Лучшие практики для защиты веб-приложений в 2021 году Для многих компаний 2020 год означал переход на удаленную работу в облачных корпоративных системах, и командам по обеспечению безопасности приложений пришлось адаптироваться к изменениям в использовании и растущему количеству проблем.
Согласно отчету Verizon Data Breach Investigations Report 2020, уязвимости веб-приложений стали причиной 43% утечек данных в 2019 году. Удивительно, но, согласно исследованию Enterprise Strategy Group, 79% организаций намеренно внедрили уязвимый код в рабочую среду, в то же время считая, что уровень безопасности их собственных приложений на высшем уровне. По сравнению с другими ИТ-активами веб-приложения особенно уязвимы для атак, поскольку они доступны в Интернете. Многие векторы атак на веб-приложения сосредоточены на манипулировании пользовательским вводом через веб-формы и машинным вводом через API. https://clck.ru/WPEav

5 лучших книг по кибербезопасности для начинающих Кибербезопасность - это «практика защиты критически важных систем и конфиденциальной информации от цифровых атак». Сама эта область ежедневно развивается, благодаря прогрессу в технологиях и хакерам, которые на шаг опережают разработку новых вредоносных программ. Если вы интересуетесь безопасностью и технологиями, то это поле для вас. Я расскажу о пяти лучших книгах по кибербезопасности для начинающих, чтобы лучше понять, что такое кибербезопасность. Эти книги могут помочь вам понять, подходит ли вам этот выбор карьеры. https://clck.ru/WQrGZ

Мышление хакера Как хакерское мышление может повысить вашу кибербезопасность (на самом деле)? Если вы не профессионал в области безопасности, держу пари, что прямо сейчас вы думаете о злом чуваке в толстовке с капюшоном, который делает плохие вещи с компьютерными системами, например, смахивает ваши конфиденциальные данные для продажи в темной сети.

Но это не хакер - это преступник. Я штатный инженер по безопасности в Auth0, сертифицированный этический хакер, имею два черных значка DEF CON и имею 26-летний опыт работы в сфере ИТ и кибербезопасности.

Я делюсь своей историей, чтобы помочь вам понять, как думают хакеры, чтобы вы могли применить этот образ мышления, помогая защитить свой бизнес. Но сначала немного контекста через краткую историю взлома. https://clck.ru/WS6s2

Тестирование веб-безопасности для начинающих Веб-приложения - это начало и конец современного клиентоориентированного бизнеса. Веб-сайты расширились по своим целям и функциям, предлагаемым клиентам, одновременно повысив уровень безопасности. Однако, поскольку они являются публичной стороной любого бизнеса, они также часто становятся жертвами попыток взлома. По крайней мере 40% утечек данных сосредоточены на веб-сайтах в качестве предпочтительной цели. Примечательно, что средней команде безопасности потребовался минимум месяц, чтобы выяснить, что что-то не так. Хакеры также считают целесообразным атаковать веб-сайты, поскольку у них есть доступ к важным данным о клиентах и ​​компании. Кроме того, следование передовым методам предотвращения вторжений не позволяет устранить все бреши в безопасности. Именно здесь на помощь приходит комплексное тестирование веб-безопасности, которое гарантирует обнаружение и устранение всех уязвимостей. https://clck.ru/WTvfU

DDoS-атаки во втором квартале 2021 года (аналитический отчет) Что касается важных новостей, второй квартал 2021 года был относительно спокойным, но не совсем без событий. Например, в апреле активно распространялся новый ботнет DDoS под названием Simps - под таким названием он представлялся владельцам зараженных устройств. Создатели вредоносного ПО продвигали свое детище на специально созданном канале YouTube и сервере Discord, где обсуждали DDoS-атаки. Фактическая DDoS-функциональность Simps не является оригинальной: код перекрывается с ботнетами Mirai и Gafgyt. https://clck.ru/WUnXq

10 лучших бесплатных менеджеров паролей на 2021 год В этой статье мы выделяем лучший менеджер паролей с открытым исходным кодом для Android, Mac и iPhone. https://clck.ru/WTvtV

Мега подборка каналов для программистов🎯

https://news.1rj.ru/str/progjob Вакансии для программистов

Системное администрирование 📌
https://news.1rj.ru/str/sysadminof Книги для админов, полезные материалы
https://news.1rj.ru/str/linux_sup Новости и информация из мира Linux
https://news.1rj.ru/str/i_odmin Все для системного администратора
https://news.1rj.ru/str/i_odmin_book Библиотека Системного Администратора
https://news.1rj.ru/str/i_odmin_chat Чат системных администраторов

