Понедельник - день тяжелый, так что не помешает немного расслабиться за чашечкой чая и почитать интересные статьи прошедшей недели.
Начнём с чего-то простого. Статья о взломе подарочного сертификата вдохновит вас на мысли о том, что уязвимости могут быть даже в самых простых системах.
Следующая статья расскажет о случаях безопасности протокола HTTP, которые нужно учитывать при разработке API. Полезно будет почитать как разработчикам, так и пентестерам.
Далее у нас идёт статья для синей команды - шпаргалка по Linux для DFIR.
Затем забираем себе подборку руководств и книг по DevSecOps.
Ну и закончим на сегодня объёмным и интересным разбором (буквально) POS-терминала.
Хорошего вам дня и продуктивной недели!
#AppSec #Pentest #DevSecOps
🧠 Пакет Знаний | 👨🏫 Менторство
📂 Другие каналы
Начнём с чего-то простого. Статья о взломе подарочного сертификата вдохновит вас на мысли о том, что уязвимости могут быть даже в самых простых системах.
Следующая статья расскажет о случаях безопасности протокола HTTP, которые нужно учитывать при разработке API. Полезно будет почитать как разработчикам, так и пентестерам.
Далее у нас идёт статья для синей команды - шпаргалка по Linux для DFIR.
Затем забираем себе подборку руководств и книг по DevSecOps.
Ну и закончим на сегодня объёмным и интересным разбором (буквально) POS-терминала.
Хорошего вам дня и продуктивной недели!
#AppSec #Pentest #DevSecOps
Please open Telegram to view this post
VIEW IN TELEGRAM
❤11👍4⚡1
Грокаем безопасность веб-приложений.
Это книга, о которой вы, вероятно, слышали уже не раз, поскольку она обрела популярность почти сразу же после выхода в тираж. Не исключено, что ажиотаж вызван благодаря стилистической схожести с ещё одним бэнгером – "Грокаем алгоритмы".
Данную книгу нам любезно предоставило издательство "Питер", за что мы его сердечно благодарим.
Со вступлением закончили, перейдём же к самому обзору. В книге разбирается в первую очередь аспект безопасной разработки веб-приложений.
Содержание книги поделено на две части:
• В первой части автор рассказывает читателю некоторую базу безопасности, начиная с того, кто такие хакеры и заканчивая понятным объяснением работы шифрования и процессов безопасной разработки. Полезно почитать тем, кто не знаком с архитектурой REST или плавает в вопросах различия http от https.
• Далее начинается самое интересное – вторая часть, где по главам разбираются уже сами уязвимости. Рекомендации по безопасности автор сопровождает наглядными фрагментами кода, в которых используются описанные меры защиты. Эту часть книги обязательно советуем к прочтению как аппсекам, так и пентестерам. Первым дают хорошие советы по обеспечению безопасности от описанных уязвимостей, а вторые смогут вдохновиться и узнать много нового о том, почему появляются эти же уязвимости.
Повествование в книге очень дружелюбное по отношению к читателю: каждая глава сопровождается качественными и понятными иллюстрациями, автор старается разжевать сложные концепции простыми аналогиями. В общем, чтиво довольно увлекательное.
Рекомендуем абсолютно всем, кому интересна веб-разработка или же тестирование на безопасность веб-приложений.
#Pentest #AppSec
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
Это книга, о которой вы, вероятно, слышали уже не раз, поскольку она обрела популярность почти сразу же после выхода в тираж. Не исключено, что ажиотаж вызван благодаря стилистической схожести с ещё одним бэнгером – "Грокаем алгоритмы".
Данную книгу нам любезно предоставило издательство "Питер", за что мы его сердечно благодарим.
Со вступлением закончили, перейдём же к самому обзору. В книге разбирается в первую очередь аспект безопасной разработки веб-приложений.
