🔒 Zmap для сканирования Интернета: сканирование всего Интернета за 45 минут Zmap был разработан в 2013 году группой исследователей из Мичиганского университета (Дэвид Адриан, Закир Дурумерик, Гульшан Сингх и Дж. Алекс Халдерман). Он был разработан, чтобы иметь возможность сканировать весь Интернет в целях информационной безопасности, а не сканировать отдельный IP-адрес или диапазон IP-адресов. При 1-гигабитном соединении можно просканировать весь Интернет на предмет поиска одного порта примерно за 45 минут! Такое же сканирование с использованием Nmap займет несколько месяцев. https://goo.su/7UyV
hackers-arise
Zmap for Scanning the Internet: Scan the Entire Internet in 45 minutes
Welcome back my aspiring cyber warriors! Most of you are aware of the power of nmap and nmap noscripts for reconnaissance on a target and target networks. These tools can be used for numerous tasks such as simple port scanning to service and version detection.…
🔒 Проблемы с повторным использованием пароля сохраняются, несмотря на известные риски Подавляющее большинство пользователей беспокоятся о взломе паролей, но две трети продолжают использовать тот же пароль или его вариант, как показывает опрос. Исследование, проведенное фирмой LastPass, занимающейся защитой паролей, показало, что проблемы возникают не только с людьми, но и с организациями, на которые они работают. После пандемии и перехода к удаленной работе семь из каждых 10 сотрудников работали удаленно и чаще использовали онлайн-сервисы, но только 35% компаний заставили своих сотрудников более регулярно обновлять пароли или использовать многофакторную аутентификацию или другие методы строгой аутентификации. https://cutt.ly/FEcvT4n 🔒 Как реализовать двухфакторную аутентификацию в веб-приложении Повысьте безопасность своего веб-приложения, внедрив 2FA https://goo.su/7UGT
Dark Reading
Password Reuse Problems Persist Despite Known Risks
The vast majority of users worry about compromised passwords, but two-thirds continue to use the same password or a variation, a survey finds.
🔒 Как провести успешную атаку NoSQL Injection Модели NoSQL предлагают новую модель данных и форматы запросов, что делает старые атаки с использованием SQL-инъекций неактуальными. Тем не менее, они дают злоумышленникам новые способы вставки вредоносного кода. https://goo.su/7UYq
Medium
How to pull off a successful NoSQL Injection attack
NoSQL (not only SQL) has disrupted the usage of traditional data stores. It has introduced a new concept of data storage which is…
This media is not supported in your browser
VIEW IN TELEGRAM
В современном мире корпорации стали полноценными политическими субъектами и навязывают свою волю. Правительства всё больше мимикрируют и трансформируются под новую цифровую среду пытаясь устанавливать свои правила. Как быть над "схваткой"?
В этом пытается разобраться Политех - канал об IT в политике и о политике в IT. Канал освещает следующие темы:
🔻регуляторы государств и криптовалюты
🔻дроны и новые методы войны
🔻частные и государственные хакерские группировки
🔻взломы и утечки в национальных масштабах
🔻постправда и фермы ботов
Подпишись на Политех и будь в курсе всех событий и интересной информации! 📲
В этом пытается разобраться Политех - канал об IT в политике и о политике в IT. Канал освещает следующие темы:
🔻регуляторы государств и криптовалюты
🔻дроны и новые методы войны
🔻частные и государственные хакерские группировки
🔻взломы и утечки в национальных масштабах
🔻постправда и фермы ботов
Подпишись на Политех и будь в курсе всех событий и интересной информации! 📲
🔒 Веб-тестирование на проникновение Эта шпаргалка создана для Red Teamers и Penetration Testers, чтобы помочь им в поиске уязвимостей. Она разработана таким образом, чтобы новички могли понять основы, а профессионалы могли улучшить свои навыки с помощью расширенных возможностей. https://goo.su/7UYR
GitHub
GitHub - Ignitetechnologies/bugbounty
Contribute to Ignitetechnologies/bugbounty development by creating an account on GitHub.
🔒 Ваш принтер похож на швейцарский сыр Следуйте этим рекомендациям, чтобы избежать дыр в безопасности, создаваемых этими часто упускаемыми из виду, но повсеместными устройствами. https://cutt.ly/UEcvdZF
Dark Reading
How Your Printer Is Like Swiss Cheese
Follow these best practices to avoid the security holes created by these often-overlooked, but ubiquitous, devices.
Как защитить от взлома свой IP-адрес
Каждые 39 секунд в мире происходит одна хакерская атака. Чтобы обезопасить себя, попробуйте бесплатное защитное ПО Crowdsec с открытым исходным кодом.
Почему CrowdSec крут:
1. Не привязан к конкретной платформе: данные никуда не утекут. CrowdSec защищает от вредоносных ресурсов и файлов с помощью нескольких команд.
2. Разные способы блокировки: капча, брандмауэринг, понижение уровня разрешений, многофакторная аутентификация и т. д. Это увеличивает защиту сервера от хакерских атак.
3. Соответствует требованиям GDPR и политик конфиденциальности, совместим с различными ПО и компонентами, работает компактно: не требует большого объема ОЗУ и ресурсов ЦП.
