Этого не должно было случиться: вскрытие уязвимости
Это необычный пост в блоге. Обычно я пишу посты, чтобы осветить какую-нибудь скрытую поверхность атаки. В этот раз я хочу рассказать о другом. Эта уязвимость поражает тем, насколько она проста. Она должна была быть обнаружена раньше, и я хочу выяснить, почему этого не произошло.
В 2021 году всем хорошим ошибкам нужно запоминающееся имя, поэтому я назвал эту уязвимость "BigSig".
Сначала давайте посмотрим на ошибку, я объясню, как я ее обнаружил, а затем попытаюсь понять, почему мы так долго ее не замечали. https://goo.su/VUkBlogspot
This shouldn't have happened: A vulnerability postmortem
Posted by Tavis Ormandy, Project Zero Introduction This is an unusual blog post. I normally write posts to highlight some hidden att...
🔥 Какие возможности открывает подход «Инфраструктура как код»?
Узнайте 9 декабря в 20:00 на Demo Day в OTUS! Вебинар проведет Игорь Саблин, руководитель IT-направления с 20-летним опытом работы. Спикер расскажет, как применять этот подход в вашей работе, а также представит программу и формат обучения на онлайн-курсе «Infrastructure as a code». В конце мероприятия вы получите возможность записаться в группу по спец.цене.
👉🏻 Регистрируйтесь на вебинар и готовьте свои вопросы эксперту https://otus.pw/cISY/
Узнайте 9 декабря в 20:00 на Demo Day в OTUS! Вебинар проведет Игорь Саблин, руководитель IT-направления с 20-летним опытом работы. Спикер расскажет, как применять этот подход в вашей работе, а также представит программу и формат обучения на онлайн-курсе «Infrastructure as a code». В конце мероприятия вы получите возможность записаться в группу по спец.цене.
👉🏻 Регистрируйтесь на вебинар и готовьте свои вопросы эксперту https://otus.pw/cISY/
Охота за угрозами: настройка лаборатории мониторинга журналов с помощью ELK Elk Stack - это коллекция бесплатного программного обеспечения с открытым исходным кодом от Elastic Company, специально разработанного для централизованного ведения журнала. Это позволяет искать, анализировать и визуализировать журналы из разных источников. в этом руководстве мы научимся устанавливать Elastic Stack в ubuntu. https://goo.su/9R3t
Hacking Articles
Threat Hunting: Log Monitoring Lab Setup with ELK - Hacking Articles
Elastic Stack is formerly known as the ELK Stack. Elk Stack is a collection of free opensource software from Elastic Company which is specially designed
Введение в Bash для хакеров, часть 1 Добро пожаловать в Bash Intro для хакеров, часть 1! Этот материал был подготовлен нашим инструктором Саидом Дехканом для нашего курса «Атаки на беспроводные сети» в качестве основной темы для всех, кто хочет автоматизировать свои задачи по тестированию на проникновение https://shly.link/J5mTs
Hakin9 - IT Security Magazine
Bash Introduction for Hackers Part 1
bash, an abbreviation of Bourne Again Shell, is the most common interactive interpreter command prompt and has a long history. First, in 1971, Unix Shell or
🔥 Начните изучать подход «Инфраструктура как код» уже 15 декабря в 20:00!
В OTUS пройдет открытый вебинар «SaltStack. Управление конфигурациями».
Что вас ждет на уроке?
- Научитесь работать с системой управления конфигурациями Saltstack.
- Узнаете, в чем ее отличие от прочих аналогичных систем.
- Рассмотрите, как работать с salt-ssh, salt-master и salt-minion, а также с основными аспектами построения структуры states.
Demo-занятие пройдет в рамках онлайн-курса «Infrastructure as a code» для админов, DevOps-ов и разработчиков. Это возможность попробовать курс и познакомиться с преподавателем.
