С чего начинать делать безопасный софт? Как сделать ваш сервер защищенным? Что обязательно учесть при выходе в прод? Хочу поделиться своим опытом.
Единственное что я могу сказать наверняка - что ⬇️
У всех разный старт, кто-то начинает с SAST, кто-то фиксит зависимости, но все придут к тому же заключению ⬆️
Поделюсь своим мнением -👨💻разработчики пишут код на ПК 🗄сборка выполняется на железе. Логично, что любой софт где-то запускается, а значит первое что надо сделать – обеспечить безопасность окружения.
Большинство угроз реализуются через общеизвестные компоненты или базовые мисконфигурации. Самое простое что вы можете сделать на старте - hardening окружения. Комплаенс CIS ушел дальше всех и собрал наиболее полезные бенчмарки по безопасности - рекомендую ознакомиться с ними.link
А так как мы с вами за практику - то давайте харденить нашу ОС🐧
В этом нам поможет OpenSCAP и Content - база бенчей.
1️⃣Подготовим нужный бенч из Content
2️⃣Отдадим его OpenSCAP
➡️На примере ubuntu20.04 (можно попробовать на домашней ОС)
В отчете вы увидите мисконфиги безопасности. Что с ними делать решайте сами...
P.S. только не перехардените домашную ОС как я🙈
P.S.S.
Единственное что я могу сказать наверняка - что ⬇️
Безопасность - это комплексная must have фича.
У всех разный старт, кто-то начинает с SAST, кто-то фиксит зависимости, но все придут к тому же заключению ⬆️
Поделюсь своим мнением -👨💻разработчики пишут код на ПК 🗄сборка выполняется на железе. Логично, что любой софт где-то запускается, а значит первое что надо сделать – обеспечить безопасность окружения.
Большинство угроз реализуются через общеизвестные компоненты или базовые мисконфигурации. Самое простое что вы можете сделать на старте - hardening окружения. Комплаенс CIS ушел дальше всех и собрал наиболее полезные бенчмарки по безопасности - рекомендую ознакомиться с ними.
А так как мы с вами за практику - то давайте харденить нашу ОС🐧
В этом нам поможет OpenSCAP и Content - база бенчей.
1️⃣Подготовим нужный бенч из Content
./build_product PRODUCT_NAME
2️⃣Отдадим его OpenSCAP
oscap xccdf eval --profile (профиль из бенча) --report report.html OUR_BENCH.xml
➡️На примере ubuntu20.04 (можно попробовать на домашней ОС)
./build_product UBUNTU2004
oscap xccdf eval --profile cis_level1_workstation --report report.html ssg-ubuntu-2004-ds.xml
В отчете вы увидите мисконфиги безопасности. Что с ними делать решайте сами...
P.S. только не перехардените домашную ОС как я🙈
P.S.S.
oscap xccdf generate fix --fix-type bash может автоматически собрать для вас скрипт для фикса всех файндингов - но использовать надо с умом.👍11🔥3❤2
Forwarded from Поросёнок Пётр
🔥У нас тут необычный пятничный конкурс нарисовался 🔥
Одна маленькая девочка пыталась закупить рекламу в канале для банка. Ну и она, видимо, не знала, что это за канал такой. Да и скорее всего, это была не девочка 😁
В итоге у нас появился CTF, где флагом будет root на сервере 🥷
А призом будет вполне реальная вкусная пицца с доставкой !!!
Полагаю, что после старта конкурса времени будет немного, но на то это и CTF.
Одна маленькая девочка пыталась закупить рекламу в канале для банка. Ну и она, видимо, не знала, что это за канал такой. Да и скорее всего, это была не девочка 😁
В итоге у нас появился CTF, где флагом будет root на сервере 🥷
А призом будет вполне реальная вкусная пицца с доставкой !!!
Полагаю, что после старта конкурса времени будет немного, но на то это и CTF.
185.239.50.190
Domain: TGSTAT.RU.COM
Registered: 20th September 2024
https://news.1rj.ru/str/blacktgbot_bot
https://tgstat.ru.com/durov.html
https://tgstat.ru.com/auth/oauth/telegram/auth.php?ref=durov
😁2
Forwarded from Поросёнок Пётр
Пицца достигла стола победителя, который своим усердием помог достать контакты жертв!
