eBPF в Kubernetes: из огня не в полымя
Всем привет!
Ну что же! Огонь победил обезьянок (как бы это странно не звучало) ! И мы начинаем знакомить вас со спикерами CyberCamp 2024!
Открывает череду постов Алексей Рыбалко – специалист по защите контейнерных сред из Лаборатории Касперского!
«Безопасность сетевых потоков требует особенного подхода к их фильтрации: один пропущенный зловред, и корпоративная сеть может «сгореть» быстрее, чем потухнет одна спичка.
В своем докладе я расскажу, как в фильтрации потоков может помочь технология eBPF в связке с K8s, какие у нее есть нюансы: обработка мультисессий, непростые тонкости внедрения программы и другие особенности, которые при неосторожности могут превратить интеграцию фичи в настоящий пожар.
Материал будет интересен тем, кто хочет знать, как обуздать сетевую фильтрацию в K8s в самых «жарких» ситуациях и тем, кто хочет этому научиться» - описание доклада непосредственно от Алексея 😊
На наш взгляд доклад Алексея можно сравнить с фильмами Тарантино. Да, мест действия не так уж и много, но диалоги, суть, «напряжение», юмор и стиль… Все на месте! Рекомендуем к ознакомлению!
Всем привет!
Ну что же! Огонь победил обезьянок
Открывает череду постов Алексей Рыбалко – специалист по защите контейнерных сред из Лаборатории Касперского!
«Безопасность сетевых потоков требует особенного подхода к их фильтрации: один пропущенный зловред, и корпоративная сеть может «сгореть» быстрее, чем потухнет одна спичка.
В своем докладе я расскажу, как в фильтрации потоков может помочь технология eBPF в связке с K8s, какие у нее есть нюансы: обработка мультисессий, непростые тонкости внедрения программы и другие особенности, которые при неосторожности могут превратить интеграцию фичи в настоящий пожар.
Материал будет интересен тем, кто хочет знать, как обуздать сетевую фильтрацию в K8s в самых «жарких» ситуациях и тем, кто хочет этому научиться» - описание доклада непосредственно от Алексея 😊
На наш взгляд доклад Алексея можно сравнить с фильмами Тарантино. Да, мест действия не так уж и много, но диалоги, суть, «напряжение», юмор и стиль… Все на месте! Рекомендуем к ознакомлению!
🔥12❤4👍3🥰3🐳1
Kubernetes CNI: benchmarking, 2024!
Всем привет!
Нет, спикеры CyberCamp 2024 не кончились, просто мы решили представлять их «постепенно» 😊
Сегодня рекомендуем обратить внимание на статью. В ней содержатся результаты сравнительного тестирования производительности известных CNI Kubernetes. Кстати, это не первый такой тест: были еще в 2018, 2019 и 2020 годах.
Из 33 CNI в тестирование попало всего лишь 7: Antrea, Calico, Canal, Cilium, Kube-OVN, Kube-router и Flannel. Критерии, на основании которой осуществлялась выборка, приведены в статье, а результаты представлены в Google-таблице.
После создания лабораторного окружения (включавшего в себя как bare-metal серверы) CNI подвергли целому ряду испытаний:
🍭 Direct pod-to-pod TCP/UDP bandwidth with a Single stream
🍭 Direct pod-to-pod TCP/UDP bandwidth with Multiple streams
🍭 Pod to Service TCP/UDP bandwidth with a Single stream
🍭 Pod to Service UDP/UDP bandwidth with Multiple streams
И кто же победил? 😊 Ответ на это, включая много-много-много графиков и данных можно найти в статье.
Помимо этого, в ней приводятся рекомендации от Автора для «Low-Resource Clusters», «Standard Clusters» и «Fine-Tuned Clusters» о том, какой CNI лучше всего подойдет.
Всем привет!
Нет, спикеры CyberCamp 2024 не кончились, просто мы решили представлять их «постепенно» 😊
Сегодня рекомендуем обратить внимание на статью. В ней содержатся результаты сравнительного тестирования производительности известных CNI Kubernetes. Кстати, это не первый такой тест: были еще в 2018, 2019 и 2020 годах.
Из 33 CNI в тестирование попало всего лишь 7: Antrea, Calico, Canal, Cilium, Kube-OVN, Kube-router и Flannel. Критерии, на основании которой осуществлялась выборка, приведены в статье, а результаты представлены в Google-таблице.
После создания лабораторного окружения (включавшего в себя как bare-metal серверы) CNI подвергли целому ряду испытаний:
🍭 Direct pod-to-pod TCP/UDP bandwidth with a Single stream
🍭 Direct pod-to-pod TCP/UDP bandwidth with Multiple streams
🍭 Pod to Service TCP/UDP bandwidth with a Single stream
🍭 Pod to Service UDP/UDP bandwidth with Multiple streams
И кто же победил? 😊 Ответ на это, включая много-много-много графиков и данных можно найти в статье.
Помимо этого, в ней приводятся рекомендации от Автора для «Low-Resource Clusters», «Standard Clusters» и «Fine-Tuned Clusters» о том, какой CNI лучше всего подойдет.
Medium
Benchmark results of Kubernetes network plugins (CNI) over 40Gbit/s network [2024]
This article is a new run of my previous benchmark (2020, 2019 and 2018), now running Kubernetes 1.26 and Ubuntu 22.04 with CNI version…
👍3🔥1
Безопасная разработка Telegram-ботов: минимизация рисков ИБ
Всем привет!
Второй доклад CyberCamp 2024 по безопасной разработке будет от Александра Терехова, менеджера по автоматизации процессов, Инфосистемы Джет.
Александр расскажет про безопасность Telegram-ботов: «В докладе я расскажу о ключевых аспектах безопасной разработки Telegram-ботов, рассмотрев, как защитить их от различных угроз и рисков.
