This media is not supported in your browser
VIEW IN TELEGRAM
С наступающим Новым Годом Дракона🎄🎄🎄, дорогие подписчики. Год был крутым, спасибо вам за поддержку! Следующий будет круче и в плане контента тоже 💪
Ставь лайк, если тоже любишь Mortal Kombat 😏
Ставь лайк, если тоже любишь Mortal Kombat 😏
❤🔥10😁2
Forwarded from KOTELOV
Media is too big
VIEW IN TELEGRAM
Йоу! Выпуск с Хайлоада!
Сейчас узнаете все про Wildberries: как безопасники справляются с хайлоад нагрузками на сервера, грязной игрой между продавцами и самой большой уязвимостью в системе.
Это супер звездочки конференций, послушать доклады которых, съезжаются светлые умы айтишки: Алексей Федулаев и Антон Жаболенко — отвечают за IT-безопасность самого популярного маркетплейса в России Wildberries. Туда заходят 20 млн посетителей и оформляют 4,5 млн заказов каждый день по всей России и даже зарубежом.
Смотри подкаст перед тем, как добавить новую банковскую карту в личный кабинет любого маркетплейса👇
📹 Смотреть на Youtube https://youtu.be/msJeAr-yTGs
Ⓜ️ Слушать на mave https://kotelov.mave.digital/ep-51
Сейчас узнаете все про Wildberries: как безопасники справляются с хайлоад нагрузками на сервера, грязной игрой между продавцами и самой большой уязвимостью в системе.
Это супер звездочки конференций, послушать доклады которых, съезжаются светлые умы айтишки: Алексей Федулаев и Антон Жаболенко — отвечают за IT-безопасность самого популярного маркетплейса в России Wildberries. Туда заходят 20 млн посетителей и оформляют 4,5 млн заказов каждый день по всей России и даже зарубежом.
Смотри подкаст перед тем, как добавить новую банковскую карту в личный кабинет любого маркетплейса
Please open Telegram to view this post
VIEW IN TELEGRAM
👍10❤🔥5
Всем привет! 👋 праздники уже прошли, а значит пришло время исполнять обещания себе стать лучше 🫵 в связи с этим, напоминаю:
Я вместе с другими классными ребятами в Программном комитете новой конференции SafeCode 2024. Она впервые пройдет 13 и 14 марта онлайн. Будем обсуждать всё, что касается безопасности приложений: как теорию, так и практику.
Сейчас мы формируем программу и ищем спикеров. Последний день подачи заявки — 18 января.
👉Выбирайте тему из списка на сайте SafeCode или предлагайте свои идеи.
👉Подавайте заявку на сайте SafeCode. Мы обязательно ее рассмотрим и в течение нескольких дней свяжемся с вами, чтобы обсудить все подробности.
Мы с командой поддержим вас на всех этапах подготовки 🤝. Кстати, выступить можно в любом формате: с классическим докладом или воркшопом, провести дискуссию или придумать что-то свое 💅
Можно обращаться по всем вопросам, я свяжу с программным координатором 💪
Я вместе с другими классными ребятами в Программном комитете новой конференции SafeCode 2024. Она впервые пройдет 13 и 14 марта онлайн. Будем обсуждать всё, что касается безопасности приложений: как теорию, так и практику.
Сейчас мы формируем программу и ищем спикеров. Последний день подачи заявки — 18 января.
👉Выбирайте тему из списка на сайте SafeCode или предлагайте свои идеи.
👉Подавайте заявку на сайте SafeCode. Мы обязательно ее рассмотрим и в течение нескольких дней свяжемся с вами, чтобы обсудить все подробности.
Мы с командой поддержим вас на всех этапах подготовки 🤝. Кстати, выступить можно в любом формате: с классическим докладом или воркшопом, провести дискуссию или придумать что-то свое 💅
Можно обращаться по всем вопросам, я свяжу с программным координатором 💪
❤5
PoC на свежие уязвимости Gitlab, ранее GitLab выпустила обновления безопасности для устранения двух критических уязвимостей в платформе. Самое время обновиться.