Содержание книги поделено на две части:
• В первой части автор рассказывает читателю некоторую базу безопасности, начиная с того, кто такие хакеры и заканчивая понятным объяснением работы шифрования и процессов безопасной разработки. Полезно почитать тем, кто не знаком с архитектурой REST или плавает в вопросах различия http от https.
• Далее начинается самое интересное – вторая часть, где по главам разбираются уже сами уязвимости. Рекомендации по безопасности автор сопровождает наглядными фрагментами кода, в которых используются описанные меры защиты. Эту часть книги обязательно советуем к прочтению как аппсекам, так и пентестерам. Первым дают хорошие советы по обеспечению безопасности от описанных уязвимостей, а вторые смогут вдохновиться и узнать много нового о том, почему появляются эти же уязвимости.
Повествование в книге очень дружелюбное по отношению к читателю: каждая глава сопровождается качественными и понятными иллюстрациями, автор старается разжевать сложные концепции простыми аналогиями. В общем, чтиво довольно увлекательное.
Рекомендуем абсолютно всем, кому интересна веб-разработка или же тестирование на безопасность веб-приложений.
#Pentest #AppSec
Please open Telegram to view this post
VIEW IN TELEGRAM
❤11🔥6🤩4😁1
Самое время проверить себя и своих коллег на профпригодность.
Сегодня хотим рассказать вам о тесте Security Champion, который подскажет, какие моменты нужно подтянуть для прохождения предстоящих собесов.
Тест состоит из 20 вопросов, которые основаны на реальных кейсах взломов приложений. Вопросы посвящены следующим темам:
• Вывод информации в браузер (XSS)
• Обработка данных форм
• Предотвращение CRLF
• Предотвращение RCE
• Работа с SQL
В конце прохождения вам покажут диаграмму с оценкой скиллов по этим темам. Тест хоть и короткий, но вопросы интересные и сложные.
#BaseSecurity
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
Сегодня хотим рассказать вам о тесте Security Champion, который подскажет, какие моменты нужно подтянуть для прохождения предстоящих собесов.
Тест состоит из 20 вопросов, которые основаны на реальных кейсах взломов приложений. Вопросы посвящены следующим темам:
• Вывод информации в браузер (XSS)
• Обработка данных форм
• Предотвращение CRLF
• Предотвращение RCE
• Работа с SQL
В конце прохождения вам покажут диаграмму с оценкой скиллов по этим темам. Тест хоть и короткий, но вопросы интересные и сложные.
#BaseSecurity
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥7❤4⚡3👎3🥰1💩1
Всем привет! В этот прекрасный понедельник продолжаем радовать вас интересными статьями с хабра за прошедшую неделю.
Сегодня наша подборка будет состоять в основном из теоретической базы по сетевым технологиям. Первая статья посвящена протоколу DNS и его надстройке DNSSEC.
Следующая статья посвящена протоколу HTTP, а точнее про работу кэширования в этом протоколе. В тексте подробно рассказано про:
- заголовки, связанные с кэшированием;
- определение возраста ответа с примерами;
- распространённые мифы и заблуждения.
Дальше у нас идёт текст про технологию WiFi. В статье освящаются протоколы безопасности (WPA2, WPA3), их различие и современные методы аутентификации.
Ну и под конец парочка статей более практической направленности:
- Разбор уязвимости Blind LDAP Injection на примере CTF таска;
- Разбор пентеста пет-проекта. Хорошая статья, в которой качественно описаны отчёты об уязвимостях.
#BaseSecurity #Pentest
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
Сегодня наша подборка будет состоять в основном из теоретической базы по сетевым технологиям. Первая статья посвящена протоколу DNS и его надстройке DNSSEC.
Следующая статья посвящена протоколу HTTP, а точнее про работу кэширования в этом протоколе. В тексте подробно рассказано про:
- заголовки, связанные с кэшированием;
- определение возраста ответа с примерами;
- распространённые мифы и заблуждения.