Мы начнем с анализа основных угроз безопасности Telegram, выявив наиболее распространенные типы атак и уязвимости, которым подвержены боты. Затем перейдем к изучению уязвимостей Telegram-ботов и способов их эксплуатации, включая социальную инженерию, атаки "человек посередине" и другие методы.
Особое внимание уделим мерам по обеспечению безопасности Telegram-ботов, рассмотрев, как защитить их от несанкционированного доступа, атак и утечки данных.
В докладе также будут затронуты законодательные и этические аспекты безопасности Telegram-ботов, обсудив правовые рамки, ограничения и требования к обработке персональных данных, а также вопросы этической ответственности разработчиков.
В завершение я представлю практические рекомендации по повышению безопасности Telegram-ботов, чтобы разработчики могли реализовать лучшие практики и минимизировать риски в своей работе»
Если сравнивать доклад Александра с направлением кинематографии, то это точно будет нечто научное 😊 «Локальная тема», много деталей и практических рекомендаций, к которым можно и нужно прислушаться 😊
Всем привет!
Второй доклад CyberCamp 2024 по безопасной разработке будет от Александра Терехова, менеджера по автоматизации процессов, Инфосистемы Джет.
Александр расскажет про безопасность Telegram-ботов: «В докладе я расскажу о ключевых аспектах безопасной разработки Telegram-ботов, рассмотрев, как защитить их от различных угроз и рисков.
Мы начнем с анализа основных угроз безопасности Telegram, выявив наиболее распространенные типы атак и уязвимости, которым подвержены боты. Затем перейдем к изучению уязвимостей Telegram-ботов и способов их эксплуатации, включая социальную инженерию, атаки "человек посередине" и другие методы.
Особое внимание уделим мерам по обеспечению безопасности Telegram-ботов, рассмотрев, как защитить их от несанкционированного доступа, атак и утечки данных.
В докладе также будут затронуты законодательные и этические аспекты безопасности Telegram-ботов, обсудив правовые рамки, ограничения и требования к обработке персональных данных, а также вопросы этической ответственности разработчиков.
В завершение я представлю практические рекомендации по повышению безопасности Telegram-ботов, чтобы разработчики могли реализовать лучшие практики и минимизировать риски в своей работе»
Если сравнивать доклад Александра с направлением кинематографии, то это точно будет нечто научное 😊 «Локальная тема», много деталей и практических рекомендаций, к которым можно и нужно прислушаться 😊
❤9🔥7🥰5👍4
Набор статей про CI/CD Security
Всем привет!
Безопасность CI/CD тема важная, нужная и очень интересная! Поэтому предлагаем вам сегодня несколько статей на эту тему.
Первая и вторая посвящены Direct и Indirect Poisoned Pipeline Execution (PPE и I-PPE соответственно). Если просто, то это тип атак, при котором злоумышленник *каким-то образом* может влиять на конфигурационный файл конвейера сборки.
Третья же рассматривает Artifact Poisoning и Code Injection. Возможность влияния на логику конвейера путем манипуляции с артефактами, которыми он оперирует.
Статьи содержат информацию:
🍭 Пояснение «логики работы» и способы эксплуатации указанных недостатков
🍭 Рекомендации по их предотвращению
Особенно хорошо расписаны способы эксплуатации – они наглядны и позволяют лучше понять происходящее. Для всего есть схемы, пояснения и комментарии Авторов.
Всем привет!
Безопасность CI/CD тема важная, нужная и очень интересная! Поэтому предлагаем вам сегодня несколько статей на эту тему.
Первая и вторая посвящены Direct и Indirect Poisoned Pipeline Execution (PPE и I-PPE соответственно). Если просто, то это тип атак, при котором злоумышленник *каким-то образом* может влиять на конфигурационный файл конвейера сборки.
Третья же рассматривает Artifact Poisoning и Code Injection. Возможность влияния на логику конвейера путем манипуляции с артефактами, которыми он оперирует.
Статьи содержат информацию:
🍭 Пояснение «логики работы» и способы эксплуатации указанных недостатков
🍭 Рекомендации по их предотвращению
Особенно хорошо расписаны способы эксплуатации – они наглядны и позволяют лучше понять происходящее. Для всего есть схемы, пояснения и комментарии Авторов.
Xygeni | Software Supply Chain Security
A Deep Dive into CI/CD Pipelines Vulnerabilities (I) : Poisoned Pipeline Execution (PPE)
CI/CD become increasingly crucial and its protection them from vulnerabilities (Poisoned Pipeline Execution) becomes more urgent. Learn how!
❤4
AppSecAutomation: как внедрить проверки в жизнь разработчиков и не свести их с ума
Всем привет!
Третье представление спикеров CyberCamp 2024 и два независимых DevSecOps-инженера: Алёна Жилина и Вячеслав Давыдов!
У ребят есть отличный опыт, посвященный автоматизации ИБ-проверок, которым они хотят поделиться с общественностью!
«Скорость выпуска ИТ-продуктов на рынок становится приоритетом, но не стоит забывать о проверках безопасности приложений и их компонентов. Оркестрация AppSec-инструментов дает возможность эффективно и единообразно управлять их выбором, конфигурацией и запуском в конкретных условиях. Использование механизмов Kubernetes позволяет создавать более высокоуровневые интерфейсы для проведения сканирований, упрощая процесс и реализуя «shift-left»-подход.
В рамках этой темы:
🤕 Рассмотрим, что представляет собой приложение в контексте AppSec
🤕 Разберемся с «зоопарком» существующих практик и инструментов
🤕 Расскажем о нашем подходе к оркестрации инструментов SAST, SCA и Secret Scanning в процессе непрерывной сборки или при запуске сканирования on-demand
🤕 Покажем, как упростить работу с инструментами и практиками AppSec с помощью нативных и кастомных ресурсов Kubernetes» - представление доклада от Алёны и Вячеслава!