Программирование, фронтенд, Биг дата, мобильная р-ка, книги 📌
https://news.1rj.ru/str/Angular_Vuejs Angular Vue js React
https://news.1rj.ru/str/frontend_1 Подборки для frontend разработчиков
https://news.1rj.ru/str/Frontend_now Все для фронтендеров
https://news.1rj.ru/str/react_prog Все что связано с reactjs
https://news.1rj.ru/str/bookflow Лекции, видеоуроки, доклады с IT конференций
https://news.1rj.ru/str/developer_mobila Мобильная разработка
https://news.1rj.ru/str/Welcome_Python Добро пожаловать в мир Python
https://news.1rj.ru/str/BookPython Библиотека Python разработчика
https://news.1rj.ru/str/programmist_of Книги по программированию
https://news.1rj.ru/str/BookJava Библиотека Java разработчика
https://news.1rj.ru/str/java_sup Программирование на Java
https://news.1rj.ru/str/proglb Библиотека программиста
https://news.1rj.ru/str/bfbook Книги для программистов
https://news.1rj.ru/str/imobile_dev Все по мобильной разработке: iOS, Android
https://news.1rj.ru/str/database_group Все про базы данных
https://news.1rj.ru/str/cloud_comp Облачные сервисы, вычисления и безопасность
https://news.1rj.ru/str/bigdata_world Data Science, Big Data, Machine Learning

IT новости 📌
https://news.1rj.ru/str/htech_news Новости HighTech
https://news.1rj.ru/str/all_itnews IT новости на английском
https://news.1rj.ru/str/gmorning_news Последнии новости из мира науки
https://news.1rj.ru/str/youtips_tricks Технологические советы и хитрости

Шутки программистов 📌
https://news.1rj.ru/str/dev_jokes Daily Dev Jokes
https://news.1rj.ru/str/itumor ITumor | программисты шутят

SMM, Seo, Wordpress 📌
https://news.1rj.ru/str/allsocial_news SMM / Советы, Новости, Лайфхаки
https://news.1rj.ru/str/seo_go Новости по SEO продвижению сайтов
https://news.1rj.ru/str/news_wordpress Канал о самой популярной CMS

Защита, взлом, безопасность 📌
https://news.1rj.ru/str/crypto_security_lab Материалы по информационной безопасности
https://news.1rj.ru/str/thehaking Канал о кибербезопасности
https://news.1rj.ru/str/Hackme_news Новости из мира хакинга

Книги, статьи для дизайнеров 📌
https://news.1rj.ru/str/ux_web Статьи, книги для дизайнеров
https://news.1rj.ru/str/goodw_design Статьи по Веб дизайну

Должен знать 📌
https://news.1rj.ru/str/UchuEnglish Английский с нуля
https://news.1rj.ru/str/Pomatematike Канал по математике

Арбитраж трафика 📌
https://news.1rj.ru/str/partnerochkin CPA и арбитраж трафика

Крипта 📌
https://news.1rj.ru/str/crypto_moneygo Канал о крипте, новости, инсайды

VR, робототехника 📌
https://news.1rj.ru/str/AR_VR_vision Компьютерное зрение, виртуальная реальность
https://news.1rj.ru/str/robotics_scince Канал о Робототехнике и автоматизации

Самый важный контрольный список для тестирования на проникновение в сеть Тестирование на проникновение в сеть определяет уязвимости в состоянии сети, обнаруживая открытые порты, устраняя неполадки в живых системах, службах и захватывая системные баннеры.
Тестирование на проникновение помогает администратору закрыть неиспользуемые порты, дополнительные службы, скрыть или настроить баннеры, службы устранения неполадок и откалибровать правила брандмауэра. Вы должны протестировать все способы, чтобы гарантировать отсутствие лазеек в системе безопасности. https://clck.ru/Vn73N

Советы и рекомендации по обеспечению безопасности мобильных устройств 📱 В настоящее время сложно оставаться в безопасности, и эта задача становится еще более пугающей, поскольку мы в значительной степени полагаемся на смартфоны и мобильные гаджеты. На наших смартфонах хранится множество информации, такой как личные учетные записи в социальных сетях, электронные письма, конфиденциальные сообщения и даже банковские реквизиты. https://bit.ly/3joG5cC