👉🏻 Пройдите вступительный тест, чтобы попасть на мероприятие https://otus.pw/0m26/
В OTUS пройдет открытый вебинар «SaltStack. Управление конфигурациями».
Что вас ждет на уроке?
- Научитесь работать с системой управления конфигурациями Saltstack.
- Узнаете, в чем ее отличие от прочих аналогичных систем.
- Рассмотрите, как работать с salt-ssh, salt-master и salt-minion, а также с основными аспектами построения структуры states.
Demo-занятие пройдет в рамках онлайн-курса «Infrastructure as a code» для админов, DevOps-ов и разработчиков. Это возможность попробовать курс и познакомиться с преподавателем.
👉🏻 Пройдите вступительный тест, чтобы попасть на мероприятие https://otus.pw/0m26/
T-Reqs - Инструмент для атак контрабанды HTTP-запросов (HRS) Группа исследователей разработала новый инструмент фаззинга HTTP под названием T-Reqs. Этот инструмент использует осторожный фаззинг для выявления уязвимостей. Исследователи считают, что T-Reqs может значительно помочь сообществу специалистов по безопасности в выявлении потенциальных триггеров контрабанды HTTP-запросов.
https://goo.su/CUO
https://goo.su/CUO
LHN
T-Reqs – A Tool For HTTP Request Smuggling (HRS) attacks
A team of academic researchers have developed a new HTTP fuzzing tool called ‘T-Reqs’. This tool employs deferential fuzzing to spot vulnerabilities. The researchers believe T-Reqs can significantly help the security community in identifying potential
Что нужно знать о безопасности API: как избежать 5 основных ловушек при аутентификации API
Читайте дальше, чтобы узнать об этих 5 недостатках аутентификации, которые были обнаружены в клиентских средах, что сделало их API уязвимыми для злоумышленников. https://shly.link/HbxWg
Читайте дальше, чтобы узнать об этих 5 недостатках аутентификации, которые были обнаружены в клиентских средах, что сделало их API уязвимыми для злоумышленников. https://shly.link/HbxWg
DZone
API Security Need to Know: Avoiding the Top 5 API Authentication Pitfalls
Read further to learn these 5 authentication weaknesses that were all found in customer environments, leaving their APIs vulnerable to threat actors.
Руководство для начинающих по безопасности API
API-интерфейсы в основном используются для обмена информацией, подключения служб и передачи данных, и попадание в ловушку утечки данных приводит к крупным потерям. https://shly.link/V3Tf8
API-интерфейсы в основном используются для обмена информацией, подключения служб и передачи данных, и попадание в ловушку утечки данных приводит к крупным потерям. https://shly.link/V3Tf8
DZone
API Security Beginner's Guide
APIs are mainly used for exchanging information, connecting services, and transferring data, and falling into the nippers of data breaches leads to major ...
Tinfoleak
- наиболее полный инструмент с открытым исходным кодом для анализа информации Twitter. https://shly.link/xQtCs Шпаргалка по Active Directory https://shly.link/ghXvBHakin9 - IT Security Magazine
Tinfoleak - The most complete open-source tool for Twitter intelligence analysis
tinfoleak is an open-source tool within the OSINT (Open Source Intelligence) and SOCMINT (Social Media Intelligence) disciplines, that automates the
Клонируйте голос за 5 секунд для генерации произвольной речи в реальном времени https://shly.link/ghukT
GitHub
GitHub - CorentinJ/Real-Time-Voice-Cloning: Clone a voice in 5 seconds to generate arbitrary speech in real-time
Clone a voice in 5 seconds to generate arbitrary speech in real-time - CorentinJ/Real-Time-Voice-Cloning
5 ресурсов по безопасности с открытым исходным кодом за 2021 год
Статьи по безопасности на 2021 год, которые вам стоит прочитать. https://shly.link/ChenB
Статьи по безопасности на 2021 год, которые вам стоит прочитать. https://shly.link/ChenB
Opensource.com
5 open source security resources from 2021