То, что подготовили ребята, похоже на головокружительные приключения Нэйта Дрейка и доктора Генри Джонса-младшего(дада, Индианой звали его собаку 😊) ! Вас ждет захватывающий, стремительный, интересный и невероятно познавательный доклад! Скучно точно не будет!
Всем привет!
Третье представление спикеров CyberCamp 2024 и два независимых DevSecOps-инженера: Алёна Жилина и Вячеслав Давыдов!
У ребят есть отличный опыт, посвященный автоматизации ИБ-проверок, которым они хотят поделиться с общественностью!
«Скорость выпуска ИТ-продуктов на рынок становится приоритетом, но не стоит забывать о проверках безопасности приложений и их компонентов. Оркестрация AppSec-инструментов дает возможность эффективно и единообразно управлять их выбором, конфигурацией и запуском в конкретных условиях. Использование механизмов Kubernetes позволяет создавать более высокоуровневые интерфейсы для проведения сканирований, упрощая процесс и реализуя «shift-left»-подход.
В рамках этой темы:
То, что подготовили ребята, похоже на головокружительные приключения Нэйта Дрейка и доктора Генри Джонса-младшего
Please open Telegram to view this post
VIEW IN TELEGRAM
❤11👍3🔥3🥰2
State of Exploitation от VulnCheck
Всем привет!
По ссылке можно ознакомиться с аналитической информацией, посвященной exploit’ам для уязвимостей, подготовленной VulnCheck.
Всего команда добавила 390 уязвимостей в базу Known Vulnerability Exploitation (KEV). Не путать с CISA KEV, это немного разные ресурсы.
Top-5 категорий с известными exploit:
🍭 Network Edge Devices (70)
🍭 Content Management Systems (70)
🍭 Open Source Software (56)
🍭 Server Software (35)
🍭 Operating Systems (29)
В статье приведено много статистической информации, отображенной в графическом формате (увы, без абсолютных данных) о том, кто предоставлял больше всего информации, какие именно компоненты содержат уязвимости и сравнение с CISA KEV.
Всем привет!
По ссылке можно ознакомиться с аналитической информацией, посвященной exploit’ам для уязвимостей, подготовленной VulnCheck.
Всего команда добавила 390 уязвимостей в базу Known Vulnerability Exploitation (KEV). Не путать с CISA KEV, это немного разные ресурсы.
Top-5 категорий с известными exploit:
🍭 Network Edge Devices (70)
🍭 Content Management Systems (70)
🍭 Open Source Software (56)
🍭 Server Software (35)
🍭 Operating Systems (29)
В статье приведено много статистической информации, отображенной в графическом формате (увы, без абсолютных данных) о том, кто предоставлял больше всего информации, какие именно компоненты содержат уязвимости и сравнение с CISA KEV.
VulnCheck
VulnCheck - Outpace Adversaries
Vulnerability intelligence that predicts avenues of attack with speed and accuracy.
❤2
Учим разработчиков защите от XSS и проблем с десериализацией
Всем привет!
Продолжает череду анонсов докладов CyberCamp 2024, посвященных безопасной разработке, Алексей Григорьев – специалист по информационной безопасности, StartX.
«Представьте, что в результате пентеста в приложении было обнаружено несколько уязвимостей — десериализация и XSS. Они встречаются довольно часто; мы рассмотрим их на примере конкретного приложения Food App.
Что будет в докладе:
⬆️ Возможные векторы атаки
⬆️ Способы создания изначально защищенных приложений, включая практический тренажер
⬆️ Методология обучения специалистов правилам безопасной разработки» - именно об этом расскажет Алексей!
Предлагаем и вам присоединиться к этому приятному, легкому и интересному road-movie!
Всем привет!
Продолжает череду анонсов докладов CyberCamp 2024, посвященных безопасной разработке, Алексей Григорьев – специалист по информационной безопасности, StartX.
«Представьте, что в результате пентеста в приложении было обнаружено несколько уязвимостей — десериализация и XSS. Они встречаются довольно часто; мы рассмотрим их на примере конкретного приложения Food App.
Что будет в докладе:
Предлагаем и вам присоединиться к этому приятному, легкому и интересному road-movie!
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4🔥3👍2❤🔥1🥰1
Beginner guide по производительной и безопасной настройке Nginx!
Всем привет!
Наверное, мало кто не слышал про Nginx! Он достаточно функционален, может выступать в разных «ролях» (Web Server, Load Balancer, Reverse Proxy и не только). И все эти роли он исполняет весьма и весьма хорошо! Зачастую он используется и для DevSecOps-задач.
У него много конфигурационных параметров, которые по началу могут «сбивать с толку». Если вы искали статью, в которой понятно и доступно агрегирована информация по его настройке, то рекомендуем материал по ссылке (~ 28 минут на чтение).
Автор начинает с истории: как, когда и кем был создан Nginx, рассказывает про варианты его использования.
Дальше, по нарастающей, начинается интересное – установка, первичная конфигурация, варианты настройки различных ролей и… конечно же! Безопасность!
Рассматриваются такие темы, как:
🍭 Настройка SSL/TLS
🍭 Реализация Rate Limiting
🍭 Работа с Security Headers
🍭 Настройка журналирования
Помимо этого, затрагивается много тем, которые могут быть полезны Ops-специалистам: оптимизация работы при высоком трафике, автоматизация настройки Nginx с использованием Ansible и многое другое.
Конкретные команды, комментарии, перечень действий – все это можно найти в статье. Что в ней приятного – так это отлично структурированный материал, в котором нет ничего лишнего. Все по делу!
Всем привет!
Наверное, мало кто не слышал про Nginx! Он достаточно функционален, может выступать в разных «ролях» (Web Server, Load Balancer, Reverse Proxy и не только). И все эти роли он исполняет весьма и весьма хорошо! Зачастую он используется и для DevSecOps-задач.