This repository presents a proof-of-concept of CVE-2023-7028
https://github.com/Vozec/CVE-2023-7028
Gitlab CVE-2023-7028: Account Takeover via Password Reset without user interactions
https://github.com/RandomRobbieBF/CVE-2023-7028
Уязвимость (CVE-2023-7028), которой присвоен максимальный уровень опасности (10 из 10), позволяет захватить чужую учётную запись через манипуляции с формой восстановления забытого пароля. Уязвимость вызвана возможностью отправки письма с кодом для сброса пароля на неподтверждённые email-адреса. Проблема проявляется начиная с выпуска GitLab 16.1.0, в котором появилась возможность отправки кода восстановления пароля на неверифицированный запасной email-адрес.
Уязвимость CVE-2023-5356 присутствует в коде для интеграции с сервисами Slack и Mattermost, и позволяет выполнить /-команды под другим пользователем из-за отсутствия должной проверки авторизации. Проблеме присвоен уровень опасности 9.6 из 10.
This repository presents a proof-of-concept of CVE-2023-7028
https://github.com/Vozec/CVE-2023-7028
Gitlab CVE-2023-7028: Account Takeover via Password Reset without user interactions
https://github.com/RandomRobbieBF/CVE-2023-7028
Уязвимость (CVE-2023-7028), которой присвоен максимальный уровень опасности (10 из 10), позволяет захватить чужую учётную запись через манипуляции с формой восстановления забытого пароля. Уязвимость вызвана возможностью отправки письма с кодом для сброса пароля на неподтверждённые email-адреса. Проблема проявляется начиная с выпуска GitLab 16.1.0, в котором появилась возможность отправки кода восстановления пароля на неверифицированный запасной email-адрес.
Уязвимость CVE-2023-5356 присутствует в коде для интеграции с сервисами Slack и Mattermost, и позволяет выполнить /-команды под другим пользователем из-за отсутствия должной проверки авторизации. Проблеме присвоен уровень опасности 9.6 из 10.
👍1🤯1
Forwarded from DevOpsConf Channel
С Алексеем Федулаевым и Александром Хамитовым поговорим о безопасности CICD в условиях компрометации.
⠀
CICD системы — сердце любого современного проекта, он берет на себя роль и хранения, и сборки, и доставки. Трудно представить масштабный проект без Gitlab или Github под капотом. Однако это создает огромную точку отказа в системе. Давайте представим, что злоумышленник каким-либо образом скомпрометировал Gitlab? Что будет в таком случае и возможно ли как-то защититься от этого?
⠀
Встречаемся 4 и 5 марта в Москве на DevOpsConf 2024 🖐
⠀
✅ Программа конференции, предварительное расписание и билеты на сайте в описании канала @DevOpsConfChannel
⠀
CICD системы — сердце любого современного проекта, он берет на себя роль и хранения, и сборки, и доставки. Трудно представить масштабный проект без Gitlab или Github под капотом. Однако это создает огромную точку отказа в системе. Давайте представим, что злоумышленник каким-либо образом скомпрометировал Gitlab? Что будет в таком случае и возможно ли как-то защититься от этого?
⠀
Встречаемся 4 и 5 марта в Москве на DevOpsConf 2024 🖐
⠀
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4❤🔥3
Media is too big
VIEW IN TELEGRAM
Устал от пайплайнов на работе, приду домой, отдохну, посмотрю аниме.
тем временем аниме:
тем временем аниме:
😁13❤1😱1
Forwarded from DC7831 Info Channel (Wire Snark)
Открыта регистрация на нашу 5-ю конференцию Дефкон Нижний Новгород. Напоминаем, что она пройдет 24-25 февраля 2024 года во втором корпусе ННГУ по адресу Нижний Новгород, проспект Гагарина, 23к2. Краткая программа представлена ниже, подробнее можно прочитать на сайте https://defcon-nn.ru.
24 февраля, суббота
Главная сцена
09:30 Прибытие участников
10:20 Открытие конференции // Приветственное слово от DC7831
10:40 Как работает квантовый компьютер и причём тут Ибэ // Константин Евдокимов, [MIS]Team, Москва
11:20 (Не)безопасная безопасность // Алексей Федулаев, DevSecOps Team Lead в Wildberries, Москва
12:20 Секретный доклад // Борис "dukeBarman", Яндекс, Санкт-Петербург
13:00 Концепт сети Florete: летающий Интернет будущего // Wire Snark, DC7831, НПП "Прима", Нижний Новгород
14:40 СВЧ-антенны в авиационных системах высокоскоростной передачи данных // Даниил Литовский, инженер, и Марина Манахова, ведущий инженер в НПП «Прима», Нижний Новгород
15:00 Sub-GHz дельфина: большой обзор модулей и антенн // Роман Ананьев и Антон Дурнов, DC78422, Ульяновск (при содействии FlipperAddons.com)
15:40 RutheniumOS. Забота о себе, или зачем нужна ещё одна приватная ОС на базе AOSP // Александр Вир, независимый исследователь, Москва
16:40 Как и зачем знать свой внешний периметр наравне с хакерами? // Илья Коцюба, исследователь/red team/purple team, threat intelligence
17:20 За границей osint // Скалли, независимый исследователь
18:00 Подведение итогов первого дня
19:00 Afteparty
Аудитория 310: воркшопы
11:00 Воркшоп по Air gap // Алиса, независимый исследователь, Москва
14:40 Как сделать контейнеры и работу с ними безопасными // Анатолий "rusdacent", Luntry, Санкт-Петербург
17:20 Актуальные вопросы и проблемы ИБ (закрытый круглый стол) // Константин Евдокимов, [MIS]Team, Москва и Илья Коцюба, исследователь/red team/purple team, threat intelligence
Аудитория 314: CTF
Стенд WifiWall-TestZone // Сергей Иващенко, Виктор Зварыкин и Евгений Артемьев, пентестеры в компании Инфосистемы Джет, Москва
25 февраля, воскресенье
Главная сцена
10:20 Прибытие участников
11:00 Опыт разработки оркестратора микросервисов для встроенных систем forc // Денис Королёв, инженер-программист в YADRO, Нижний Новгород и Николай Фадеев, инженер-программист в НПП "Прима", Нижний Новгород
11:20 Никто не боится D-Bus // Альберто Мардеган, ведущий разработчик в компании "Открытая мобильная платформа", Санкт-Петербург
12:00 Опыт разработки библиотеки представления и кодирования структурированных данных libucode // Вячеслав Капля, инженер-программист в НПП "Прима", Нижний Новгород
12:40 Уязвимые API: приёмы и эксплуатация // Павел Степанов, независимый исследователь, Тула
14:20 Развитие фриланса в ИБ: вклад Bug Bounty платформ // Алексей Гришин, CPO CICADA8 команды инноваций МТС, Москва и Андрей Левкин, руководитель продукта BI.ZONE Bug Bounty, Москва
15:00 Вредные советы для руководителя, или Как завалить любой ИТ-проект // Егор Харченко, Лаборатория Касперского
15:40 Как масштабировать команду без тимлидов: опыт плоской организации в миниатюре // Wire Snark, DC7831, НПП "Прима", Нижний Новгород
16:00 Закрытие конференции
Аудитория 310: CTF
Стенд WifiWall-TestZone // Сергей Иващенко, Виктор Зварыкин и Евгений Артемьев, пентестеры в компании Инфосистемы Джет, Москва
24 февраля, суббота
Главная сцена
09:30 Прибытие участников
10:20 Открытие конференции // Приветственное слово от DC7831
// блок keynotes10:40 Как работает квантовый компьютер и причём тут Ибэ // Константин Евдокимов, [MIS]Team, Москва
11:20 (Не)безопасная безопасность // Алексей Федулаев, DevSecOps Team Lead в Wildberries, Москва
12:20 Секретный доклад // Борис "dukeBarman", Яндекс, Санкт-Петербург
13:00 Концепт сети Florete: летающий Интернет будущего // Wire Snark, DC7831, НПП "Прима", Нижний Новгород
// блок hardware & tinkering 14:40 СВЧ-антенны в авиационных системах высокоскоростной передачи данных // Даниил Литовский, инженер, и Марина Манахова, ведущий инженер в НПП «Прима», Нижний Новгород
15:00 Sub-GHz дельфина: большой обзор модулей и антенн // Роман Ананьев и Антон Дурнов, DC78422, Ульяновск (при содействии FlipperAddons.com)
15:40 RutheniumOS. Забота о себе, или зачем нужна ещё одна приватная ОС на базе AOSP // Александр Вир, независимый исследователь, Москва
// блок intelligence16:40 Как и зачем знать свой внешний периметр наравне с хакерами? // Илья Коцюба, исследователь/red team/purple team, threat intelligence
