Nginx 1.18 0-Day
Будьте внимательнее к своим веб-серверам. Хакерская группировка APT49 опубликовала информацию о том, что готовят эксплоит для Nginx 1.18.
Если вы используете Nginx и модуль LDAP, обязательно ознакомьтесь с материалами ниже.
References:
- https://twitter.com/_Blue_hornet/status/1512759109275242497
- https://github.com/AgainstTheWest/NginxDay
Будьте внимательнее к своим веб-серверам. Хакерская группировка APT49 опубликовала информацию о том, что готовят эксплоит для Nginx 1.18.
Если вы используете Nginx и модуль LDAP, обязательно ознакомьтесь с материалами ниже.
References:
- https://twitter.com/_Blue_hornet/status/1512759109275242497
- https://github.com/AgainstTheWest/NginxDay
👍3
Всем привет!
На последнем митапе про workflow разработки при внедрении инструментов и техник безопасности мы дарили плакаты с майндмэпом процесса DevSecOps, как своего рода резюме сказанного в докладах.
Печатные версии кончились, но остался PDF, который можно распечатать в хорошем качестве. Раздаем его в ЛС.
Отмечайтесь в комментариях — безвозмездно пришлем ;)
На последнем митапе про workflow разработки при внедрении инструментов и техник безопасности мы дарили плакаты с майндмэпом процесса DevSecOps, как своего рода резюме сказанного в докладах.
Печатные версии кончились, но остался PDF, который можно распечатать в хорошем качестве. Раздаем его в ЛС.
Отмечайтесь в комментариях — безвозмездно пришлем ;)
👍8❤1
Как найти и выбрать бесплатный сканер уязвимостей?
Не так давно нашел репозиторий, в котором собраны свободно распространяемые сканеры веб-приложений, сетевой инфраструктуры, API, CMS: https://github.com/psiinon/open-source-web-scanners
Список известный в кругах, но автор репозитория сагригировал все вместе, указал даты последних обновлений, количество звезд на Github и тд. Это как раз то, на что стоит обратить внимание при выборе опенсорс сканера, конечно помимо технических требований. Если у проекта много контрибьюторов, звезд, частые обновления, то явно проект живой и пользуется популярностью. Мы, например, в проектах используем Nuclei со своими шаблонами, советуем присмотреться к сканеру, кстати он тоже указан в репозитории.
Некоторые из представленных ПО можно легко интегрировать в процесс CI для динамического тестирования.
Кстати, подобные страницы есть и у OWASP:
- Free for Open Source Application Security Tools
- Vulnerability Scanning Tools
Не так давно нашел репозиторий, в котором собраны свободно распространяемые сканеры веб-приложений, сетевой инфраструктуры, API, CMS: https://github.com/psiinon/open-source-web-scanners
Список известный в кругах, но автор репозитория сагригировал все вместе, указал даты последних обновлений, количество звезд на Github и тд. Это как раз то, на что стоит обратить внимание при выборе опенсорс сканера, конечно помимо технических требований. Если у проекта много контрибьюторов, звезд, частые обновления, то явно проект живой и пользуется популярностью. Мы, например, в проектах используем Nuclei со своими шаблонами, советуем присмотреться к сканеру, кстати он тоже указан в репозитории.
Некоторые из представленных ПО можно легко интегрировать в процесс CI для динамического тестирования.
Кстати, подобные страницы есть и у OWASP:
- Free for Open Source Application Security Tools
- Vulnerability Scanning Tools
👍9
Познакомимся? Расскажите чем вы занимаетесь?
Anonymous Poll
17%
Пентестер
12%
Разработчик
12%
Аналитик ИБ
12%
Инженер ИБ
4%
AppSec
4%
DevOps
7%
CISO
4%
CIO/CTO
3%
CEO
26%
Студент
Всем привет! Если верить опросу, то больше 20% из вас — студенты. Возможно, вам будет полезно посмотреть наш вчерашний тренинг для НИЯУ МИФИ.