У него много конфигурационных параметров, которые по началу могут «сбивать с толку». Если вы искали статью, в которой понятно и доступно агрегирована информация по его настройке, то рекомендуем материал по ссылке (~ 28 минут на чтение).
Автор начинает с истории: как, когда и кем был создан Nginx, рассказывает про варианты его использования.
Дальше, по нарастающей, начинается интересное – установка, первичная конфигурация, варианты настройки различных ролей и… конечно же! Безопасность!
Рассматриваются такие темы, как:
🍭 Настройка SSL/TLS
🍭 Реализация Rate Limiting
🍭 Работа с Security Headers
🍭 Настройка журналирования
Помимо этого, затрагивается много тем, которые могут быть полезны Ops-специалистам: оптимизация работы при высоком трафике, автоматизация настройки Nginx с использованием Ansible и многое другое.
Конкретные команды, комментарии, перечень действий – все это можно найти в статье. Что в ней приятного – так это отлично структурированный материал, в котором нет ничего лишнего. Все по делу!
Medium
Mastering NGINX: A Beginner-Friendly Guide to Building a Fast, Secure, and Scalable Web Server
Understanding NGINX: The Swiss Army Knife of Modern Web Servers
❤🔥6👍6❤2🔥1
Анализируем поведение браузерного JavaScript-приложения с помощью Chromium DevTools
Всем привет!
Завершает представление спикеров CyberCamp 2024 Михаил Парфенов, Application Security Architect!
Михаил поделится своим опытом: «JS-приложения, выполняемые в браузерах, содержат конфиденциальную информацию и часто используются для атак на пользователей. При этом браузер является слепой зоной для ИБ.
На кэмпе мы:
😵 Поговорим об актуальных рисках при разработке и эксплуатации JS-приложений
😵 Разберем несколько инцидентов, связанных с утечкой данных
😵 Проведем практический анализ поведения приложения с помощью встроенных инструментов браузера»
Рассказ Михаила, словно остросюжетный боевик! Ведь он расскажет, как обладая лишьцелеустремленностью, силой воли и карандашом «подручными» средствами можно реализовывать AppSec-практики!
P.S. Если вы хотите, чтобы мы сделали общий пост, в котором собрали всю информацию по докладам CyberCamp 2024, посвященных безопасной разработке и DevSecOps, пишите в комментариях 😊
Всем привет!
Завершает представление спикеров CyberCamp 2024 Михаил Парфенов, Application Security Architect!
Михаил поделится своим опытом: «JS-приложения, выполняемые в браузерах, содержат конфиденциальную информацию и часто используются для атак на пользователей. При этом браузер является слепой зоной для ИБ.
На кэмпе мы:
Рассказ Михаила, словно остросюжетный боевик! Ведь он расскажет, как обладая лишь
P.S. Если вы хотите, чтобы мы сделали общий пост, в котором собрали всю информацию по докладам CyberCamp 2024, посвященных безопасной разработке и DevSecOps, пишите в комментариях 😊
Please open Telegram to view this post
VIEW IN TELEGRAM
❤10🔥5👍3
CyberCamp 2024, безопасная разработка: line up!
Всем привет!
Как вы и просили, собираем вместе всю информацию о докладах грядущего CyberCamp 2024 по безопасной разработке и DevSecOps!
Итак:
🗓 03.10, 12:55 – 13:25. «Безопасная разработка Telegram-ботов: минимизация рисков ИБ», Александр Терехов, Инфосистемы Джет
🗓 04.10, 11:45 – 12:30. «eBPF в Kubernetes: из огня не в полымя», Алексей Рыбалко, Kaspersky
🗓 05.10, 11:00 – 12:00. «Анализируем поведение браузерного JavaScript-приложения с помощью Chromium DevTools», Михаил Парфенов, независимый эксперт
🗓 05.10, 12:55 – 13:50. «AppSecAutomation: как внедрить проверки в жизнь разработчиков и не свести их с ума», Алёна Жилина и Вячеслав Давыдов, независимые эксперты
🗓 05.10, 14:25 – 15:00 «Учим разработчиков защите от XSS и проблем с десериализацией», Алексей Григорьев, StartX
Возможны некоторые изменения в программе. Актуальную информацию можно всегда посмотреть на сайте мероприятия.
Все доклады будут размещены online после мероприятия. Где именно и когда будет опубликовано на канале CyberCamp. Рекламы нет, только информация о мероприятии 😊
До встречи на CyberCamp 2024!!!
P.S. Завтра будет еще-один-пост-про-конференция и на этом Астрологи, объявившие недели мероприятий, уйдут на покой 😊
Всем привет!
Как вы и просили, собираем вместе всю информацию о докладах грядущего CyberCamp 2024 по безопасной разработке и DevSecOps!
Итак:
Возможны некоторые изменения в программе. Актуальную информацию можно всегда посмотреть на сайте мероприятия.
Все доклады будут размещены online после мероприятия. Где именно и когда будет опубликовано на канале CyberCamp. Рекламы нет, только информация о мероприятии 😊
До встречи на CyberCamp 2024!!!
P.S. Завтра будет еще-один-пост-про-конференция и на этом Астрологи, объявившие недели мероприятий, уйдут на покой 😊
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9🔥4🥰3
IT Elements — конференция про инфраструктуру, сети и ИБ. Встречаемся 18–19 сентября!
Технологическая конфа про базовые элементы, которые создают надежный ИТ-фундамент компании, пройдет в Москве уже во второй раз. В этом году мы поговорим не только о сетях и инфраструктуре, но и об информационной безопасности.
2000+ участников, 60+ спикеров, 30 демозон, десятки докладов и дискуссий, воркшопы и лабы, настоящий опыт, сложные кейсы и тренды по топовыми темами в ИТ.