4. Вы получите фичи в подарок, если поучаствуете в краудсорсинге, и будете помогать выявлять вредоносные IP-адреса. Так мы создаем самую большую в мире базу вредоносных IP-адресов.
5. Легко установить и попробовать, справится даже начинающий сисадмин.
Давайте вместе сделаем Интернет безопаснее — скачивайте CrowdSec.
Каждые 39 секунд в мире происходит одна хакерская атака. Чтобы обезопасить себя, попробуйте бесплатное защитное ПО Crowdsec с открытым исходным кодом.
Почему CrowdSec крут:
1. Не привязан к конкретной платформе: данные никуда не утекут. CrowdSec защищает от вредоносных ресурсов и файлов с помощью нескольких команд.
2. Разные способы блокировки: капча, брандмауэринг, понижение уровня разрешений, многофакторная аутентификация и т. д. Это увеличивает защиту сервера от хакерских атак.
3. Соответствует требованиям GDPR и политик конфиденциальности, совместим с различными ПО и компонентами, работает компактно: не требует большого объема ОЗУ и ресурсов ЦП.
4. Вы получите фичи в подарок, если поучаствуете в краудсорсинге, и будете помогать выявлять вредоносные IP-адреса. Так мы создаем самую большую в мире базу вредоносных IP-адресов.
5. Легко установить и попробовать, справится даже начинающий сисадмин.
Давайте вместе сделаем Интернет безопаснее — скачивайте CrowdSec.
QR-коды могут стать следующей целью для киберпреступников - вот как защитить себя Коды быстрого ответа (QR) можно рассматривать аналогично службам сокращения URL-адресов - они обеспечивают мгновенный доступ к такой информации, как веб-сайты и контактная информация. Они также могут позволить пользователям входить в сеть Wi-Fi без пароля. Мы видим, что их все чаще используют во всех сферах жизни, но думаем ли мы, прежде чем сканировать? https://goo.su/7yNw
TNW
QR codes could be the next target for cybercriminals — here’s how to protect yourself
QR codes could be a new seucirty risk with cybercriminals learning to leverage them. Here are some tips for staying QR code-safe.
Как «автообнаружение» Outlook может привести к утечке ваших паролей - и как это остановить Исследователи из стартапа по кибербезопасности Guardicore только что опубликовали отчет об эксперименте, который они провели за последние четыре месяца ...
… В котором они утверждают, что собрали сотни тысяч паролей Exchange и Windows, которые были случайно загружены на их серверы ничего не подозревающими пользователями Outlook из широкого спектра корпоративных сетей. https://goo.su/7X0n
… В котором они утверждают, что собрали сотни тысяч паролей Exchange и Windows, которые были случайно загружены на их серверы ничего не подозревающими пользователями Outlook из широкого спектра корпоративных сетей. https://goo.su/7X0n
Naked Security
How Outlook “autodiscover” could leak your passwords – and how to stop it
The Microsoft Autodiscover “Great Leak” explained – and how to prevent it
Мое путешествие по обзору кода в качестве инженера по веб-безопасности Основная цель инженеров по безопасности - работать совместно с остальной командой, чтобы найти способ не воспроизводить одни и те же уязвимости или, по крайней мере, реализовать механизм для их минимизации. https://cutt.ly/wEJYyb1
DEV Community
My code review journey as a Web Security Engineer
Summary Introduction Objectives How to work effectively? Input Output Steps High-level...
Azure AD - Пособие по атакам и защите Эта публикация представляет собой сборник различных распространенных сценариев атак на Azure Active Directory и способов их устранения или обнаружения. Все включенные сценарии, идеи и комментарии основаны на опыте участников во время моделирования атак, практических или реальных сценариях. https://cutt.ly/rEKEe2M
GitHub
GitHub - Cloud-Architekt/AzureAD-Attack-Defense: This publication is a collection of various common attack scenarios on Azure Active…
This publication is a collection of various common attack scenarios on Azure Active Directory and how they can be mitigated or detected. - GitHub - Cloud-Architekt/AzureAD-Attack-Defense: This publ...
Прекратите использовать учетные записи ROOT, начните использовать учетные записи USER Использование учетной записи root для повседневных действий с AWS - действительно плохая идея, которая открывает целый ряд уязвимостей в системе безопасности. Из этой статьи вы узнаете, почему использование учетной записи Root - плохая идея и как создать учетную запись пользователя с ограниченными разрешениями. Это пошаговая статья. https://goo.su/84PE
Medium
Stop Using ROOT Accounts, Start Using USER Accounts
Using a root account for your day-to-day AWS activities is a really bad idea that opens up a whole bunch of security vulnerabilities. In…
Вот новый бесплатный инструмент для обнаружения незащищенных экземпляров облачного хранилища ImmuniWeb, быстрорастущий поставщик средств безопасности приложений, предлагающий множество продуктов на основе ИИ, объявил на этой неделе, что в его бесплатном выпуске Community Edition , выполняющем более 150 000 ежедневных тестов безопасности, теперь есть еще один онлайн-инструмент - облачный тест безопасности . https://goo.su/85FR
Immuniweb
Cloud Security Test | ImmuniWeb
Detect unprotected or misconfigured cloud storage or exposed cloud instances in AWS, Azure, GCP and 100+ other public cloud services providers
Что такое Fuzz-тестирование (Fuzzing)? Многие приложения предназначены для приема и обработки данных от ненадежных пользователей. Это может быть так же просто, как запрос имени или адреса электронной почты для чего-то более сложного, например, выполнения транзакции в цепочке блоков.