Рассказал про:
— главные аспекты профессии пентестера;
— возможности развития в сфере информационной безопасности и варианты картерного трека;
— материалы для развития в этой области.
Ссылка на запись — https://www.youtube.com/watch?v=_QsZfR5EVsc&t=183s
Рассказал про:
— главные аспекты профессии пентестера;
— возможности развития в сфере информационной безопасности и варианты картерного трека;
— материалы для развития в этой области.
Ссылка на запись — https://www.youtube.com/watch?v=_QsZfR5EVsc&t=183s
YouTube
Как стать этичным хакером — тренинг для карьерного центра НИЯУ МИФИ
Запись тренинга Александра Герасимова, директора по информационной безопасности Awillix, для НИЯУ МИФИ.
Тезисы:
— главные аспекты профессии пентестера;
— возможности развития в сфере информационной безопасности и варианты картерного трека;
— материалы…
Тезисы:
— главные аспекты профессии пентестера;
— возможности развития в сфере информационной безопасности и варианты картерного трека;
— материалы…
🔥5
Инциденты с Rutube и ТВ-провайдерами: кто виноват и что делать? — Рассказали свое мнение Хайтеку.
А вы как думаете, дорогие подписчики? :)
https://hightech.fm/2022/05/12/rutube-dead-alive
А вы как думаете, дорогие подписчики? :)
https://hightech.fm/2022/05/12/rutube-dead-alive
Хайтек
Rutube жив или мертв? Что произошло с российским видеохостингом, которому «удалили код»
Утром 9 мая 2022 года Rutube подвергся хакерской атаке, об этом говорилось в заявлении на официальном сайте. Позже появилась информация, что в результате кибератаки код сайта оказался «полностью удален» и его не получится восстановить. «Хайтек» разбирается…
👍6
#HighLoadFoundation2022
14 мая выступил на крупнейшей профессиональной конференции для разработчиков высоконагруженных систем. 3000 человек из разных регионов обмениваются знаниями о технологиях — это было масштабно :)
Мой доклад не относился к высокой нагрузке и я сильно отличался от других. Но несмотря на это, слушатели были заинтересованными, что, безусловно, приятно. Я рассказал про сканеры кода, про переход от иностранных и коммерческих к отечественным и свободно распространяемым.
Отвечал на вопросы про их разницу и рассказывал, как внедрить подобные решения у себя. Чуть позже (если разрешат организаторы) поделюсь записью выступления и вы тоже сможете найти практические фишки.
Лайк, если интересны посты на тему сканеров.
14 мая выступил на крупнейшей профессиональной конференции для разработчиков высоконагруженных систем. 3000 человек из разных регионов обмениваются знаниями о технологиях — это было масштабно :)
Мой доклад не относился к высокой нагрузке и я сильно отличался от других. Но несмотря на это, слушатели были заинтересованными, что, безусловно, приятно. Я рассказал про сканеры кода, про переход от иностранных и коммерческих к отечественным и свободно распространяемым.
Отвечал на вопросы про их разницу и рассказывал, как внедрить подобные решения у себя. Чуть позже (если разрешат организаторы) поделюсь записью выступления и вы тоже сможете найти практические фишки.
Лайк, если интересны посты на тему сканеров.
👍28
Использование фреймворков, библиотек и внешних сервисов для написания, хранения, тестирования и деплоя собственного кода — существенно ускоряет процесс разработки и выхода IT-продукта на рынок. Но это добавляет множество сторонних зависимостей и связанных с ними уязвимостей.
Анастасия Худоярова, наш ведущий специалист по безопасной разработке, рассказала на TProger, какие SCA-инструменты позволяют проанализировать сторонние зависимости, чтобы поддержать безопасность на всех этапах разработки.
Подробнее — в карточках и статье по ссылке.
Анастасия Худоярова, наш ведущий специалист по безопасной разработке, рассказала на TProger, какие SCA-инструменты позволяют проанализировать сторонние зависимости, чтобы поддержать безопасность на всех этапах разработки.