ИТ-инфраструктура:
🔹 Как оставаться на пике технологического развития
🔹 Стык разработки и инфры
🔹 Платформы разработки, контейнеры, гибридные облака
🔹 Инфра на отечественном
🔹 Highload-нагрузки
🔹 ИТ-стратегия
Сетевые решения:
🔹 SD-WAN
🔹 Telco Сloud
🔹 Балансировка приложений
🔹 ВКС, телефония и умный офис
🔹 VXLAN, ECMP, Multihoming, MC-LAG
🔹 МЦОД и инфраструктура вокруг ЦОД
Информационная безопасность:
🔹 DevSecOps
🔹 Защита приложений
🔹 Отечественные NGFW
🔹 Мониторинг ИБ в инфраструктуре
🔹 Киберустойчивая ИТ-инфраструктура
Мероприятие будет полезно ИТ-, ИБ- и сетевым архитекторам, инженерам по сетям и ИТ-инфраструктуре, руководителям инфраструктурных подразделений, руководителям служб эксплуатации и ИБ.
Подробности и регистрация на сайте🎙
Технологическая конфа про базовые элементы, которые создают надежный ИТ-фундамент компании, пройдет в Москве уже во второй раз. В этом году мы поговорим не только о сетях и инфраструктуре, но и об информационной безопасности.
2000+ участников, 60+ спикеров, 30 демозон, десятки докладов и дискуссий, воркшопы и лабы, настоящий опыт, сложные кейсы и тренды по топовыми темами в ИТ.
ИТ-инфраструктура:
Сетевые решения:
Информационная безопасность:
Мероприятие будет полезно ИТ-, ИБ- и сетевым архитекторам, инженерам по сетям и ИТ-инфраструктуре, руководителям инфраструктурных подразделений, руководителям служб эксплуатации и ИБ.
Подробности и регистрация на сайте
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥11❤4👍4🥰4🆒2
Burp Suite: Deep Dive!
Всем привет!
Вы наверняка слышали про Burp Suite. Его часто используют при тестировании на проникновении или анализе защищенности ПО.
Если хотели узнать про него больше, но не знали с чего начать, то сегодняшний пост может вам подойти!
По ссылке доступе набор видео-уроков, включающих в себя рассказ про:
🍭 Basics (целых 5 видео 😊)
🍭 Advanced Scoping
🍭 Sitemap и Scanner
🍭 Repeater и не только
Всего доступно 21 видео, в среднем по 15-17 минут каждое. Помимо этого, если интересна тематика безопасности web-приложений, то однозначно стоит посмотреть в сторону Web Security Academy.
Всем привет!
Вы наверняка слышали про Burp Suite. Его часто используют при тестировании на проникновении или анализе защищенности ПО.
Если хотели узнать про него больше, но не знали с чего начать, то сегодняшний пост может вам подойти!
По ссылке доступе набор видео-уроков, включающих в себя рассказ про:
🍭 Basics (целых 5 видео 😊)
🍭 Advanced Scoping
🍭 Sitemap и Scanner
🍭 Repeater и не только
Всего доступно 21 видео, в среднем по 15-17 минут каждое. Помимо этого, если интересна тематика безопасности web-приложений, то однозначно стоит посмотреть в сторону Web Security Academy.
YouTube
Burp Suite - Deep Dive
Share your videos with friends, family, and the world
👍11🔥3❤2
Где лучше всего (не) хранить секреты?
Всем привет!
Есть очень популярная и правильная рекомендация – не хранить секреты в исходном коде, конфигурационных файлах и т.д. Но настолько ли все плохо и действительно ли их быстро «уведут»?
Чтобы проверить эту гипотезу Автор статьи решил провести эксперимент. Он создал несколько canary tokens – специальные «метки», которые сообщат, если кто-то попробует ими воспользоваться.
После чего Автор разместил их на разных ресурсах:
🍭 Публичные репозитории: GitHub, GitLab, BitBucket, DockerHub
🍭 «Собственные» ресурсы: FTP-сервер, Блог
🍭 SaaS-сервисы: Pastebin, JSFiddle
🍭 Пакетные менеджеры: NPM, PuPi
🍭 Облачные хранилища: AWS S3, GCP Google Cloud Storage
В результате эксперимента была собрана очень интересная аналитика, которую Автор детально описал в статье.
Какое ваше мнение? Откуда быстрее всего «забрали» секреты? Пишите в комментариях!
P.S. А если очень не терпится, тоувы! ) статья очень интересная и мы настойчиво рекомендуем ее прочесть 😊
Всем привет!
Есть очень популярная и правильная рекомендация – не хранить секреты в исходном коде, конфигурационных файлах и т.д. Но настолько ли все плохо и действительно ли их быстро «уведут»?
Чтобы проверить эту гипотезу Автор статьи решил провести эксперимент. Он создал несколько canary tokens – специальные «метки», которые сообщат, если кто-то попробует ими воспользоваться.
После чего Автор разместил их на разных ресурсах:
🍭 Публичные репозитории: GitHub, GitLab, BitBucket, DockerHub
🍭 «Собственные» ресурсы: FTP-сервер, Блог
🍭 SaaS-сервисы: Pastebin, JSFiddle
🍭 Пакетные менеджеры: NPM, PuPi
🍭 Облачные хранилища: AWS S3, GCP Google Cloud Storage
В результате эксперимента была собрана очень интересная аналитика, которую Автор детально описал в статье.
Какое ваше мнение? Откуда быстрее всего «забрали» секреты? Пишите в комментариях!
P.S. А если очень не терпится, то
👍10🔥2⚡1
Как работает kubectl port-forward?
Всем привет!
Если вы когда-нибудь задумывались о том, что именно происходит в случае реализации команды
Автор подробно описывает, что происходит:
🍭 Инициализация:
🍭 AuthN/Z, реализуемый на стороне
🍭 Получение информации о
🍭 Установка сессии
🍭 Настройка iptables
🍭 Взаимодействие с
Все это оформлено в виде наглядной sequence-диаграммы. Ссылку на нее можно найти в статье.