Часто эти приложения делают определенные предположения о предоставляемых им данных. Например, обычно предполагается, что имена состоят из букв (возможно, на нескольких языках) и имеют определенную максимальную длину.
Хотя законные пользователи приложения могут «следовать правилам» при вводе данных, это не обязательно верно в отношении потенциальных злоумышленников или пользователей, которые совершают ошибку. Если приложение делает предположения о данных, предоставленных пользователем, не проверяя, соответствуют ли данные, предоставленные пользователем, этим предположениям, то неверный ввод может нарушить работу приложения или подорвать его безопасность. https://goo.su/85g2
Часто эти приложения делают определенные предположения о предоставляемых им данных. Например, обычно предполагается, что имена состоят из букв (возможно, на нескольких языках) и имеют определенную максимальную длину.
Хотя законные пользователи приложения могут «следовать правилам» при вводе данных, это не обязательно верно в отношении потенциальных злоумышленников или пользователей, которые совершают ошибку. Если приложение делает предположения о данных, предоставленных пользователем, не проверяя, соответствуют ли данные, предоставленные пользователем, этим предположениям, то неверный ввод может нарушить работу приложения или подорвать его безопасность. https://goo.su/85g2
halborn
What Is Fuzz Testing (Fuzzing)?
Cybersecurity firm Halborn explains fuzz testing (a quality assurance technique) and the value of fuzzing to the blockchain.
Проникновение и безопасность в JavaScript Вы уверены, что гарантируете, что ваш код будет использоваться по назначению? Вы предотвращаете его злонамеренное использование? https://cutt.ly/gE23fAq
DEV Community
Penetration and Security in JavaScript
Premise Are you sure you are ensuring your code to be used as intended? Are you preventing...
Вот код для iOS 15.0.1 RCE PoC V1 ... Сейчас доступен на Github https://goo.su/8B1V
GitHub
GitHub - jonathandata1/ios_15_rce: Remote Code Execution V1 For iOS 15 sent through airdrop after the device was connected to a…
Remote Code Execution V1 For iOS 15 sent through airdrop after the device was connected to a trusted host - GitHub - jonathandata1/ios_15_rce: Remote Code Execution V1 For iOS 15 sent through airdr...
TruffleHog - расширение браузера, которое обнаруживает секретные ключи в JavaScript Исследователи представили специальное расширение для браузера TruffleHog, которое может облегчить работу охотников за ошибками. Инструмент помогает находить секретные ключи API в коде JavaScript.
https://goo.su/82H4
https://goo.su/82H4
Latest Hacking News
TruffleHog – Now a Browser Extension That Detects Secret Keys In JavaScript
Researchers have presented a dedicated browser extension, “TruffleHog,” that can facilitate bug bounty hunters. The tool helps find secret API keys in JavaScript code. About TruffleHog Browser Extension Researchers from Truffle Security have developed the…
8 шагов для обеспечения безопасности удаленных команд разработчиков Нет сомнений в том, что рабочая сила в мире становится все более удаленной, особенно в сфере технологий, поскольку разработчики теперь могут работать из любой точки мира. Но с этим связано большое количество новых препятствий. Самое важное - это безопасность. https://goo.su/8cgT
GitGuardian Blog - Automated Secrets Detection
How to Protect Source Code from Remote developers in 8 steps - GitGuardian
There is no doubt that the world's workforce is becoming more remote, particularly in tech as developers can now work from any location in the world. But there are a large number of new obstacles that come with this. The most pressing is security.
Разведка с открытым исходным кодом (OSINT) Станьте экспертом по разведке (OSINT) и профессиональным следователем! У Hackers-Arise один из крупнейших репозиториев руководств по OSINT в Интернете https://goo.su/8DCE
📱IT Network - первая в России соцсеть для айтишников
Если вы не знаете, IT Network помогает находить известных экспертов, работу и быть в курсе всех новостей из мира IT и науки.
В приложении вы сможете:
● Обмениваться опытом с коллегами
● Получать интересные предложения о работе
● Расширять круг знакомств в сфере IT
● Следить за новостями из мира IT и науки
Для тех, кто решил расти в кругу успешных айтишников, вот ссылка на приложение в App Store и Google Play.
Если вы не знаете, IT Network помогает находить известных экспертов, работу и быть в курсе всех новостей из мира IT и науки.
В приложении вы сможете:
● Обмениваться опытом с коллегами
● Получать интересные предложения о работе
● Расширять круг знакомств в сфере IT
● Следить за новостями из мира IT и науки
Для тех, кто решил расти в кругу успешных айтишников, вот ссылка на приложение в App Store и Google Play.