Вчера вместе с Антоном Жаболенко выступили на HighLoad++ 2023. 📢 Разбирали Living off the Land-атаки и как от них защититься (на примере контейнерных инфраструктур). 😎
Что это такое? Это атаки с использованием легитимных утилит для выполнения вредоносных действий. Направление важное для бизнеса, так как вредоносные активности такого плана обычно замаскированы и могут длительное время оставаться незамеченными для ИБ-специалистов. 💪🏻💪🏻💪🏻
А еще мы продолжаем нанимать! Ищем сильных лидов в безопасность инфраструктуры и инженеров в AppSec и DevSecOps. Мы рады пригласить на собеседование или познакомиться на перспективу. Обращаться можно ко мне или @iul_naidenova
Что это такое? Это атаки с использованием легитимных утилит для выполнения вредоносных действий. Направление важное для бизнеса, так как вредоносные активности такого плана обычно замаскированы и могут длительное время оставаться незамеченными для ИБ-специалистов. 💪🏻💪🏻💪🏻
А еще мы продолжаем нанимать! Ищем сильных лидов в безопасность инфраструктуры и инженеров в AppSec и DevSecOps. Мы рады пригласить на собеседование или познакомиться на перспективу. Обращаться можно ко мне или @iul_naidenova
🔥7❤2👍1
Forwarded from Константин Ди́пеж
This media is not supported in your browser
VIEW IN TELEGRAM
с небольшим опозданием, но выложили подкастик:
Впечатления о DevOops 2023
https://youtu.be/abHONNTbRuA
Впечатления о DevOops 2023
https://youtu.be/abHONNTbRuA
❤🔥6💩1
Друзья, выкладываю записи прошедших выступлений
https://youtu.be/J5SMaIqgzUI?si=BSOdUU77KomuKc1-
https://youtu.be/J5SMaIqgzUI?si=BSOdUU77KomuKc1-
YouTube
Как собрать контейнер и не вооружить хакера / Антон Жаболенко, Алексей Федулаев (Wildberries)
Приглашаем на конференцию Saint HighLoad++ 2025, которая пройдет 23 и 24 июня в Санкт-Петербурге!
Программа, подробности и билеты по ссылке: https://highload.ru/spb/2025
________
Крупнейшая профессиональная конференция для разработчиков высоконагруженных…
Программа, подробности и билеты по ссылке: https://highload.ru/spb/2025
________
Крупнейшая профессиональная конференция для разработчиков высоконагруженных…
🔥5👍3
В понедельник 18.12 будем опять ломать 🔨
На этот раз Docker 🐳
Буду ждать на открытом уроке
https://otus.ru/lessons/devsecops/#event-3671
На этот раз Docker 🐳
Буду ждать на открытом уроке
https://otus.ru/lessons/devsecops/#event-3671
👍7🔥5👎1
новый выпуск SafeCode Live с моим участием уже на:
— YouTube
— Apple Podcasts
— Яндекс Музыке
— ВКонтакте
— YouTube
— Apple Podcasts
— Яндекс Музыке
— ВКонтакте
❤3👍2🔥2👏1
Погнали ломать контейнеры! мой открытый урок сейчас найчнется по ссылке
https://edu.livedigital.space/room/i7kmvYZQLR
https://edu.livedigital.space/room/i7kmvYZQLR
Please open Telegram to view this post
VIEW IN TELEGRAM
👍14⚡3
This media is not supported in your browser
VIEW IN TELEGRAM
С наступающим Новым Годом Дракона🎄🎄🎄, дорогие подписчики. Год был крутым, спасибо вам за поддержку! Следующий будет круче и в плане контента тоже 💪
Ставь лайк, если тоже любишь Mortal Kombat 😏
Ставь лайк, если тоже любишь Mortal Kombat 😏
❤🔥10😁2
Forwarded from KOTELOV
Media is too big
VIEW IN TELEGRAM
Йоу! Выпуск с Хайлоада!
Сейчас узнаете все про Wildberries: как безопасники справляются с хайлоад нагрузками на сервера, грязной игрой между продавцами и самой большой уязвимостью в системе.
Это супер звездочки конференций, послушать доклады которых, съезжаются светлые умы айтишки: Алексей Федулаев и Антон Жаболенко — отвечают за IT-безопасность самого популярного маркетплейса в России Wildberries. Туда заходят 20 млн посетителей и оформляют 4,5 млн заказов каждый день по всей России и даже зарубежом.
Смотри подкаст перед тем, как добавить новую банковскую карту в личный кабинет любого маркетплейса👇
📹 Смотреть на Youtube https://youtu.be/msJeAr-yTGs
Ⓜ️ Слушать на mave https://kotelov.mave.digital/ep-51
Сейчас узнаете все про Wildberries: как безопасники справляются с хайлоад нагрузками на сервера, грязной игрой между продавцами и самой большой уязвимостью в системе.
Это супер звездочки конференций, послушать доклады которых, съезжаются светлые умы айтишки: Алексей Федулаев и Антон Жаболенко — отвечают за IT-безопасность самого популярного маркетплейса в России Wildberries. Туда заходят 20 млн посетителей и оформляют 4,5 млн заказов каждый день по всей России и даже зарубежом.
