Такого мы вам вроде еще не рекомендовали, но видимо время настало – тут у ребят из «Лаборатории Касперского» грядет стрим по эффективному управлению инцидентами ИБ – ссылка

Полезно будет послушать как инженерам, так и менеджерам. Ну а для тех, кто только думает идти в ИБ – даст побольше контекста об одной из самых больных тем.

Обещают обсудить ландшафт кибергуроз, известные инциденты и их последствия и рекомендации при инциденте ИБ: пошаговое реагирование и превентивные меры.

Сам стрим пройдет 21 октября в 11:00.

#SOC

🧠 Пакет Знаний | 👨‍🏫 Менторство
📂 Другие каналы

Нашли для вас ресурс, где понятно объясняют распространённые уязвимости в веб приложениях.

В Hacksplaining вас ждёт 42 небольших модуля, где подробно рассказано про типовые веб уязвимости (XSS, SSRF, CSRF и т.д.). Объяснения сопровождаются красивой визуализацией.

Также, для закрепления материала, в конце каждого модуля есть не сложные тесты, которые закрепляют знания об уязвимостях.

#Pentest #AppSec

🧠 Пакет Знаний | 👨‍🏫 Менторство
📂 Другие каналы

Опа, а вот это уже интересно – ссылка

Если коротко, то ребята ИИфицировали SAST под ключ на базе мультиагентной системы.

Хейтеры скажу, что это конец AppSec-а. Я скажу, что это новая ветвь его эволюции.

#AppSec

🧠 Пакет Знаний | 👨‍🏫 Менторство
📂 Другие каналы

Понедельник - день тяжелый, так что не помешает немного расслабиться за чашечкой чая и почитать интересные статьи прошедшей недели.

Начнём с чего-то простого. Статья о взломе подарочного сертификата вдохновит вас на мысли о том, что уязвимости могут быть даже в самых простых системах.

Следующая статья расскажет о случаях безопасности протокола HTTP, которые нужно учитывать при разработке API. Полезно будет почитать как разработчикам, так и пентестерам.

Далее у нас идёт статья для синей команды - шпаргалка по Linux для DFIR.

Затем забираем себе подборку руководств и книг по DevSecOps.

Ну и закончим на сегодня объёмным и интересным разбором (буквально) POS-терминала.

Хорошего вам дня и продуктивной недели!

#AppSec #Pentest #DevSecOps

🧠 Пакет Знаний | 👨‍🏫 Менторство
📂 Другие каналы

Грокаем безопасность веб-приложений.

Это книга, о которой вы, вероятно, слышали уже не раз, поскольку она обрела популярность почти сразу же после выхода в тираж. Не исключено, что ажиотаж вызван благодаря стилистической схожести с ещё одним бэнгером – "Грокаем алгоритмы".

Данную книгу нам любезно предоставило издательство "Питер", за что мы его сердечно благодарим.

Со вступлением закончили, перейдём же к самому обзору. В книге разбирается в первую очередь аспект безопасной разработки веб-приложений.

Содержание книги поделено на две части:

• В первой части автор рассказывает читателю некоторую базу безопасности, начиная с того, кто такие хакеры и заканчивая понятным объяснением работы шифрования и процессов безопасной разработки. Полезно почитать тем, кто не знаком с архитектурой REST или плавает в вопросах различия http от https.

• Далее начинается самое интересное – вторая часть, где по главам разбираются уже сами уязвимости. Рекомендации по безопасности автор сопровождает наглядными фрагментами кода, в которых используются описанные меры защиты. Эту часть книги обязательно советуем к прочтению как аппсекам, так и пентестерам. Первым дают хорошие советы по обеспечению безопасности от описанных уязвимостей, а вторые смогут вдохновиться и узнать много нового о том, почему появляются эти же уязвимости.

Повествование в книге очень дружелюбное по отношению к читателю: каждая глава сопровождается качественными и понятными иллюстрациями, автор старается разжевать сложные концепции простыми аналогиями. В общем, чтиво довольно увлекательное.

Рекомендуем абсолютно всем, кому интересна веб-разработка или же тестирование на безопасность веб-приложений.

#Pentest #AppSec

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Самое время проверить себя и своих коллег на профпригодность.