Дальше у нас идёт текст про технологию WiFi. В статье освящаются протоколы безопасности (WPA2, WPA3), их различие и современные методы аутентификации.
Ну и под конец парочка статей более практической направленности:
- Разбор уязвимости Blind LDAP Injection на примере CTF таска;
- Разбор пентеста пет-проекта. Хорошая статья, в которой качественно описаны отчёты об уязвимостях.
#BaseSecurity #Pentest
Please open Telegram to view this post
VIEW IN TELEGRAM
❤6🔥4🙏3👍1🍌1
Сегодня нашли для вас сервис с практическими лабами для синей команды - CyberDefenders.
Лабы делятся на следующие категории:
• Malware Analysis
• Threat Intel
• Network Forensics
• Endpoint Forensics
• Detection Engineering
• Threat Hunting
• Cloud Forensics
По последним трём темам к сожалению бесплатных лаб нет. Но зато на остальные темы вы сможете найти больше 80-ти заданий без подписки. Есть ещё задачи в разделе Trial, это премиум лабы, которые доступны бесплатно. Их всего 10, но неизвестно пополняется ли этот раздел или нет.
В остальном, платформа стандартная, есть райтапы к лабам, очки за прохождение активных машин, ну и сопутствующая таблица лидеров.
#MalwareAnalyst #SOC #Practice
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
Лабы делятся на следующие категории:
• Malware Analysis
• Threat Intel
• Network Forensics
• Endpoint Forensics
• Detection Engineering
• Threat Hunting
• Cloud Forensics
По последним трём темам к сожалению бесплатных лаб нет. Но зато на остальные темы вы сможете найти больше 80-ти заданий без подписки. Есть ещё задачи в разделе Trial, это премиум лабы, которые доступны бесплатно. Их всего 10, но неизвестно пополняется ли этот раздел или нет.
В остальном, платформа стандартная, есть райтапы к лабам, очки за прохождение активных машин, ну и сопутствующая таблица лидеров.
#MalwareAnalyst #SOC #Practice
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥7⚡2🙏2❤1
В этот прекрасный пятничный день загрузим вас всякими большими и сложными табличками! А вы как думали, завтра работаем.
Это модель, отражающая зрелость процессов ИБ. Собрана она аж из пяти стандартов: COBIT 4.1/5, ISO 27001:2013, NIST Cybersecurity Framework, DNB 2017 и BIO 2019.
Сама модель делится на 15 аспектов, которые в свою очередь делятся на конкретные элементы. На практике это выглядит следующим образом:
Существует основной аспект, допустим "Управление инцидентами/проблемами". Данный аспект состоит из следующих элементов:
- Управление инцидентами;
- Эскалация инцидента;
- Реагирование на инциденты;
- Управление проблемами.
Далее у каждого элемента оценивается уровень зрелости. Всего уровней пять - от хаотичного процесса до максимального контроля и эффективности. Каждый уровень сопровождается подробным описанием для конкретного элемента.
Более подробно модель описана в данной статье.
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
Это модель, отражающая зрелость процессов ИБ. Собрана она аж из пяти стандартов: COBIT 4.1/5, ISO 27001:2013, NIST Cybersecurity Framework, DNB 2017 и BIO 2019.
Сама модель делится на 15 аспектов, которые в свою очередь делятся на конкретные элементы. На практике это выглядит следующим образом:
Существует основной аспект, допустим "Управление инцидентами/проблемами". Данный аспект состоит из следующих элементов:
- Управление инцидентами;
- Эскалация инцидента;
- Реагирование на инциденты;
- Управление проблемами.
Далее у каждого элемента оценивается уровень зрелости. Всего уровней пять - от хаотичного процесса до максимального контроля и эффективности. Каждый уровень сопровождается подробным описанием для конкретного элемента.