Кстати, Автор делал это не из праздного интереса, а для разработки собственной утилиты –
Если кратко, то она позволяет не терять соединение, даже в случае «смерти»
Всем привет!
Если вы когда-нибудь задумывались о том, что именно происходит в случае реализации команды
kubectl port-forward и искали ответ, то он есть в статье!Автор подробно описывает, что происходит:
🍭 Инициализация:
kubectl port-forward🍭 AuthN/Z, реализуемый на стороне
kube-apiserver🍭 Получение информации о
pod🍭 Установка сессии
🍭 Настройка iptables
🍭 Взаимодействие с
pod через port-forwardВсе это оформлено в виде наглядной sequence-диаграммы. Ссылку на нее можно найти в статье.
Кстати, Автор делал это не из праздного интереса, а для разработки собственной утилиты –
kftray. Сам он описывает ее так: «kubectl port-forward on steroids!».Если кратко, то она позволяет не терять соединение, даже в случае «смерти»
pod, поддерживает разные протоколы, записывает логи и не только. Подробности – в repo проекта!👍8⚡1❤1🔥1
Разработка, найм и социальная инженерия!
Всем привет!
Допустим, вы – специалист, который ищет работу, так или иначе связанную с разработкой: от полноценного ПО до приятных утилит для автоматизации чего-либо.
И вот однажды получаете сообщение по почте, что ваше резюме интересно работодателю!
И что может быть лучше, чем пройти небольшое тестовое задание?
Например, вас попросят добавить некий новый функционал в тестовый проект или потребуется устранить некий недостаток. Конечно, после изменения кодовой базы, надо проверить, что все работает. «Рекрутер» попросит запустить приложение и сделать screenshot, который подтвердит, что все в порядке.
И вроде бы все хорошо, но есть нюанс… Он заключается в том, что это может быть достаточно хорошо реализованная социальная инженерия. И нет, это не домыслы, это реальный случай, который нашла команда из ReversingLabs. Подробнее про него можно прочесть в статье – там описан «полный цикл».
Да, есть множество способов решать задачки по программированию – от online-площадок, до полностью самостоятельного написания кода «у себя». Но социальная инженерия «бьет» по самым больным местам. Вдруг вы получили письмо от компании, в которой всегда хотели работать? И вот уже открыть архив не кажется странным.
Будьте бдительны ) И не забывайте о том, что самое слабое звено в любой системе защиты – это мы с вами 😊
Всем привет!
Допустим, вы – специалист, который ищет работу, так или иначе связанную с разработкой: от полноценного ПО до приятных утилит для автоматизации чего-либо.
И вот однажды получаете сообщение по почте, что ваше резюме интересно работодателю!
Talk is cheap. Show me the code! (c) Linus Torvalds
И что может быть лучше, чем пройти небольшое тестовое задание?
Например, вас попросят добавить некий новый функционал в тестовый проект или потребуется устранить некий недостаток. Конечно, после изменения кодовой базы, надо проверить, что все работает. «Рекрутер» попросит запустить приложение и сделать screenshot, который подтвердит, что все в порядке.
И вроде бы все хорошо, но есть нюанс… Он заключается в том, что это может быть достаточно хорошо реализованная социальная инженерия. И нет, это не домыслы, это реальный случай, который нашла команда из ReversingLabs. Подробнее про него можно прочесть в статье – там описан «полный цикл».
Да, есть множество способов решать задачки по программированию – от online-площадок, до полностью самостоятельного написания кода «у себя». Но социальная инженерия «бьет» по самым больным местам. Вдруг вы получили письмо от компании, в которой всегда хотели работать? И вот уже открыть архив не кажется странным.
Будьте бдительны ) И не забывайте о том, что самое слабое звено в любой системе защиты – это мы с вами 😊
ReversingLabs
Fake recruiter coding tests target devs with malicious Python packages | ReversingLabs
RL found the VMConnect campaign continuing with malicious actors posing as recruiters, using packages and the names of financial firms to lure developers.
👍10
Supply chain атака на PyPi: Revival Hijack
Всем привет!
«Как только пакет удаляется из PyPi, его имя сразу становится доступно для регистрации». Directed by Robert B. Weide.
Наверное, тут уже не «кажется, что что-то может пойти не так», а прямо кричит об этом. Особенно учитывая то, насколько Supply Chain атаки «популярны».
Сценарий крайне простой:
🍭 Пользователь работает с пакетом X версии 1.42
🍭 «Владелец пакета» удаляет его из PyPi
🍭 Злоумышленник регистрирует пакет X версии большей, чем 1.42. Но только уже совсем с иным «содержанием»
🍭 Пользователь обновляет пакет…
И это не typosquotting, где пользователь ошибся. С его точки зрения это вполне легитимная операция.
Команда JFrog, нашедшая указанный недостаток, написала отличную статью, в которой все описано в мельчайших подробностях. От теории до PoC с примерами, скриншотами и всем необходимым для более глубокого погружения.
На этом ребята не остановились и пошли дальше! Они «прикинули» сколько пакетов подвержено этой атаке. Т.е. были недавно удалены. Оказалось, что таких – 22 000! При этом, в среднем в месяц удаляется около 309 пакетов.
Но есть и хорошие новости! Чтобы защитить community, специалисты JFrog создали Security Holding. Он загружает «пакет-заглушку» для наиболее часто скачиваемых пакетов, что были удалены. И понижает версию до 0.0.0.1, что позволяет минимизировать вероятность dependency confusion.
И даже это еще не все… 😊 Крайне рекомендуем к ознакомлению! Читается на одном дыхании!
Всем привет!
«Как только пакет удаляется из PyPi, его имя сразу становится доступно для регистрации». Directed by Robert B. Weide.
Наверное, тут уже не «кажется, что что-то может пойти не так», а прямо кричит об этом. Особенно учитывая то, насколько Supply Chain атаки «популярны».