Важнейшие инструменты и ресурсы для тестирования веб-приложений на проникновение для хакеров и специалистов по безопасности Инструменты тестирования веб-приложений на проникновение чаще используются в сфере безопасности для тестирования уязвимостей веб-приложений. Здесь вы можете найти полный список инструментов для тестирования веб-приложений на проникновение, который охватывает выполнение операций тестирования на проникновение во всех корпоративных средах. https://clck.ru/WcpRs

Как взломать учетные записи Facebook: 5 распространенных уязвимостей Facebook - это бесплатная и популярная социальная сеть, которая позволяет пользователям легко связываться и делиться сообщениями со своими друзьями и членами семьи. Поскольку Facebook является популярной платформой для социальных сетей, киберпреступники проявляют повышенный интерес к взлому учетных записей Facebook.
В этой статье рассказывается о пяти распространенных уязвимостях и о том, что вы можете сделать, чтобы предотвратить взлом киберпреступников на ваши учетные записи Facebook. https://clck.ru/WeDYX

Ошибка Telegram для Mac могла позволить сохранять самоуничтожающиеся сообщения Серьезная ошибка в клиенте Telegram для Mac может позволить пользователям сохранять самоуничтожающиеся сообщения и медиафайлы. Эта ошибка будет работать для всех мультимедийных файлов, таких как видео, аудио, документы и файлы изображений. Предполагаемый получатель сохранит сообщение, даже не открывая его.
https://clck.ru/WiDko

Что такое межсайтовый скриптинг? Как защититься от XSS-атак XSS-атаки происходят, когда данные поступают в веб-приложение через ненадежный источник (например, веб-запрос) и отправляются пользователю без проверки.

XSS может вызывать выполнение сценариев в браузере пользователя, что приводит к перехвату сеансов, повреждению веб-сайта и перенаправлению пользователей на вредоносные сайты. https://clck.ru/WjDEN

Защитите свою сервисную сеть: контрольный список из 13 пунктов. Организации по всему миру спешат модернизировать свои приложения для работы в контейнерах, организованных Kubernetes, в облаке. Во время этой модернизации эти компании должны спланировать защиту своих соединений приложений. Когда приложение переформатируется и перестраивается в распределенные микросервисы, появляются новые шаблоны подключения, и эти шаблоны обычно побуждают к созданию одной или нескольких сервисных сеток.
https://clck.ru/WkbFx Лазейка в безопасности для перехвата динамического DNS-трафика. Итак, мы должны быть удивлены, когда на конференции по безопасности Black Hat USA 2021 компания по облачной безопасности Wiz, технический директор Wiz, Ами Луттвак и руководитель исследования Шир Тамари обнаружили простую лазейку, которая позволила им перехватывать трафик динамического DNS (DDNS), проходящий через поставщиков управляемых DNS. как Amazon и Google.
https://clck.ru/WjDCc Как взламывать API в 2021 году https://clck.ru/Wkiyo

​На Архипелаге 2121 прошла ежегодная встреча «Точек кипения». Участники трека поделились наработанными практиками взаимодействия с региональными сообществами, технологическими командами и опытом перехода в онлайн-среду. В результате была сформирована стратегия развития сети на ближайшие несколько лет.

В рамках трека прошли:
✅ образовательная лаборатория «Точек кипения»,
✅ погружение в повестку НТИ и встречи с представителями рынков и Центров компетенций,
✅ мастер-классы акселератов-партнеров по поддержке и развитию технологических команд,
✅ обучение основным принципам data-аналитики и управлению на основе данных.

🧑‍🎓 Участниками трека стали команды городских и университетских «Точек кипения».

Неформальная программа включила практики ресурсных состояний, деловые игры, нетворкинг и консультации с экспертами экосистемы НТИ, антиконференцию, демо-день для партнеров, а также презентацию нового формата резидентуры НТИ в сети «Точек кипения».

📲 Подробнее об Архипелаге 2121 читайте на нашем канале.

🎓Лекция открытие Архипелага.

#а2121 #Архипелаг2121 #Edu2035 #Стартап2121

🔒Purple Teaming - это больше, чем просто сотрудничество красных и синих команд Фиолетовая команда часто воспринимается как сотрудничество красных и синих команд. Многие знают это как объединение сил атакующего и защитника для создания более сильной позиции кибербезопасности. Однако это сложнее, чем простое сотрудничество.