Более подробно модель описана в данной статье.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥4🕊2💅2
OpenAI решили объединить два тренда 2025-го года - безопасность и AI-агентов. В итоге получился Aardvark - агент, который анализирует исходный код на предмет уязвимостей.
Судя по всему, это такой очень умный SAST, который и код проанализирует, и юнит-тесты напишет, и даже закинет коммит, который исправляет найденные уязвимости.
На бумаге, как всегда, всё выглядит хорошо, посмотрим как будет на практике. Пока что инструмент раскатывают в закрытой бете, на которую можно записаться по ссылке.
#AI #AppSec
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
Судя по всему, это такой очень умный SAST, который и код проанализирует, и юнит-тесты напишет, и даже закинет коммит, который исправляет найденные уязвимости.
На бумаге, как всегда, всё выглядит хорошо, посмотрим как будет на практике. Пока что инструмент раскатывают в закрытой бете, на которую можно записаться по ссылке.
#AI #AppSec
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4⚡2❤2🔥2
Тут у Security Vision в их материале для студентов есть интересные статейки.
Они расписали вопросы для собеседований и кейсы вместе с правильными ответами. Заучивать наизусть конечно будет излишне, но ознакомиться точно не помешает, чтобы примерно понимать, что вас ждёт на собесе.
Статьи доступные по следующим специальностям:
- Архитектор безопасности
- Аналитик IT-безопасности
- Специалист SOC
- Администратор систем безопасности
- Программист систем защиты ИБ
- Инженер ИБ
- Инженер по тестированию ПО
- Консультант по ИБ
- Разработчик ПО в сфере кибербезопасности
#BaseSecurity
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
Они расписали вопросы для собеседований и кейсы вместе с правильными ответами. Заучивать наизусть конечно будет излишне, но ознакомиться точно не помешает, чтобы примерно понимать, что вас ждёт на собесе.
Статьи доступные по следующим специальностям:
- Архитектор безопасности
- Аналитик IT-безопасности
- Специалист SOC
- Администратор систем безопасности
- Программист систем защиты ИБ
- Инженер ИБ
- Инженер по тестированию ПО
- Консультант по ИБ
- Разработчик ПО в сфере кибербезопасности
#BaseSecurity
Please open Telegram to view this post
VIEW IN TELEGRAM
⚡9❤5🤝4
Под конец короткой рабочей недели ещё должны остаться силы, а значит можно ознакомиться с имбой для аппсеков - Secure Coding Handbook.
В этом документе есть рекомендации и лучшие практики по безопасному коду в контексте веб приложений. Эти рекомендации разделяются на 4 раздела:
- клиентсткие уязвимости;
- уязвимости сервера;
- уязвимости API;
- остальное (зависимости, десериализация, логирование).
Помимо этого в хэндбуке есть много ссылок на практику и документацию на разные фреймворки и инструменты.
#AppSec #Pentest
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
В этом документе есть рекомендации и лучшие практики по безопасному коду в контексте веб приложений. Эти рекомендации разделяются на 4 раздела:
- клиентсткие уязвимости;
- уязвимости сервера;
- уязвимости API;
- остальное (зависимости, десериализация, логирование).
Помимо этого в хэндбуке есть много ссылок на практику и документацию на разные фреймворки и инструменты.
#AppSec #Pentest
Please open Telegram to view this post
VIEW IN TELEGRAM
vladtoie.gitbook.io
Secure Coding Handbook
❤5🔥3⚡2
Forwarded from Менторство ИБ | Пакет Безопасности
Оно живое!
Вот я и родил нашего собственного GPT-агента для проведения тестовых/мок-интервью – ссылка
Изначально я думал сделать его доступным только для наших учеников, но кажется, что он будет полезен и всей галактике (ну или нет).
По сути, это полноценный инструмент, который в удобном и интерактивном формате поможет вам подготовиться к прохождению технических интервью в сфере кибербезопасности.
Я сгрузил в него буквально всё, что накопил за долгие годы работы в ИБ, десятки менторств, сотни пройденных собеседований и килограммы сожженных нервных клеток. Агент обучен на вопросах с реальных интервью, кейсах и вакансиях, которые сейчас есть на рынке.
Пособеситься вы можете на любую роль из мира ИБ – от DevSecOps-а и AppSec-а до аналитика SOC L1 и комплаенс-безопасника. Также можно выбрать разные уровни сложности, опираясь на всем известные грейды: junior, middle, senior. Ну а по окончанию интерактивного интервью вы получите подробный разбор того, что было хорошо, какие знания стоит подтянуть, а на что обратить повышенное внимание.
Если вы заметите какие-то аномалии/галлюцинации или у вас будут предложения по улучшению этого GPT-агента – не сдерживайте себя и пишите смело мне – @romanpnn
Ну и пользуйтесь на здоровье – ссылка😐
👨🏫 Менторство ИБ | Отзывы
Вот я и родил нашего собственного GPT-агента для проведения тестовых/мок-интервью – ссылка
Изначально я думал сделать его доступным только для наших учеников, но кажется, что он будет полезен и всей галактике (ну или нет).
По сути, это полноценный инструмент, который в удобном и интерактивном формате поможет вам подготовиться к прохождению технических интервью в сфере кибербезопасности.
Я сгрузил в него буквально всё, что накопил за долгие годы работы в ИБ, десятки менторств, сотни пройденных собеседований и килограммы сожженных нервных клеток. Агент обучен на вопросах с реальных интервью, кейсах и вакансиях, которые сейчас есть на рынке.
Пособеситься вы можете на любую роль из мира ИБ – от DevSecOps-а и AppSec-а до аналитика SOC L1 и комплаенс-безопасника. Также можно выбрать разные уровни сложности, опираясь на всем известные грейды: junior, middle, senior. Ну а по окончанию интерактивного интервью вы получите подробный разбор того, что было хорошо, какие знания стоит подтянуть, а на что обратить повышенное внимание.
Если вы заметите какие-то аномалии/галлюцинации или у вас будут предложения по улучшению этого GPT-агента – не сдерживайте себя и пишите смело мне – @romanpnn
Ну и пользуйтесь на здоровье – ссылка
Please open Telegram to view this post
VIEW IN TELEGRAM
ChatGPT
ChatGPT - Interview Mentor | Менторство ИБ
ChatGPT helps you get answers, find inspiration, and be more productive.
👍7🔥4🫡4❤2
Давно не было рабочих понедельников, примерно столько же не было и постов про статьи прошедшей недели - исправляемся.
Начинаем нашу подборку со статьи по безопасной настройке Kubernetes. В тексте приводятся рекомендации из стандарта CIS Kubernetes Benchmark по обустройству безопасных кластеров k8s. Также автор вкратце обозревает и другие гайдлайны (NSA/CISA, STIG, Модель 4С’s).
Далее у нас практический гайд по проектированию безопасной архитектуры. Автор выделил основные элементы безопасной инфраструктуры (выделенные и облачные серверы, межсетевой экран, сервисы и т.д.) и разобрал каждый из них.
От синей команды плавно перейдём к красной. Крайне важная статья для новичков-пентестеров (да и не только для новичков, в общем-то), в которой показываются последствия использования незнакомых эксплойтов и инструментов при проведении тестирования.
Ну и под конец у нас две информативные статьи:
- Разбор OWASP TOP 10 Machine Learning Security. В статье рассматривается каждый пункт этого топа и приводятся рекомендации по предотвращению описанных уязвимостей.
- Ну и так как у нас относительно недавно закончился октябрь, то держите подборку опасных уязвимостей прошедшего месяца.
#AppSec #DevSecOps #Pentest #AI
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
Начинаем нашу подборку со статьи по безопасной настройке Kubernetes. В тексте приводятся рекомендации из стандарта CIS Kubernetes Benchmark по обустройству безопасных кластеров k8s. Также автор вкратце обозревает и другие гайдлайны (NSA/CISA, STIG, Модель 4С’s).