Подробнее — в карточках и статье по ссылке.
👍9🔥1
Как быстро определить поддомены организации
Сбор поддоменов — важная часть этапа рекогносцировки в пентестах, анализах защищенности. Также это может помочь организациям обнаружить забытые или ненужные публикации.
Если не хотите ставить утилиты для сбора информации о поддоменах, например, amaas, Sublist3r, можно воспользоваться специальными сервисам:
➜ Project Corbat: очень крутой исследовательский проект компании Rapid7, за секунду выгружает список поддоменов, находит TLD, умеет в Reverse DNS Lookup.
➜ Subdomain Finder: веб-сервис, который за короткое время показывает поддомены компании и определяет, используется ли Cloudfalre.
➜ crt.sh: поиск сертификатов, в которых поле CN совпадает с указанным доменом. Как известно, в поле CN может быть не один домен.
➜ Virustotal: кроме анализа файлов и сайтов на наличие малвари virustotal позволяет увидеть связи между доменным именем, в том числе поддоменов.
Конечно, есть и другие: Censys, Shodan и подобные, но, наверняка, вы о них уже знаете 😉
Сбор поддоменов — важная часть этапа рекогносцировки в пентестах, анализах защищенности. Также это может помочь организациям обнаружить забытые или ненужные публикации.
Если не хотите ставить утилиты для сбора информации о поддоменах, например, amaas, Sublist3r, можно воспользоваться специальными сервисам:
➜ Project Corbat: очень крутой исследовательский проект компании Rapid7, за секунду выгружает список поддоменов, находит TLD, умеет в Reverse DNS Lookup.
➜ Subdomain Finder: веб-сервис, который за короткое время показывает поддомены компании и определяет, используется ли Cloudfalre.
➜ crt.sh: поиск сертификатов, в которых поле CN совпадает с указанным доменом. Как известно, в поле CN может быть не один домен.
➜ Virustotal: кроме анализа файлов и сайтов на наличие малвари virustotal позволяет увидеть связи между доменным именем, в том числе поддоменов.
Конечно, есть и другие: Censys, Shodan и подобные, но, наверняка, вы о них уже знаете 😉
GitHub
GitHub - owasp-amass/amass: In-depth attack surface mapping and asset discovery
In-depth attack surface mapping and asset discovery - owasp-amass/amass
👍5
Переход от иностранных коммерческих сканеров кода к отечественным и свободно распространяемым
— Есть ли достойные бесплатные DAST-решения?
— Как можно писать собственные правила для поиска специфичных уязвимостей в динамике?
— Сканеры безопасности docker-образов: уменьшаем поверхность атаки в несколько шагов.
Доклад с конференции HighLoad Foundation теперь доступен в записи — https://www.youtube.com/watch?v=45IpvUW8P4E
Инджой!
— Есть ли достойные бесплатные DAST-решения?
— Как можно писать собственные правила для поиска специфичных уязвимостей в динамике?
— Сканеры безопасности docker-образов: уменьшаем поверхность атаки в несколько шагов.
Доклад с конференции HighLoad Foundation теперь доступен в записи — https://www.youtube.com/watch?v=45IpvUW8P4E
Инджой!
YouTube
Переход от иностранных коммерческих сканеров кода к отечественным / Александр Герасимов (Awillix)
HighLoad++ Foundation 2022
Презентация и тезисы: https://highload.ru/foundation/2022/abstracts/8969
* Есть ли достойные бесплатные DAST-решения, как можно писать собственные правила для поиска специфичных уязвимостей в динамике?
* Сканеры безопасности docker…
Презентация и тезисы: https://highload.ru/foundation/2022/abstracts/8969
* Есть ли достойные бесплатные DAST-решения, как можно писать собственные правила для поиска специфичных уязвимостей в динамике?
* Сканеры безопасности docker…
👍7❤🔥1