17:20 За границей osint // Скалли, независимый исследователь
18:00 Подведение итогов первого дня
19:00 Afteparty
Аудитория 310: воркшопы
// блок security & tinkering11:00 Воркшоп по Air gap // Алиса, независимый исследователь, Москва
// блок security 14:40 Как сделать контейнеры и работу с ними безопасными // Анатолий "rusdacent", Luntry, Санкт-Петербург
17:20 Актуальные вопросы и проблемы ИБ (закрытый круглый стол) // Константин Евдокимов, [MIS]Team, Москва и Илья Коцюба, исследователь/red team/purple team, threat intelligence
Аудитория 314: CTF
Стенд WifiWall-TestZone // Сергей Иващенко, Виктор Зварыкин и Евгений Артемьев, пентестеры в компании Инфосистемы Джет, Москва
25 февраля, воскресенье
Главная сцена
10:20 Прибытие участников
// блок software11:00 Опыт разработки оркестратора микросервисов для встроенных систем forc // Денис Королёв, инженер-программист в YADRO, Нижний Новгород и Николай Фадеев, инженер-программист в НПП "Прима", Нижний Новгород
11:20 Никто не боится D-Bus // Альберто Мардеган, ведущий разработчик в компании "Открытая мобильная платформа", Санкт-Петербург
12:00 Опыт разработки библиотеки представления и кодирования структурированных данных libucode // Вячеслав Капля, инженер-программист в НПП "Прима", Нижний Новгород
// блок security 12:40 Уязвимые API: приёмы и эксплуатация // Павел Степанов, независимый исследователь, Тула
14:20 Развитие фриланса в ИБ: вклад Bug Bounty платформ // Алексей Гришин, CPO CICADA8 команды инноваций МТС, Москва и Андрей Левкин, руководитель продукта BI.ZONE Bug Bounty, Москва
// блок management15:00 Вредные советы для руководителя, или Как завалить любой ИТ-проект // Егор Харченко, Лаборатория Касперского
15:40 Как масштабировать команду без тимлидов: опыт плоской организации в миниатюре // Wire Snark, DC7831, НПП "Прима", Нижний Новгород
16:00 Закрытие конференции
Аудитория 310: CTF
Стенд WifiWall-TestZone // Сергей Иващенко, Виктор Зварыкин и Евгений Артемьев, пентестеры в компании Инфосистемы Джет, Москва
Google Docs
Регистрация на конференцию DEFCON Нижний Новгород
- если вам понадобится розетка, просим по возможности захватить свой удлинитель/сетевой фильтр
❤🔥5❤1
Давно не радовал вас контентом, исправляюсь) очередной выпуск подкаста SafeCode.
Новый выпуск подкаста [SafeCode Live] — о безопасности современных веб-приложений
В этот раз я позвал в гости Виктора Бобылькова (CISO в MTS Web Services), Алексея Морозова (руководитель Application Security в Samokat.tech) и Александру Сватикову (системный архитектор команды Identity and Access Management в Yandex Cloud).
Новый выпуск подкаста [SafeCode Live] — о безопасности современных веб-приложений
В этот раз я позвал в гости Виктора Бобылькова (CISO в MTS Web Services), Алексея Морозова (руководитель Application Security в Samokat.tech) и Александру Сватикову (системный архитектор команды Identity and Access Management в Yandex Cloud).
❤11
Forwarded from Aleksey Fedulaev
Ваш любимый DevSecOps (слева), главный ИБ мемолог в ру пространстве (справа) и админ паблика https://news.1rj.ru/str/theaftertimes (в центре) передают всем привет)
👍8❤🔥1😁1
Немного фоточек с моего выступления на DC7831 и выездная встреча ПК DevOops Conf)
🔥6❤🔥3👍2
Подъехала запись моего выступления с ТБ Форум. Легкий доклад про то, что безопасная разработка не существует в вакууме и неразрывна с другой безопасностью 🤝
https://youtu.be/aYDkZNy6R04?t=19155&si=0hhWpDIhwFMjPPSV
https://youtu.be/aYDkZNy6R04?t=19155&si=0hhWpDIhwFMjPPSV
YouTube
Цифровая трансформация для компаний и органов власти
ТБ Форум 2024 | Москва | 14 февраля 2024
Платформы, продукты и сервисы для автоматизации бизнес-процессов
00:00 Приветственное слово модераторов конференции.
Блок 1 “Оптимизация промышленных и производственных процессов предприятия”
1:15 Цифровые двойники:…
Платформы, продукты и сервисы для автоматизации бизнес-процессов
00:00 Приветственное слово модераторов конференции.
Блок 1 “Оптимизация промышленных и производственных процессов предприятия”
1:15 Цифровые двойники:…
🔥9👍4🥰1