Смотри подкаст перед тем, как добавить новую банковскую карту в личный кабинет любого маркетплейса
Please open Telegram to view this post
VIEW IN TELEGRAM
👍10❤🔥5
Всем привет! 👋 праздники уже прошли, а значит пришло время исполнять обещания себе стать лучше 🫵 в связи с этим, напоминаю:
Я вместе с другими классными ребятами в Программном комитете новой конференции SafeCode 2024. Она впервые пройдет 13 и 14 марта онлайн. Будем обсуждать всё, что касается безопасности приложений: как теорию, так и практику.
Сейчас мы формируем программу и ищем спикеров. Последний день подачи заявки — 18 января.
👉Выбирайте тему из списка на сайте SafeCode или предлагайте свои идеи.
👉Подавайте заявку на сайте SafeCode. Мы обязательно ее рассмотрим и в течение нескольких дней свяжемся с вами, чтобы обсудить все подробности.
Мы с командой поддержим вас на всех этапах подготовки 🤝. Кстати, выступить можно в любом формате: с классическим докладом или воркшопом, провести дискуссию или придумать что-то свое 💅
Можно обращаться по всем вопросам, я свяжу с программным координатором 💪
Я вместе с другими классными ребятами в Программном комитете новой конференции SafeCode 2024. Она впервые пройдет 13 и 14 марта онлайн. Будем обсуждать всё, что касается безопасности приложений: как теорию, так и практику.
Сейчас мы формируем программу и ищем спикеров. Последний день подачи заявки — 18 января.
👉Выбирайте тему из списка на сайте SafeCode или предлагайте свои идеи.
👉Подавайте заявку на сайте SafeCode. Мы обязательно ее рассмотрим и в течение нескольких дней свяжемся с вами, чтобы обсудить все подробности.
Мы с командой поддержим вас на всех этапах подготовки 🤝. Кстати, выступить можно в любом формате: с классическим докладом или воркшопом, провести дискуссию или придумать что-то свое 💅
Можно обращаться по всем вопросам, я свяжу с программным координатором 💪
❤5
PoC на свежие уязвимости Gitlab, ранее GitLab выпустила обновления безопасности для устранения двух критических уязвимостей в платформе. Самое время обновиться.
This repository presents a proof-of-concept of CVE-2023-7028
https://github.com/Vozec/CVE-2023-7028
Gitlab CVE-2023-7028: Account Takeover via Password Reset without user interactions
https://github.com/RandomRobbieBF/CVE-2023-7028
Уязвимость (CVE-2023-7028), которой присвоен максимальный уровень опасности (10 из 10), позволяет захватить чужую учётную запись через манипуляции с формой восстановления забытого пароля. Уязвимость вызвана возможностью отправки письма с кодом для сброса пароля на неподтверждённые email-адреса. Проблема проявляется начиная с выпуска GitLab 16.1.0, в котором появилась возможность отправки кода восстановления пароля на неверифицированный запасной email-адрес.
Уязвимость CVE-2023-5356 присутствует в коде для интеграции с сервисами Slack и Mattermost, и позволяет выполнить /-команды под другим пользователем из-за отсутствия должной проверки авторизации. Проблеме присвоен уровень опасности 9.6 из 10.
This repository presents a proof-of-concept of CVE-2023-7028
https://github.com/Vozec/CVE-2023-7028
Gitlab CVE-2023-7028: Account Takeover via Password Reset without user interactions
https://github.com/RandomRobbieBF/CVE-2023-7028
Уязвимость (CVE-2023-7028), которой присвоен максимальный уровень опасности (10 из 10), позволяет захватить чужую учётную запись через манипуляции с формой восстановления забытого пароля. Уязвимость вызвана возможностью отправки письма с кодом для сброса пароля на неподтверждённые email-адреса. Проблема проявляется начиная с выпуска GitLab 16.1.0, в котором появилась возможность отправки кода восстановления пароля на неверифицированный запасной email-адрес.
Уязвимость CVE-2023-5356 присутствует в коде для интеграции с сервисами Slack и Mattermost, и позволяет выполнить /-команды под другим пользователем из-за отсутствия должной проверки авторизации. Проблеме присвоен уровень опасности 9.6 из 10.
👍1🤯1
Forwarded from DevOpsConf Channel
С Алексеем Федулаевым и Александром Хамитовым поговорим о безопасности CICD в условиях компрометации.
⠀
CICD системы — сердце любого современного проекта, он берет на себя роль и хранения, и сборки, и доставки. Трудно представить масштабный проект без Gitlab или Github под капотом. Однако это создает огромную точку отказа в системе. Давайте представим, что злоумышленник каким-либо образом скомпрометировал Gitlab? Что будет в таком случае и возможно ли как-то защититься от этого?
⠀
Встречаемся 4 и 5 марта в Москве на DevOpsConf 2024 🖐
⠀
✅ Программа конференции, предварительное расписание и билеты на сайте в описании канала @DevOpsConfChannel
⠀
CICD системы — сердце любого современного проекта, он берет на себя роль и хранения, и сборки, и доставки. Трудно представить масштабный проект без Gitlab или Github под капотом. Однако это создает огромную точку отказа в системе. Давайте представим, что злоумышленник каким-либо образом скомпрометировал Gitlab? Что будет в таком случае и возможно ли как-то защититься от этого?
⠀
Встречаемся 4 и 5 марта в Москве на DevOpsConf 2024 🖐
⠀
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4❤🔥3
Media is too big
VIEW IN TELEGRAM
Устал от пайплайнов на работе, приду домой, отдохну, посмотрю аниме.
тем временем аниме:
тем временем аниме:
😁13❤1😱1