Далее у нас практический гайд по проектированию безопасной архитектуры. Автор выделил основные элементы безопасной инфраструктуры (выделенные и облачные серверы, межсетевой экран, сервисы и т.д.) и разобрал каждый из них.
От синей команды плавно перейдём к красной. Крайне важная статья для новичков-пентестеров (да и не только для новичков, в общем-то), в которой показываются последствия использования незнакомых эксплойтов и инструментов при проведении тестирования.
Ну и под конец у нас две информативные статьи:
- Разбор OWASP TOP 10 Machine Learning Security. В статье рассматривается каждый пункт этого топа и приводятся рекомендации по предотвращению описанных уязвимостей.
- Ну и так как у нас относительно недавно закончился октябрь, то держите подборку опасных уязвимостей прошедшего месяца.
#AppSec #DevSecOps #Pentest #AI
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥5❤4🏆2🫡1
Forwarded from Менторство ИБ | Пакет Безопасности
Учим базу
Я постоянно всем повторяю, что кибербез без IT не имеет никакого смысла. Это как быть охранником без склада или магазина, который нужно охранять.
Именно поэтому, чтобы научиться нормально что-то защищать, нужно это что-то изучить. И именно поэтому, для того, чтобы быть стать нормальным безопасником, нужно понимать, как работают сети, какие есть протоколы, какие есть особенности у разных операционных систем и вот это вот всё (да, этому мы тоже учим, но сейчас не об этом).
Собственно, недавно мне задали вопрос примерно в такой формулировке: "Что такого можно почитать или пройти, чтобы понять, как устроено IT, если я в этом полный ноль?". У меня таких полезностей под рукой не было, но благо в нашем чатике нашлись герои, которые поделились накомленным.
Ну а я делюсь этим с вами:
◽️ Войти в Айти. Базовые знания IT – ссылка
◽️ Войти в IT: Вся Необходимая База – ссылка
◽️ Курс от автора, который "вошел в IT" в 38 лет – ссылка
◽️ Бережный вход в IT (выбор профессии) – ссылка
◽️ Майндмап по фронтенду – ссылка
◽️ Простой и понятный курс по IT – ссылка
◽️ Целая образовательная платформа по кибербезу – ссылка
👨🏫 Менторство ИБ | Отзывы
Я постоянно всем повторяю, что кибербез без IT не имеет никакого смысла. Это как быть охранником без склада или магазина, который нужно охранять.
Именно поэтому, чтобы научиться нормально что-то защищать, нужно это что-то изучить. И именно поэтому, для того, чтобы быть стать нормальным безопасником, нужно понимать, как работают сети, какие есть протоколы, какие есть особенности у разных операционных систем и вот это вот всё (да, этому мы тоже учим, но сейчас не об этом).
Собственно, недавно мне задали вопрос примерно в такой формулировке: "Что такого можно почитать или пройти, чтобы понять, как устроено IT, если я в этом полный ноль?". У меня таких полезностей под рукой не было, но благо в нашем чатике нашлись герои, которые поделились накомленным.
Ну а я делюсь этим с вами:
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8👍5🤝4
Наконец-то OWASP Top 10 подаёт признаки жизни - выпустили релиз кандидат топа веб уязвимостей.
Коротко по изменениям:
○ A01:2025 Broken Access Control – Данный вид уязвимостей остаётся на первом месте. Вдобавок к этому пункту теперь относятся ещё SSRF уязвимости, которые были на 10-м месте топа 2021-го года.
○ A02:2025 Security Misconfiguration – Проблемы мисконфигурации стали встречаться чаще, поэтому уязвимость перенесена с 5-го места на 2-е.
○ A03:2025 Software Supply Chain Failures – Это расширенная версия A06:2021-Vulnerable and Outdated Components. В эту категорию добавились угрозы цепочки поставок.
○ A04:2025 Cryptographic Failures – Концептуальных изменения в этой категории нет, она переместилась со 2-го места на 4-е.
○ A05:2025 Injection – Эта категория также не претерпела серьёзных изменений. Она сместилась с 3-го места на 5-е.
○ A06:2025 Insecure Design – В данной категории также стало встречаться меньше уязвимостей, поэтому она сместилась с 4-го места на 6-е.
○ A07:2025 Authentication Failures – Данная категория заменяет собой A07:2021-Identification and Authentication Failures. В остальном концептуально ничего не поменялась, все угрозы связаны с аутентификацией.
○ A08:2025 Software or Data Integrity Failures – Категория повторяет аналогичный пункт из прошлого топа A08:2021-Software and Data Integrity Failures.
○ A09:2025 Logging & Alerting Failures – Также как и в 7-м пункте топа, у этой категории слегка изменено название. В остальном значительных изменений нет.
○ A10:2025 Mishandling of Exceptional Conditions – Полностью новая категория, которая концентрируется на некорректной обработке исключений, приводящей к сбою в системе. К этому пункту относятся логические баги, случаи переполнения буфера, состояния гонки и т.д.
Более подробно документ можно изучить тут. Финальный релиз списка запланирован на 20-е ноября.
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
Коротко по изменениям:
○ A01:2025 Broken Access Control – Данный вид уязвимостей остаётся на первом месте. Вдобавок к этому пункту теперь относятся ещё SSRF уязвимости, которые были на 10-м месте топа 2021-го года.
○ A02:2025 Security Misconfiguration – Проблемы мисконфигурации стали встречаться чаще, поэтому уязвимость перенесена с 5-го места на 2-е.
○ A03:2025 Software Supply Chain Failures – Это расширенная версия A06:2021-Vulnerable and Outdated Components. В эту категорию добавились угрозы цепочки поставок.
○ A04:2025 Cryptographic Failures – Концептуальных изменения в этой категории нет, она переместилась со 2-го места на 4-е.
○ A05:2025 Injection – Эта категория также не претерпела серьёзных изменений. Она сместилась с 3-го места на 5-е.
○ A06:2025 Insecure Design – В данной категории также стало встречаться меньше уязвимостей, поэтому она сместилась с 4-го места на 6-е.
○ A07:2025 Authentication Failures – Данная категория заменяет собой A07:2021-Identification and Authentication Failures. В остальном концептуально ничего не поменялась, все угрозы связаны с аутентификацией.
○ A08:2025 Software or Data Integrity Failures – Категория повторяет аналогичный пункт из прошлого топа A08:2021-Software and Data Integrity Failures.
○ A09:2025 Logging & Alerting Failures – Также как и в 7-м пункте топа, у этой категории слегка изменено название. В остальном значительных изменений нет.
○ A10:2025 Mishandling of Exceptional Conditions – Полностью новая категория, которая концентрируется на некорректной обработке исключений, приводящей к сбою в системе. К этому пункту относятся логические баги, случаи переполнения буфера, состояния гонки и т.д.
Более подробно документ можно изучить тут. Финальный релиз списка запланирован на 20-е ноября.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥10❤5🍓3🍾1
Forwarded from Пакет Безопасности
Вы думали, что мы забили? А вот и нет!
Мы вновь собрались, еще и умышленно одевшись в другие цвета, чтобы дообсудить то, что было утеряно с прошлой записи. А именно – факапы на собеседованиях и на работе, рынок ИБ, лайфхаки при трудоустройстве и роль высшего образования в карьере.
А еще в этот раз мы подготовили для вас конкурс с призами от ребят из К2 Кибербезопасность, которые нам и помогли записать этот выпуск. Вам нужно будет рассказать в комментариях под роликом на Ютубе о любом вашем факапе на работе, собеседовании или учебе. Авторы трёх самых достойных историй будут награждены целым мерчпаком!