Сегодня хотим рассказать вам о тесте Security Champion, который подскажет, какие моменты нужно подтянуть для прохождения предстоящих собесов.

Тест состоит из 20 вопросов, которые основаны на реальных кейсах взломов приложений. Вопросы посвящены следующим темам:
• Вывод информации в браузер (XSS)
• Обработка данных форм
• Предотвращение CRLF
• Предотвращение RCE
• Работа с SQL

В конце прохождения вам покажут диаграмму с оценкой скиллов по этим темам. Тест хоть и короткий, но вопросы интересные и сложные.

#BaseSecurity

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Всем привет! В этот прекрасный понедельник продолжаем радовать вас интересными статьями с хабра за прошедшую неделю.

Сегодня наша подборка будет состоять в основном из теоретической базы по сетевым технологиям. Первая статья посвящена протоколу DNS и его надстройке DNSSEC.

Следующая статья посвящена протоколу HTTP, а точнее про работу кэширования в этом протоколе. В тексте подробно рассказано про:
- заголовки, связанные с кэшированием;
- определение возраста ответа с примерами;
- распространённые мифы и заблуждения.

Дальше у нас идёт текст про технологию WiFi. В статье освящаются протоколы безопасности (WPA2, WPA3), их различие и современные методы аутентификации.

Ну и под конец парочка статей более практической направленности:
- Разбор уязвимости Blind LDAP Injection на примере CTF таска;
- Разбор пентеста пет-проекта. Хорошая статья, в которой качественно описаны отчёты об уязвимостях.

#BaseSecurity #Pentest

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Сегодня нашли для вас сервис с практическими лабами для синей команды - CyberDefenders.

Лабы делятся на следующие категории:
• Malware Analysis
• Threat Intel
• Network Forensics
• Endpoint Forensics
• Detection Engineering
• Threat Hunting
• Cloud Forensics

По последним трём темам к сожалению бесплатных лаб нет. Но зато на остальные темы вы сможете найти больше 80-ти заданий без подписки. Есть ещё задачи в разделе Trial, это премиум лабы, которые доступны бесплатно. Их всего 10, но неизвестно пополняется ли этот раздел или нет.

В остальном, платформа стандартная, есть райтапы к лабам, очки за прохождение активных машин, ну и сопутствующая таблица лидеров.

#MalwareAnalyst #SOC #Practice

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

В этот прекрасный пятничный день загрузим вас всякими большими и сложными табличками! А вы как думали, завтра работаем.

Это модель, отражающая зрелость процессов ИБ. Собрана она аж из пяти стандартов: COBIT 4.1/5, ISO 27001:2013, NIST Cybersecurity Framework, DNB 2017 и BIO 2019.

Сама модель делится на 15 аспектов, которые в свою очередь делятся на конкретные элементы. На практике это выглядит следующим образом:

Существует основной аспект, допустим "Управление инцидентами/проблемами". Данный аспект состоит из следующих элементов:
- Управление инцидентами;
- Эскалация инцидента;
- Реагирование на инциденты;
- Управление проблемами.

Далее у каждого элемента оценивается уровень зрелости. Всего уровней пять - от хаотичного процесса до максимального контроля и эффективности. Каждый уровень сопровождается подробным описанием для конкретного элемента.

Более подробно модель описана в данной статье.

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

OpenAI решили объединить два тренда 2025-го года - безопасность и AI-агентов. В итоге получился Aardvark - агент, который анализирует исходный код на предмет уязвимостей.

Судя по всему, это такой очень умный SAST, который и код проанализирует, и юнит-тесты напишет, и даже закинет коммит, который исправляет найденные уязвимости.

На бумаге, как всегда, всё выглядит хорошо, посмотрим как будет на практике. Пока что инструмент раскатывают в закрытой бете, на которую можно записаться по ссылке.

#AI #AppSec

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Зацените, что за красота 🤩

Тут у Security Vision в их материале для студентов есть интересные статейки.

Они расписали вопросы для собеседований и кейсы вместе с правильными ответами. Заучивать наизусть конечно будет излишне, но ознакомиться точно не помешает, чтобы примерно понимать, что вас ждёт на собесе.