Жертвы, в свою очередь, были уведомлены о необходимости сброса сессий.
Сам скам был нацелен на владельцев различных каналов, предлагая покупку рекламы под видом крупного бренда(ТБанк,МТС). Из-за того, что бренды обычно покупают рекламу через агентства, бывает невозможно провести проверку через рабочую почту.
P.S. По счастливой случайности база перестала работать 😁
Виной тому — работа от root 💁🏻♂️
Спасибо всем кто не остался равнодушным к этой истории 🫶🏻
Жертвы, в свою очередь, были уведомлены о необходимости сброса сессий.
Сам скам был нацелен на владельцев различных каналов, предлагая покупку рекламы под видом крупного бренда(ТБанк,МТС). Из-за того, что бренды обычно покупают рекламу через агентства, бывает невозможно провести проверку через рабочую почту.
P.S. По счастливой случайности база перестала работать 😁
Виной тому — работа от root 💁🏻♂️
Спасибо всем кто не остался равнодушным к этой истории 🫶🏻
Ловите классную репу со сборником open source сканнеров 🔍:
- general purpose (Zap, Arachni...)
- infrastructure (Nuclei, Xray...)
- fuzzers / bruteforces (wfuzz, dirsearch)
- CMS (WPscan...)
- API (Cherrybomb, Akto...)
- Specialised (Sqlmap, XSStrike...)
💻 https://github.com/psiinon/open-source-web-scanners
👀 @ever_secure
- general purpose (Zap, Arachni...)
- infrastructure (Nuclei, Xray...)
- fuzzers / bruteforces (wfuzz, dirsearch)
- CMS (WPscan...)
- API (Cherrybomb, Akto...)
- Specialised (Sqlmap, XSStrike...)
Please open Telegram to view this post
VIEW IN TELEGRAM
👍10🤣1
Всем привет! Подписчики неоднократно просили сделать стрим по LunarVim 🌒 и AstroNvim 🌚. Если будут желающие, то организую. Да и в целом поговорим, как я живу с Vim и актуально ли это в 2024 году. Заменяет ли Neovim полноценную IDE. спойлер: 👍
Ставь огонек 🔥 если хочешь такой стрим!
P.S. если стрим зайдет, потом вообще сделаем свою сборку для Neovim 🫡 А пока ловите небольшой квиз 😄
Ставь огонек 🔥 если хочешь такой стрим!
P.S. если стрим зайдет, потом вообще сделаем свою сборку для Neovim 🫡 А пока ловите небольшой квиз 😄
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥54
Какой способ не позволяет выйти из Vim
Anonymous Quiz
8%
выключить компьютер
6%
:confirm quit
6%
закрыть терминал
11%
:exit
27%
:quit please
10%
:x
9%
выдернуть шнур питания из розетки
15%
ZZ
9%
:!kill -9 $(ps a | grep vim | awk '{print $1}')
🤯2👏1
Сходили на экскурсию в Cloud ☁️. Теперь можно говорить, что учился у ☁️ Native)
True Cloud Native Security Engineer 🛠️
True Cloud Native Security Engineer 🛠️
🔥13😁9
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Для всех у кого проблемы с Youtube. Перенес записи на VK Видео, собрал все в плейлисты на новых площадках:
- VK Видео
- Rutube
Теперь новые видео будут выкладываться на все площадки, смотрите там, где удобнее 👀. Также напоминаю, что выкладываемые записи доступны на Boosty бесплатно + сделана удобная навигация
📹 YT | 📺 RT | 📺 VK | 💰 Bsty
👀 @ever_secure
- VK Видео
- Rutube
Теперь новые видео будут выкладываться на все площадки, смотрите там, где удобнее 👀. Также напоминаю, что выкладываемые записи доступны на Boosty бесплатно + сделана удобная навигация
Please open Telegram to view this post
VIEW IN TELEGRAM
👍12❤2🔥2👏1
Ever Secure
Разрабатываем вариант черного худи, какой вариант больше нравится? 👀
У нас есть явный финалист! Последнее голосование 🗳️
Как лучше? Дизайн фиолетовой приложил
Как лучше? Дизайн фиолетовой приложил