Это не так просто, как собрать вместе синюю и красную команды или собрать новых членов для создания новой команды. По сути, новой команды не создается. Вместо создания новой группы, фиолетовая команда требует изменения мышления и кого-то с нужными навыками, чтобы возглавить эту работу. https://clck.ru/WkoWT 🔒Безопасность API 101: нехватка ресурсов и ограничение скорости передачи данных Данные, данные везде. Как отсутствие ограничения скорости усугубляет серьезные проблемы с безопасностью .. https://clck.ru/WnYP3 🔒Самый важный контрольный список для тестирования приложений Android на проникновение Android - это самая большая организованная база среди всех мобильных платформ, и она быстро развивается каждый день. Кроме того, Android становится наиболее распространенной операционной системой с этой точки зрения по разным причинам. https://clck.ru/WTqF7

​Отношения человечества с природой, климатический вызов и разрушение биологического разнообразия – одни из главных вызовов, с которыми человечество сталкивается сегодня. Это необходимо учитывать предпринимателям. Представляем вам несколько проектов участников Архипелага 2121 на стадии масштабирования, связанных с экологией.

🌱 Green point

Пункты экопереработки полного цикла: от точек сбора и первичной сортировки до пунктов рециклинга. Проект позволит любой компании или муниципалитету внедрить собственную сеть переработки отходов пластика, приобрести статус IMPACT и преимущества стандартов ESG.

🌳 NextGIS Лес

Веб-приложение для ведения базы и подготовки отчетной документации по лесосекам (участкам леса, отведенным для рубок спелых и перестойных насаждений, лесовосстановительных рубок, рубок ухода за лесом и санитарных). Сервис предлагает собранные в одном месте карты и таблицы, многопользовательский режим, понятный интерфейс и автоматизированную отчетность. Проект помогает создавать, редактировать и учитывать лесосеки, объекты инфраструктуры и неэксплуатационные площади и многое другое.

🎋 Внедрение инновационной технологии по повторному применению синтетического каучука (Рециклизат)

Организация инновационного производства по повторному применению каучуко-содержащих продуктов путем переработки отходов РТИ для получения повторных каучуковых смесей (резиновых смесей). Проект отвечает требованиям по предотвращению изменения климата (снижение углеродных выбросов), сохранению природных ресурсов, снижению уровня загрязнения.

📲 Другие проекты участников Архипелага 2121.

📲 Смотрите трансляции с Архипелага 2121.

🔒Тенденции технологий API в 2021 году По мере того как компании стремятся создавать масштабируемое и гибкое программное обеспечение, они все чаще обращаются к разработке на основе API . Хорошо продуманный API позволяет предоставлять основные услуги внутренним заинтересованным сторонам или клиентам, не привязывая их к конкретному пользовательскому интерфейсу.

В 2021 году API-интерфейсы необходимо оптимизировать для повышения производительности, чтобы обеспечить безопасный и надежный доступ к данным в реальном времени. Новые форматы и протоколы, такие как GraphQL и gRPC, предоставляют разработчикам больше возможностей для предоставления API-интерфейсов, которые удобны для разработчиков, безопасны, надежны и легко интегрируются, но при этом создают множество собственных проблем. https://clck.ru/Wp5kB

🔒Как компании могут защитить себя от атак с использованием паролей Злоумышленники используют множество типов атак для компрометации критически важных для бизнеса данных. Сюда могут входить атаки нулевого дня, атаки на цепочки поставок и другие. Однако одним из наиболее распространенных способов проникновения хакеров в вашу среду является взлом паролей.

Атака с использованием паролей - это особый вид атаки на пароли, которая может оказаться эффективной для компрометации вашей среды. Давайте внимательнее рассмотрим атаку с распылением паролей и то, как организации могут ее предотвратить. https://clck.ru/Wo2Jb

13 тактик Lateral movement (тактика бокового перемещения), которые должны знать эксперты по безопасности В приведенном ниже списке перечислены некоторые из наиболее распространенных и потенциально опасных тактик. Знание того, что нужно искать, - это первый шаг к более эффективной защите сети. https://clck.ru/WrpNe

Защита вашей учетной записи GitHub с помощью двухфакторной аутентификации Мы много вложили в то, чтобы сообщества разработчиков GitHub имели доступ к новейшим технологиям для защиты своих учетных записей от взлома злоумышленниками. Некоторые из них включают проверенные устройства , предотвращение использования взломанных паролей , поддержку WebAuthn и поддержку ключей безопасности для операций SSH Git . Эти функции безопасности упрощают разработчикам надежную аутентификацию учетных записей на платформе, и сегодня мы рады поделиться несколькими обновлениями в этой области. https://clck.ru/Wt5qE