Статьи доступные по следующим специальностям:
- Архитектор безопасности
- Аналитик IT-безопасности
- Специалист SOC
- Администратор систем безопасности
- Программист систем защиты ИБ
- Инженер ИБ
- Инженер по тестированию ПО
- Консультант по ИБ
- Разработчик ПО в сфере кибербезопасности

#BaseSecurity

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Под конец короткой рабочей недели ещё должны остаться силы, а значит можно ознакомиться с имбой для аппсеков - Secure Coding Handbook.

В этом документе есть рекомендации и лучшие практики по безопасному коду в контексте веб приложений. Эти рекомендации разделяются на 4 раздела:
- клиентсткие уязвимости;
- уязвимости сервера;
- уязвимости API;
- остальное (зависимости, десериализация, логирование).

Помимо этого в хэндбуке есть много ссылок на практику и документацию на разные фреймворки и инструменты.

#AppSec #Pentest

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Давно не было рабочих понедельников, примерно столько же не было и постов про статьи прошедшей недели - исправляемся.

Начинаем нашу подборку со статьи по безопасной настройке Kubernetes. В тексте приводятся рекомендации из стандарта CIS Kubernetes Benchmark по обустройству безопасных кластеров k8s. Также автор вкратце обозревает и другие гайдлайны (NSA/CISA, STIG, Модель 4С’s).

Далее у нас практический гайд по проектированию безопасной архитектуры. Автор выделил основные элементы безопасной инфраструктуры (выделенные и облачные серверы, межсетевой экран, сервисы и т.д.) и разобрал каждый из них.

От синей команды плавно перейдём к красной. Крайне важная статья для новичков-пентестеров (да и не только для новичков, в общем-то), в которой показываются последствия использования незнакомых эксплойтов и инструментов при проведении тестирования.

Ну и под конец у нас две информативные статьи:
- Разбор OWASP TOP 10 Machine Learning Security. В статье рассматривается каждый пункт этого топа и приводятся рекомендации по предотвращению описанных уязвимостей.
- Ну и так как у нас относительно недавно закончился октябрь, то держите подборку опасных уязвимостей прошедшего месяца.

#AppSec #DevSecOps #Pentest #AI

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Наконец-то OWASP Top 10 подаёт признаки жизни - выпустили релиз кандидат топа веб уязвимостей.

Коротко по изменениям:
○ A01:2025 Broken Access Control – Данный вид уязвимостей остаётся на первом месте. Вдобавок к этому пункту теперь относятся ещё SSRF уязвимости, которые были на 10-м месте топа 2021-го года.
○ A02:2025 Security Misconfiguration – Проблемы мисконфигурации стали встречаться чаще, поэтому уязвимость перенесена с 5-го места на 2-е.
○ A03:2025 Software Supply Chain Failures – Это расширенная версия A06:2021-Vulnerable and Outdated Components. В эту категорию добавились угрозы цепочки поставок.
○ A04:2025 Cryptographic Failures – Концептуальных изменения в этой категории нет, она переместилась со 2-го места на 4-е.
○ A05:2025 Injection – Эта категория также не претерпела серьёзных изменений. Она сместилась с 3-го места на 5-е.
○ A06:2025 Insecure Design – В данной категории также стало встречаться меньше уязвимостей, поэтому она сместилась с 4-го места на 6-е.
○ A07:2025 Authentication Failures – Данная категория заменяет собой A07:2021-Identification and Authentication Failures. В остальном концептуально ничего не поменялась, все угрозы связаны с аутентификацией.
○ A08:2025 Software or Data Integrity Failures – Категория повторяет аналогичный пункт из прошлого топа A08:2021-Software and Data Integrity Failures.
○ A09:2025 Logging & Alerting Failures – Также как и в 7-м пункте топа, у этой категории слегка изменено название. В остальном значительных изменений нет.
○ A10:2025 Mishandling of Exceptional Conditions – Полностью новая категория, которая концентрируется на некорректной обработке исключений, приводящей к сбою в системе. К этому пункту относятся логические баги, случаи переполнения буфера, состояния гонки и т.д.

Более подробно документ можно изучить тут. Финальный релиз списка запланирован на 20-е ноября.

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы