NEW BOT Телеграм, страница

Positive Development Community

Минутка вакансий:

Лаборатория Касперского в поисках талантов!

Ищем Application Security Specialist в сильную команду, занимающуюся анализом защищенности мобильных и веб-приложений, а также облачных решений и решений на блокчейне. Цель наших работ – выявление уязвимостей в приложениях наших заказчиков.
Подробнее о вакансии

В команде есть:

• постоянный обмен опытом,
• интересные исследования,
• возможность принять участие в проектах смежных направлений (pentest, reverse).

Если Вы любите изучать технологии, имеете опыт как обнаружения уязвимости, так и развития атаки, то свяжитесь с @alina_the_researcher

hh.ru

Вакансия Application Security Specialist в Москве, работа в компании Лаборатория Касперского

Зарплата: не указана. Москва. Требуемый опыт: 3–6 лет. Полная занятость. Дата публикации: 20.04.2022.

442 views08:07

Positive Development Community

Коллекция уязвимостей в малвари (!!) с достаточно подробными разборами проблем: https://www.malvuln.com/

Malvuln

Malvuln – Malware Vulnerability Research & Exploits Database

Unique source for malware vulnerability research, exploits, and threat intelligence. Track security flaws in malware and C2 infrastructure.

389 views21:46

Positive Development Community

Introducing DOM Invader: DOM XSS just got a whole lot easier to find.

PortSwigger just released a new tool for Burp Suite Professional and Burp Suite Community Edition that's going to make testing for DOM XSS much easier - and we think you're going to like it. Meet: DOM Invader.

https://portswigger.net/blog/introducing-dom-invader

PortSwigger Blog

Introducing DOM Invader: DOM XSS just got a whole lot easier to find

Of the three main types of XSS, DOM-based XSS is by far the most difficult to find and exploit. But we come bearing good news! PortSwigger just released a new tool for Burp Suite Professional and Burp

496 views21:48

Positive Development Community

Parameter Tampering Vulnerability Using 3 Different Approaches

Parameter Tampering is a web-based, business logic attack. It involves the manipulation of the parameters exchanged between client and server to modify the application data such as user credentials, permissions, price, the number of products, etc...

https://cobalt.io/blog/parameter-tampering-vulnerability-using-3-different-approaches

www.cobalt.io

Parameter Tampering Vulnerability Using 3 Different Approaches | Cobalt

434 views23:22

Positive Development Community

Top VS Code Extensions for Application Security in 2021

Visual Studio Code (VS Code) is arguably the most popular integrated development environment-code editor. In this article, we will be looking at some extensions that enhance our vulnerability detection and correction powers.

https://devdojo.com/yoda/top-vs-code-extensions-for-application-security-in-2021

DevDojo

Top VS Code Extensions for Application Security in 2021 - DevDojo

Companies are investing heavily in technologies to protect their users' data as part of policies. Hackers and other bad players will get more sophisticated in s...

468 views11:37

Positive Development Community

Trusted Types API for JavaScript DOM Security

The team at Google Chrome announced an API called Trusted Types API in order to control DOM XSS security vulnerabilities. They mainly introduced this as DOM-based XSS vulnerabilities were growing as opposed to server-side XSS vulnerabilities.

https://blog.bitsrc.io/trusted-types-api-for-javanoscript-dom-security-fcdafa927e73

Medium

Trusted Types API for JavaScript DOM Security

Protecting against DOM XSS security vulnerabilities in JavaScript using Trusted Types API

504 views11:39

Positive Development Community

All about Password Reset vulnerabilities

For today we are going to talk about some web security vulnerability, which occurs on password reset functionality. So for today, we will see a brief methodology and approach for finding bugs in this very common functionality.

https://infosecwriteups.com/all-about-password-reset-vulnerabilities-3bba86ffedc7

Medium

All about Password Reset vulnerabilities

Bug bounty approach for finding bugs in password reset function

458 views11:29

Positive Development Community

Пожалуйста, ознакомьтесь с обновленными правилами поведения в чате и комментариях.

Please read the updated chat and comments code of conduct.

https://news.1rj.ru/str/ru_appsec/2

487 views00:44

Positive Development Community

macOS 11’s hidden security improvements

A deep dive into macOS 11’s internals reveals some security surprises that deserve to be more widely known.

https://blog.malwarebytes.com/mac/2021/08/macos-11s-hidden-security-improvements/

Malwarebytes

macOS 11's hidden security improvements

A deep dive into macOS 11's internals reveals some security surprises that deserve to be more widely known.

364 views00:47

Positive Development Community

Объявлена программа конференции ZeroNights 2021

Организаторы конференции ZeroNights 2021 объявили программу мероприятия, которое в этом году состоится 25 августа 2021 года в Санкт-Петербурге. Помимо основной программы участников ждут треки WebVillage и Defensive, а также воркшопы и HardwareZone.

https://xakep.ru/2021/08/20/zn-programm/

XAKEP

Объявлена программа конференции ZeroNights 2021

Организаторы конференции ZeroNights 2021 объявили программу мероприятия, которое в этом году состоится 25 августа 2021 года в Санкт-Петербурге. Помимо основной программы участников ждут треки WebVillage и Defensive, а также воркшопы и HardwareZone.

419 views00:57

Positive Development Community

Опрос: что вы думаете о DevSecOps?

Расскажите, что вы думаете о DevSecOps и что хотели бы узнать о нем.

Пожалуйста, найдите возможность потратить пару минут на участие в этом опросе. Его результаты повлияют, в том числе, на будущие активности, как в рамках пользовательской группы PDUG, так и треков докладов для разработчиков на PHDays и Standoff.

https://habr.com/ru/company/pt/blog/572724/

393 views11:54

Positive Development Community

В этом году, в рамках The Standoff (9-10 ноября, Москва, ВДНХ), впервые будет проводиться трек для разработчиков, в формате, аналогичном формату трека на PHDays, под эгидой пользовательской группы PDUG.

‼️Приглашаем спикеров принять участие в CFP мероприятия: https://forms.gle/btopBc98vVRmeAD4A.

Все доклады будут проходить в гибридном формате (выступление оффлайн с трансляцией в онлайн). Участникам PDUG предоставляется возможность посетить мероприятие бесплатно. Подробности будут опубликованы позднее, после формирования программы трека.

424 viewsedited 10:38

Positive Development Community

Forwarded from Positive Events

Как стать докладчиком на The Standoff 👇🏼

📌 Приглашаем выступить с докладами на темы поиска и эксплуатации уязвимостей, защиты от хакерских атак, а также практики разработки безопасного программного обеспечения.

The Standoff — это не только противостояние «красных» и «синих», но и насыщенная деловая и техническая программа.

В рамках двухдневного форума:

✅ поговорим о развитии индустрии кибербеза;
✅ разберем новые вызовы в сфере ИБ;
✅ обсудим острые проблемы бизнеса;
✅ продолжим диалог с государством об импортозамещении в индустрии;
✅ в особый трек выделим тему инвестиций в кибербез.

Как всегда, мы не ограничимся только офлайн-форматом. Кибербитву и выступления будут транслировать в прямом эфире на сайте The Standoff. Поэтому, если вам есть о чем рассказать всему миру, — становитесь нашим спикером 😎

🗓 Подайте заявку до 30 сентября, пройдите отбор программного комитета и станьте докладчиком The Standoff!

9 и 10 ноября 2021 года все выступления пройдут в Москве на ВДНХ в двух форматах:

⁃ доклад (50 минут),
⁃ fast track (15 минут).

❗️Можно подать несколько заявок. Доклады принимаются на русском и английском языке.

137 views10:38

Positive Development Community

ObjLupAnsys

ObjLupAnsys is a tool to detect prototype pollution vulnerabilities in Node.js packages.

Repository: https://github.com/Song-Li/ObjLupAnsys
Paper: https://songli.io/papers/fse21_objlupansys.pdf

GitHub

GitHub - Song-Li/ObjLupAnsys: ObjLupAnsys is a tool to detect prototype pollution vulnerabilities in Node.js packages. This project…

ObjLupAnsys is a tool to detect prototype pollution vulnerabilities in Node.js packages. This project is written in Python and JavaScript. - GitHub - Song-Li/ObjLupAnsys: ObjLupAnsys is a tool to d...

360 views21:34

Positive Development Community

7 ложных предположений о том, как устроены строки

Как Unicode уничтожает большинство ваших предположений о том, как на самом деле работают строки.

https://habr.com/ru/company/typeable/blog/576042/

Хабр

7 ложных предположений о том, как устроены строки

Как Unicode уничтожает большинство ваших предположений о том, как на самом деле работают строки Когда речь идет о написании чего-то простого, мы, программисты, обычно действуем интуитивно. В случае...

414 views21:37

Positive Development Community

Выложены записи докладов августовского ZeroNights X:

https://www.youtube.com/watch?v=DK_H58Vg7is&list=PLHlFrzuFU1EUpnX5GFcAcv5_vvOS-OK0O (defensive track)

https://www.youtube.com/watch?v=OfEx8WG4LnE&list=PLHlFrzuFU1EVWqevd_ldVh4CoKg5es1rV (web village)

https://www.youtube.com/watch?v=Sy3Kdd1jIvo&list=PLHlFrzuFU1EX8J2tPxOFJ2XySuP6OElEE (main stage)

YouTube

Denis Rybin – Metrics in practice

Let’s discuss security metrics, main approaches and challenges, and how they can help achieve business goals and prioritize tasks. This talk is focused on the practical implications and less so on theory. Our goal is to make metrics work for us and not the…

670 views11:21

Positive Development Community

If you copied any of these popular StackOverflow encryption code snippets, then you coded it wrong.

Security code reviews is a task that I do on a daily basis, and have been doing for the last thirteen and a half years. In this time, I have reviewed several hundred code bases, and have come across cryptographic code many times. More often than not, there have been security issues in cryptography code that I have reviewed.

https://littlemaninmyhead.wordpress.com/2021/09/15/if-you-copied-any-of-these-popular-stackoverflow-encryption-code-snippets-then-you-did-it-wrong/

Little Man In My Head

If you copied any of these popular StackOverflow encryption code snippets, then you coded it wrong

Security code reviews is a task that I do on a daily basis, and have been doing for the last thirteen and a half years. In this time, I have reviewed several hundred code bases, and have come acros…

470 views23:41

Positive Development Community

Вакансия Junior Security Researcher от Veeam:

https://careers.veeam.com/vacancies/quality-assurance/junior_security_researcher-743999775493509

Veeam Software

Career Opportunities at Veeam Software

Learn more about what makes us veeamazing, which opportunities you have at Veeam Software and how to successfully apply.

410 views10:46

Positive Development Community

.NET 5, Source Generators, and Supply Chain Attacks

Source Generators is a powerful .NET feature that makes it easier to develop robust applications that perform tedious tasks automatically freeing developers from writing boilerplate code.

Its flexibility, unfortunately, allows adversaries to attack applications and enterprises in novel ways which are difficult to protect against without scrutinizing dependencies source code. In order to prevent similar attacks, only defense-in-depth solutions or a combination of the whole spectrum of security controls will be able to reduce risk to an acceptable level.

https://www.veracode.com/blog/secure-development/net-5-source-generators-and-supply-chain-attacks

Veracode

.NET 5, Source Generators, and Supply Chain Attacks | Veracode

IDEs and build infrastructure are being a target of various threat actors since at least 2015 when XcodeGhost has been discovered - https://en.wikipedia.org/wiki/XcodeGhost - malware-ridden Apple Xcode IDE that enabled attackers to plant malware in iOS applications…

492 views22:39

Positive Development Community

Безопасная разработка: как жить в цифре, писать много кода и не стать жертвой хакеров

Участники пресс-клуба расскажут о трендовых угрозах и примерах кибератак, виной которым послужили бреши в исходном коде ПО. Мы подискутируем о том, нужна ли компаниям безопасная разработка, как эксперты оценивают степень проникновения этого подхода в российский бизнес и какие результаты уже достигнуты. Отдельной темой беседы станет обсуждение элементов DevSecOps и SSDL1: не только в плане технологий, но и культуры разработки, подходов и принципов.

https://youtu.be/Txa22taohEw

YouTube

Безопасная разработка: как жить в цифре, писать много кода и не стать жертвой хакеров

Друзья, мы продолжаем встречи Positive Tech Press Club, на которых обсуждаем эволюцию угроз и технологий информационной безопасности. Будем рады видеть вас на очередном мероприятии, в этот раз посвященном теме уязвимостей и безопасности исходного кода.

Участники…

535 views19:16

Positive Development Community

Очевидная математика протокола Диффи-Хеллмана

Обычно, протокол Диффи-Хеллмана (DH) описывают на примере вычетов, то есть, арифметики остатков. Это так называемый классический вариант реализации протокола, который тоже используется на практике. При этом, протокол успешно обобщается на другие математические структуры, лишь бы они обладали некоторыми специальными свойствами.

https://dxdt.ru/2021/10/11/9117/

707 views12:45

About

Blog

Apps

Platform