Сценарий крайне простой:
🍭 Пользователь работает с пакетом X версии 1.42
🍭 «Владелец пакета» удаляет его из PyPi
🍭 Злоумышленник регистрирует пакет X версии большей, чем 1.42. Но только уже совсем с иным «содержанием»
🍭 Пользователь обновляет пакет…
И это не typosquotting, где пользователь ошибся. С его точки зрения это вполне легитимная операция.
Команда JFrog, нашедшая указанный недостаток, написала отличную статью, в которой все описано в мельчайших подробностях. От теории до PoC с примерами, скриншотами и всем необходимым для более глубокого погружения.
На этом ребята не остановились и пошли дальше! Они «прикинули» сколько пакетов подвержено этой атаке. Т.е. были недавно удалены. Оказалось, что таких – 22 000! При этом, в среднем в месяц удаляется около 309 пакетов.
Но есть и хорошие новости! Чтобы защитить community, специалисты JFrog создали Security Holding. Он загружает «пакет-заглушку» для наиболее часто скачиваемых пакетов, что были удалены. И понижает версию до 0.0.0.1, что позволяет минимизировать вероятность dependency confusion.
И даже это еще не все… 😊 Крайне рекомендуем к ознакомлению! Читается на одном дыхании!
JFrog
Revival Hijack - PyPI hijack technique exploited in the wild, puts 22K packages at risk
JFrog’s security research team continuously monitors open-source software registries, proactively identifying and addressing potential malware and vulnerability threats to foster a secure and reliable ecosystem for open-source software development and deployment.…
👍7🤯5🔥2⚡1
JET Pilot: UI для Kubernetes
Всем привет!
Если вы из тех, кому нравится выбор, и вы любите смотреть на разные технологии, решающие одну и ту же задачу, но по-разному, то JET Pilot может вас заинтересовать.
Это минималистичный UI для Kubernetes, который позволяет:
🍭 Получать информацию о ресурсах кластера
🍭 Смотреть и редактировать их конфигурацию
🍭 Анализировать логи в real time
🍭 Получать shell-доступ внутрь контейнера
Каких-то явных преимуществ в сравнении с Lens или k9s у него нет. Но у всех свои вкусы )
Например, тот, кто написал этот пост любит k9s и не очень любит использовать Lens 😊
Всем привет!
Если вы из тех, кому нравится выбор, и вы любите смотреть на разные технологии, решающие одну и ту же задачу, но по-разному, то JET Pilot может вас заинтересовать.
Это минималистичный UI для Kubernetes, который позволяет:
🍭 Получать информацию о ресурсах кластера
🍭 Смотреть и редактировать их конфигурацию
🍭 Анализировать логи в real time
🍭 Получать shell-доступ внутрь контейнера
Каких-то явных преимуществ в сравнении с Lens или k9s у него нет. Но у всех свои вкусы )
Например, тот, кто написал этот пост любит k9s и не очень любит использовать Lens 😊
GitHub
GitHub - unxsist/jet-pilot: JET Pilot is an open-source Kubernetes desktop client that focuses on less clutter, speed and good…
JET Pilot is an open-source Kubernetes desktop client that focuses on less clutter, speed and good looks. - unxsist/jet-pilot
🔥4👍3⚡1
KubeAdmiral: multi-cluster orchestration engine!
Всем привет!
В начале своей деятельности команда ByteDance использовала подход, в котором для каждого бизнес-направления использовались собственные кластеры Kubernetes.
Со временем, ребята поняли, что такой подход имеет ряд существенных ограничений с утилизацией ресурсов и поддержкой отдельно взятых инсталляций.
Это привело к дому, что они начали «копать» в сторону реализации федеративных кластеров. И сперва использовали для этого KubeFed.
Концепт состоит в том, что есть host и member кластеры. Пользователь может создать federated-ресурс на host кластере, после чего он будет создан в member-кластерах.
Однако, и у такого подхода есть недостатки: поддержка ограниченного количества ресурсов для scheduling; возможные проблемы, связанные с rescheduling и не только.
Все описанное выше привело к тому, что был создан KubeAdmiral! Он позволяет централизованно управлять множеством кластеров и не содержит недостатков, которые есть у KubeFed.
Подробнее о нем можно прочесть в статье, repo проекта или в документации.
Всем привет!
В начале своей деятельности команда ByteDance использовала подход, в котором для каждого бизнес-направления использовались собственные кластеры Kubernetes.
Со временем, ребята поняли, что такой подход имеет ряд существенных ограничений с утилизацией ресурсов и поддержкой отдельно взятых инсталляций.
Это привело к дому, что они начали «копать» в сторону реализации федеративных кластеров. И сперва использовали для этого KubeFed.
Концепт состоит в том, что есть host и member кластеры. Пользователь может создать federated-ресурс на host кластере, после чего он будет создан в member-кластерах.
Однако, и у такого подхода есть недостатки: поддержка ограниченного количества ресурсов для scheduling; возможные проблемы, связанные с rescheduling и не только.
Все описанное выше привело к тому, что был создан KubeAdmiral! Он позволяет централизованно управлять множеством кластеров и не содержит недостатков, которые есть у KubeFed.
Подробнее о нем можно прочесть в статье, repo проекта или в документации.
GitHub
GitHub - kubewharf/kubeadmiral: Multi-Cluster Kubernetes Orchestration
Multi-Cluster Kubernetes Orchestration. Contribute to kubewharf/kubeadmiral development by creating an account on GitHub.
❤6🔥4👍2
VEX Hub: агрегация информации по VEX-отчетам
Всем привет!
Vulnerability Exploitability eXchange (VEX) – удобный формат обмена информацией о том, подвержено ли некоторое ПО уязвимости X или нет. Или при каких условиях. VEX может быть частью SBOM, а может жить «самостоятельной жизнью».
