https://blog.malwarebytes.com/mac/2021/08/macos-11s-hidden-security-improvements/
Malwarebytes
macOS 11's hidden security improvements
A deep dive into macOS 11's internals reveals some security surprises that deserve to be more widely known.