Ну и без лишних слов – погнали смотреть!
Ссылки на подкаст:
-📹 YouTube
-📺 VK Video
-📺 Rutube
⚡ ПБ | 😎 Чат | 🛍 Проекты
Мы вновь собрались, еще и умышленно одевшись в другие цвета, чтобы дообсудить то, что было утеряно с прошлой записи. А именно – факапы на собеседованиях и на работе, рынок ИБ, лайфхаки при трудоустройстве и роль высшего образования в карьере.
А еще в этот раз мы подготовили для вас конкурс с призами от ребят из К2 Кибербезопасность, которые нам и помогли записать этот выпуск. Вам нужно будет рассказать в комментариях под роликом на Ютубе о любом вашем факапе на работе, собеседовании или учебе. Авторы трёх самых достойных историй будут награждены целым мерчпаком!
Ну и без лишних слов – погнали смотреть!
Ссылки на подкаст:
-
-
-
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤8🫡3🔥2
Всем привет! Понедельник в этот раз не примечательный, зато статьи интересные!
На прошлой недели вышло аж две статьи от PT на тему взлома банкоматов. Первый текст посвящён устройству банкоматов и типам атак на них. Во второй статье авторы рассказывают про логические атаки на банкоматы.
Далее у нас статья от инженера Kubernetes про User Namespaces в (как неожиданно) Kubernetes. В тексте рассказывается про новую фичу k8s, которая защищает от большого количества критических уязвимостей.
Не отходя далеко от инфраструктуры, углубимся в защиту от атак, связанных с шифрованием и удалением данных. И поможет нам в этом ультимативный гайд от Bi.Zone.
Ну и под конец узнаем о десяти ключевых угрозах для ИИ-агентов. Подробнее в данной статье.
#Pentest #DevSecOps #AI
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
На прошлой недели вышло аж две статьи от PT на тему взлома банкоматов. Первый текст посвящён устройству банкоматов и типам атак на них. Во второй статье авторы рассказывают про логические атаки на банкоматы.
Далее у нас статья от инженера Kubernetes про User Namespaces в (как неожиданно) Kubernetes. В тексте рассказывается про новую фичу k8s, которая защищает от большого количества критических уязвимостей.
Не отходя далеко от инфраструктуры, углубимся в защиту от атак, связанных с шифрованием и удалением данных. И поможет нам в этом ультимативный гайд от Bi.Zone.
Ну и под конец узнаем о десяти ключевых угрозах для ИИ-агентов. Подробнее в данной статье.
#Pentest #DevSecOps #AI
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4❤2🕊1
– Баян – скажите вы.
– Классика – возражу я вам.
Сегодня предлагаем вам посетить онлайн магазин по продаже сока - Juice Shop.
В нём вы найдёте:
- целых 15 категорий уязвимостей, которые испытают ваши хакерские навыки;
- много часов практики;
- подробный гайд-компаньон, который поможет вам в исследовании данного приложения.
В нём вы не найдёте:
- сока.
Приложение локально разворачивается на вашем компьютере. Есть ещё демо-стенд, но он работает нестабильно, так что лучше сразу поднимать у себя.
#Pentest #AppSec #Practice
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
– Классика – возражу я вам.
Сегодня предлагаем вам посетить онлайн магазин по продаже сока - Juice Shop.
В нём вы найдёте:
- целых 15 категорий уязвимостей, которые испытают ваши хакерские навыки;
- много часов практики;
- подробный гайд-компаньон, который поможет вам в исследовании данного приложения.
В нём вы не найдёте:
- сока.
Приложение локально разворачивается на вашем компьютере. Есть ещё демо-стенд, но он работает нестабильно, так что лучше сразу поднимать у себя.
#Pentest #AppSec #Practice
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4⚡3🔥3🌭2🐳1