Его задача достаточно проста – обогащение информацией. Процесс управления уязвимостями (Vulnerability Management), вероятно, больше всех прочих нуждается в множестве данных, которые помогут принять решение и расставить приоритеты.
Как иначе понять, за какую из 100 Critical-уязвимостей браться в первую очередь, при условии, что «мощность» команды на устранение в нужный период лишь 40 штук?
Для того, чтобы немного упростить жизнь, команда Aqua Security анонсировала VEX Hub! У него крайне простое назначение – агрегировать VEX-данные от различных производителей и централизованно предоставлять информацию пользователям.
Работает по следующему принципу:
🍭 Maintainer repo создает папку .vex в корне и помещает в нее отчет
🍭 Maintainer делает PR в VEX Hub с просьбой добавить его для сбора информации
🍭 Crawler Aqua собирает данные и агрегирует все в едином repo
🍭 Все!
Больше подробностей можно узнать в repo проекта или в статье от Aqua Security. Да, наполнение пока «не очень», но и проект анонсировали недавно. Интересно будет наблюдать за его развитием 😊
P.S. Кстати, Trivy, начиная с версии v0.54 может работать с VEX для предоставления еще большей информации об уязвимостях.
Всем привет!
Vulnerability Exploitability eXchange (VEX) – удобный формат обмена информацией о том, подвержено ли некоторое ПО уязвимости X или нет. Или при каких условиях. VEX может быть частью SBOM, а может жить «самостоятельной жизнью».
Его задача достаточно проста – обогащение информацией. Процесс управления уязвимостями (Vulnerability Management), вероятно, больше всех прочих нуждается в множестве данных, которые помогут принять решение и расставить приоритеты.
Как иначе понять, за какую из 100 Critical-уязвимостей браться в первую очередь, при условии, что «мощность» команды на устранение в нужный период лишь 40 штук?
Для того, чтобы немного упростить жизнь, команда Aqua Security анонсировала VEX Hub! У него крайне простое назначение – агрегировать VEX-данные от различных производителей и централизованно предоставлять информацию пользователям.
Работает по следующему принципу:
🍭 Maintainer repo создает папку .vex в корне и помещает в нее отчет
🍭 Maintainer делает PR в VEX Hub с просьбой добавить его для сбора информации
🍭 Crawler Aqua собирает данные и агрегирует все в едином repo
🍭 Все!
Больше подробностей можно узнать в repo проекта или в статье от Aqua Security. Да, наполнение пока «не очень», но и проект анонсировали недавно. Интересно будет наблюдать за его развитием 😊
P.S. Кстати, Trivy, начиная с версии v0.54 может работать с VEX для предоставления еще большей информации об уязвимостях.
GitHub
GitHub - aquasecurity/vexhub
Contribute to aquasecurity/vexhub development by creating an account on GitHub.
❤2⚡2👍2
Top100Vulns.pdf
420.1 KB
Top100 Vulnerabilities: Step-By-Step
Всем привет!
В приложении вы найдете файл, в котором рассматриваются наиболее известные уязвимости. Например, SQLi, XSS, SSI, Brute Force и т.д.
Для каждой из них описано:
🍭 Параметры. Фактически – причины, из-за которых уязвимость возникает и ее можно эксплуатировать
🍭 Воспроизведение. Верхнеуровневый алгоритм, который позволит ей «воспользоваться»
Не стоит искать в документе алгоритма в стиле «делай 1,2,3 и реализуешь SQLi» - его там не будет.
Однако, в нем можно найти общие концепты, которые помогут лучше понять происходящее и как от него можно и нужно защищаться.
Всем привет!
В приложении вы найдете файл, в котором рассматриваются наиболее известные уязвимости. Например, SQLi, XSS, SSI, Brute Force и т.д.
Для каждой из них описано:
🍭 Параметры. Фактически – причины, из-за которых уязвимость возникает и ее можно эксплуатировать
🍭 Воспроизведение. Верхнеуровневый алгоритм, который позволит ей «воспользоваться»
Не стоит искать в документе алгоритма в стиле «делай 1,2,3 и реализуешь SQLi» - его там не будет.
Однако, в нем можно найти общие концепты, которые помогут лучше понять происходящее и как от него можно и нужно защищаться.
👍5🔥1
Диаграммы на любой вкус и цвет!
Всем привет!
Многие люди гораздо проще готовы воспринимать информацию, представленную в виде графики, а не текстового описания.
Если вы из таких, то этот легкий пятничный пост точно для вас! На сайте собрано невообразимое количество различных схем.
Например, можно найти:
🍭 Infrastructure as Code
🍭 API Security Cheatsheets
🍭 Объяснение принципов работы аутентификации (Password, Session, Cookie, Token, JWT, SSO, OAuth)
🍭 Good Coding Principles to Improve Code Quality и много чего еще
Помимо самой схемы-диаграммы есть небольшое описание или ссылка на видеоролик, в котором можно найти больше информации
P.S. Всех с пятницей и отличных вам выходных!!! 😊
Всем привет!
Многие люди гораздо проще готовы воспринимать информацию, представленную в виде графики, а не текстового описания.
Если вы из таких, то этот легкий пятничный пост точно для вас! На сайте собрано невообразимое количество различных схем.
Например, можно найти:
🍭 Infrastructure as Code
🍭 API Security Cheatsheets
🍭 Объяснение принципов работы аутентификации (Password, Session, Cookie, Token, JWT, SSO, OAuth)
🍭 Good Coding Principles to Improve Code Quality и много чего еще
Помимо самой схемы-диаграммы есть небольшое описание или ссылка на видеоролик, в котором можно найти больше информации
P.S. Всех с пятницей и отличных вам выходных!!! 😊
Bytebytego
ByteByteGo Newsletter | Alex Xu | Substack
Explain complex systems with simple terms, from the authors of the best-selling system design book series. Join over 1,000,000 friendly readers. Click to read ByteByteGo Newsletter, a Substack publication.
1👍7🔥4❤3